ウイルス対策ソフトの違法複製問題、定義ファイルはMP3と同じ?


 ロシアのモスクワで1月29日に開催されたKaspersky Labの報道関係者向けイベント「International Press Tour」において、同社の欧州地域シニアリサーチャーを務めるマグヌス・カルカール(Magnus Kalkuhl)氏が、セキュリティソフトの違法複製問題について講演し、ウイルス定義ファイルが無断でコピーされている実情を語った。

ウイルス対策ソフトベンダーは簡単に設立できる?

欧州地域シニアリサーチャーを務めるマグヌス・カルカール(Magnus Kalkuhl)氏

 カルカール氏はまず、ウイルス対策ソフトベンダーを設立するまでに必要なコストが、2000年当時と2010年現在では大きく変わったことを指摘。2000年では、ウイルス定義ファイルを作成するために新種のマルウェアを探したり、優秀なウイルスアナリストやスキャン技術を得るために多大な資金を投じる必要などがあったという。

 一方、2010年ではばく大なコストをかけることなく、「簡単に」設立できるという。「安いサーバーを見つけて、安い給料でプログラマーを雇い、いくつかのウイルススキャナーを買う。その後は、PR会社に『新製品が出た』とアナウンスしてもらうように頼むだけだ」。

 しかし、カルカール氏は「そんなに簡単なものなのか?」と疑問を投げかける。確かに、後発のウイルス対策ソフトが「AV-Test.org」や「AV comparatives」などのウイルス検出率テストで高評価を得ることもある。これらの結果は消費者の購買決定を左右しているというが、カルカール氏は「あくまでオンデマンドスキャンの結果にすぎない」と苦言を呈す。

 一般的にオンデマンドスキャンによるテストは、ネットワークから隔離された環境にあるPCにおいて、既存のウイルスを静的解析するものだ。これで分かるのは、ウイルス定義ファイルが「どれだけ網羅的に用意されているか」「比較的最近認知されたマルウェアに対応しているか」といったことである。

 では、オンデマンド検知を向上させるにはどうすればよいのか。カルカール氏は、プログラムの挙動を監視するヒューリスティック技術を強化することが有効だというが、「時として誤検知も伴う」。また、ウイルスアナリストやハニーポット(おとりマシン)、解析システムなどを強化するにしても、「非常に高価」だと語る。

ウイルス対策ソフトの違法コピー、クラウド活用で実態が雲隠れ

「VirusTotal」の分析結果

 そこで、「競合他社の仕組みをベースにした検知を追加する」選択肢が出てくるとカルカール氏。他社の技術を“再利用”する段階としては、金銭を支払ってOEM提供を受けたり、競合他社にマルウェアの検体を依頼するほか、複数のウイルス対策エンジンで検体をチェックできるサイト「VirusTotal」の結果を分析することなどが挙げられる。

 「最も安くて手っ取り早い方法」としては、自らマルウェアを解析せずに、VirusTotalなどのマルチスキャナーによる解析を自社製品に反映するケースがあると指摘。さらに悪いことには、競合他社が配信するウイルス定義ファイルを、そのまま自社製品のウイルス定義ファイルとして盗用する事例もあるという。

 盗用の“実例”としてカルカール氏は、中国のあるベンダーが、米国のMalwarebytes'のウイルス定義ファイルを無断コピーしていたとされる事例を紹介。それによれば、Malwarebytes'が盗用を指摘した直後、このベンダーのウイルス定義ファイルのデータベースは47.5%縮小し、それに伴い検知率も53%下がったという。

 「消費者はお金をかけなくても、普通に機能すれば製品の出所は気にしない。そういう状況が続くことで、多くの企業は研究開発に投資しなくなり、結果として製品の品質が下がることになる」。こうしたウイルス対策ソフトベンダーの状況をカルカール氏は、「違法MP3ファイルによる知的財産侵害を問題視する音楽業界に似ている」と指摘する。

 さらにカルカール氏は、ウイルス対策ソフトがクラウドを活用するようになることで、知的財産侵害の被害が深刻化すると見ている。「VirusTotalのようなマルチスキャナー検知を活用すれば、高い検知率を達成することも可能だ。すべてはクラウドの中で行われているので、詳細は外からはわからない」。

 ウイルス対策ソフトベンダーの知的財産侵害を見破るためにKaspersky Labは、「マーカー」となるウイルス定義ファイルを用いた実験を行ったという。同社では20個の無害なファイルを用意し、うち10個のファイルをあえてKaspersky製品で検出するように設定。これらをVirus Totalにアップロードして、他社の動向をうかがった。

 その結果、10日後にはKaspersky製品が検出したファイルを、他の14社も同様に検出したという。無害なファイルを検出した企業の中にはヒューリスティックによる誤検出の可能性もあるというが、今回の実験によって、Virus Totalのようなマルチスキャナーの検知結果を自社製品に反映している企業が多いことがわかったとしている。

「ウイルス検出率」に疑問、AVソフト違法複製で問題浮き彫りに

ユーザーを保護するための複数の方法

 知的財産侵害もさることながら、カルカール氏が問題視しているのは「オンデマンドスキャン検知率による比較を多くの消費者が支持していること」。新種のマルウェアに対応するためのヒューリスティック技術による検出能力などが、テスト結果に反映されにくいためだという。

 同様の問題意識を持つKaspersky LabやSymantec、Trend Microなどの主要ベンダーは2008年2月、ウイルス対策ソフトのテスト手法の標準化を目指す団体「AMTSO」を設立。AMTSOでは、ウイルス定義ファイルをベースとしたオンデマンドスキャンによるテストに加えて、ヒューリスティック技術による検出能力も評価する方針を示している。

 カルカール氏は、ユーザーのセキュリティを考慮するのであれば、ウイルス定義ファイルをもとにした検知技術に加えて、スパムやフィッシングに対するフィルタリング、「Kaspersky Security Network」のようなクラウドによるリアルタイム検知、仮想空間上でアプリケーションを実行するサンドボックス機能、プログラムが実行される前にエミュレートする機能、実行中のプログラムを監視して悪意のあるプログラムを判断するビヘイビア(振る舞い)検知、アプリケーションの信頼度に応じて挙動に制限を設ける機能などが必要だとしている。


関連情報

(増田 覚)

2010/2/5 06:00