 |
 |
記事検索 |
イベントレポート |
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
マルウェア対策は定義ファイルからアプリケーション制御の時代に |
||||||||||||||||
|
||||||||||||||||
|
Kaspersky Labバイスプレジデントが新製品をアピール
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
Grebennnikov氏は冒頭、マルウェアの検知数が急激に増え、2007年の200万件から2008年は1500万件に達する見込みであると指摘。さらに、サイバー犯罪者は、従来のセキュリティソフトの検知方法を逃れるための新たな方法を模索し続けているとして、マルウェア対策には新たなアプローチが必要であると述べた。 従来の検知方法としては、ウイルス定義ファイルを用いたブラックリスト形式を挙げるが、「セキュリティソフトが悪意のあるプログラムをどれだけ把握しているかは重要ではない」と説明。一方、信頼のあるプログラムの実行を許可するホワイトリスト形式も「まだ若い技術」という。また、ユーザーから集めた情報をマルウェア対策に反映させるクラウド形式も「優れた“付加機能”に過ぎない」。 こうした現状に対して、Kaspersky Labの新製品「Kaspersky Internet Security 2009(KIS2009)」および「Kaspersky Anti-Virus 2009(KAV2009)」は、「PC上でどのアプリケーションが実行されるか」を重視する手法を採用したという。この発言は、アプリケーションの信頼度に基づいて実行の可否を判断する「アプリケーションフィルタリング」機能を指している。 ● 進化するアプリケーションフィルタリング
KIS2009およびKAV2009がインターネット経由で参照するホワイトリストには約1800万ファイルが登録される。データベースの容量は7.5TBに上り、現在も1日30GBのペースで増加中という。ホワイトリストの作成に当たっては、全世界のKIS2009およびKAV2009のユーザー2500万人以上がダウンロード・実行したアプリケーションのメタデータを活用。このユーザーコミュニティは「Kaspersky Security Network(KSN)」という名称で、毎分2万5000件、1日3500万件の情報が送られてくる。 KSNの情報はホワイトリスト作成だけでなく、ウイルス定義ファイルに登録されていない脅威を防ぐ緊急検知システム「Kaspersky Urgent Detection System」にも活用する。具体的には、ユーザーがダウンロードした「疑わしいファイル」の情報をKSN経由で入手。同社のウイルスアナリストがファイルの危険性を認めた場合は、その情報を同システムのデータベースに登録する。その後、他のユーザーが同様のファイルをダウンロードしてアプリケーションの実行が試みられた際には、警告画面を表示して実行を阻止する。 Grebennnikov氏によれば、緊急検知システムのデータベースに「疑わしいファイル」の情報が登録されてから「数秒で」該当するアプリケーションの実行を阻止できるという。「いわば“クラウド”を活用したリアルタイムの防御方法。(Symantecが提供する)5分ごとの定義ファイル更新よりも効果的だ」。なお、「疑わしいファイル」が確実にマルウェアであることが判明した場合には、その情報がウイルス定義ファイルとして全ユーザーに配信される。 「マルウェアの検知に確実な方法はない」と語るGrebennnikov氏は、セキュリティソフトは絶えず進化を続けるべきだと訴える。Kaspersky Labとしては今後、アプリケーションフィルタリングにおける仮想化技術、USB機器やモバイル機器の制御技術、ヒューリスティックとエミュレーション技術を強化するとともに、類似性判定技術による新しい検知モジュールを開発していく考えを示して講演を締めくくった。
関連情報 ■URL Kaspersky Lab(英文) http://www.kaspersky.com/
( 増田 覚 )
- ページの先頭へ-
|
