ワクチンの実力はテレビ宣伝力では測れない
はじめに
最近TVでよく見かけるウイルス対策ソフトのコマーシャル。検知率の高さをアピールしていた従来とは異なり、現在では、速さや軽さ、そしてセキュリティ製品としての総合力をウリにする傾向が強い。
ところが、筆者がセキュリティ・セミナーで講演する際に受ける質問で一番多いのは「どこのベンダーが、一番ウイルスを検知できるのか」というもの。中立的な立場で講演している場合は、「商用製品であれば、実力はどれもそれほど変わりません」と答えているが、実は、これこそが筆者自身の疑問でもあった。
ウイルス対策が始まって20年。当初は、ベンダーによって、その検知率には大きな差があった。しかし、最近の第三者機関によるテストによると、メジャーなウイルス対策ソフトの評価は、一応に高い。だからと言って、本当に安心して良いのだろうか。
ウイルス対策ソフトを比較する場合、総合力(検知力、検索速度、軽さ、駆除力、未知ウイルスへの対応、コストなど)で比較するケースもあるが、何と言っても検知力が重要であり、検知力で比較すべきである。ウイルス対策ソフトが何も反応しなければ、ユーザーは、システムが破壊されていようが、情報が漏えいしようが、気が付かないからだ。
検知力を調べる場合、ウイルスのサンプル(検体)が必要である。しかし、10年も20年も前から蓄積してきた過去のウイルスや、重複する検体は、いくらスキャンしても意味がない。古いウイルスをいくら検知できても、意味がないのだ。
現実の社会では、今週になって世界のどこかで発生した新種ウイルスが、自分のPCや会社のネットワークに侵入した時に、使用中のウイルス対策ソフトで「今」検知できるかどうかが勝負の分かれ目になる。そこで、今回は、リアルタイムのウイルス検知にこだわって調査した。
ウイルス感染の現状
現状のウイルス対策ソフトの検知率を比較するためには、ウイルス感染の現状を調査する必要がある。独立行政法人情報処理推進機構(IPA)は、官報で告示された、日本で唯一のウイルスの届出機関である。
IPAの、2010年上半期のコンピュータ・ウイルス届出状況によると、継続してW32/Netsky*1の届出件数が多い状況である。
- [*1] W32/Netsky(ネットスカイ)
2004年ごろから世界的に猛威を振るっているワーム型のウイルス。自身の複製をメールの添付ファイルとして拡散する活動を行う。感染すると、自分自身をWindowsディレクトリにservices.exeとしてコピーする。さらに、レジストリを変更することによって、Windowsの起動時に必ずウイルスが実行されるように設定する。また、メールの添付ファイルを開いた時、偽のエラー・メッセージを表示し、感染したことに気付かせないようにしている。さらに、「share」、「sharing」という単語を含むフォルダ名を検索し、発見したフォルダに自分自身をコピーする。変種・亜種が非常に多く、長年にわたり報告数が一番多い。
(出典: IPA - http://www.ipa.go.jp/security/txt/2010/documents/half2010v.pdf) |
図1: コンピュータ・ウイルス届出状況の推移(クリックで拡大) |
一方、2010年1月~3月にかけては、USBメモリー経由で感染を拡大するW32/Autorun*2の届出件数が増加し、6月にはW32/Netskyに次いで2番目に届出件数の多いウイルスとなった。IPAでは、利便性が高いUSBメモリーにもウイルスが潜んでいる危険性があることを認識するよう、警告している。
- [*2] W32/Autorun(オートラン)
2008年ごろから増加している、USB感染型のウイルス。USB メモリーなどの外部記憶媒体に自分自身をコピーすることで感染を拡大する。感染すると、自分自身のコピーをシステム・フォルダに作成し、パソコンの起動時に実行されるようにシステムを改変する。また、キー・ロガーを仕掛け、キーボードからの入力内容を記録する。変種・亜種が非常に多く、2010年になってワーム機能を併せ持つ新種も登場し、爆発的に増加している。
W32/Autorunの感染が増加した要因には、セキュリティ・ガードの甘いUSBメモリーが感染媒体として悪用されていることに加え、対策ソフトの対応が遅れぎみであることも挙げられる。変種や亜種が大量に発生しており、セキュリティ対策ソフトを回避する機能を持つものが多い。