昨年5月に米Symantecの上級副社長Brian Dye氏が「アンチウイルスソフトは死んだ」と発言して、世間を驚かせた。 アンチウィルスソフトが検知できるのは脅威となる攻撃全体の45%しかないということだから、100%は無理としても十分に安全なレベルでウィルスから守ってくれると信じて購入していたユーザーはたまったものではない。

この発言が意味するところは、ウィルス検知が従来のような単純なパターンマッチングでは機能しなくなっているということであって、アンチウィルスソフトが全く役に立たないということではない。 ウィルスを含んだ実行プログラムの特定部分のビットパターンによってウィルスかどうかを判定する方法では、プログラムが少しでも変わってしまえば検知できなくなるので、ウィルスを含んだプログラムの亜種をいくらでも簡単に生成できるツールが安価で購入できる現在では、検知できず被害に遭うことになる。 パターンマッチングではない別の方法での検知が必要になっている。

11月に入ってから、アンチウィルスベンダー3社のセキュリティセミナーに参加してきた。標的型攻撃に如何に対処するかというテーマに各社取り組んでいたが、多層防御が必要であるということは3社とも共通であるが、どの層に力を入れるかは各社の個性が出ていた。

マカフィーはインテルに買収され、インテルセキュリティーとなったために、ファイアウォール、セキュリティゲートウェイ、IDS、UTM等のアプライアンス(機器)類に力を入れている。そりゃCPUたくさん売れた方がいいですから。

トレンドマイクロはサンドボックスが好きですね。 仮想環境で動かしてみておかしな動きをしないか確かめましょうという方針。 リアル環境ではないから安心といえば安心だが、ウィルスがすぐに動き出すと決まっているわけでもないし、ウィルスから仮想環境の判別がつくので、最近のウィルスは仮想環境で悪さしないようになってきている。

カスペルスキーは最もエンドポイント(端末側)重視で、振る舞い検知に力を入れている。怪しい振る舞いをするアプリの動作をリアルタイムで止めるという、使う側にとっては理想的な仕組みだが、どんなアプリの動作が怪しいのかを見極めるのが難しい。 あまり厳しくすると正常なアプリをウィルスと誤検知するし、あまり緩いとウィルスにやられてしまう。 経験値が重要なカギだが、カスペルスキーはパターンマッチングに加え、早くからこの方法に力を入れている。 振る舞い検知で捕獲した検体は本社へ送られ、解析して速やかにウィルスパターンファイルに登録されて配信される。 年金機構を襲ったEmdebiには最初にメールが開封された時点で対応が済んでいたということだ。

振る舞い検知の分野では、純国産のFFRIが頑張っているが、振る舞い検知に特化した製品で、従来型のパターンマッチング型の他社製品と併用が必須となり、コスト的に高いものとなる。 個人向けの製品はWindows標準のWindows Defenderとしか共存できない点が大きな弱点となっている。

ますます巧妙化するウィルスの手口に対応できない従来型パターンマッチングのみに依存したアンチウィルスは死を迎えますが、新たな手法で臨むアンチウィルスソフトはますますその重要性を増していると言えると思います。

ただ、昔と違って、アンチウィルスを入れて、セキュリティゲートウェイを入れたからもう安心ということはなく、常にセキュリティ情報に注意し、自社のセキュリティー対策が必要十分なものなのかを常にチェックすることが必要です。

 

 

VMware Workstation 12 Player