最近、社内で実施する独自の検出テストによって自社製品の優秀さをアピールしようとするアンチウイルスベンダーが増えていますが、この問題について、ESETブラティスラバのセキュリティテクノロジーアナリストであるJan Vrabecがブログでコメントしています。以下はその要約版です。
ほとんどのベンダーは、自社製品の機能の検証や改善を目的として社内テストを実施しています。これは当然であり、むしろ実施すべきテストです。しかしこの種のテストは、大げさな宣伝文句や巧妙に作られた画像、動画とともに、自社製品に都合を合わせた利用が少なくありません。中には、製品の検出性能を示すのに社内テストの結果しか提示しないベンダーさえ存在します。
一部のベンダーがこのような行為に走るのはなぜなのでしょうか。わたしには、製品に自信がないからとしか思えません。独立機関が実施するテストで、自社製品がよい成績を残せるかどうか不安に感じているのでしょうか。または、独立テストによって、自社製品が採用する手法の欠陥が明らかになることを恐れているのでしょうか。それとも、テストセットを作為的に選別できるといった「地の利」を活かし、自社製品に有利なように結果を操作できるというメリットに抗い難いものを感じているのでしょうか。新参のベンダーは、すでに確固たる地位を確立しているベンダーの実績におじけづき、それに匹敵するような成績を残すのは簡単ではないと考えているのかもしれません。しかし、テストを実施する側と受ける側が同じ組織であれば、当然、その組織の製品だけが特に高く評価されるという事態も起きてきます。
ベンダー社内と専門知識を持つ独立テスト機関によるテストの実施方法を比べてみると、当事者によるテストはこのほかにもいくつか大きな問題を抱えていることがわかります。
通常、専門のテスト機関は手法を公開していますし、対象ベンダーにサンプルを提供してテスト結果を検証できるようにしている場合もあります。一方、結果のマーケティング利用を目的とする社内テストの場合、テスト手法は公開されずサンプルも提供されないケースがほとんどです。詳細を明らかにせず、ただ「方法は適切だから信用しろ」といっているかのようなこのアプローチでは、いかにユーザーが賢明であっても、テストの客観性や有効性について意味のある結論を導き出せず、テスト対象製品の検出性能を別の製品と正しく比較することもできません。
では、アンチウイルス製品のテストについてはどのような情報が提供されるべきなのでしょうか。まず挙げられるのは、テストの実施方法と実施者についてです。この情報によって、テストが業界標準に準拠しているかどうかを確認することができます。業界標準の例としては、AMTSO(Anti-Malware Testing Standards Organization)が策定したガイドラインなどがあります。
テスト結果の詳細な検証の結果、サンプルの選択や分類、検証が不適切であると明らかとなる場合もあります。
一見信頼できそうなテスト結果であっても、テストで使用されたサンプルの分類を間違えていたために、実際とはまったく異なる結果になっている事例も少なくありません。
例えば、大量の誤検知が発生した場合でも、それはマルウェアのサンプルが誤ってクリーンな(AMTSOの用語では「innocent/無害な」)ファイルと分類されていることが原因かもしれません。また、サンプルの検証が不十分で(あるいは検証が行われなかったために)無害なファイルがマルウェアと分類されている場合には、製品の検出性能が低いと評価されてしまう可能性があります。ありがちながら発覚しにくい問題としては、PUA(Potentially Unwanted Application:ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)などのグレーなサンプルが完全なマルウェアとして分類されているケースが挙げられます。このケースでは、PUAを検出しないよう初期設定されている製品は、設定次第で検出できるはずのサンプルを見逃してしまい低く評価されてしまうのです。この場合、テスト結果は、実際の検出性能ではなくテストの設計ポリシーによって決まってしまいます。
同様の問題は、破損していて実行できないサンプルや、極めて限定された状況下(どう考えても非現実な状況など)でのみ不正な活動を行うサンプルなどによっても起きます。このため、アンチマルウェア製品の性能を正確に比較するためには、テストで使用するマルウェアサンプルを正しく分類、検証することが非常に重要なのです。
AMTSOが公開している『Fundamental Principles of Testing』の第5原則では、テスターに対し、検出漏れや誤検知を引き起こしたと見られるテストサンプルを改めて確認するよう推奨しています。
購入するセキュリティ製品を選ぶ際には、ベンダーが主張する性能の根拠(独立テストの結果やレビューなど)を確認するようにしてください。業界で認められている独立テスト機関には次のような組織があります。
次に購入するアンチマルウェア製品を選ぶ際には、これほど複雑で高度なアプリケーションを生み出すために、どれだけ開発および保守コストが費やされているかを考えてみるのもいいかもしれません。1つの判断材料となるのが、製品の実績やベンダーの業績といったこれまでの経歴です。独立テスト機関から受賞したアワードは、そのベンダーのテクノロジーの優秀さ、ユーザーを脅威から保護するために掛けられた時間と労力の目安となります。
この5月は、ESETの各リサーチチームにとって多忙な1ヵ月となりました。パリで開催されたEICARカンファレンスでは、Jan VrabecとDavid Harleyがパフォーマンステストについての論文を、David Harley、Pierre-Marc Bureau、Andrew LeeがApple製品のセキュリティ問題についての論文を発表しました。どちらの論文も、ESET Webサイトのホワイトペーパーページの「ESET Conference Papers」セクションからダウンロードすることができます。前者の『Real Performance?』は、AMTSO Webサイトのリソースページからもダウンロードできます。このページには、特定の製品に限定されないテスト関連資料へのリンクが多数掲載されています。フィンランドのヘルシンキで開催されたAMTSOワークショップでは、新しいガイドライン『AMTSO Performance testing guidelines』と『Whole Product Protection Testing Guidelines』が承認されました。こちらは、まもなくAMTSO Webサイトのドキュメントページで公開される予定となっています。
AMTSOのホワイトペーパー『Issues involved in the “creation” of samples for testing』に関しては、興味深い(そしていささか混乱気味の)記事がOffensive Computingに掲載されています。筆者のDanny Quist氏はこの記事の中で、同ホワイトペーパーはAMTSOの考えが的外れであることを示していると指摘し、その理由を次のように述べています。
「マルウェア作者はここで挙げられているすべての手法を用いており、大きな成功を収めている」
一方、David HarleyはAMTSOのブログで次のように述べています。
「この点に関しては、もちろんQuist氏のいうとおりです。テスト目的で新たにマルウェアを作成する行為が、控えめにいって『余計』であるのはそのためです。また、マルウェアのサンプルが手に入らないからといって独自に作成しようとする人は、おそらく実際の脅威と同等レベルのサンプルを作る知識を持ち合わせていないでしょう。マルウェア作者には倫理観がないという意見も、この問題とは関係がありません。すぐれたテスターは正しい倫理観を持っており、『自分たちはユーザーに対し、可能なかぎり正確にテストを行う責任を負っている』と考えています。また、テスト目的で作られたサンプルは本物のマルウェアとは違うと認識しています」
「…業界関係者以外の人々に、マルウェアサンプルを無制限に提供することが倫理的に問題なのは、誠実さや道徳性という点で疑問が残る人々、あるいはサンプルを適切に扱うスキルが未知数である人々もサンプルを入手できるようになってしまう、という理由だけではありません。…ある製品をことさら良く見せかけるバイアスはいくらでも存在し、実際、これまでもそのようなバイアスが利用されてきました。…仮に、すべての製品が検出すべきサンプルを適切にまとめたものを公開したとしても、非専門家が公正かつ正確にアンチウイルス製品をテストするのは容易ではありません。『どのくらい難しいのか』という問いに対しては、差し当たり『そのために学ぶべきことは山ほどある』とお答えしておきましょう」
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。それにもかかわらず、依然として600万台以上のマシンがConfickerに感染しているとConficker Working Groupは推定しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
3. Win32/PSW.OnLineGames [全体の約4.29%]
前回の順位:4位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:3位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:7位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
エンドユーザーへの影響
これは、自身が実行されたあと、感染の可能性を最大限に高め、できるかぎり長く潜伏できるようにするために幅広い手法を用いる典型的なマルウェアです。具体的には、ファイル感染、Autorunを利用した感染、ポリモーフィック技術、既知のセキュリティソフトウェアの停止、ドライブの列挙といった手法を使用します。セキュリティ関連のプロセスを無効にしようとするマルウェアは数多く存在するため、セキュリティソフトウェアが正常に動作しているかどうか定期的にチェックするようにしてください。Salityが登場から数年間も拡散し続けているという事実は、セキュリティ関連のプロセスを無効にするという戦略が非常にうまく機能していることを示しています。
前回の順位:6位
Flystudio O.Genというのは、難読化されたFlyStudio実行可能ファイルの検出名です。
Flystudio O.Genは汎用検出名のWin32/Packed.Flystudio(亜種であることを示すアルファベットなし)とは区別されていますが、これは、Flystudio O.Genでは正規のFlyStudioコードも検出されるためです。
エンドユーザーへの影響
難読化された実行可能ファイルは必ずしも悪意のあるコードを含んでいるわけではありません。
難読化は、不正なリバースエンジニアリングを防止する正当なデジタル著作権管理(DRM)の手段として行われる場合もあります。しかしここ数年は、パッカーや難読化ツールが使用されているファイルには、かなりの確率で悪意のあるコードが含まれています。そのため一部のベンダーは、難読化されているほぼすべてのコードをマルウェアまたはその可能性があるコードとして検出しています。
前回の順位:9位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
エンドユーザーへの影響
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのはいうまでもありません。先ごろ、Pierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”:Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、“The Game of the Name:Malware Naming, Shape Shifters and Sympathetic Magic” by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
前回の順位:10位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。