ヒューリスティックスキャンとは、既知のウイルス定義ファイルに頼らず、プログラムの不審な「行動パターン」や「コードの特性」を分析して未知のウイルスを検知するウイルス対策技術です。これは、システム領域の書き換えや自己複製など、通常のプログラムが行わないような異常な挙動を検出する手法です。この方式には、プログラムを直接解析する「静的ヒューリスティック」と、仮想環境でプログラムを動かして挙動を調べる「動的ヒューリスティック(ビヘイビア検知)」の2種類があります。
主な特徴
- 未知のウイルスへの対応: 従来のパターンマッチングでは検出できない、新しい脅威や亜種を検知できるのが最大の利点です。
- 誤検出の可能性: 正常なプログラムを不審と判断してしまう「誤検出」のリスクが、パターンマッチングよりも高くなることがあります。
- 「ヒューリスティック・ウイルス」ではない: 「ヒューリスティック・ウイルス」というウイルスは存在せず、これは検知手法の名前です。
静的ヒューリスティックと動的ヒューリスティック
| 静的ヒューリスティック | 動的ヒューリスティック(ビヘイビア検知) | |
|---|---|---|
| 分析方法 | プログラムを実行せずに、コードを静的に分析する | サンドボックスなどの仮想環境で実際にプログラムを実行し、その「振る舞い」を分析する |
| メリット | 処理が速い | コードの解析が難しい場合でも、実際の動きから悪意を判断できる |
| デメリット | 複雑な動作をするウイルスには対応しきれない場合がある | 処理の負荷が高い |
実装と対策
- 併用: 多くのウイルス対策ソフトウェアは、ヒューリスティックスキャンとパターンマッチングを組み合わせて、それぞれの長所を活かした多層的な保護を提供しています。
- リスクの低減: VPNの導入、ファイアウォールの設定、信頼できるソースからのソフトウェアのみをインストールする、定期的なバックアップを行うといった対策が有効です。
コメント