無償アンチウイルスソフトは、誤った安全の感覚を与えるか

　2009年7月、Symantecの製品マネージャーDavid Hall氏は無償のセキュリティソフトウェアは有償バージョンの代わりにはならないと退けるとともに、Microsoftの無償の「Microsoft Security Essentials」について、「Microsoftが小売店から引き上げた製品OneCareの必要最小限の機能を残したものだ」と表現した。

　競合企業からのこのような発言は、対抗馬となるソリューションに対する直接的な攻撃として行われることが多いことはもちろんだが、これらの発言が無償のアンチウイルスソフトウェアが安全性に対するあやまった感覚を与えるかどうかという議論に火を注いだことも事実だ。

　答えはどちらなのだろうか。データとほんの少しの常識を使えば明らかだ。

アンチウイルス自体はソリューションではなく、（縦深防御）ソリューションの一部分

　2009年5月時点での新しいマルウェアに対する最近のアンチウイルス比較レビューを見ると、MicrosoftのOneCareはAdvanced+（検知率60％）の評価を得てリストの2位となっており、これに対しSymantecの検知率は35％に過ぎない。皮肉なことに、AV-Comparativesの閲覧者へのアンケートによれば、彼らの多くが無償のアンチウィルスソフトウェアを使っている。

　さらに、2009年4月に発表されたVirus Bulletinの比較レビュー（登録者のみ閲覧可）でも同様の結果が出ており、ここでもOneCareの性能がSymantecを上回っている。

　これは、無償のアンチウィルスソフトが実際に商用アプリケーションを上回っているということだろうか。今日の脅威が動的な性質を持っていることを考えると、この瞬間に正しいことが、将来においてはまったく適切ではなくなることも考えられる。例えば、アンチウィルスソフトのランキングを行っている一部のリアルタイム統計では、まったく異なる比較結果を示される可能性がある（ここでも無償のアンチウィルスソフトがかなりよい成績を残している）。しかし、これらはアンチウィルスが誤った安全の感覚を与えているかどうかという問い対しては、主な指標とすべきではない。

　商用のものも無償のものも、スタンドアロンのアンチウィルスソフトは同様の弱点を抱えている。これらは平均的なインターネットユーザーを重視しすぎているということだ。このことが、一方ではアンチウィルスソフトに何ができ、何を守れないか（参照：Secunia: popular security suites failing to block exploits）ということについてのセキュリティ意識の欠如を生んでいる。

　サイバー犯罪者は、シグネチャを使ったスキャンエンジンを何年もだまし続けており、彼らの品質保証のやり方は、VirusTotalのような普及しているコミュニティサービスのアンダーグラウンド版を利用することによって、あるいは攻撃活動を開始する前に複数のオフラインウィルススキャンエンジンを使って検証することによって、よりプロフェッショナルで自動化されたものになっている。また、彼らのマルウェアのサンプルが普及している個人用ファイアウォールをバイパスできるかを検証するための同様のサービスも、オンデマンドで提供されていることがわかっている。

　従って、シグナチャを使ったスキャン方式の方面での戦いは、必ずしももっとも賢い選択とは言えない。これが、スタンドアロンのアンチウィルスが、無償、商用を問わず、縦深防御ソリューションの一部にならざるを得ない理由だ。

　最新バージョンのソフトウェアをインストールした完全にパッチを提供したオペレーティングシステム（参照：Secunia: Average insecure program per PC rate remains high）と、最小特権アカウント（参照：Report: 92% of critical Microsoft vulnerabilities mitigated by Least Privilege accounts）、そして慎重に設定された個人用ファイアウォール（参照：MatousecのレポートProactive Security Challenge）を組み合わせて使えば、クライアントサイドの攻撃コードを使ったマルウェアの大部分は、アンチウィルススキャンエンジンに届くことさえないだろう。

　もちろんこれは、「人間の愚かさに対するパッチは存在しない」という事実を考えに入れなければの話だ。偽のコーデックや動画や、検索結果の悪用をを通じたソーシャルエンジニアリングは、ユーザーをだまして、そこにあるセキュリティソリューションをユーザー自ら無効化させ続けている。