これさえ見れば問題なし! セキュリティ用語まとめ (2) "アンチウイルス"と何が違う? - エンドポイントセキュリティとは

ウイルスがエンドポイントに到達する前に、製品内の仮想環境でプログラムを実行し、その動作を元にウイルスの判定を行います。万が一、エンドポイントが感染してしまった場合でも、ウイルスが行う攻撃者との通信を検出して、それを止めるという手法もあります。

ここで発生する通信の多くは、攻撃者が感染端末の遠隔操作や攻撃ツールのインストール、窃取データの保管などに利用する攻撃指令サーバー(C&Cサーバー)との間で発生します。

ここで注意したい点がいくつかあります。

メールサーバー用のウイルス対策やプロキシサーバー連携型(製品によってはサーバーと一体型)のウイルス対策は、パターンマッチングやそれを基礎にしたヒューリスティック検知といった、比較的古典的なウイルス検知手法がメインです。

サンドボックス機能搭載型ファイアウォールは、仮想環境を搭載するため、製品のリソースが大きくなり、配置に苦慮することもあります。また、仮想環境内での実行を検出するウイルス側の(悪い意味での)技術進歩に対抗し続ける必要もあります。

例えば仮想環境であることをウイルス自身が検出するケースがあり、その場合、ウイルスとしての動作を行わないという"検知回避技術"を実装するウイルスも少なくありません。