全2896文字
PR

 2020年もAI(人工知能)がバズワード、もとい重要なキーワードとして様々な分野でもてはやされるだろう。ITセキュリティーの分野も例外ではない。「AI搭載」をうたうセキュリティー製品が多数市場に出ており、今後も増えるだろう。

 AIにより可能になるとされている機能の1つが、未知ウイルスの検出だ。昔ながらの手法である「パターンマッチング」では、既知ウイルスは検出できても、新たに出現したウイルスは検出できない。パターンマッチングは、過去に出現したウイルスの特徴と検査対象ファイルを照合してウイルスかどうかを判断するためだ。

 だが、AIによる検出機能が進化してもパターンマッチングにはかなわないと筆者はみている。未知ウイルスの検出には「フォールスポジティブ」の問題がつきまとうからだ。

既知ウイルスの特徴と照合

 前述のように、ウイルス対策ソフトの最も基本的な検出方法はパターンマッチングだ。ベンダーは既知ウイルスのプログラムの中から特徴的なパターンを抜き出してデータベースファイルを作成する。

 そのデータベースファイルと検査対象ファイルを照合して、検査対象ファイルに既知ウイルスが含まれていないかどうか調べる。このデータベースファイルはパターンファイルやウイルス定義ファイル、シグネチャーなどと呼ばれる。

パターンマッチングによるウイルス検出
パターンマッチングによるウイルス検出
[画像のクリックで拡大表示]

 パターンマッチングではパターンファイルに含まれるウイルスしか検出できない。このため2000年ごろまで、ベンダー各社はウイルス対策ソフトのパッケージに「○万種類のウイルスに対応!」とうたい、パターンファイルに含まれるウイルスの数を競った。

 ただ、対応するウイルスの数え方はベンダーによって異なっていた。あるベンダーはプログラムの中身がほんのちょっと異なる亜種(変種)も別の種類とカウントするのに対して、あるベンダーは亜種は同じ種類とカウントしていた。

 このため後者のカウント方法を採用しているベンダーの担当者からは「あのベンダーとは数え方が異なる。実際にはウチの製品のほうが検出率が高い」といった話をよく聞いた。

 「ウチは新種ウイルスのサンプルを入手する独自の経路があるので、他社製品では検出できないウイルスも検出できる」と、確かめようのない話をするベンダーもいた。

 あるベンダーは一般ユーザーから新種ウイルスを募集していた。ウイルス対策ソフトで検知できなかったウイルスをたくさん送ってくれた人に賞を贈るベンダーもあった。