Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 530

ヒューリスティック検知

監修Cybersecurity entrepreneur & security researcher

ヒューリスティック検知 とは何ですか?

ヒューリスティック検知怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。


ヒューリスティック検知はシグネチャを補完し、ファイル本体や実行の疑わしさをスコアリングします。静的ヒューリスティックは、PE ヘッダの異常、UPX や Themida などの既知パッカー、エントロピーの高さ、コードの難読化、VirtualAlloc + WriteProcessMemory + CreateRemoteThread などの怪しい import、リスクの高い文字列を確認します。動的ヒューリスティックはエミュレータや軽量サンドボックスで挙動を観察します。1990 年代初頭に Frans Veldman 氏の TbScan や Eugene Kaspersky 氏の AVP が用語を広め、現在では多くの NGAV/EDR エンジンが、より深い ML やクラウド照会の前段の高速プリフィルタとして実装しています。既知ファミリの未知亜種を捕捉できる一方、シグネチャより誤検知が多いため、レピュテーション、流通度、振る舞いなどと組み合わせて判定します。

  1. 01

    ネットワーク API を import し WinAPI を動的解決する UPX 圧縮バイナリを AV エンジンがフラグする例。

  2. 02

    1993 年の TbScan が、典型的な復号ループとディスク書き込みパターンから未知ウイルスを検知。

よくある質問

ヒューリスティック検知 とは何ですか?

怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。 サイバーセキュリティの 防御と運用 カテゴリに属します。

ヒューリスティック検知 とはどういう意味ですか?

怪しいコードパターン、パッカー、異常文字列、API 呼び出しの組み合わせなど経験則の指標で、シグネチャに一致しなくても悪性らしいファイルを検知する手法。

ヒューリスティック検知 からどのように防御しますか?

ヒューリスティック検知 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

ヒューリスティック検知 の別名は何ですか?

一般的な別名: ヒューリスティック, ヒューリスティックスキャン。

関連用語