Time LLC logo Time Columns DX, Web, AI

Security

シグネチャーベースのウイルス対策ソフトでは不十分な理由

未知の攻撃・ファイルレス攻撃・アカウント侵害に備える実務設計

更新日:2026年5月12日

従来のウイルス対策ソフトは、既知の脅威を検知するシグネチャーベースの方式で発展してきました。しかし現在の攻撃では、未知のマルウェア、ファイルレス攻撃、正規ツールの悪用、アカウント侵害などが増えており、それだけでは実務上の防御として不十分になっています。

概要

従来のウイルス対策ソフトは、シグネチャーベースと呼ばれる方式で脅威を検知してきました。

シグネチャーベースとは、既知のマルウェアの特徴と照合して、不審なファイルやプログラムを検知する仕組みです。

この方式は、既に知られている脅威に対しては有効です。

しかし現在のサイバー攻撃は、未知のマルウェア、ファイルレス攻撃、正規ツールの悪用、アカウント侵害など、従来の仕組みだけでは検知しづらいものが増えています。

そのため現在は、「ウイルス対策ソフトを入れているから安全」とは言い切れません。

重要なのは、何を防げて、何を防げないのかを理解した上で、端末、アカウント、クラウド、運用を組み合わせて守ることです。

シグネチャーベースとは何か

シグネチャーベースとは、既知のマルウェアの特徴をもとに脅威を検知する方式です。

たとえば、マルウェア特有のコード、ハッシュ値、既知の振る舞いパターンなどをデータベース化し、それと一致した場合に検知します。

従来のウイルス対策ソフトでは、この方式が広く使われてきました。

処理が比較的軽い。検知が速い。既知の脅威に対しては精度が高い。誤検知を抑えやすい。

そのため、シグネチャーベース自体が無意味になったわけではありません。

問題は、それだけでは現在の攻撃に対応しきれないことです。

未知のマルウェアに対応しづらい

シグネチャーベースは、過去に確認された脅威に強い方式です。

逆に言えば、まだ登録されていない攻撃には弱いということです。

現在は、マルウェアの亜種が短期間で大量に作られます。

コードの一部を変える。実行タイミングを変える。ファイル名や構造を変える。検知されにくい形に変形する。

このような攻撃では、既存のシグネチャと完全には一致しない場合があります。

その結果、初見の攻撃や新しい亜種が検知をすり抜ける可能性があります。

ファイルレス攻撃に弱い

近年増えているのが、ファイルレス攻撃です。

これは、従来のように怪しい実行ファイルを端末に保存して動かすのではなく、PowerShell、メモリ上の処理、OS標準機能、正規ツールなどを悪用する攻撃です。

ファイルとして残らない。ディスク上に痕跡が少ない。正規の管理ツールに見える。一見すると通常操作に近い。

このような攻撃では、そもそも照合すべきファイルのシグネチャが存在しない場合があります。

そのため、ファイルを検査する前提の対策だけでは不十分になります。

ランサムウェアは検知時点で被害が進んでいることがある

ランサムウェアは、データを暗号化し、復旧や解除と引き換えに金銭を要求する攻撃です。

シグネチャーベースで検知できるランサムウェアもあります。

しかし問題は、検知のタイミングです。

実行される。権限を確認する。ファイルへアクセスする。暗号化を開始する。異常として検知される。

この流れでは、検知した時点で既に一部のファイルが暗号化されている可能性があります。

つまり、検知できたとしても、被害発生後になってしまうことがあります。

現在の対策では、侵入を防ぐだけでなく、異常な振る舞いを早く止める設計が重要になります。

正規ツールを使った攻撃が増えている

攻撃者は、必ずしも怪しいプログラムだけを使うわけではありません。

OS標準機能、管理ツール、クラウドサービス、正規アプリを悪用することがあります。

これは、Living off the Land と呼ばれる考え方にも近い攻撃です。

正規のツールを使っているため、単純に「このファイルは危険」と判断しづらくなります。

たとえば、PowerShellやリモート管理ツールは、本来は正当な業務や管理に使われます。

しかし、攻撃者がそれを悪用すれば、見た目は正規の操作でも、実際には不正な侵入や情報取得につながることがあります。

シグネチャーベースでは、このような「文脈の違い」を判断することが難しくなります。

現場で起きやすい誤解

実務でよくあるのが、「ウイルス対策ソフトを入れているから大丈夫」という考え方です。

もちろん、何も入れないよりは有効です。

しかし、それは「既知の脅威に対する防御がある」という意味であって、すべての攻撃を防げるという意味ではありません。

ウイルス対策ソフトは入っている。定義ファイルも更新されている。警告も出ていない。それでも侵入されている。

こうしたケースはあり得ます。

特に、クラウドサービスを多用している環境や、アカウント管理が弱い環境では、端末のウイルス対策だけでは守りきれません。

端末防御だけでなくアカウント防御が重要になる

現在の攻撃では、端末そのものよりも、アカウントが狙われることが増えています。

メールアカウント、Google Workspace、Microsoft 365、クラウドストレージ、業務システム、管理者アカウント。

これらが侵害されると、端末にマルウェアが入っていなくても、情報漏えいや不正操作が起きる可能性があります。

そのため、セキュリティ対策では、端末だけでなくアカウントを守ることが重要です。

多要素認証、権限分離、不要な管理者権限の削除、ログ監視、不審なログインの確認、退職者アカウントの停止。

こうした基本的な運用が、実務では非常に重要になります。

侵入される前提で設計する

現在のセキュリティでは、完全に侵入を防ぐという考え方だけでは限界があります。

もちろん、侵入されないように対策することは重要です。

しかし、それでもすべての攻撃を防げるとは限りません。

そのため、侵入された場合にどう気づくか。どこで止めるか。どの範囲に被害を抑えるか。どう復旧するか。

ここまで考えておく必要があります。

エンドポイントの挙動監視、EDRの導入、バックアップ、権限設計、ログ確認、インシデント時の連絡ルール。

こうした仕組みを組み合わせることで、被害を小さくする設計ができます。

Time合同会社での考え方

Time合同会社では、セキュリティを単独のソフトウェア導入だけで考えません。

Google Workspace、AppSheet、クラウドサービス、Webサイト運用など、実際の業務環境と合わせて考える必要があると捉えています。

端末を守ること。アカウントを守ること。クラウド上の権限を整理すること。業務データの置き場所を管理すること。ログや運用ルールを確認できる状態にすること。

これらは別々ではなく、つながっています。

シグネチャーベースのウイルス対策ソフトは、今でも一定の役割を持っています。

ただし、それだけに依存するのではなく、挙動ベースの検知、アカウント防御、権限管理、バックアップ、運用設計を組み合わせることが重要です。

まとめ

シグネチャーベースのウイルス対策ソフトは、既知の脅威に対して有効な仕組みです。

しかし、未知のマルウェア、ファイルレス攻撃、正規ツールの悪用、ランサムウェア、アカウント侵害に対しては、それだけでは不十分です。

現在のセキュリティでは、「何を防げて、何を防げないのか」を理解することが重要です。

その上で、端末防御、アカウント防御、クラウド権限、ログ監視、バックアップ、運用設計を組み合わせる。

これが、実務で機能するセキュリティ対策につながります。