サンドボックスを使ったヒューリスティックスキャンというのはどのようなものでしょうか?/ PC Matic FAQ

サンドボックスを使ったヒューリスティックスキャンというのはどのようなものでしょうか?

PC Maticはクラウド上でサンドボックスを利用した多面ヒューリスティック分析を実装

このため、別途サンドボックス技術を利用したソリューションを導入する必要はございません。PC Maticは、パソコン常駐型のヒューリスティックエンジンとクラウドサーバ上にサンドボックスを含む多面分析による複数のヒューリスティックエンジンを装備しています。

サンドボックス型のヒューリスティックスキャンとは、ブラックリストやホワイトリストに分類されてないまったく未知のアプリケーションが発見された場合に仮想的なOSを作り、該当アプリケーションを仮想的に起動して、そのプログラムの挙動を確認し、ウイルスであるか、正常なアプリケーションであるかを判別するエンジンとなります。
実際に起動させることから、未知のウイルスを検知させることを主な目的として活用されています。この機能は、主要な市販セキュリティ対策ソフトが実装している標準的な機能です。

また、高度に作成された標的型攻撃ウイルスなどはタイマー起動や特定のGateway IPアドレス下で動作するため、即座にファイル利用を希望する環境下においては、従来のサンドボックス型セキュリティエンジンでは検知することができません。

このため、PC Maticのサンドボックス型ヒューリスティックエンジンは、時計APIを参照しているものや、ゲートウェイIPアドレスを参照しているアプリケーションについては、経過処置および対象となるゲートウェイIPアドレスを複数与えて挙動の変化を見る強固なサンドボックスを新たに開発し実装しています。これは数千万円するサンドボックス型セキュリティ装置にも実装されていない新機能です。

そして、パソコンに常駐する従来のセキュリティ製品が採用しているヒューリスティックスキャンは、仮想OS上で実際にアプリケーションを起動しその挙動を確認し、問題がない場合に、再度、本番のWindows上でアプリケーションの起動を許可することから、「2度アプリケーションを起動する」こととなり、パソコンの動作が遅いと感じる原因の一つになっています。

ヒューリスティック分析(ふるまい検知)はあまり行わない仕様で軽快

PC Maticでは、アプリケーションが改ざんされていないかを最初に確認するホワイトリスト方式のセキュリティエンジンを最初に活用することで、ヒューリスティックスキャンの利用を少なくし、パソコンを軽快に動作するようにしております。

wsh, JavaScriptなどのスクリプト自身は、ヒューリスティックで対応

スクリプトは、バイナリーアプリケーション数よりも膨大な種類が存在しているため、ホワイトリスト方式ではなく、PC Matic SuperShieldのパソコン内で稼働するヒューリスティックエンジンで監査の上でスクリプトの実行可否を判断しています。これは、業界他社のセキュリティソフトと同様です。スクリプトによって実行される実行可能ファイル(exe,dll等)は、ホワイトリスト方式で行われます。

戻る