マルウェアは短命、幽霊探しを続ける昔ながらのアンチウイルス　ほか

　4月の嵐のような脆弱性騒動が尾を引く中、5月もセキュリティに関してさまざまな話題がありました。

　4月から続く話題としては、OpenSSLの脆弱性「Heartbleed」に関して、実際には脆弱性のないバージョンを使用していたにもかかわらず、世の中で大きな騒ぎになったことから「間違って」脆弱性のあるバージョンに更新してしまったサイトが存在するとの報道がありました。

　また、米国家安全保障局（NSA）が米国から海外へ輸出されるルーターやサーバーを配送途中で入手し、傍受機能を埋め込むように改造していたとの報道があったほか、「忘れられる権利」に関連して、EUの司法裁判所がGoogleに対し、EU市民の過去の個人情報へのリンクを検索結果に表示しないように命じる判決を下したことがEUのみならず世界的な議論を呼んでいます。

　今回は5月に発表されたさまざまな調査レポートからいくつかを選んで紹介します。

マイクロソフトセキュリティインテリジェンスレポート第16版

　Microsoftは5月7日、半期に1回公開している「マイクロソフトセキュリティインテリジェンスレポート」（以降、SIRと略）の第16版（2013年下半期を対象）を公開しました。

　SIRではマルウェアに関して「遭遇率」と「感染率」を国や地域ごとにまとめて紹介しています。なお、ここで「感染率（CCM：Computers cleaned per mille）」とは、Microsoftが無料で提供している「悪意のあるソフトウェアの削除ツール」を実行したコンピューター1000台のうち、同ツールにより脅威を取り除かれたコンピューターの台数を意味します。

　まず、遭遇率と感染率がそれぞれ高い国や地域をまとめたのが図32と図33です。ここで感染率の高い地域として、マルティニーク（フランスの海外県、カリブ海西インド諸島の1島）という聞き慣れない地域が入っている点が目を引きます。

図32・図33

　一方、遭遇率と感染率がそれぞれ低い国や地域をまとめたのが図34と図35です。こちらは、北欧と日本が低いなど、これまでと特に変わりはないようです。

図34・図35

　次に感染率をMicrosoftのOS別にまとめたのが図38です。第3四半期より第4四半期に飛躍的に感染率が増えている点が際立っていますが、同時に第4四半期に関しては（少々意外ですが）XPよりもVistaや7の方が感染率が高い点も目を引きます。SIRでは、これらの傾向がいずれもマルウェア「Rotbrow」によるものとしています。

図38

　SIRは、調査対象の範囲が極めて広く、また国や地域ごとにまとめた形で定期的に公開されることから、世界的な傾向やその変化を調べるにはちょうど良い資料です。上手く利用してください。

Ponemon、データ侵害のコストに関する調査結果を報告

　米PonemonはIBMの支援に基づいて実施した「データ侵害のコスト」に関する調査の結果を発表しました。

　これは欧米や日本、中東など10の国・地域、314の企業について調査したもので、前年に比べてデータ侵害のコストが増えていることを示しています。具体的には、トータルコストの平均は前年より15％増加の350万米ドル、また侵害データ1件あたりのコストも9％以上増加の145米ドルとなっています。これらの結果を国ごとにまとめたのが図2と図3です。欧米に比べると日本は比較的コストは低めのようです。

図2

図3

　また、データ侵害の原因についてまとめたのが図5と図7です。全体としては「Malicious or criminal attack」が多いものの、英国やブラジルでは「Human Error」が、またインドでは「System glitch」が多いといった違いがあります。

図5

図7

　国ごとではなく、業種ごとに侵害データ1件あたりのコストをまとめたのが図4です。「Healthcare」が最も高コストで、それに「Education」が続き、他を引き離しています。

図4

　「データ侵害」とひとくくりにしてしまいがちですが、この報告書が示すように、国や地域、業種ごとでコストには違いがあります。データ侵害対策を検討する際には、このような違いも十分に考慮に入れた上で、回りに踊らされることなく、適切なコストのかけ方を考える必要があるでしょう。しかし現実には「100円の損失を防ぐために1万円をかけている」ような本末転倒した状況が珍しくないのです。

マルウェアは短命、幽霊探しを続ける昔ながらのアンチウイルス

　ある有名アンチウイルスベンダーの幹部が「アンチウイルスソフトはもう死んだ」と発言したことが世界中で大きく報道され、物議をかもしました。昔ながらのシグネチャベースの保護機能では十分でないことはとうの昔に常識となっており、既に多くのアンチウイルスソフトが新たな機能を追加するなどの「進化」をし続けている中で、アンチウイルスベンダーが今になって敢えてこのような発言をしたことには反発の声もあります。

　そのような中、マルウェアの「寿命」とアンチウイルスの「スピード」を調べた結果がそれぞれ別の企業から発表されました。

　まず、米FireEyeは自社のブログで過去2年間にわたって約50万のマルウェアの「寿命」について調査した結果を公開し、ほとんどのマルウェアが極めて短命であることを明らかにしました。

　調査によると、2時間を超えて活動し続けるマルウェアはほとんどなく、2013年に関しては、マルウェアの82％が1時間後には消滅し、70％が1回限りでなくなることが分かりました。この結果を踏まえ、FireEyeは、シグネチャベースのアンチウイルスは「Ghost-Hunting」をしているようなものだと結論付けています。

　このように多くのマルウェアが短命であることが示された一方で、アンチウイルスが新しいマルウェアを検知できるようになるまでの時間を調査した結果が米Lastline Labsによって公開されました。

　これは、VirusTotalで使われている47のアンチウイルスについて、数十万種のマルウェアに対する検知率の時間変化を調べたもので、調査は2013年5月から2014年5月の365日間にわたって行なわれました。

　これによれば、新しく検知されたばかりのマルウェアを、実際にマルウェアとして検知できるアンチウイルスの割合は6割に満たず、2カ月が経過した後も、3分の1のアンチウイルスが検知できていないことが分かります。また、最も検知されにくかった上位1％のマルウェアに限定すると、数カ月経ってもほとんどのアンチウイルスで検知できていません。

　これ以外にも調査の結果明らかになったこととして、マルウェアとして検知されなかったマルウェアも平均して2日後には最低1つのアンチウイルスで検知できるようになっている一方、1年経っても10％のアンチウイルスが検知できないマルウェアも存在しています。

　これらの結果を踏まえ、Lastline Labsは、「昔ながらの」アンチウイルス技術は死んでいないが、他のアプローチ、例えば動的解析やネットワーク異常検知などで補完する必要があるとしています。また、今後の課題としてサンドボックスの効果についても調査する考えがあるようです。

　Lastline Labsの調査結果をFireEyeの調査結果と合わせて考えると、「昔ながらの」アンチウイルスではマルウェアの「スピード」について行けていないことは明白であり、これらの結果だけを見れば「アンチウイルスは死んだ」と言われても仕方ないかもしれません。

　それでも、安易に「防げないものが多いのだからアンチウイルスなど捨ててしまえ」としてしまうのは早計です。すでに述べたようにアンチウイルス自体も「進化」し続けていますし、特に一般家庭の個人ユーザーにとって、現実的に導入可能なセキュリティ対策製品としてはアンチウイルス以外に選択肢がほとんどないという事実も忘れてはいけません。

　また、物理セキュリティにおいて安全性を高めるために鍵（防御システムを含む）を二重三重にするのと同様に、ITセキュリティにおいても複数の仕組みを導入して多段で防ぐことが重要であり、その仕組みの1つとしてアンチウイルスを含めるか否かは、システム全体のセキュリティ設計からバランスを考えて判断すべきポイントでしょう。その一方で、当然のことではありますが、「多層防御」を実施していても攻撃を完全に防げるわけではないことは、FireEyeとMandiantによる調査報告書「Cybersecurity's Maginot Line: A Real-world Assessment of the Defense-in-Depth Model」からも明らかです。

　この連載で何度も繰り返し述べていますが、「防御」にばかり汲々とするのではなく、いかに速やかに攻撃に気付き、的確に対応できるかというインシデントレスポンス能力「も」必須であることを忘れてはいけません。アンチウイルスが有効か否かという問題は確かに関心を惹く話題ではありますが、（極端な言い方をすれば）そのような「木」に目を奪われて、「森」を見失っては意味がないのです。