ここが違う、2010年版セキュリティソフト[シマンテック編]

膨大なユーザー数を背景としたレピュテーション技術を導入

 シマンテックは、言わずと知れたセキュリティソフトのトップベンダーだ。新製品の「ノートン インターネット セキュリティ 2010(以下、NIS2010)」は、「Noストレス Noウイルス Norton」をキャッチフレーズに掲げて2009年秋に市場投入された。

 NIS2010には、2009シリーズで大幅な進化を果たした「軽さ」も引き継がれ、「最も速く、軽い」セキュリティソフトを標榜する。NIS2010の特徴について、同社の風間彩氏(コンシューマ事業部門リージョナルプロダクトマーケティングシニアマネージャ)に聞いた。

Norton独自の“レピュテーション技術”

シマンテックの風間彩氏(コンシューマ事業部門リージョナルプロダクトマーケティングシニアマネージャ)
ノートンシリーズの機能強化の歴史

 風間氏は、ノートン製品に搭載されるセキュリティ技術の進化を大きく3世代に分類する。まず、従来型のソフトではウィルス定義ファイル(シグネチャ)による静的な対策を主としていた。

 次いで、ノートン2009シリーズでは“ノートン インサイト”によるホワイトリスト機能が提供され、“シマンテックによる信頼情報”を参照することが可能になった。

 さらに2010シリーズでは独自のレピュテーション技術が実装されたことにより、「安全なのか、警告を示さなくてはならないのか、悪意があると思われるのか」というさらに踏み込んだレベルの判定を行なうことが実現したという。

 シマンテックのレピュテーション技術は、次期「Norton 360」(現在β版が公開中)にも搭載される予定であり、今後さらに進化を続けながら広く採用されていくはずだ。

 そもそも、シマンテックはなぜレピュテーション技術の開発に取り組むのだろうか。風間氏は、「レピュテーション技術は『セキュリティソフトには“より多くの機能”が必要なのか? “より効果的な機能”が必要なのか?』という問いの答えとして出てきたもの」だと言う。裏を返せば、従来型のアプローチに基づいてセキュリティソフトのより一層の高機能化を図ったとしても、さまざまな脅威からPCを効果的に保護することはできないのではないか、という問題意識があったということになる。

 機能強化の歴史としてみれば、シマンテックでは「ファイアウォール機能の搭載」「侵入防御システム(IPS)の実装」「ビヘイビア(振る舞い)ブロッキングの採用」など、さまざまな機能を開発、搭載してきている。しかし、マルウェアの作者もこうした技術開発に追従し、さらに進化したマルウェアを作成するといういたちごっこに陥っているのも事実である。

 風間氏によれば、シマンテックがメンテナンスしているウイルス定義ファイルは既に350万種以上に達しており、今も日々増加し続けているという。この大量のウイルス定義ファイルを迅速にユーザーの元に届けるために2009シリーズで導入された「パルスアップデート」では5~15分ごとのウイルス定義ファイルの更新/配布を実現しているが、こうした物量に頼った対策には限界もある。

“空白のロングテール”とは

“空白のロングテール”について

 風間氏は、「世の中に存在する膨大な数のファイルを“良いファイル”と“悪いファイル”に分類してみると、良いとも悪いとも判断できないファイル”が何千万も存在する」という。明らかに“悪い”と判定できるファイルというのは、従来のウイルス定義ファイルで判別できるマルウェアなどに相当する。一方、OS標準のファイルで一切改変されていないものなどは明らかに“問題ない”と判断できるだろう。

 こうした「位置付けが明確なファイル」が多く存在する一方で、その中間に“良いとも悪いとも判断が確立していない”ファイルが存在している。これらのファイルは流通量が相対的に少ない上に、セキュリティソフトのチェック対象になることも滅多にない。風間氏はこうしたファイル群を“空白のロングテール”と呼ぶ。

 明らかに悪いと分かっているファイルについては従来のウイルス定義ファイルで対処可能だ。また、問題ないことが明白なファイルに関しても、ホワイトリスト機能でチェック対象から除外することが可能だ。こうしたファイル群に関してはセキュリティソフトによる対処も迅速に行なわれることから、マルウェア作者としてもあまり攻撃手段として用いない傾向があるという。

 最近のセキュリティ攻撃では、少数の限られたユーザーだけが使用するファイル群が使われ、深刻な被害につながることもあるが、これらのファイル群は流通量が少なく、バリエーションが膨大であるという特性上、網羅的にチェックしてウイルス定義ファイルを作成するのは困難な作業となる。

 風間氏は、「現在のアンチウイルスソフトの性能評価は、定義ファイルが用意されている“明確に悪いファイル”を対象としていることもあって大抵の製品が検出率98~99%という値を達成する結果になっているが、本当に問題なのはウイルス定義ファイルで判定できるファイルではなく、判定から漏れる1~2%の“空白のロングテール”に属するファイル群であり、この中からどれだけ怪しいファイルを見つけ出せるか、だろう」と語る。

 風間氏は現在、この面での画期的な検出技術は確立されていないというが、その技術的な穴を埋めるための方策が、同社のレピュテーション技術だということになる。

レピュテーションの仕組み

レピュテーションの仕組み
ノートン コミュニティ ウォッチ

 シマンテックのレピュテーション技術は、同社の強みである膨大なインストールベースを背景に実現したものだ。とはいえ、“レピュテーション(reputation)”を“評判”と訳してしまうと、「多数のユーザーが下した判断を総合したもの」といったイメージを抱いてしまうかもしれないが、ユーザーが下した判定を吸い上げるシステムではない。

 というのも、シマンテックでは「ユーザーの主体的な評価には期待できない」と考えているためだ。これは、ユーザーの判断が信用できないということよりも、現在のマルウェアが、自身を巧妙に隠蔽する機能を持っているからである。多くのマルウェアは、その動作を極力ユーザーに気付かれないように配慮しており、ユーザーが知らないうちに個人情報を盗み出したり、悪意あるWebサイトに接続しようとする。

 このため、あるファイルについてユーザーの主体的な判定を採用する場合、そのユーザーがマルウェアの動作に気付かない可能性を考えると、その判定を信頼してよいものかどうかの判断が難しくなってしまう。そこでシマンテックはユーザーの明示的な判定を収集するというアプローチではなく、判定自体はシステム側で行なう方法を採用した。

 なお、ファイルのレピュテーションにあたっては、ノートン製品をインストールする際に、PC内のファイルの情報を匿名で送信することに同意した約3300万人のユーザー(このうち日本は約600万人)で構成される「ノートン コミュニティ ウォッチ」の情報を活用している。

 情報を自動収集することから、ユーザーが特定できてしまうような情報や個人情報に属する内容は一切使えない。同社では匿名情報に限定し、「ファイルがインストールされているマシンの数」「最初にそのファイルが登場した時期」「ファイルに関するその他のデータ」といったファイルの属性情報を収集する。その上で非公開の独自の分析手法によってファイルの“レピュテーション・スコア”を算出している。

 この手法により、「ファイルそのものをスキャンしなくても、膨大な量の情報を背景として、ファイルの属性だけを手がかりに、特定のファイルのレピュテーション・スコアを自動的に計算できる手法を考案した」(風間氏)という。

 セキュリティソフトのトップベンダーであるシマンテックは、「ノートン コミュニティ ウォッチ」に同意した3300万人のユーザーを擁しており、そこから得られる情報量は莫大なものになる。そのため、それを分析することでファイルの「レピュテーション情報」を算出できる、というのが同社のレピュテーション技術の基本的な発想となる。

 ただし、先ほども述べたように、風間氏が“空白のロングテール”と呼ぶファイルは、流通量が相対的に少ないことから、こうしたファイルをレピュテーションで判定できるのかという疑問もある。この点について風間氏は、「仮に0.01%のユーザーから情報を収集したとしても、3300件のデータサンプルを分析できる。また、これらのサンプルは日々増加しているため、ロングテールにあるわずかな脅威も発見できる率を格段に上げている」とアピールする。

レピュテーション情報の活用

 なお、レピュテーション情報はファイルのハッシュ値に対応付ける形で保存され、ファイルの信頼性の判断に利用できる。また、レピュテーション技術は実行形式ファイルに限定されず、ユーザーが訪問するWebサイトやメディアファイルの信頼性判定にも応用されるという。

 同社のビヘイビア分析機能である「SONAR2」も、レピュテーション情報を参照することで、判定精度を高めているという。SONAR2があるファイルの振る舞いをリアルタイムに監視する過程でそのファイルのレピュテーション情報を参照し、「怪しいのか、怪しくないのか」の判断を補強するために使われるわけだ。従来のビヘイビア分析では誤判定が生じる可能性があったが、レピュテーション情報を組み合わせることで誤判定率を低下させることができるという。

 さらに、レピュテーション情報は「怪しくないファイルに関してユーザーに安心感を与える」役にも立つという。オンラインソフトをインストールする際などに、OS側から「デジタル署名が付加されていない」「不明な発行元のデジタル署名である」といった趣旨の警告が表示される場合がある。本来、これは信頼できないファイルを見分けるための仕組みとして機能するはずなのだが、現実はそうではない。というのも、広く利用されており、基本的には信頼できるはずのソフトウェアの中にもデジタル署名が付加されていないものが多数存在しているからだ。

 例えば、デバイスドライバーなどでは、PCユーザーなら誰でも知っているような著名なデバイスメーカーでも、インストールマニュアルに「デジタル署名に関する警告が表示されても無視して続行せよ」といった指示が明記してあったりするほどで、この機能を手がかりにファイルの信頼性を判断することは事実上不可能な状況となっている。

 しかし、レピュテーション情報を参照すれば、ダウンロードしたファイルが問題ないかどうか、手がかりとなる情報を得ることができる。新たな手がかりが加わったことで、いたずらに不安を募らせることなくファイルを利用できるようになるのはユーザーにとってもメリットといえるだろう。

レピュテーションの計算方法は「秘伝のソース」

レピュテーションの計算方法について

 なお、シマンテックのレピュテーションの計算方法については、マルウェア作者を利することにならないよう、「秘伝のソース」として厳重に伏せられている。

 繰り返しになるが、シマンテックのレピュテーション技術の根幹は、「多数のユーザーからの情報を集めることで、ファイルそのものの挙動を見ることなく、匿名情報として得られるファイルの属性情報からそのファイルの“善悪”を判定できる」という点にある。

 ファイルの属性情報といっても、ファイルサイズや作成日時/更新日時といった情報からファイルの善悪を判断できるとは思えないので、もっと広範な情報を集めているのだろうとは想像できるが、それがどのような情報なのかは明確にされていない。「こういう情報を、このように分析すれば、悪意あるファイルかどうかを判断できる」という具体的な処理例を1つでも明かしてもらいたいところなのだが……。

 技術的な内容が分からない点で少々の消化不良感があるのは確かだが、一方でレピュテーション技術はシマンテックが今後広範な採用を予定している、いわば“自信の新作”でもある。この「秘伝のソース」が実環境でどれほどの効果を発揮するのかに注目しておきたい。


関連情報

(渡邉 利和)

2010/2/22 06:00