今回から数回に分けて、セキュリティレポート「モダンマルウェアレビュー」(The Modern Malware Review)のデータをもとに、Palo Alto Networksがマルウェアを発見した時点でトップ6のウイルス対策ソフトベンダーのうち1社も発見していなかった“未知のマルウェア”の正体に迫ります。
マルウェアを検知、防御するためにPalo Alto Networksが提供するサービス「WildFire」は、約3カ月間で6万8047種のマルウェアを検知しました。その内、2万6363種が未知のマルウェアでした。こちらの表はどのアプリケーションがマルウェアを運んだかを示しています。左はWildFireで検知したすべてのマルウェア、右は未知のマルウェアです。マルウェア全体でみると68%がウェブブラウジングから、25%がSMTPから運ばれています。未知のマルウェアについては、90%がウェブブラウジングから、SMTPからは2%のみ運ばれていました。ここから読み取れることは、SMTPに対してウイルス対策ソフトウェアベンダーの検知スピードは早く、メールベースのウイルス対策は効果を発揮しているということです。
一方、ウェブブラウジングは未知のマルウェアの侵入経路の90%を占めます。こちらはシグネチャベースのウイルス対策がウェブブラウジングに対して十分な効果を発揮しているとは言えない結果となっています。
未知のマルウェアでは対応が遅れる
上の図は、ウイルス対策ソフトのトップ6ベンダーが未知のマルウェアに対するシグネチャを配信するまでの平均日数を、アプリケーションのカテゴリで示したものです。計算上、日数の上限は31日としています。それ以上の日数でも(仮に本日時点でまだ見つけていなくても)、ここではでは31日としています。一番右のメールでは平均5.3日でほかと比べて短期間で見つけていることがわかります。データからもメールベースのウイルス対策ソフトが効果を発揮していることがわかります。
しかし、ウェブブラウジング、そのほかのウェブアプリケーション、ファイル共有では未知のマルウェアを発見するまで、それぞれ19日から20日を要しています。これは決して短い日数であるとは言えません。新しく作られたマルウェアに対するシグネチャの入手まで20日も待つわけにはいきません。