ワクチンの実力はテレビ宣伝力では測れない
リアルタイムのウイルス検知力
AV-TEST.orgで使用するテスト検体は、ゼロデイ攻撃(新種ウイルス)を含んでいるものの、多くは過去6カ月以内のウイルスを検体としているため、リアルタイムのウイルス検知力テストとは言い難い。そこで、筆者は、感染してくる新種ウイルスだけを検体に、新たな調査を実施した。ワーム感染型は対象にせず、近年増加傾向にあるUSB感染型ウイルスだけに絞った。
その手順は、以下の通りである。
- USB感染型ウイルスを収集するために、AntiMalware ARC(フリーソフト)を開発して配布する。
- AntiMalware ARCからアップロードされてくるファイルをVirus Total*6に転送して、各ウイルス対策製品の検知状況を記録する。
- ウイルス判定できなかったファイルや、少数のウイルス対策ソフトしかウイルス判定しなかったファイルについて、手動解析することで、ウイルスかどうか断定する。
- 集計する。
- [*6] Virus Total
ユーザーが指定するファイルやURLのコンテンツについて、各社のウイルス・エンジンによってウイルス、ワーム、トロイの木馬、そのほかのマルウェアが検出されるかどうかを分析するWebサービス。現在、約50社のウイルス対策ベンダーが協力している。
未知のUSB感染型ウイルスを検知する
株式会社アークンは、W32/Autorunによる被害を軽減するため、未知のW32/Autorunも検知できるツール「AntiMalware ARC」を開発した。法人・個人を問わず一般ユーザー向けに、広くフリーウエアとして、2010年8月23日から提供を始めた(ニュース・リリースのPDF)。
AntiMalware ARCは、ここからダウンロードできる。なお、法人ユーザーの場合は、総合リスク検知ツールとしてアークンが以前から販売しているAntiMalware v5シリーズ製品(またはサービス)と併用することで、より安全なクライアント運用が可能となる。
|
|
| 図2: AntiMalware ARCのアラート画面 |
AntiMalware ARCは、USBメモリー経由で繁殖するUSB感染型ウイルスの感染を未然に防ぐことを目的としたフリー・ソフトウエアである。クライアントPCを常時監視し、USBメモリー挿入時のAutoRun機能を一時的に無効化する。ユーザーは、AutRunによる特定プログラムの自動実行機能を停止した状態で、安全にUSBメモリーを使用することができる。
なお、AntiMalware ARCは、英語版OSにも対応している。ソフトウエアのインストール時、対象マシンのWindows言語設定を自動認識するよう設計されている。今後のバージョンアップにおいて、英語以外の外国語版OSにも順次対応する予定である。
次回は、AntiMalware ARCから未知のUSB感染型ウイルスがアークンにアップロードされる仕組み、また、アップロードされた各ファイルをVirus Totalに転送して各ウイルス対策製品の検知状況を記録する仕組み、そして、ログの集計結果を分析したウイルス対策ソフトの実力を解説する。
