アンチウイルスでランサムウェアを防げない理由

アンチウイルスでランサムウェアを防げない理由

2016年にランサムウェアの被害をうけた企業の93%が、アンチウイルスソフトを導入済みだったことをご存じでしょうか? アンチウイルスを入れていればランサムウェアを防げると思っていた方々は、この数値に驚愕するでしょう。

シグネチャベースの技術
皆様は「何故アンチウイルスでランサムウェアを防げないの?」と、疑問に思うかもしれません。従来型のアンチウイルスはシグネチャベースの技術であり、「既知の」シグネチャに合致するものしか検知できないのです。アンチウイルスソフトは、ウイルスの「指紋」を集めたデータベースを持っており、怪しいファイルの指紋とそのデータベースが合致した場合にそれをウイルスと特定します。アンチウイルスソフトウェアが頻繁にアップデートするのはこのためで、常にシグネチャを最新の状態に維持しなければならないからです。シグネチャがデータベースにある「既知の」ランサムウェアは、この方法で検知することができます。

独立系テスト機関であるAV-TESTによると、「毎日39万個以上の新しいマルウェアプログラムが発見され、分類されている。」ということです。アンチウイルスベンダーは常に最新のシグネチャを提供し続けなければなりませんが、新しいウイルスに完全に追いつくことはできません。

シスコシステムズのMidyear Security Reportが計測したところ、2015年4月24日に発生したAnglerのペイロードであるCryptowallの検知には、平均で4日かかったということです。しかも、4日後でもこのランサムウェアを検知できたのは57種類のアンチウイルスエンジンのうち32個だけでした。

検知を回避
ランサムウェアの開発者は、検知を逃れるために様々な技術を使います。シグネチャベースのアンチウイルスソフトの検知を逃れるためには、コードベースに小さな変更を行えば良いのです。それによって指紋が変わり、既存のシグネチャでは検知できなくなります。2017年も、アンチウイルスが守ってくれるとは考えない方が良さそうです。

リスク
昨年ランサムウェアの被害に遭った1,000社のデータを分析した結果、社内のコンピュータがファイル暗号化ソフトウェアに感染してしまった企業の85%が感染後1週間ネットに接続できず、33%のケースで1ヶ月以上データにアクセスできなかったことがわかりました。従来型のファイアウォールとアンチウイルスを使っている組織のほとんどは、ランサムウェアに対して無防備であるということができます。皆様の組織はいかがでしょうか?