レピュテーション

• 不正プログラムかどうかを解析、「指名手配写真」を作成し利用者に配布（パターンマッチング）
• プログラムの動きが疑わしい「挙動不審」なファイルを検出（ヒューリスティック）

不正プログラムの対策の基本は、不正コードを検出する、つまり不正であるということを認識した時点で適切な処理を行うことです。

あらかじめ不正プログラムの特徴的な部分をサンプルとして抜き出し、データベース化します。このサンプルと、実際にPC内に侵入してくるファイルの中身を比較し、合致した場合にそのファイルが不正プログラムと判定されるのです。これをパターンマッチング方式と呼びます。よく不正プログラムの対策方法を実世界の犯罪捜査に例えて説明することがありますが、パターンマッチング方式は顔写真付きの指名手配書や指紋照合と似た方式です。

しかし、指紋照合の際には指紋の採取が必要なように、パターンマッチング方式での検出では既知の不正プログラムしか検出できません。攻撃側が新たに不正プログラムを作り続けることから、パターンマッチングを補完する技術が研究されました。その1つがヒューリスティック方式と呼ばれる検出方法です。

「ヒューリスティック（Heuristic）」とは「発見的」と訳される英単語です。人間の経験則に基づいたルールを適用して、あるプログラムの活動内容が不正かどうかを判定する検出方法です。パターンマッチング方式ではファイルの中のプログラムコードに着目していますが、ヒューリスティック方式ではプログラムがどのような動きをするかに着目し、不正プログラム特有の挙動を示すファイルを疑わしいものとして検出するのです。

これは実世界に例えれば、パトロール中の警察官が挙動不審な人物を見つけるようなものでしょう。

• 「評価」「評判」によって不正なものと関係があるかどうかを判定

パターンマッチングやヒューリスティックは非常に優れた技術方式ですが、いずれも不正プログラムなどの脅威がPCに到達してからの対策です。これに対して、脅威の出処から対応するために生み出されたのが「レピュテーション」という考え方です。

「レピュテーション(Reputation)」は「評価」や「評判」と訳される言葉ですが、不正プログラムだけでなく脅威の侵入経路となるWebサイトやメール送信元の評価も数値化し、不正な活動に用いられていると推測されるWebサイトへの接続や、迷惑メールを大量に発信しているメールサーバからのメールは受信しない、といった処理が可能です。

「Trend Micro Smart Protection Network」ではWebサイト、メール送信元、ファイルの3つのレピュテーション情報をデータベース化し、相互に連携させることで高い防御力を提供しています。