定義ファイルによる古典的な対策は、そろそろ限界に
セキュリティソフトのフィルタをかいくぐらんと、ネット犯罪者は、作成したマルウェアがセキュリティソフトで検出されるかまで周到にテストしたうえで、多種の亜種を用意し、さらにターゲットや地域を絞って罠を仕掛けてくる。一度出回ったマルウェアがさらに改変を繰り返してばらまかれることも多く、我々が罠から逃れることをさらに困難にしている。
シマンテックは2010年に、1000万個ものウィルス定義ファイルを作成したという。1日あたりの個数では2万7000以上だ。このような加速度的な爆発が続けば、セキュリティベンダーは早晩、新種や亜種の発生速度に定義ファイルが追いつかなくなる公算だ。つまりネット犯罪者が狙うセキュリティソフトの無力化が現実のものとなり、予防効果がなくなってしまうのだ。
(2000年1月~2010年1月)
⇒ 2010年は、平均 27,000個/日の定義ファイルを作成。年間では1000万個に
(統計:シマンテック)
定義ファイルでマルウェアを防御するという古典的な対策は、そろそろ限界に来ている。
この事実を早くから意識していたシマンテックは、何年も前から古典的ではない新しい対策を研究してきた。その成果の1つがマルウェア対策のイノベーションと言える新技術の「インサイト」となって実を結んだ。インサイトは、日本市場でも今夏から提供される企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection 12」に搭載される。
その仕組みはシンプルに見える。だが、競合ベンダーが同じことを実現するには何年もかかりそうだ。なぜならシマンテックは5年の歳月をかけてこれを実現したからだ。
世界のシマンテックユーザーからデータが提供される強み
簡単に説明しよう。
あるユーザーが、プログラムファイルのダウンロードを試みる。そのときインサイトは、自動的にシマンテックに小さなパケットを飛ばし、そのファイルの人気度と定着度(定着期間)を問い合わせるのだ。
その結果、このような警告が出ても、続けてダウンロードするユーザーはいるだろうか。
この警告は、人気度と定着度が高いプログラムは安全、逆に人気がなく定着度もないプログラムは未確認のマルウェアである確率が高く危険であるという考え方に基づいて出される。この仕組みなら新種だろうと亜種であろうと排除が可能だ。つまり未知のマルウェアにこそ、より有効なのだ。
その判定の拠り所となるのが、世界のシマンテックユーザーがインストールしている実行可能なファイルに関する統計情報のデータベースだ。許諾したシマンテックユーザーから実行ファイルのファイルハッシュやソース、署名者、ファイル名などを5年かけて収集したもので、今後も日々公開されるあらゆるファイルについて、人気度や定着度などに関するデータが登録され続けていくしくみだ。
インサイトの仕組み—世界のユーザーが、あらゆるファイルの情報を送信 その結果、多くのPCに感染させたいマルウェア作成者が陥るのが、出口のないジレンマだ。特定のマルウェアを大量にばらまけば対策がたちどころに打たれてしまうし、かといって膨大な種類のマルウェアを作成して標的を絞って送り込んでも、「利用者が少ないファイル」とインサイトに一蹴されてしまうわけだ。
同時に、インサイトはウイルススキャンにおいて安全と判断した既知のプログラムをスキャン対象から除外する。そのためスキャン時間が最大で70%も削減できたという。従来1時間かかったスキャンなら20分ほどで完了する。スキャン時に感じるストレスが小さくなるはずだ。
http://japan.zdnet.com/info/event/security/201106/
