「3300万人の情報」でファイルの安全性を確保するノートン2010


 シマンテックのセキュリティソフト「ノートン インターネット セキュリティ 2010(以下、NIS2010)」は、レピュテーション(評価)技術を活用した新たなセキュリティモデル「Quorum」(開発コード名)を導入し、新種の脅威への検出能力を高めたことが特徴だという。本稿ではレピュテーション機能を中心にNIS2010をレビューする。

ファイルの“評判”をマルウェア判定に活用

現在のレピュテーションチェックのシチュエーションは5つあるという。すべてのファイルチェックにレピュテーションを活用しているわけではない

 レピュテーションの仕組みとしては、ユーザーのPCにあるファイルの作成日時、ダウンロード元、デジタル署名、普及度など数十項目の属性情報を集計。これらの情報を独自のアルゴリズムで分析した上で、ファイルの評価を決定している。

 例えば、マイクロソフトやアドビシステムズなどの著名なベンダーの電子署名が付与されていたり、多くのノートンユーザーが所有しているファイルであれば、「良い」評価になる。反対に、著名なベンダーの電子署名がなかったり、ダウンロード元のIPアドレスがマルウェア配布のブラックリストに登録されていれば「悪い」評価となる。

 NIS2010では主に、「ダウンロードインサイト」と「ファイルインサイト」という機能でレピュテーションが活用されている。

 まず、ダウンロードインサイトでは、ブラウザから実行ファイルを直接実行しようとすると、ノートンユーザーで同一ファイルを使っている人が多いのか少ないかや、ファイルの更新日などの情報を表示できる。

 上級ユーザーであれば、これらの情報を判断材料にして、プログラムをそのまま実行するか停止するか、ファイルを削除するかを選択できる。一般ユーザーならばNIS2010の推奨を選べばよいだろう。

 一方、ファイルインサイトは、実行ファイルのダウンロード時に「保存」を選んだ際に、その実行ファイルが安全かどうかについてのサマリーをポップアップ表示する。

 ポップアップの詳細リンクをクリックするか、ファイルの右クリックメニューでファイルインサイトを選ぶことによって、ノートンユーザーにおける利用状況、ファイルの更新日、ファイルの信頼性に加えて、ダウンロード元の情報を表示する。

 レピュテーションが動作するシチュエーションは、ダウンロードインサイトとファイルインサイト以外にもある。具体的には、クイックスキャン時における実行プロセスのチェック、ヒューリスティックとビヘイビアでマルウェアの疑いがある際にレピュテーションチェックを行っている。

 現在のウイルス対策ソフトにはパターンファイルに登録されていない新種のマルウェアの検知手法として、ビヘイビア技術やヒューリスティック技術を使用していることが多い。これらの手法の場合、敏感にすると正規のプログラムをマルウェアとして判定する誤検知の可能性が避けられず、逆に鈍感にするとマルウェアを見逃す恐れがある。

 シマンテックによると、評判の悪いファイルならばビヘイビアやヒューリスティック判定を敏感に、問題がなさそうなファイルの場合はビヘイビアやヒューリスティック判断を鈍感にすることで誤検知率を下げながら、未確認のマルウェアの検知率を上げることができると説明している。

ダウンロードインサイトの画面。実行ファイルのダウンロード時に「実行」を選択すると表示される。この例では、実行ファイルが最近に作成されたもので、「あなたはこのファイルをダウンロードした最初のNorton ユーザーの1人です」と注意喚起するダイアログ画面を表示しているファイルインサイトの画面。ダウンロード時に「保存」を選択すると、ダウンロード終了時に、そのファイルが安全かどうかをポップアップ表示する。この例では黄色い文字で注意を促している

ポップアップの詳細リンクをクリックするか、エクスプローラー画面の右クリックメニューでファイルインサイトを表示させると、このような画面が表示される。この例では、最近作成された実行ファイルのため、あまり実行したユーザーがいないことを示している。このファイルは某メーカーPCのアップデート用ファイルで問題はないはずだが、ユーザーが少ないために評価がそれほど高くなっていないようだ評価の良いファイルの例。Logitechの署名がされているほか、多数のユーザーが使用しており、最終更新も31日以上前という情報が示されている
NIS2010のインストール画面を見てNorton Community Watchが何を行うのか理解することは困難だ。プライバシーポリシーを見ても説明が難しくてわからない

 なお、ファイルのレピュテーションに当たっては、ノートン製品をインストールする際に、PC内のファイルの情報を匿名で送信することに同意した約3300万人のユーザー(このうち日本は約600万人)で構成される「Norton Community Watch」の情報を活用している。

 ただし、ユーザーはNorton Community Watchとは何なのかを理解しづらいのが実状だ。NIS2010のインストール画面では「サイバー犯罪対策のための情報提供に賛同して選択したセキュリティ情報をシマンテック社に自動的に転送する(推奨)」と書かれているが、この文章を一読しただけでは、どのような機能なのか理解することは難しい。

 ちなみに、昨年発売したNIS2009のインストール画面では、「参加して選択したセキュリティ情報をコンピュータでシマンテック社に自動的に転送する(推奨)」と書かれていたため、それよりは改善されてはいるが……。

 いずれにせよ、ユーザーにとってはNorton Community Watchが「何を行い」「どのようなメリットと問題点があるのか」わかりにくい。インストール画面の限られたスペースに記載するのは難しいと思うが、もう少し具体的な説明をして欲しいところだ。

従来からの機能も改善、メイン画面には裏画面も

NIS2010の「Norton インサイト」画面。アプリケーションの信頼性のほかに、ユーザー数も評価の要素として使われていることがわかる
メイン画面の裏にあるパフォーマンス画面。上は「システムインサイト」で、クイックスキャン、プログラムのダウンロード、インストール、問題の発見を日毎に一覧表示する。マウスオーバーすると詳細が表示され、この例では10月14日にセキュリティアップデートを含めたプログラムのインストールを合計11件行っていることがわかる

 NIS2010は、従来からの機能もかなり大きく手を入れている。2008年から「SONAR」と呼ぶビヘイビア技術を利用しているが、NIS2010では改良されて「SONAR2」となった。

 NIS2009から搭載された「Norton インサイト」も強化されている。NIS2010では、信頼レベルの表示のほか「Nortonコミュニティの使用状況」という項目が加わっており、広く一般に実行されているプロセスなのか一見するだけで判断できるように改められている。

 迷惑メールの判定についても、文字列の出現頻度を利用するベイジアンフィルタベースから、IPレピュテーション技術を核とする「Brightmailベースのスパム対策エンジン」に変更された。

 また、メイン画面とは別に、パフォーマンス画面が追加され、ファイルのダウンロード、インストール、最適化作業などについて、サマリーがわかりやすく表示されるようになった。この画面はメイン画面の裏に該当し、メイン画面の左下にある「パフォーマンスリンク」を押すとメイン画面が反転して画面が切り替わるようになっている。

 個人的にはID/パスワードの入力を保存して、必要なページで入力してくれる「IDセーフ」が機能改善されたのがうれしい。

 NIS2009のIDセーフは、URLの一部が省略されて記録される仕様だった。例えばGoogleは1つのIDでGmailやGoogleカレンダー、Googleドキュメントなど複数のサービスが利用できる。そのため、NortonツールバーでGmailのログイン情報を保存した場合、NortonツールバーのプルダウンメニューでGmailを選択するとGoogleアカウントの画面になってしまった。これはIDセーフが保存しているURL情報が部分的なためだ。同じような状況はYahoo!の画面でも発生するので不便だった。

 NIS2010ではこの問題が解消され、さらにURLの編集も可能になったので、IDセーフから希望のサービスにID/パスワード込みで保存できるブックマークのような使い方ができるようになった。

軽量化に関しては「去年並み」

 シマンテックが近年目指しているポイントとして軽量化がある。レピュテーションを導入することによって、動作が重くなるのはユーザビリティとして望ましくない。

 筆者のテストマシン「ThinkPad R61e A37」(CPUはCeleron 540、HDDは320GBに換装、メモリは2GBに増設、システムドライブのディスク使用領域は約10.5GB、OSはWindows XP Professional SP3)で計測したところ、インストール時間は54秒、PC起動時間は1分27秒であり、同環境におけるNIS2009の52秒、1分28秒と大差なかった。

 Cドライブの全スキャンの時間もNIS2009の1回目が16分ちょうど、2回目が2分1秒だったのに対して、NIS2010は1回目が17分3秒、2回目が2分19秒と多少遅くなっている。ただ、この程度の速度低下では悪化したというのは大げさで、ほぼ同等と言ってよいだろう。

 ちなみにインストールと初期アップデートを行った後のディスク消費量(空き領域の減少)は、NIS2009が167MBだったのに対して、NIS2010は212MBと増加している。

大幅に評価モデルを変えつつ、軽さはそのまま

 今年のパッケージは従来のノートン製品の黄色一色のデザインから大きく変わった。この変更はシマンテックのコンシューマ部門バイスプレジデント、ローワン・トロロープ氏の意向だそうだ。

 画面のデザインにもこだわりがあるようで、メイン画面の背景は後ろから光が差し込むようなものだけでなく、5種類から選択できるようになっている。地味な背景のものもあるので、変えてみるのもよいだろう。デザイン変更は今後のコンシューマ製品でも継続するという。10月末にベータ版が公開された「ノートン360 バージョン4.0」も、製品版では同様なものになるだろう。

設定画面の一番下で「メインプログラムの背景」の選択ができるようになっていることがわかる背景を「Shadow」に変えてみると、往年のセキュリティ製品のような地味な感じの画面になる

 NIS2010ではレピュテーションの仕組みを全面的に取り入れることで、ファイルの安全性を評価するモデルを大きく変えている。これにより、ユーザーのメリットを増やしたが、ユーザーマシンへの負荷はさほど増えていない。

 セキュリティモデルの質を変えつつ、軽さは同等というのがNIS2010の評価となるだろう。NIS2009で軽量化を実現させたのに慢心せず、NIS2010でも製品の内容を大きく改良した点は高く評価できるだろう。


関連情報

(小林 哲雄)

2009/12/15 12:00