ランサムウェアの動きに反応し、クイックバックアップ
── 検出の過程についてもう少し詳しく教えてください。
まず“疑わしい振る舞い”(Suspicios Activity)がないかを確かめます。疑わしい動き、つまりランサムウェアの可能性があると判断した場合、例えばコピーやファイルの変更をどんどん続けていこうするソフトを検出した場合は、そこで一度コピーをとっておきファイルをブロックしてユーザーに通知を出します。この変更を続けるのを許可するかどうか確認するわけです。ここでユーザーが指示すれば、すぐに変更前のコピーに戻せます。
実際には複数ファイルの変更が進んだ状態で警告が出ますが、これは最新のランサムウェアが非常に高速であるためです。これはあくまでも一例ですが、一般的にあるランサムウェアでは、仮にms単位で検出と停止ができても、そこまでに数千、数万のファイルを暗号化してしまうことができると思います。
そこで我々は、何か変更が加えらたとしても、必ず元の状態に戻せる点を意識してます。多段階での防御がなされていて、インスタント/ローカル/クラウドの3種類のバックアップがあり、インスタントはスピーディーに最新の変更だけを修復する機能です。より巧妙なランサムウェアではファイルをあっという間に破壊してしまうので、その場合にはローカルバックアップやクラウドバックアップを使って復元する形となります。
ランサムウェアは本当に毎日進化を続けていて、以前のようにメール添付してファイルをブロックするようなものだけでは対応しきれません。バックアップを破壊したり、アンチウィルスの防御を超えるものも出ています。
New Generationのリリースを急いだのも脅威の高まりを認識してのことです。通常では9月ごろ、年1回のリリースで機能強化をしていきますが、ランサムウェアの脅威を鑑みて、通常より早くリリースを実施しました。
仮に疑いのある電子メールは開かないし、怪しいウェブサイトにも行かないという人も、どんなOSでもソフトでも欠陥は必ずあり、入り込む余地がある点を認識すべきです。アップデートやネットワークを介した侵入や公衆無線LANの脆弱性なども存在します。
── ランサムウェア対策によるパフォーマンスの低下はありませんか?
テストをした範囲では、目立った低下はありませんでした。カーネルレベルで専門のドライバーで実装して追跡するので、オーバーヘッドは発生します。しかし計算のサイクル数も少なく、ほとんどのユーザーはその差を体感できないレベルだと思います。私もスティックPC(Intel Computing Stick)にインストールして、クラウド上にバックアップした動画を観てみましたが、こうした小型で性能が高くはないデバイスでも十分なパフォーマンスが得られました。スティックPCはストレージ容量にも制限があるため、クラウド上にバックアップが取れるTrue Imageは有効ではないでしょうか。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります