マルウェア対策ソフトの仕組みとは？

中小企業を対象としたセキュリティ製品はいろいろと出ています。

その中でもマルウェア対策ソフトは、導入している人も多く身近な存在です。

ですが、前回解説したファイアウォールと同様で、これも実のところ何をしているのかご存知ない方も多いと思います。

今まで、このメルマガでも繰り返し、「マルウェア対策ソフトは導入しましょう」と言っていましたが、実はマルウェア対策ソフトに焦点をあてた解説はしていませんでした。

今回はそのマルウェア対策ソフトについて解説します。

1. そもそもマルウェアとは？

まずは、マルウェアの定義をしておきます。

これは英語圏での造語で、malicious-softwareを縮めてmal-ware（マルウェア）と呼ようになったものです。
malicious（マリシャス）は「悪意のある」とか「故意の」といった意味です。

悪意があるというのは、利用者に知らせずに利用者に不利益になることを行うことを言います。
例えば、情報を盗んだり、情報を消去したり、といったことで、マルウェアはこういった動作をするソフトウェアの総称です。

一方で「ウイルス」という言葉もあります。
ウイルスとマルウェアは何が違うのでしょう？

ウイルスというのは、マルウェアの一つの形態で、ファイル寄生型のマルウェアのことを指します。
以前はこのウイルスが悪意のあるソフトウェアの代表だったので、それが総称を兼ねていました。
ですが、ウイルス以外にもワームやトロイの木馬といった別形式のソフトウェアが登場し、それらを全て「ウイルス」という言葉で代用されることとなり、専門家の「ウイルス」の定義（こちらはファイル寄生型のマルウェアのこと）と一般化している「ウイルス」の定義（こちらは悪意のあるソフトウェア全般のこと）の間に乖離が拡がってきました。

この両方を区別するための用語として、悪意のあるソフトウェア全体を「マルウェア」と呼び、そのうちのファイル寄生形のマルウェアのことを「ウイルス」と区別するようになりました。

専門家の間ではマルウェアという言葉は定着しています。一般ユーザにも認知されつつありますが、「ウイルス」と呼ぶ人もまだまだ多いのが現状です。

なお、「ファイル寄生型」のマルウェアは今もありますが、主流ではなくなってきているようです。

このようなマルウェアの形態や区別については、技術的には興味深い話がたくさんあるのですが、一般の方が気にすべき領域とは言いがたいため、今回は省略します。

2. マルウェアはどうやって侵入するのか？

マルウェアの侵入経路は４つあります。

　1. メールの添付書類
　2. webブラウザでのリンク
　3. USBメモリなどの物理メモリ
　4. ネットワーク感染

このうち、1～3は利用者が何らかのアクション（開く、クリックするなど）が必要で、4は利用者のアクションは不要です。

現代の感染ルートの主流は上記のうち1と2です。
つまり、主要なマルウェア侵入ルートでは人の介助が必要なのです。

こう聞くと（利用者が注意しても防げない）4が一番恐いように思えますが、家庭や事務所にインターネット側から直接侵入することはかなり難しいのが実際のところです。
これはインターネットに接続する機器で、前回解説したファイアウォール機能を搭載した機器が増えているためです。

結局、組織メンバが十分な教育を受け注意深くふるまえば、そうそうマルウェアの侵入を許すことはありません。

ですが、人はパーフェクトではありません。間違うものです。

いくら気を付けても、不安をあおるメールには間違った対応をしてしまいがちですし、良かれと思って間違った行動を取ってしまうこともあります。

人が間違いにくいように、注意を促すなどサポートをしてくれるのがマルウェア対策ソフトの仕事なのです。

3. マルウェア対策ソフトは何を防いでくれるのか？

マルウェア対策ソフトはかなりオールラウンドにパソコン（PC）を守ってくれるソフトウェアです。
上記の４つの侵入ポイントを全て監視してくれます。

では、何を基準にプログラムがマルウェアかを検出するのでしょうか？

以前（2010年頃）までは対策ソフトのメーカはマルウェアをたくさん集めて、それから特徴的なプログラム部分を抽出したパターンファイルを作成し、それを元にマルウェアかどうかの検出を行っていました。

技術的にはプログラム起動直前に対策ソフト側でパターンファイルに登録されている部分がないかを検証し、問題があれば利用者に「マルウェアが見つかった」と報告してくれます。

ですが、ここ十年くらいマルウェア作成側の技術が進みました。パターンファイルでひっかからないように改変したマルウェアが増えてきました。
パターンファイルの方も毎日のように更新されているのですが、それ以上のペースでマルウェアが増え続けるため、従来のパターンファイルでは対応ができなくなってきました。

そのため、マルウェア対策ソフト側は考え方を変え「過去のマルウェアと似たようなWindows機能の使い方をするのは怪しいヤツだろう」という考え方も併用して検知を行うようになりました。

この新たな検知方法には本来はパターンファイルなど必要ないのですが、新たな検知パターンや検知方法の改善は日々行われており、その更新も含めて「パターンファイル」という表現は今も使われています。

ですので、昔も今も「パターンファイルをきちんと更新しましょう」は健在ですし、必ず更新を行っておく必要があります。

4. マルウェア対策ソフトは何を防げないのか？

そもそも論ですが、警告を無視して利用者が実行してしまった場合は防ぎようがありません。

警告を無視するなんて！と思わないでください。

マルウェアを作っている側はいかにも正当なソフトウェアに見せかけ、利用者に実行ボタンを押させようとします。

以下のようなケースは、マルウェアがよく使う手法ですが、それでも皆さんは「絶対に押さない」と言い切れるでしょうか？
　・それが、社長名義のメールであっても？
　・Excel表にしか見えないファイル名であっても？
　・知っているwebサイトのリンクであっても？

さらに、メール本文に「一部のマルウェア対策ソフトでは警告画面が表示されますが、問題ありませんので「実行する」ボタンを押してください」など書いてあったりするあつかましいマルウェアもあったりします。

これを防ぐには後で書くように「教育」が大切です。

また、あたり前の話ですが、マルウェア対策ソフトはそのソフトが入ったパソコン(PC)でしか機能しません。
他のネットワーク機器やファイルサーバといった機器は守れません。

そういった機器は、ファイアウォール機構（ルータや専用機）などの別の機構で守ってあげる必要があります。

5. マルウェア対策ソフトは導入すべきか？

これはもう「導入する」の一択です。
組織の規模や業務内容には関係ありません。

最近はWindows自身にもマルウェア対策ソフト（Windouws Defender）が入っています。
これは専業メーカへの圧力と言う方もおられますが、筆者はそうではないと考えています。

「マルウェア対策ソフトを入れましょう」というのはもう1990年代からもう30年ほども言われています。
それでも導入しない人はいますし、パソコン購入時の試供品（30日限定版など）でパターンファイルが古いままの方も多いようです。
機能限定の無償版マルウェア対策ソフトもいろいろあるのですから、おカネがもったいないだけが理由ではありません。
そもそもマルウェア対策ソフトの必要性を知らない方が多いということでしょう。

この状況下で少しでも被害を減らすために、Windowsの提供元であるMicrosoft社が最初からマルウェア対策機能を標準機能として搭載したものと筆者は考えています。

私はどちらかというとMicrosoft社には懐疑的に見ることが多いのですが、この点についてはMicrosoft社の行動を支持しています。

なお、中小企業や家庭では、この無償で使えるWindows Defenderではなく有償のソフトウェア導入をオススメしています。

理由は明解で「いざという時の電話サポートが得られる」ためです。

通常の方はマルウェアに侵入された時にどうすればいいか、なんてわかりません。

しかも、侵入された時の相談窓口はほとんどありません。
パソコンメーカのサポートでもある程度は対応してくれるでしょうが、プロではありません。

その点、マルウェア対策ソフトの専業メーカの対応は実にしっかりしています。
実際に、筆者も過去にマルウェア対策ソフトのサポートのお世話になったことがありますが、実に的確でプロフェッショナルな対応をいただきました。

マルウェア対策ソフトといえど、マルウェアの侵入や活動を100%止められるわけではありませんが、実際に侵入された時の相談料と考えれば、そのライセンス料を支払う価値は十分にあるものと考えます。

なお、マルウェア対策ソフトを複数入れるのは避けてください。
そもそも、マルウェア対策ソフト自体が他のソフトウェアの実行を制御するなどマルウェアっぽい要素を持っています。
ですので、複数のマルウェア対策ソフトをインストールすると、互いに相手をマルウェアと見なしてしまうなど、パソコンの動作が極端に不安定になります。

ですので、マルウェア対策ソフトは一つだけ入れるようにしてください。

ただし、上でも書いたWindows Defenderだけは例外です。
これは他のマルウェア対策ソフトがインストールされると自動的に自身をOFFになってくれる良い子です。

6. 教育というもう一つの対策

マルウェア対策では、もう一つの有効な対策があります。

人の油断や感違いによってマルウェアの侵入を許してしまう場合があります。
これを防ぐには、教育が非常に有効です。

マルウェア対策ソフトはあくまで、人のミスを救ってくれる存在であって、そもそもミスをしないように日常的に活動できるのが望ましいのは言うまでもありません。

ですが、ミスをしないようにするには前提として知識が必要です。
知識なしではどちらが正しいのかわかりません。その状態ではミスを防げるはずがないのです。

こういった対策については、是非専門家を使いましょう。

といっても、マルウェア対策ソフトのメーカや、セキュリティ機器メーカに頼むまでもありません。
近隣にある「パソコン教室」で相談してみてください。きっと皆さんの組織レベルに合った提案をしてくれると思います。

この点については、筆者としてもいろいろお伝えしたいことがありますので、（今回は十分に長くなってしまいましたので）次回以降に解説したいと思います。

7. まとめ

マルウェアというのは悪意のあるソフトウェア（Malicious-software)の略です。
以前は「ウイルス」と呼ばれていましたが、今はマルウェアが一般化しつつあります。

その対策ソフトとして、マルウェア対策ソフトは非常に有用で、マルウェアが侵入しそうなルートをほぼガードしてくれます。

とはいっても、対策ソフトもパーフェクトではなく、誤検知（マルウェアでないのにマルウェアだと間違う）や見落とし（マルウェアを通してしまう）も起きます。

ですから、対策ソフトに加えて利用者側も十分な知識を持ってガードする意識を持つことが必要です。

なお、WindowsにもWindowsDefenderというマルウェア対策ソフトが入っていますが、いざという時の相談窓口を確保するためにも、有償版ソフトウェアの導入を強くオススメします。

今回はマルウェア対策ソフトについて解説しました。
次回もお楽しみに。

（本稿は 2022年2月に作成しました）

このNoteはえがおIT研究所が主宰するメルマガ「がんばりすぎないセキュリティ」からの転載です。
誰もが気になるセキュリティに関連するトピックを毎週月曜日の早朝に配信しています。
無料ですので、是非ご登録ください。
https://www.mag2.com/m/0001678731.html