未知への脅威に対する防御

パターンファイルによるウイルス検知は、過去に検出されたウイルスが基本となる。しかし、現在では次々と新型ウイルスが作成され、まさにいたちごっこの状況である。パターンファイルにないものは、防ぐことができないのか?この問題を解決するために開発された手法が、ふるまい検知やヒューリスティック機能といわれるものだ。それらも重要な機能なので、確認しておきたい。

ESET

 かつて、ある価格比較サイトが不正アクセスで改ざんされ、サイトを閲覧したユーザーが感染してしまうという事件があったが、このウイルスをヒューリスティックで防御したことがある。以後、未知のウイルスに対する防御については、定評が高い。

カスペルスキー

 ふるまい検知などでもクラウドにデータベースを配置している。偽セキュリティ対策ソフトなど、短時間に亜種が発生するような未知の脅威にも対抗できる。

シマンテック

 ノートン独自の評価技術とふるまい予測を併用する。これらのウイルス検知技術により、未知の脅威に対しても防御が可能となる。

ビットディフェンダー

 仮想環境でのふるまい判定と通常環境でのふるまい監視を行う。ファイルアクセス時は無害でも、タイミングを見計らって活動を開始するウイルスなどに有効である。

トレンドマイクロ

 不正な挙動と判定した場合は、システムが変更される前に変更をブロックする機能がある。

マカフィー

 脆弱性スキャナーを使うことで、未知のサイバー攻撃から保護を行う。

今回取り上げた6製品は、いずれも何らかの未知への脅威対策機能を持っている。なかには、未知の脅威に対する評価を行うものもある。これまでに検知されていない検体を作成し、テストを行っている可能性がある。しかし、検体を作成した時点で未知ではなくなるのではないだろうか?実際に、そのような場面に遭遇して初めてその能力が試されるといってもいいだろう。したがって、現時点で、どれがよいとも悪いともいいがたいが比較を行うにあたっては、これまでの実績に注目した。過去において、未知の脅威を防いだ事例としては、ESET、カスペルスキーなどが有名である。

第三者機関AV-Comparativeにおけるヒューリスティック調査(2012年7月)

未知への脅威に対する防御は、セキュリティ対策ソフトにとって非常に重要な機能である。しかし、評価方法を含め、客観的な指標が乏しいのも事実だ。参考になるのが第三者機関の評価であろう。今回の製品では、既知のウイルスを主としたファイル検知、未知の脅威に対する防御のいずれでもカスペルスキーの評価が高い。




脆弱性対策

最近のウイルスでは、OSやアプリの脆弱性を狙うものが多い。もっとも基本となる対策は、速やかな脆弱性の解消である。しかし、人の作りしソフトウェアから脆弱性が消えることはない。つまり、常にこの危険にさらされているというのが正しいところだ。脆弱性の届け出件数は累計7,950件にもおよぶと発表されている(独立行政法人 情報処理推進機構)。

図4 カスペルスキーの脆弱性スキャンの実行結果例

ここでは、セキュリティ対策ソフトのエクスプロイト(システムに内在する脆弱性を悪用した攻撃)の防御力を調査したMRG Effitas Project 30の結果を引用しよう。MRF Effitasは、上述のAV-Comparativesなどと同じく独立第三者機関である。2012年6月に行われた調査では、意図的に作成されたWord文書やPDF文書を開いたり、WebページやFlashアニメーションを閲覧するといった作業が行われた。これらのファイルは、ソフトウェアに内在する脆弱性を悪用してシステムを感染させるエクスプロイトを含んでいる。現在活動中のエクスプロイトに加え、Metasploitプロジェクト提供のテスト用特製サンプルなど、合計13種類のサンプルが使われた。その結果は、図のようなものだ。

図5 MRG Effitas Project 30のテスト結果

カスペルスキーがすべてのエクスプロイトを防御するというもっとも優秀な結果となっている。検知力で好成績をあげたビットディフェンダーであるが、脆弱性の防御ではふるわなかった。それ以外では、ほぼ同じような結果となっている。




Webブラウザへの対応度

検索は、インターネット利用でもっとも使われるものといってもよい。何か知りたいことがあれば、まずは検索である。しかし、その検索結果が安全なものとは限らない。攻撃者たちも、きちんとSEO対策をしているのである。実際に、有名な大手検索サイトの結果の上位からリンクされるWebサイトが危険なWebサイトであることも、少なくない。かつてはいかにも危険といった体裁をしていたが、今ではごく普通のブログやコミュニティを装ったものも多い。そのようなサイトに誘導ると、ドライブバイダウンロード攻撃を受け、ウイルスなどに感染してしまうのである。

この数年、各製品で「評価」や「レピュテーション」という名前で搭載されている機能がある。事前にさまざまな方法を使い、そのWebサイトが安全かどうかを評価する仕組みである。ウイルスを検知・駆除する前に、ウイルスへの感染を防ぐ機能といった方がわかりやすいかもしれない。ウイルス感染にはさまざまな経路があるが、現在でも、Webサイト経由の感染は非常に多い。危険なWebサイトに近づかないためには、重要な機能といえるだろう。ただし、この安全危険の評価方法は、ベンダーによってかなり異なり、それぞれ独自に評価基準を設けている。その差については考慮していない。

図6 マカフィーのサイトアドバイザー

また、Webブラウザといえば、かつてはInternet Explorerがほとんどであった。しかし最近では、Firefox、ChromeといったWebブラウザの普及も進んでいる。これらへの対応を大きな評価基準とした。つまり、より多くのWebブラウザに対応していれば、高評価となる。今回動作の確認をしたのは、Internet Explorer 9、Firefox 17、Chrome 23である。

今回の評価を行った直前にFirefox 17がリリースとなったので、やや厳しい環境であったかもしれない。マカフィーはすべてのブラウザで機能した。それ以外の多くが、Firefox 17で動作しなかった。FirefoxやChromeは6週間おきにバージョンアップが行われる。当然のごとく、その際にはセキュリティアップデートなどが行われる。セキュリティ対策として「脆弱性の解消は速やかに」や「アプリケーションは最新版を使う」があるが、もちろんFirefoxやChromeも使う以上は最新版を使うべきである。今後のアップデートで対応される可能性もあるが、パターンファイル同様に速やかな対応を求めたい(さらにいえば、ウイルスと違い、ブラウザのアップデートの予定はわかっているのだ)。何をおいてもいち早く対応した点を評価したい。