なぜアンチウイルスは現代のマルウェアに負けるのか

従来型アンチウイルスの仕組み

アンチウイルスは数十年にわたり、個人および企業の端末における一次防衛線でした。 その強みは、既知の悪性ファイルを実行される前に見分ける点にありました。 どこにほころびが出ているのかを正確につかむために、主要な三つの検知手法を振り返っておきましょう。

signature matching は、ファイルの hash をベンダーが保守するデータベースと突き合わせます。hash が一致すればファイルはブロックされます。既知の脅威には速く正確に効きますが、 malware が少しでも変化すれば途端に無力になります。

ヒューリスティック分析は、ファイルの構造や挙動を見ます。PowerShell を呼び出そうとする、あるいはレジストリを書き換えようとするドキュメントにはフラグが立ちます。 いわば群衆の中から不審な振る舞いを探すような手法で、一定量の誤検知が常に発生します。

振る舞いベースの sandboxingは、怪しいファイルをローカルの sandbox の中で実行させ、悪性の動作を観察します。 新種の脅威には有効ですが CPU を食い、sandbox の環境を見分ける malware には日常的に回避されます。

これらの手法が強力に機能したのは、malware の作者が同じペイロードを使い回していた時代までです。現代の攻撃者にとってアンチウイルスは、 本物の壁ではなく「回避すべき最低限のチェックポイント」にすぎません。 防御側が signature を更新するより速く、攻撃側は反復を重ねています。

2025年にアンチウイルスが敗れる理由

現代の malware は、ファイルや既知の挙動に頼った防御をすり抜けるよう設計されています。攻撃者はブラウザを配送手段として武器化し、 fileless ペイロードに依存し、ベンダーがまだ把握していない zero-day を突いてきます。

zero-day と N-day の窓。 Mandiant の報告によれば、脆弱性の公開から広範な悪用までの平均期間は 2024 年に 6 日まで縮まりました。多くの組織ではパッチの展開に数週間かかります。malware の作者はまさにその隙間で生きているのです。2025 年 5 月の Chrome の zero-day (CVE-2025-1023) は、発見から 48 時間以内にフィッシングキャンペーンで武器化されました。アンチウイルスがその悪性ページにフラグを立てられなかったのは、 対応する signature がまだ存在しなかったからにすぎません。

polymorphic malware。 malware キットは今や、ダウンロードのたびにペイロードの hash を書き換える polymorphic エンジンを備えて出荷されています。一度のフィッシングキャンペーンで、 1 日に 10,000 個ものユニークな実行ファイルが生成されることもあります。一貫した指紋が残らない以上、 signature-based の検知は破綻します。IBM X-Force は、polymorphic な ransomware ファミリーが 2023 年から 2025 年にかけて 300% 増えたと報告しています。

fileless と living-off-the-land の攻撃。 悪性の EXE を置いていく代わりに、攻撃者はシステムにすでにある正規のツール（PowerShell、WMI、Office のマクロ）を流用します。ペイロードはメモリ上で動き、信頼されたプロセスを足場にして広がっていきます。FIN7 は 2024 年に fileless へ舵を切り、成功率を伸ばしました。エンドポイントセキュリティが正規の管理ツールまで念入りに調べることはほとんどないからです。

ここに人的要因（従業員は急ぎの請求書をクリックし、アナリストは怪しいリンクを調査し、 開発者はサードパーティのツールを気軽に取り込みます）が加われば、 悪条件がすべてそろってしまいます。アンチウイルスは昨日の脅威ならまだ捕まえられるかもしれません。 攻撃者はすでに明日のものを作り始めています。

現代の脅威ランドスケープ

サイバー犯罪者にとってブラウザは、あらゆる攻撃の入口です。人間と web が交わる層であり、ソーシャルエンジニアリング、drive-by download、見えないプロセスを起動する悪性スクリプトの温床となっています。

アンチウイルスはこれからもスタックの一部であり続けますが、その限界はすでにはっきり見えています。 セキュリティ責任者は、最も狙われるアプリケーションであるブラウザを、現場の業務を止めずに 危険域から切り離す方法を探しています。そこで登場するのが isolation です。

isolation が穴を埋める理由

アンチウイルスは悪性コードを見分けて止めようとします。これに対しブラウザ isolation は、「コードは悪性かもしれない」という前提から出発し、端末から切り離して閉じ込めることで土俵そのものを変えます。 検知に依存するのではなく、アーキテクチャに依存する考え方です。

そのアーキテクチャは四つの要素から成り立っています。リモート実行は、あらゆるサイト、スクリプト、ダウンロードを隔離されたクラウドコンテナの中で走らせ、 端末側には安全なレンダリングストリームだけを届けます。エフェメラルなセッションは使い捨てで、閉じたあとに cookie や履歴、foothold が一切残りません。

zero-trust browsingはどのタブも敵対的でありうると考え、被害の広がりを封じ込めます。これにより zero-day がローカルマシンまで届かなくなります。安全なファイル取り扱いは、疑わしいダウンロードをまず隔離ブラウザ内で開く仕組みです。ユーザーがうっかりクリックしても、 ransomware はエンドポイントに到達しません。

脅威インテリジェンスの更新に頼る代わりに、isolation は従業員の周囲に堀を巡らせます。アンチウイルスにも引き続き役割はあります（特に USB 経由のリスクや legacy アプリ）が、もはや単一障害点ではありません。アンチウイルスをシートベルト、isolation をエアバッグに例えると分かりやすいでしょう。両方そろってこそ最大の効果を発揮します。

ケーススタディ：Aegis Logistics の再構築

悪意ある請求書で身動きが取れなくなった Aegis Logistics のことを覚えていますか。同社の事後レビューは、 失敗からどう学ぶかの良い手本になっています。

根本原因は耳慣れたものでした。フィッシングメールが secure email gateway をすり抜け、添付ファイルは polymorphic なローダーを送り込み、ダウンロード時に hash を書き換えてエンドポイントのアンチウイルスを回避したのです。これに周辺要因が重なって被害を広げました。 アンチウイルスの signature は段階的ロールアウトのせいで 24 時間遅れており、経理部門は権限を昇格させたワークステーションとマッピング済みドライブを共有していました。 怪しいリンクを検査するための安全なワークフローもなく、アナリストはローカルで開いていました。

事後対応は見せかけのものではなく、構造に踏み込むものでした。経理・調達・セキュリティはフィッシング調査を Browser.lol に移しました。アンチウイルスは isolation の強制ポリシーとともに EDR と並行して動き続けています。高リスクのワークフローは、 ネットワークに触れる前に必ず使い捨ての仮想セッションを通すよう義務付けられました。フィッシング試行の 平均検知時間は 9 時間から 45 分に短縮され、その後 11 か月にわたって、ブラウザ起点のコンテインメント事案は一件も発生していません。アンチウイルスは引き続き運用されていますが、 もう誰も単独で頼ろうとはしません。

30 日アクションプラン

このロードマップに沿って関係者の足並みをそろえ、isolation を立ち上げ、早期に成果を可視化していきましょう。

今日から多層防御を組み立て始める

現代の malware を相手にするとき、従来型の防御はフェアな勝負ができません。攻撃者はより速く反復し、ブラウザを武器化し、 通常トラフィックに溶け込んでいきます。アンチウイルスはいまも重要ですが、援軍が必要です。 特に、人がリンクをクリックし、添付を開く最前線では欠かせません。

ブラウザ isolation は新しい考え方を持ち込みます。すなわち、侵害が起きる前提に立ち、それを封じ込めるという発想です。2025 年に伸びている組織は、人が実際にどう働いているかに合わせてセキュリティを設計しています。 好奇心が強く、協働的で、ときには不注意でもある働き方に対して、 どのファイルが悪性かを当てなくてもよいセーフティネットを用意してあげてください。