
|
米Trend Microの脅威啓発担当ディレクターを務めるDavid Perry氏
|
ウイルス対策ソフトは、PC内のファイルをスキャンする機能から始まって、ファイルの読み書きをリアルタイムでチェックする機能や、メールやWebページのチェック、さらには総合的なセキュリティ対策ソフトとして、ファイアウォールやフィッシング対策といった様々な機能も備えるようになっていった。ウイルス対策ソフトが行う処理は多くなり、それがPC全体のパフォーマンスを落としていった。
こうした状況の中で、最近では“軽さ”をアピールするウイルス対策ソフトが多くなってきた。プログラムロジックの見直しや、メモリ使用の最適化、マルチスレッド、パターンファイルの展開方法など、各社ともに様々な手法を取り入れている。
トレンドマクロでは、ウイルスのスキャン処理の一部をクラウドコンピューティングに任せる手法「Smart Protection Network」を発表した。これまではすべてPC上で行っていた一部の処理を、ネットワーク側(クラウド)に任せることで、さらに動作を軽くするという狙いがある。2009年3月から企業向けサービスで提供を開始し、いずれは個人向け製品でも採用する予定だ。
今回はSmart Protection Networkに関して、米Trend Microの脅威啓発担当ディレクターを務めるDavid Perry氏に話を伺った。
Perry氏は、20年近くに渡ってコンピュータウイルスの対策に携わってきた人物。ピーター・ノートン・コンピューティング(現シマンテック)、マカフィー、サイバーメディアなどを経て、1998年からトレンドマイクロに在籍している。このような経歴の持ち主のため、トレンドマイクロの製品や技術だけではなく、コンピュータウイルスの歴史や変化など幅広い話を聞くことができた。
――コンピュータウイルスの20年間の変化はどのようにお考えですか
Perry氏:20年間に渡ってこの業界で働いていますが、最も初期には大学生くらいの人がウイルスを作っていました。その後、「スクリプトキディ」と呼ばれる人たちがツールをダウンロードして、攻撃を仕掛けるようになりました。
しかし現在では、ウイルスは組織犯罪に使われています。データの売買を目的とした産業スパイが使っているという話も聞きます。このような組織犯罪型は、大規模感染ではなく、特定の企業などをターゲットにするため、ウイルスの感染数は少なくなります。昔のウイルスですと、200万から300万のマシンが感染していました。しかし、組織犯罪のターゲット型ウイルスは、1つあたりの感染数は1000から2000と非常に少ないです。
今後、組織犯罪型のウイルスがどのような方向性に進んでいくのか分かりません。カメラなどのデバイスはもとより、病院や管制塔、工場でも、制御のためコンピュータを数多く使用していますが、これが犯罪者にチャンスを与えるのかもしれません。さらに、組織犯罪から戦争に発展する可能性も否定できません。
――ターゲット型のウイルスとともにUSBメモリを介したウイルスも広がりを見せていますね
Perry氏:昔、フロッピーディスクのブートセクタを介したウイルス感染がありましたが、それに似ていますね。しかし、USBメモリを介したウイルスが目新しいというだけで、感染数はまだそれほどは多くありません。
USBメモリを介したウイルスに感染しないように、トレンドマイクロの製品では対策を行っています。しかし、製品で対策をしていても、USBメモリの自動実行はオフにすることを推奨します。ただし、自動実行をオフにしますと、デジタルカメラやiPodなどUSBを使って接続する機器が使いにくくなってしまいます。同じようなことは、Webブラウザでも言えます。JavaScriptを使わなければ、ウイルスの感染リスクが減らせますが、Webページが使いにくくなるという弊害が起きます。
――Smart Protection Networkの概要を教えてください
Perry氏:Smart Protection Networkは、これまではユーザーのPC上ですべて行っていたウイルスやマルウェアの検知を、クラウドに一部任せる仕組みです。これまでのようにメールやファイルの内容をすべて確認するのではなく、Smart Protection Networkはそのデータがどこからどう通ってきたのかを確認します。
Smart Protection Networkの構造としては、メールを確認する「Emailレピュテーション」、疑わしいWebサイトをブロックする「Webレピュテーション」、ファイルをスキャンする「ファイルレピュテーション」の3つから構成されています。
現在の仕組みですと、受信したメールはPC上で中身をすべてスキャンし、ウイルスやマルウェアがないか確認しています。一方、「Emailレピュテーション」では、受信したメールはいったん隔離し、そのメールに含まれるメールアドレスやIPアドレスなどをEmailレピュテーションのサーバーに送ります。これにより、出所が怪しいと判断されれば、そのメールをブロックして受信しないようにします。このようにメールの内容をすべてスキャンするのではなく、IPアドレスなどの確認のみを行うので、検証スピードは大変速いです。
Webページを見る場合でも同様で、WebレピュテーションのサーバーにURLやIPアドレスを送ることで判断をします。ここで言う怪しいIPアドレスとは、例えば1時間前には存在しなかったり頻繁にロケーションが変わったりするものです。
ファイルのスキャンでは、アクセスしようとするファイルからフィンガープリントを取り、これをファイルレピュテーションのサーバーに送信して、世界中にあるフィンガープリントと比較することで、ウイルスやマルウェアが含まれていないか確認できます。
さらに、Emailレピュテーション、Webレピュテーション、ファイルレピュテーションの3つを同じクラウドで提供することで、それぞれのデータが比較できるようになり、インテリジェンス性が向上します。
――Smart Protection Networkを開発したきっかけは何ですか
Perry氏:私がウイルス対策の仕事を始めた20年前は、新しいウイルスは1カ月に3つや4つ発見される程度でした。しかし、現在は1日に7万ものウイルスが発見されており、5年後にはこれが100万に増えると予想されます。
現在のウイルス対策は、新しいウイルスに対応したパターンファイルをダウンロードし、その情報を元にファイルなどをスキャンするという方法です。しかし、1日に100万のウイルスが発見される時代になりますと、パターンファイルのサイズやダウンロードの速度が問題になってきます。パターンファイルに頼ったスキャンでは、そのうち限界が来ますので、新しい方法や技術が必要ということでSmart Protection Networkを開発しました。
――将来的にSmart Protection Networkを採用すると、PCにインストールするウイルス対策ソフトはサーバーに情報を送信するだけになるのですか
Perry氏:Smart Protection Networkは、マルウェアがたくさん発見されていることによりパターンファイルが巨大化していくという問題点を解決するための手法です。そのため、すべての処理をSmart Protection Networkに任せるのではなく、従来と同じくPC上でパターンファイルを用いたスキャンなども行います。
――どのようなスキャンがPC上に残るのですか
Perry氏:マルウェアには、ファイルの複製を行う「複製エンジン」、自らの存在を隠す「隠蔽エンジン」、他のPCに感染させようとする「配信エンジン」、そしてウイルスなどの実態である「ペイロード」の4つの機能があります。この中で、直接的に被害を与えるのはペイロードの部分です。
現在の主なウイルス感染パターンを見ると、まずPCに送られてくるのはトロイの木馬やダウンローダー、ドロッパーと呼ばれる、マルウェアをダウンロードするだけのものです。この時点では、ペイロードはまだPCの中にはありません。その後に、感染の条件が揃ったところで、トロイの木馬などがサーバーからペイロードをダウンロードしてきて、実行させるという流れになります。
先ほど、1日に7万ものウイルスやマルウェアが発見されると言いましたが、それはダウンローダーやドロッパーのことを指しています。マルウェアの作者も、ダウンローダーは亜種をたくさん作りますが、ペイロードの部分はあまり変えようとしません。そのため、変化の少ないペイロードの部分については、PCに負担をかけずにスキャンできます。
また、コンシューマー向けの「ウイルスバスター2009」に搭載した「キー入力暗号化」もPC上に残す必要があります。キーロガーに対応するため、キーボードドライバとOSの間の通信を暗号化するという機能です。
――ウイルスやマルウェアの対策にクラウドを用いるという考えは、他の会社も採用するでしょうか
Perry氏:この業界で働いている経営者のほとんどは、ビジョンとして数年先すら将来も見据えていないと思います。しかしトレンドマイクロは先を見据え、Smart Protection Networkを開発しました。
過去にも同じようなことがありました。トレンドマイクロは、ゲートウェイやファイアウォール、ルータなどにウイルス対策ソフトを搭載した初めての会社でした。いずれも、開発を始めた当初は“変な会社”と思われていたかもしれません。
しかし、これによりトレンドマイクロはアンチウイルスに関する数多くの特許が取得できました。他社のウイルス対策製品にも、トレンドマイクロの特許技術が搭載されており、ロイヤリティをいただいているケースもあります。
Smart Protection Networkに関しても、トレンドマイクロのCEOであるエバ・チェンは、「ほかのセキュリティ会社に、Smart Protection Networkをライセンスで提供していくことになるだろう」と話しています。このような点が、他社との大きな差別化要因にもなるでしょう。
関連情報
■URL
Trend Micro Smart Protection Network
http://www.trendmicro.co.jp/spn/
■関連記事
・ パターンファイルを雲の上へ、トレンドマイクロが新技術基盤(2008/11/12)
( 安達崇徳 )
2008/12/12 14:51
- ページの先頭へ-
|