シマンテックに聞く「ウイルス被害の傾向と対策」
■URL
http://www.symantec.com/region/jp/
近年、コンピュータにおけるセキュリティ問題として筆頭に挙げられるのがウイルス対策だろう。個人ユーザーレベルでも対策の必要性が盛んに叫ばれるが、いまだ完全な浸透を見てはいない。今回は株式会社シマンテック Symantec Seculity Responseマネージャーの星澤裕二氏に、ウイルス被害の傾向と対策などを聞いた。
■複合型ウイルスの誕生
 |
|
シマンテック Symantec Seculity Responseマネージャー |
シマンテックは法人・個人向けに、ウイルス対策をはじめとしたセキュリティ製品・サービスを提供している。ウイルス対策製品「Norton AntiVirus」で知られる同社だが、数年前からセキュリティ関連製品全般に取扱品目を拡大。ファイアウォール機器の販売や、遠隔監視などの運用サービスも含めた「総合的セキュリティメーカー」へのシフトを急速に進めている。
個人向け製品でもウイルス検知・駆除機能だけでなく、ファイアウォール機能を加えてパッケージ化したソフトウェア「Norton Internet Security」を販売。Klezウイルスなどに代表され、増加傾向にある「ユーザー自身がウイルス送信元になる可能性」への防御などが可能になった。
このような製品展開の裏に見え隠れするのが、ウイルス被害の質の変化だ。特に星澤氏がウイルスの傾向としてまず最初に語ったのが「ウイルスが幅広いものになりつつある」ということだ。
ウイルスの現状について星澤氏は「本来ウイルスとは、狭義の意味ではファイルに感染するものを指す。しかし最近はメール、Webサイトを見ただけでユーザーPCに潜伏・感染し、しかも(第三者が容易に感染PCに侵入するための)裏口を仕掛けるものなど、言葉自体の意味だけでなく、被害内容が幅広くなっている。傾向が1つに絞りきれないのが現状だ」と指摘している。
感染経路もメールに自分自身を添付して広げるだけのタイプから、インスタントメッセンジャーやIRCチャット、ファイル共有ソフトなど複数の手段で感染を広げるものが主流となってきている。これら「複合型ウイルス」の登場で、防衛手段も非常に複雑になっている。
また、感染力の高いウイルスが、長期的に蔓延し続けるのも近年の特徴だという。「1つのウイルスが急激に発生して次第に消滅していくのではなく、Klezなどのようにいつまでもなくならないケースが多い」(星澤氏)とし、完全な撲滅が難しいことを窺わせた。
ただウイルス作成者の傾向は従来から言われる通り、「愉快犯によるものが多いのでは(星澤氏)」と分析する。加えて「ウイルス感染メールの表題を日本語にするなど、メールを開かせるような工夫をしたものもあり、感染経路などの活動種類を問わず、どのウイルスが爆発的に広がってもおかしくない」と述べた。
■ウイルス検知の実際
ウイルス被害を防ぐための検知作業は、実際には複数の手法が組み合わせて行なわれる。まず挙げられるのが「パターンマッチング」と呼ばれる手法だ。発見済みウイルスの特徴をあらかじめデータとして検知エンジン側で把握しておき、指紋照合のようにウイルスかどうかを把握する方法だ。
しかし、この手法だけでは未知の新種ウイルスに対して限界がある。これら未知のウイルスへの対抗策が「ヒューリスティック」と呼ばれる手法である。実行形式ファイルそのものの挙動からウイルスを判別する。
初期段階のヒューリスティック技術が出た当時は、ウイルスは主にファイルの末尾部分に存在していた。これだけではウイルスが実行されることはないが、続いて行なわれるファイルのヘッダ部分の書き換えでウイルスプログラムが呼び出されることにより、ウイルスプログラムが実際に実行される流れとなっていた。初期段階のヒューリスティック技術では、この流れを逆手にとって、ヘッダ部分の書き換え行為を発見することにより、ウイルスを検知していたという。
当然ながらこのヒューリスティックは進化している。ヘッダを書き換えず、プログラム中のなんからの動作を引き金に活動が始まるタイプのウイルスが発生してくることにより、これに対応した検知が可能になり、現在では動作をエミュレーションし、仮想的にファイルを実行して調査することも可能だという。
シマンテック製品では、これらの検知作業を基本的にアクセスが発生したすべてのファイルを対象に行なっている。ソフトウェアのインストール時を例にすると、セットアップファイルそのものはもちろん、セットアップにともなって生成されるファイルや関連ファイルもすべて調査している。
検知作業にともなうパフォーマンスの低下が心配されるが、その点については「パフォーマンスを保証できるレベルでなければ製品には実装していない。ストップウォッチなどで計ってもわからないくらい体感的な遅さは出ないはず(星澤氏)」という。
■サンプル収集力がカギ
ウイルス対策製品は、複数のメーカーが開発・販売を行なっており、製品間の競争が激しい一方、品質的な差異がわかりづらいのもまた事実。他社と比較した場合のシマンテックの優位性について星澤氏が挙げたのは、検知能力を含めた総合的な技術力以外に「サンプル収集能力」だった。
ウイルス対策については、解析すべきウイルスサンプルの早急な発見・収集が重要になる。同社では日本国内以外にも複数のウイルス研究・対策拠点を構築しているので、その収集能力では自信があるという。
またシマンテックでは、エンジニアによる人力の解析だけでなく、新種の発見から解析、対策プログラムの作成、ユーザーへの報告などの一切を自動化したシステムを構築し、稼働させている。星澤氏によると新たに発見されるウイルスのうち、約98%が同システムで処理されており、このシステムの精度を高めていくことも重要な作業だという。
今後はこの自動化システムとインターネット検索用のロボットプログラムを組み合わせ、WebサーバーやFTPサーバーからあらゆるファイルをダウンロードして、ウイルスを積極的に、より早く発見するためのプロジェクトも進めていく。
■セキュリティ意識は「あなた自身」が変える
このようにウイルス・セキュリティ対策製品の整備が進む中、なかなか向上しないのが、我々ユーザー側の認識だ。
「新聞や一般雑誌などを通じて(PC初心者向けの)啓蒙活動も行なっているが、なかなか浸透していないのが現状。ウイルスの問題が存在することそのものを認識していないユーザーも多い」(星澤氏)と、有効な方策を見い出せていない。
さらにコンピュータにおけるウイルス被害は、ハードウェアの破壊など、物理的な実害が少ないこともあり、「ウイルスによって感染メールを送り続けていると知りながらも、自身のPCが正常に稼働さえしていれば、問題と思わないケースすらあるかもしれない」と付け加えた。
またエンタープライズ・マーケティング部の中瀬直隆部長は、欧米に比べて低いとされる日本国内のウイルス意識について「アメリカでは銃社会という影響もあるが『自分の身は自分で守る』という意識が強い」と、社会的な生活環境の差についても指摘した。
今、我々に必要なのは、ごく定番的な結論になるものの「モラル意識の改革」に集約される。身近な家族・友人にインターネットの楽しさ・便利さだけを説明するのではなく、その危険性や脅威についても知らせる必要性がありそうだ。
(2003/4/9)
[Reported by 森田秀一]