アンチウイルス (AV)
アンチウイルス (AV) とは何ですか?
アンチウイルス (AV)シグネチャ DB、ファイルスキャン、簡易ヒューリスティックを使って不正ファイルを検知・除去するエンドポイントソフトで、エンドポイントセキュリティの歴史的基盤。
アンチウイルス(AV)は、エンドポイントセキュリティソフトの歴史的なカテゴリです。1980 年代後半に Bernd Fix による Vienna virus 対策ルーチン、John McAfee の VirusScan、Eugene Kaspersky の AVP が先駆けとなり、AV は Brain(1986 年)などの初期の PC ウイルスへの対応として登場しました。ディスク上・メモリ内・通信中のファイルをスキャンし、継続的に更新されるシグネチャ DB(歴史的には MD5/SHA ハッシュやバイトパターン)と照合し、ヒューリスティックも適用します。AV エージェントはファイルシステムの minifilter ドライバ、on-access スキャンのコールバック、メール/Web ゲートウェイを通じて OS にフックし、一致したものを検疫または削除します。
シグネチャモデルは広く出回るコモディティマルウェアには非常に有効ですが、新種・ポリモーフィック・パック化・ファイルレスの脅威には盲目です。バイナリにわずかな変更を加えるだけでハッシュが変わり、完全一致による検知は破られ、攻撃者は配布前にペイロードを各エンジンに対して日常的にテストします。独立系ラボ(AV-TEST、AV-Comparatives)や MITRE ATT&CK Enterprise の評価では、シグネチャのみのエンジンが現代の攻撃者の挙動を取りこぼすことが一貫して示されています。
これに対し二つの対応が生まれました。ベンダは AV を次世代アンチウイルス(NGAV)およびエンドポイント検知・対応(EDR/XDR)へと発展させ、機械学習による分類器、エクスプロイト防止、そしてファイルではなくプロセスツリーを追跡する振る舞いテレメトリを追加しました。Windows では Microsoft Defender Antivirus が Antimalware Scan Interface(AMSI)と連携し、実行時にスクリプト内容(PowerShell、VBA、JScript)を検査することで、ファイルレスの隙を塞ぎます。それでもなお、従来型 AV は PCI DSS のようなフレームワークや多くのサイバー保険契約で義務付けられたベースラインコントロールであり続けています。
flowchart TD
F[File written opened or downloaded] --> H[Minifilter on-access hook]
H --> SIG{Match signature DB?}
SIG -->|Yes| Q[Quarantine delete or alert]
SIG -->|No| HEU{Heuristic or ML flag?}
HEU -->|Yes| Q
HEU -->|No| ALLOW[Allow execution]
U[Signature and engine updates] --> SIG● 例
- 01
SMTP ゲートウェイで ClamAV が受信メール添付を検査する。
- 02
Microsoft Defender Antivirus がダウンロードされた実行可能ファイルを既知の WannaCry シグネチャと一致と判定し検疫する。
● よくある質問
アンチウイルス (AV) とは何ですか?
シグネチャ DB、ファイルスキャン、簡易ヒューリスティックを使って不正ファイルを検知・除去するエンドポイントソフトで、エンドポイントセキュリティの歴史的基盤。 サイバーセキュリティの 防御と運用 カテゴリに属します。
アンチウイルス (AV) とはどういう意味ですか?
シグネチャ DB、ファイルスキャン、簡易ヒューリスティックを使って不正ファイルを検知・除去するエンドポイントソフトで、エンドポイントセキュリティの歴史的基盤。
アンチウイルス (AV) からどのように防御しますか?
アンチウイルス (AV) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
アンチウイルス (AV) の別名は何ですか?
一般的な別名: AV, ウイルス対策ソフト, シグネチャ型 AV。