マルウェア分析では、エンドポイント上やネットワーク内の疑わしいファイルを特定し、動的分析、静的分析、または包括的なリバース エンジニアリングを通じてそれらを分析します。

強力なマルウェア分析は、潜在的な脅威の分析、検出、緩和に有効です。組織では、マルウェア分析によって、高度な標的型ゼロデイ攻撃で使用される悪意のあるオブジェクトを特定できます。

マルウェア分析が重要であるのは、セキュリティ運用チームが悪意のあるオブジェクトを迅速に検知して、それらが組織内に潜伏し続けて破壊を引き起こすことを阻止するうえで役立つためです。

マルウェア分析には、主に以下の 3 つの種類があります。

1. 静的分析では、プログラムを実行せずにファイル内の悪意の存在を調査します。この方法では、最初の調査後に、IT プロフェッショナルによるマルウェアとシステムの相互作用についての手動での詳細な分析を求めるようにすることもできます。この静的なドキュメント分析の対象は、ファイル自体の異常のみです。ファイルの実行時の問題については調査されません。

静的分析では、以下のような質問に答えを出す必要があります。

• 埋め込みシェルコード、異常なマクロ、その他の実行可能プログラムなど、この種類のドキュメントに通常では存在しないような構造的な異常があるか
• ドキュメントに欠落している、または追加されたセグメントがあるか
• 組み込みファイルが存在するか
• 暗号化、フィンガープリンティング、その他の疑わしい機能があるか
• ドキュメントになにか変わったところがあるか

2.動的分析では、（サンドボックスと呼ばれる）閉じられたシステムを活用します。安全な環境で悪意のあるプログラムを起動して、単純にプログラムの挙動を観測します。検査環境でホスト全体（CPU、システム メモリ、すべてのデバイスを含む）をシミュレートし、悪意のあるオブジェクトによって引き起こされる可能性のあるすべてのアクションを継続的に観察します。分析者はこの自動化されたシステムによって、システムにマルウェアを感染させることなく、実際に動作しているマルウェアを観察することができます。動的分析では、マルウェアを実際に動作させることで悪意のあるあらゆる振る舞いを引き出します。それにより、自動化を支援して、迅速かつ正確に発見できるだけでなく、組織のインフラストラクチャに存在する不明瞭な部分を特定して分析するのにも役立ちます。

3. マルウェアのリバース エンジニアリングでは、ソフトウェア プログラムの逆アセンブル（場合によっては逆コンパイル）を行います。このプロセスにより、バイナリ命令をコード ニーモニック（またはより上位レベルの構造体）に変換することで、エンジニアはプログラムの実行内容や影響を及ぼすシステムを確認できるようになります。プログラムで意図されている悪意のある影響を軽減するソリューションをエンジニアが作成するには、こうした情報が欠かせません。リバース エンジニアリングを行うエンジニア（「リバーサー」）はさまざまなツールを使用して、プログラムがどのようにシステム内で伝搬され、なにをすることを目的に設計されているかを突き止めます。そうすることでリバーサーは、プログラムが悪用しようとしている脆弱性を把握できます。

VMware NSX Network Detection and Response（NDR）では、フルシステム エミュレーション サンドボックスを使用した高度なマルウェア分析機能により、回避的な振る舞いを含む、オペレーティング システム上でのマルウェアのあらゆる相互作用を確認できるほか、高度な AI 技術により、データセンターを通過するすべてのアーティファクトを詳細に把握することができます。

また VMware は、継続的な EDR（End-Point Detection Response）を使用した、脅威ハンティングとインシデント レスポンスのためのオンプレミスのソリューションも提供しています。さらに VMware の EDR ではオフライン環境も可視化でき、エンドポイントのアクティビティ データが継続的に記録、保存されるため、IT 担当者はリアルタイムで脅威を絞り込むことができます。