ゼロデイ検出とは何ですか?
ゼロデイ検知とは、ウイルス対策データベースに該当するシグネチャが登録される前に、悪意のあるファイルを特定するプロセスを指します。従来のウイルス対策ツールは本質的に事後対応型であり、ベンダーがすでに登録済みの脅威しかブロックできません。脅威が初めて出現してから、ウイルス対策ベンダーが検知パターンを生成するまでの間の空白期間が、攻撃者が活動する隙となります。
要約 / 主なポイント
- OPSWAT100万件以上のファイル検出データをOPSWAT ゼロデイ攻撃検出分析 OPSWAT、従来のアンチウイルス(AV)エンジンはゼロデイ攻撃の検出において平均3.0日遅れをとっており、最悪の場合、26.7日もの間、攻撃にさらされた状態が続いた。
- ゼロデイ脅威のうち、初出から24時間以内に従来のアンチウイルスエンジンによって検出されたのはわずか3.7%であった
- スクリプトファイルとドキュメントファイルは、常に検出までの時間が最も長く、Officeドキュメントの場合、検出から平均6.9日遅れて検出される
- データセットに含まれるゼロデイ攻撃の約20.8%は、最終的に従来のアンチウイルスエンジンによって検出された。しかし、そのかなりの割合は対応に時間がかかりすぎており、実質的に保護機能として機能していなかった。
- MetaDefender 、パターンマッチングに依存しない4層の検出パイプラインを用いて、ファイルごとに信頼度スコア付きの判定結果を1つだけ提供します
従来のアンチウイルスにはタイミングの問題がある
従来のウイルス対策ツールは、既知のマルウェアのシグネチャが登録されたデータベースとファイルを照合することで脅威を検出します。既存のパターンに一致しないファイルは、ブロックされずに通過してしまう可能性があります。こうした事前知識への構造的な依存により、脅威が出現してからウイルス対策ソフトがそれを阻止するまでの間に、測定可能かつ悪用され得る遅延が生じます。
100万件以上のファイル検出データを対象とした2026年のゼロデイ検出分析によると、従来のアンチウイルス(AV)エンジンは、ゼロデイの検出において平均3.0日、中央値で2.0日の遅れをとっていました。 最悪の場合、脆弱性が露呈したままの状態が26.7日間も続きました。データセットに含まれるゼロデイ脅威のうち、従来のアンチウイルスエンジンによって24時間以内に検出されたのはわずか3.7%でした。約3%については、何らかの検出反応が得られるまでに1週間以上を要しました。
方法論に関する注記:3.0日間の平均値からは、アンチウイルス製品の反応時間が著しく長いファイルや、パターン一致の履歴が全くないファイルは除外されています。全データセットでは、より幅広い結果が反映されています。また、基礎となるデータには、低いもののゼロではない誤検知率も存在します。
データは、このような瞬間から始まります。スキャン時点では、使用した20種類のアンチウイルスエンジンはいずれもこのファイルを検知せず、レピュテーションサービスにも記録されていませんでした。しかし、その脅威はすでに確認されていたのです。
ゼロデイ攻撃のほとんどは、既知のパターンとは一致しない
AVエンジンが脅威に対する一致するシグネチャをまったく生成しない場合、このタイミングの問題はさらに深刻化する。我々の分析によると、ゼロデイファイルの約20.8%は、最終的に従来のAVエンジンによって検出された。約17.9%にはパターン一致の履歴が一切なく、分析対象となったどのAVエンジンのカタログにも完全に含まれていなかった。 推定54%のファイルについては、AVの反応時間が著しく遅延しており、実質的に保護機能として機能していないと言えます。なお、この数値は他の数値と同様、誤検知率は低いもののゼロではないため、あくまで傾向を示すものとして扱う必要があります。
アンチウイルスエンジンがようやく対応しても、その対応範囲は限定的だ。後日再スキャンしたところ、20種類のアンチウイルスエンジンのうち、同じファイルに対して一致を検出したのはわずか3つだった。大半は依然として何も検出できなかった。
パターンベースの検知では、保護機能を発揮させる前に、ベンダーが脅威を監視、分析、分類する必要があります。しかし、これまでにないマルウェアや意図的に難読化されたマルウェアに対しては、その一連のプロセスが完了しないか、あるいは完了しても手遅れになる可能性があります。
従来のAV検出が最も遅れをとっている点
ウイルス対策ソフトの検知が遅れた場合、すべてのファイル形式が同程度のリスクを負うわけではありません。当社の分析によると、スクリプト形式やドキュメント形式のファイルは一貫して最も長い感染リスク期間を示しており、これらはほぼすべての企業のワークフローに存在するファイル形式です。
File Type | 従来のアンチウイルスソフトによる脅威の検出までの平均日数 |
オフィス文書 | 約6.9日 |
PowerShell | 約6.3日 |
VBSスクリプト | 約4.9日 |
HTA | 約3.5日 |
PE(実行ファイル) | 約3.1日 |
オフィス文書やスクリプト形式がリストの上位を占めるのは、まさにその複雑さゆえに署名の生成が困難になるためです。マクロ、埋め込みオブジェクト、多段階の実行ロジックは、攻撃者に攻撃の機会を広げると同時に、信頼性の高いパターンを作成するまでに、アンチウイルスベンダーがカバーすべき範囲を広げてしまいます。
PE(Portable Executable)ファイルは遅延ランキングで最下位に位置していますが、それでも平均して3日以上も検出されずに放置されていました。重要インフラ環境、パッチ適用プロセス、または規制対象のファイルフローに流入する実行ファイルにとって、3日間という期間は許容できる期間ではありません。
従来の検知手法が遅れをとっている理由
パターンベースの検出は、ファイルを既知のマルウェアシグネチャのライブラリと照合することで機能します。一致が見つかった場合、そのファイルはブロックされます。一致がない場合、ファイルは通過します。このモデルは、事前の情報に完全に依存しています。つまり、保護を行うには、まず脅威が検知され、分析され、分類されていなければなりません。未知のファイルに対しては、その一連のプロセスがまだ実行されていないのです。
この構造的な限界は以前から存在していました。変化したのは、攻撃者が新たな亜種を生成できる速度です。現在、攻撃者はAIや機械学習を活用して、難読化され検知を回避するマルウェアを大量に生成しており、既存のシグネチャと一致しないよう特別に設計されたファイルを作成しています。生成される各亜種は、その攻撃ロジック自体が既知のものであっても、アンチウイルス(AV)データベースにとっては技術的に新しいものとなります。
回避手法は、この問題をさらに深刻化させます。マルウェアの作成者は、侵入時に既知の脅威として検出されないよう、次のような手法を用いてファイルを常套的に作成しています:
- ファイルの内容を隠すための圧縮と暗号化
- 構造的にユニークな変異体を生成するための多型
- 侵入後に悪意のある動作を実行するよう遅延させる多段階配信
- 実際のエンドポイントに到達するまでアクティビティを抑制する実行条件チェック
シグネチャベースのツールには、こうした攻撃の手口を予測する仕組みがありません。その結果、攻撃者の手法が高度化するにつれて、検知モデルの有効性は低下していきます。攻撃手法が初めて出現してから初めて検知されるまでのタイムラグは、自然に縮まることはありません。むしろ、その差は広がっていくのです。
パターン一致が確立される前に脅威をどのように検知するか
MetaDefender 、シグネチャ照合だけでは検出できない悪意のあるファイルを特定するために設計された、統合型ゼロデイ検知ソリューションです。MetaDefender 、ファイルが既知のパターンに一致するかどうかを問うのではなく、通過するすべてのファイルに対して4つの段階的に詳細な質問を行い、その回答を統合して、信頼度スコア付きの判定結果を導き出します。
レイヤー1:脅威レピュテーション(有効性48.7%)
パイプラインに流入するすべてのファイルは、OPSWAT 脅威インテリジェンス・データベースと照合されます。既知の悪意のあるファイルは即座にブロックされ、信頼できるファイルは優先的に処理されます。当社の分析によると、この層だけで脅威の48.7%が解決され、パイプラインの処理能力を温存するとともに、詳細な検査を必要としないファイルに対する不要な処理を回避することができました。
レイヤー2:命令レベルエミュレーションによるAdaptive (累積有効性83.4%)
レピュテーション層を通過したファイルは、MetaDefender のアダプティブサンドボックスに送られます。このサンドボックスは仮想マシンを使用するのではなく、120種類以上のファイル形式に対して、CPUおよびOSの命令レベルでエミュレーションを行います。このアプローチにより、ファイルは仮想化環境を検知したかどうかに関わらず、コードパス全体を実行せざるを得なくなります。通常であれば休眠状態を維持するVM対応マルウェアも、命令レベルのエミュレーション下ではその動作を抑制することができません。 このレイヤーから新たに発見されたIOC(侵害の兆候)はレイヤー1にフィードバックされ、分析サイクルごとにレピュテーションデータベースが強化されます。
シグネチャエンジンが難読化されたスクリプトを検知しても、一致する項目は見つかりません。エミュレーション機能により、ファイルはそれにもかかわらず実行されます。隠されたペイロードが復号され、メモリに読み込まれるやいなや、その意図が明らかになります。
第3層:機械学習による脅威スコアリング(累積有効性99.3%)
複数の機械学習エンジンが、サンドボックス層から抽出された行動シグナル、異常パターン、およびIOCを分析します。各ファイルには、構造化された信頼度加重リスクスコアが割り当てられます。生のテレメトリデータは明確な判定シグナルに変換されるため、誤検知が削減され、ツールごとの出力結果がばらばらになることで通常生じるアナリストのレビュー負担が最小限に抑えられます。
filescan.io/scan で、当社の検出エンジンを利用してファイルを無料でスキャンしてください。
第4層:AIを活用した類似検索(累積有効性99.9%)
最終レイヤーでは、各ファイルの動作パターンが、1億件以上の分析済みマルウェアサンプルからなるデータベースと照合されます。一致する項目がある場合、ファイルは既知の脅威ファミリー、キャンペーン、および攻撃ツールキットに自動的に分類されます。過去の一致例がないファイルは新たなインテリジェンスとして変換され、グローバルおよびローカルの検知モデルの両方を強化します。このレイヤーにより、累積検知精度は99.9%に達します。
MetaDefender 対 従来のSandbox アンチウイルス(AV)アプローチ
従来のAVやVMベースのサンドボックスは、それぞれゼロデイ攻撃の検知課題の一部に対処していますが、レピュテーション、動作分析、スコアリング、類似性検索のすべてを統合した判定結果を提供できるものはありません。以下の表では、境界防御において最も重要な機能について、各アプローチの性能を比較しています。
能力 | 従来のAVエンジン | VMベースのSandbox | MetaDefender |
検出手法 | パターンベースの | 行動的(孤立した) | 4層統合パイプライン |
回避耐性 | 低い | 中(VMで検出可能) | 高(命令レベルエミュレーション) |
評決までの時間 | 0日から26日以上遅延 | 可変 | ほぼリアルタイム |
SIEMとSOARの連携 | 数量限定 | 手動相関 | 構造化された、ネイティブ |
資源効率 | 低い | 高負荷な計算 | 100倍 vs VMベースのサンドボックス |
判決の種類 | 一致/不一致 | ツールごとのレポート | 信頼度スコアに基づく単一の評決 |
VMベースのサンドボックスは、実行時のファイルの挙動を監視することで、シグネチャ検出の精度を向上させます。しかし、マルウェアの作成者がこの仕組みを熟知している点が課題です。環境チェック、タイミングの遅延、VMのフィンガープリント分析などを利用することで、高度な脅威はサンドボックス環境であることを検知し、実際のエンドポイントに到達するまで悪意のある動作を控えることができます。命令レベルのエミュレーションを導入すれば、こうした回避の余地を完全に排除できます。
リソースのギャップは、境界環境においても顕著です。VMベースのサンドボックス化では、ファイル1つあたりに多大な処理能力を必要とします。MetaDefender 、命令レベルのエミュレーションと、より詳細な分析が必要なファイルのみを上位処理へ移行させる階層型パイプラインを組み合わせることで、VMベースのアプローチに比べて100倍のリソース効率を実現します。
従来のサンドボックスと適応型サンドボックスの主な違いについては、こちらをご覧ください。
Deep CDR™ テクノロジーの代わりに、あるいはそれと併せてゼロデイ検知を活用すべき場合
Deep CDR™ テクノロジーと MetaDefender 、それぞれ異なる課題を解決します。特に規制の厳しい環境や重要インフラ環境において、ファイル検査ワークフローを設計するセキュリティアーキテクトにとって、この違いを理解することは重要です。
Deep CDR™テクノロジーは、200種類以上のファイル形式からマクロ、スクリプト、埋め込みオブジェクトなどの潜在的に悪意のあるコンテンツを削除し、安全で完全に使用可能なバージョンを再生成することで、ファイルベースの脅威を未然に排除します。このテクノロジーは検知に依存しません。脅威が最終的に確認されたかどうかにかかわらず、ファイルは安全化されます。 ファイルを安全に再構築できるドキュメントベースのワークフローにおいて、Deep CDR™テクノロジーは、脅威が実行される機会を与える前にこれを排除します。
仕組みについて詳しく知りたい方は、こちらの過去の記事をご覧ください。
MetaDefender 、ファイルを変更できない場合に最適なツールです。実行ファイル、パッチファイル、ファームウェア、インストーラー、スクリプトなどは、正常に機能するためにバイト単位で完全な状態を維持する必要があります。これらのファイルを修正することは不可能です。また、医療、法務、金融分野の規制対象文書についても、法的またはコンプライアンス上の要件により、変更が禁止されている場合があります。こうした種類のファイルについては、動的解析が唯一の実用的な検査手段となります。
これら2つの技術は、どちらか一方を選ばなければならないというものではありません。実際には、ほとんどの企業や重要インフラ環境では、同じワークフロー内で変更可能なファイル形式と変更不可能なファイル形式の両方を扱っています。Deep CDR™テクノロジーは、安全に復元可能な文書やオフィス形式のファイルを処理します。一方、MetaDefender 、変更できないファイルを処理します。これらを組み合わせることで、環境内に流入するあらゆる種類のファイルを網羅的にカバーします。
ゼロデイ攻撃はシグネチャが作成されるのを待ってはくれません。防御策もまた、待ってはいけません。
よくある質問
ゼロデイ攻撃の検知と従来のウイルス対策ソフトの違いは何ですか?
従来のアンチウイルスソフトは、既知のマルウェアシグネチャのライブラリとファイルを照合することで脅威を検出します。一方、ゼロデイ検出は、ファイルの動作、レピュテーション、構造的特徴を分析することで、既存のシグネチャが存在しない脅威を特定します。MetaDefender 4つの分析レイヤーを組み合わせることで、従来のアンチウイルスツールでは検出されずに通過してしまうようなファイルに対しても、99.9%の精度で判定を下します。
従来のアンチウイルスエンジンがゼロデイ脅威を検知するまで、どれくらいの時間がかかるのでしょうか?
OPSWAT100万件以上のファイル検出データをOPSWAT 2026年のゼロデイ検出分析OPSWAT、従来のアンチウイルス(AV)エンジンは、ゼロデイ脅威の検出において平均3.0日、中央値で2.0日の遅れをとっていた。 最悪の場合、脆弱性が露呈した状態が26.7日間も続いた。ゼロデイ脅威のうち、24時間以内にAVによる検知対応が行われたのはわずか3.7%であった。この3.0日という平均値には、対応に非常に長い時間を要したファイルや、パターン一致の履歴がないファイルは含まれていないため、実際の脆弱性の露呈期間は、この数値が示す範囲よりもさらに広い。
ウイルス対策ソフトが検出するのが最も難しいファイル形式はどれですか?
スクリプト形式およびドキュメント形式のファイルは、一貫してウイルス対策ソフトによる検出の遅れが最も長くなっています。OPSWAT分析によると、Officeドキュメントの検出遅れは平均6.9日、PowerShellファイルは平均6.3日、VBSスクリプトは平均4.9日でした。これらのファイル形式はほぼすべての企業のワークフローで使用されているため、この検出までの時間差は運用上、重大な意味を持ちます。
命令レベルエミュレーションは、どのようにしてVM対応マルウェアを無力化するのでしょうか?
VM対応マルウェアは、環境チェック、実行遅延、仮想化フィンガープリントなどの手法を用いて、自身がサンドボックス内で実行されていることを検知し、悪意のある動作を抑制します。命令レベルエミュレーションは、仮想マシン全体を実行するのではなく、CPUおよびOSレベルでエミュレーションを行うことで、これらの手法を回避します。これにより、マルウェアはエミュレートされた環境と実際のエンドポイントを確実に区別することができなくなり、実行の抑制が著しく困難になるほか、本来なら隠されていたはずの動作が露呈することになります。
MetaDefender サンドボックスの代わりになりますか?
MetaDefender 、4つの検知レイヤーの1つとして適応型サンドボックス機能を備えていますが、単体のサンドボックス製品ではありません。本製品は、脅威レピュテーション、命令レベルエミュレーション、機械学習(ML)による脅威スコアリング、AIを活用した類似性検索を単一のパイプラインに統合し、ファイルごとに信頼度スコア付きの判定結果を1つ提供します。単体のVMベースのサンドボックスMetaDefender 置き換えることで、組織は回避手法への耐性、より広範な検知範囲、およびリソース負荷の大幅な低減を実現できます。
- MetaDefender ,
- マルウェア解析 ,
- 脅威分析
