「ノートン2010」は“秘伝”レピュテーションで未知の脅威検出


レピュテーションの仕組み

 シマンテックは24日、年内に発売予定の最新版セキュリティソフト「ノートン インターネットセキュリティ 2010」「ノートン アンチウイルス 2010」に搭載される新機能を明らかにした。ユーザーから集めた情報をもとに未知のアプリケーションの安全度を評価する「レピュテーション」機能の詳細について、同日開催した製品評価者向けワークショップで説明した。

 アプリケーションの評価(レピュテーション)にあたっては、PC内のファイル情報を匿名で送信することに同意した数千万人のユーザーで構成される「ノートン コミュニティウォッチ」の情報を活用。具体的には、PCで動作するアプリケーションの安全性をユーザーからの評価(レピュテーション)によって判定する。

 シマンテックによれば、多くのユーザーが利用していて、提供元の情報がはっきりとわかっているアプリケーションほどレピュテーションのスコアが高くなり、逆にマルウェアなどは過去の報告例がなく、提供元が不明であることからスコアが低くなるという。このスコアをもとにノートン2010製品では、一定の安全度を超えるプログラムしか実行を許可しないようにする。

 とはいえ、ユーザー側で評価できないアプリケーションも少なくない。そこでノートン2010製品は、「ノートン コミュニティ」を通じて、1)ファイルがインストールされているPCの数、2)最初にファイルが登場した時期、3)その他のデータ――を収集・分析。これにより、ファイルそのものをスキャンしなくても、ファイルのレピュテーションスコアを自動的に計算できるという。

 レピュテーションスコアの計算方法について、米Symantec製品管理担当ディレクターのジェリー・イーガン氏は「秘伝」と前置きした上で、「関連性を決定する手法であるGoogleの『ページランク』とよく似ている」と説明。特徴としては、「多数の属性」「多数のファイル」「多数の貢献ユーザー」の情報がレピュテーションスコアに反映されているという。

レピュテーションの詳細
レピュテーションでファイルの「良し悪し」が判断つかない場合でも、ユーザーがファイルを実行するかどうかを判断するためのデータを提供するという

 レピュテーションスコアが「悪い」と評価されたファイルについては、Internet ExplorerやFirefoxなどでダウンロードしたり、ローカルで実行する際などに遮断される仕組み。また、ローカルに保存したファイルについても、右クリック経由で最新のレピュテーション情報を参照することが可能となっている。

 一方、レピュテーションでファイルの「良し悪し」が判断できない場合でも、ユーザーがファイルを実行するかどうかを判断するためのデータを提供する。具体的には、当該ファイルを所有するノートンユーザーの人数、ノートンユーザーが最初に当該ファイルを発見した日時――などの情報を表示した上で、あまり出回っていないファイルについてはダウンロードや実行を見送るように勧める警告画面を表示する。

 レピュテーションのメリットとしてはこのほか、誤検知リスクの低減が挙げられるという。ノートン2010製品では、ファイルの怪しい振る舞い(ビヘイビア)を検出する「SONAR」を改良した「SONAR 2」を搭載する。通常、こうした機能には誤検知のリスクも伴うが、レピュテーションを活用することで「誤検知率を高めずに、よりアグレッシブに多くのマルウェアをキャッチできるようになった」という。

 ワークショップでは、「Yahoo!メール」経由で送信された添付ファイルを実行する際に、レピュテーションが適用されるデモを行った。Yahoo!メールではシマンテックのウイルス対策ソリューションが提供されているが、デモでは添付ファイルを「安全」と判断。しかし、ファイルの実行を試みると、“You are one of the very first Norton users to download this file”といった警告文とともに、ファイルの実行を見送るように警告する画面が表示された。

 シマンテックは、2008年9月に発売した「ノートン2009」製品でもレピュテーションを活用していたが、「信頼度が高い」と判断したファイルのスキャンを省略する機能「ノートン インサイト」を提供するのみにとどまっていた。なお、「良し悪し」が判断できないファイルはスキャンを行うとともに、「SONAR」やIPS(侵入防止システム)で検出できないものは実行を許可していたが、悪意のあるファイルを見落とす恐れもあったとしている。

 ノートン2010製品のレピュテーション機能についてイーガン氏は、「これまでもSONARで未知のマルウェアを検出できたが、新たな武器となることは間違いない。マルウェアとの戦いのルールを変える革新的な技術だ。従来型のシグネチャ(ウイルス定義ファイル)だけに頼る必要はなく、攻撃者はもはや、マルウェアを微調整するだけでは、私たちの目を盗むことはできないだろう」と自信を見せた。

 なお、ノートン2010製品のパブリックベータ版は8月30日まで、シマンテックのサイトから無料でダウンロードできる。対応OSはWindows 7/Vista/XP。

レピュテーションの影響を「ノートン2009」と「ノートン2010」で比較したところ「Yahoo!メール」経由で送信された添付ファイルを実行する際に、レピュテーション機能が適用されるデモの様子

関連情報

(増田 覚)

2009/7/24 22:00