ウイルスシグネチャとは何ですか?

ウイルス対策の分野では、ウイルス シグネチャは、特定のウイルスを一意に識別するアルゴリズムまたはハッシュ関数 (テキスト文字列から得られる数値) です。

ウイルスの署名はどのようにして現れるのでしょうか?

使用されているスキャナの種類に応じて、ウイルス シグネチャは静的ハッシュ (ウイルスに固有のコード スニペットの計算された数値) である場合もあれば、あまり一般的ではありませんが、アルゴリズムが動作ベースである場合もあります。たとえば、このファイルが何か異常なことを行おうとすると、疑わしいファイルとしてマークされ、ユーザーに決定を求めるメッセージが表示されます。ウイルス対策ソフトウェアのプロバイダーによっては、ウイルス シグネチャはシグネチャ、定義ファイル、または DAT ファイルと呼ばれる場合があります。

1 つのシグネチャが多数のウイルスと一致する可能性があります。これにより、スキャナーはこれまでに見たことのないまったく新しいウイルスを検出できるようになります。この機能は、多くの場合、ヒューリスティック検出または汎用検出 (トロイの木馬、バックドア、エクスプロイトなど、既知の有害なプログラムと同様の機能または動作を持つプログラムまたはファイルを識別する) と呼ばれます。

ウイルス シグネチャは、静的ハッシュ関数または動作ベースのアルゴリズムにすることができます。

これは、まったく新しいウイルスに対してはあまり効果的ではありませんが、既知のウイルス ファミリの新しいメンバーを検出する場合にはより効果的です (ウイルス ファミリは、多くの共通の特性を共有するウイルスの集合であり、コードは同じです)。

現在のほとんどのスキャナーには 250,000 を超えるシグネチャが含まれており、発見される新しいウイルスの数は年々急増し続けているため、この機能は非常に重要です。

定期的なアップデートが必要

現在のシグネチャでは検出できない、または検出可能でも適切に除去できない新しいウイルスが発見されるたびに、その動作が以前から知られている既存の脅威と完全に一致しないため、新しいシグネチャを作成する必要があります。

新しい署名が生成され、ウイルス対策ベンダーによってチェックされた後、署名の更新として顧客に配信されます。これらのアップデートにより、スキャン エンジンに検出機能が追加されます。場合によっては、全体的な検出または削除を向上させるために、以前に提供されたシグネチャが削除されるか、新しいシグネチャに置き換えられることがあります。

署名データベースを定期的に更新する必要がある

プロバイダーによっては、更新は 1 時間ごと、または毎日、場合によっては毎週提供される場合もあります。署名プロビジョニングの必要性の多くは、スキャナーの種類、つまりスキャナーが何を検出することに重点を置いているかによって異なります。

たとえば、アドウェアやスパイウェアはウイルスほど「増殖」しないため、通常、アドウェア/スパイウェア スキャナは毎週 (またはそれより少ない頻度) でしかシグネチャ アップデートを提供できません。対照的に、ウイルス スキャナーは毎月何千もの新たに発見された脅威に直面しているため、シグネチャの更新は少なくとも毎日提供される必要があります。

もちろん、新しく発見されたウイルスごとに個別のシグネチャをリリースするのは現実的ではないため、ウイルス対策ベンダーは設定されたスケジュールに基づいてリリースし、その期間内に発見されたすべての新しいマルウェアをカバーする傾向があります。脅威が特に蔓延している場合、または定期的にスケジュールされた更新の間に検出された場合、通常、ベンダーはマルウェアを分析し、シグネチャを作成してテストし、更新スケジュール外にリリースします。

最高レベルの保護を維持するには、定期的に更新を確認するようにウイルス対策ソフトウェアを構成します。シグネチャを最新の状態に保つことは、新しいウイルスを決して見逃さないことを保証するものではありませんが、その可能性は低くなります。