TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

AVの終焉―アンチウイルス業界で今、何が起こっているのか

この記事をシェア

アンチウイルス(業界)は死を迎えている、という議論が起こっている。ここには、ウイルスの定義の変化、ウイルス対策手法の多様性、ウイルス対策ソフトのテスト(結果)の活用のされ方など、さまざまな問題が含まれている。アンチウイルスの世界では今、いったい何が起こっているのだろうか。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

AVの終焉―アンチウイルス業界で今、何が起こっているのか

アンチウイルス、すなわちウイルス対策は今、アンチマルウェアまたはセキュリティ対策とも言われている。アンチウイルス(以下AVと略する)業界が死に瀕している、と語られるとき、その意味は三つある。

第一に、不正プログラムの性質が以前とは変わって「ウイルス」という言葉がふさわしくなくなった、ということである。第二に、コンピューター(ネットワーク)への脅威が多様化しており、かつてのような対策だけでは十分ではない、ということである。そして第三に、ウイルス対策ソフトのテスト結果の活用のされ方があいまいになっている、ということである。

以下では、この問題に長年にわたって取り組んできたESETの上級研究員であるデイビッド・ハーレー(David Harley)による「AVの死」という指摘をかみ砕いて紹介することにする。「アンチウイルス」という言葉を使い続けることによって、さまざまな弊害がもたらされている、それが現状なのである。

ハーレーが訴えるもの

ハーレーは、2015年8月に「ウイルス・ブリテン」(Virus Bulletin)誌において「HYPEヒューリスティック、シグネチャ、アンチウイルスの死(再び)」というタイトルのホワイトペーパーを公表した。

Hype heuristics, signatures and the death of AV (again)
David Harley

10年ほど前からハーレーはこの「アンチウイルスの死」というテーマをもとに書き続けており、中でもアンチマルウェア業界に対する誤解や歪曲を嘆いて、ラリー・ブリッドェル(Larry Bridwell)氏と共に「いったいアンチウイルスに何が起こったのか」という論文を2013年にAVAR(アジア地区のウイルス対策ソフトウェア研究者機構、Association of anti Virus Asia Researchersの略)に提出した。これをきっかけに「AVの死」問題は、業界内部のみならず広く世間にも知られることとなる。

Death of a Salesforce: Whatever happened to anti-virus?
David Harley & Larry Bridwell

ハーレーの主張を簡単にまとめると、静的なシグネチャ(ウイルス定義データベース)を使って既知のマルウェアを検出する手法とその評価(テスト方法)、さらにはテスト結果を恣意的に利用する業界の体質に対する問題提起、ということになる。

「AVの死」の本当の意味

実は、昨今のAV業界は、こうした批判を十分に克服したという状態にはない。さらに厄介なことに、「AV」の中身とその言葉との間には、今や大きな食い違いが生まれている。にもかかわらず、相も変わらず「AV」と呼ばれ続けているし、業界側もそう呼ばざるを得ないために、そこに矛盾が生じている。

ご存じのように、ウイルス定義データベースによるウイルス検知をするのがウイルス対策ソフトであるという説明は、実際に行っていることの全てを網羅してはいない。繰り返しになるが、こうした説明は、ウイルス定義データベース以外によるウイルス検知の手法も長らく併用されてきた、という事実を見えにくくさせている。

恐らく近い将来、セキュリティ業界が率先してアンチマルウェアの役割と内容をしっかりと見直さなければならないのである。

AV対策の歴史への誤解

ところが厄介なことに、業界内部でも、こうした混乱をむしろ逆利用して、主流のアンチマルウェアから別の商品に市場のシェアを誘導させるような動向も見受けられる。 また、この業界のこれまでの経緯にしても、すでに忘れ去られ始めている。

例えば「ウイルス・ブリテン」誌の編集者であるマーティジン・グローテン(Martijn Grooten)氏は、アンチウイルスが以前はシグネチャベースでしかなかった、といった言い回しをしている。

多くの人にとっても、そうしたイメージがAVには強いかもしれない。だが、実はそうではない。当初のコンピューターウイルスに対応するプログラムは、今のようなシグネチャを使ったものではなかったのだ。

初期には、まるでゲームソフトのように相手のプログラムを攻撃するものがあった。また、このプログラムは決して、現在のようにコンピューター内のデータをスキャンしてウイルスを探し出すこともなかった。

「ウイルス・ブリテン」誌自体も、16バイトの「16進数」リストを公開していたような時代があり、ユーザーは特定のマルウェアの検出情報を、このリストに基づいてアンチウイルスプログラムやその他のユーティリティに追加していた。そもそも当時マルウェアは、極めてゆっくりとしたスピードで出現していたため、そのようなリストを月刊誌に掲載することに意味があったのだ。

マルウェアの多形化

「ウイルス・ブリテン」誌がこのリスト公開をいつやめたのか、正確には分からないが、恐らく亜種が無数に生み出されるようになったころであるに違いない。マルウェアを作成する側がウイルス対策ソフトに検出されないように、その都度、ファイル名や圧縮・暗号化方式などを変える「多形化」(polymorphism)を進めたのである。その結果、スキャン技術も、単純にワイルドカードや一般的な規則に準拠するだけでなく、かなり複雑なアルゴリズムを使って亜種にも対応しようという方向に移っていった。

とはいえ、あまり歴史を過度に単純化してしまってはならない。数多くのシグネチャをとにかく速やかに配布するというやり方は、少なくとも1990年代後半までの主流であった。このことは間違いない。また、その有効性を否定する気も特にない。実際、その後になってようやくヒューリスティック技術が確立し始め、また、スキャニング技術が多層化していったのである。

「ウイルス・ブリテン」誌のアーカイブページでは、「業界の大御所」であるハーレーが、こうした論争に飽くことなく対応している、と指摘されている。だが、その初期論文の、アンドリュー・リー(Andrew Lee)との共著「ヒューリスティック解析―未知のウイルスの検出」には以下の文章が残されている。

「コンピューター技術の中で最も長らく語り継がれてきた神話の一つに、ウイルスおよびAV技術に関連したものがある。AVソフトが、単に特定もしくは既知のウイルスしか検出できないと初期のAV研究者によって広く信じられていた、というものである。その後、それが全く真実ではないことが明らかとなっている。最初期のAVプログラムの一部には、特定のウイルスを検出するものばかりでなく、ウイルスのような挙動もしくはファイル内の不審な変更を阻止しようとするものもあったのだ」

Heuristic Analysis-Detecting Unknown Viruses
David Harley & Andrew Lee

AVテストの評価をめぐる疑惑

もちろん現在も、こうした伝説は生き永らえている。また、外部の目からすると、AV業界に対する不信感も根強い。AV業界がマルウェアを世間にばらまいているのではないかという噂(うわさ)をまことしやかに語る人もいる。さらには、世間を騒がせるマルウェアをなぜAV業界は食い止められないのか、といった不満の声も聞こえる。

例えば、英国でITセキュリティの批評活動を行っているケビン・タウンゼント(Kevin Townsend)氏の発言などがその代表例である。

The anti-virus industry does itself no favours
Posted by Kevin on July 11, 2015.

Still critical of the AV industry... after all these years
Posted by Kevin on August 8, 2015.

二つの記事を読むと、タウンゼント氏の不満が、AV製品のテストのあり方にあり、特に、テスト結果を踏まえてあたかもその製品が完璧な防御をしていることを意味するかのように「ウイルス検知100%」という宣伝を行うやり方に集中していることが分かる。

ここで最も大事なことは、次のことである。すなわち、テストセットに含まれる全てのマルウェアに対して、製品に対して検出が100%となるように追求し、ベンダーは少しでも良い結果が得られるように努力をするのは、企業努力としてごく当然のことであるということだ。

ただし現在、主要なテスト機関でテストに用いられるサンプル数は、通常は数十もしくは数百程度にすぎない。テストセットは、実際、より良いテスターが動的テストに集中しているため、その数はさらに少なくなってしまっている。

動的テストは、旧式の静的テストよりももっと多くのリソースを必要とし、とても苦労が多い。しかも、サンプルを検出する製品の性能を静的テストよりはっきりと反映している(適切にテストが行われていればの話であるが)。これこそ、アンチマルウェアテスト標準化機構(AMTSO)が適切なテストを積極的に推進していた理由なのである。

アンチマルウェアテスト標準化機構(AMTSO)

しかし、テストが100万規模のサンプルに基づいて実施されたとしても、同じように問題が発生する。この場合、旧式の静的テストでは処理が膨大となるため、全く実用的ではなくなってしまう。既知のウイルスのサンプル数は100万よりもはるかに多く、数億と考えられるだろう。しかもさらに、未知のサンプルは考えないことにしてもよいのかという問題が発生する。

静的テストと動的テストの違い

静的テストに対しなぜ動的テストが必要なのか、分かりやすい例を出してみよう。各種のフルーツキャンディ(フルーツゼリーでもよい)を1袋渡して、適切な味かどうかテストしてくださいとお願いするという例である。さて、どういうテストをするであろうか。

1 包みやお菓子そのものを見て、赤ならイチゴ味、黄色ならレモン味、緑なら石鹸味……といったように仕分けを行う。

これはシグネチャを基本とするスキャンのやり方であり、極めて粗っぽくアナログ的である。つまり、マルウェアをすでに知られている外的な特徴から識別しようというものである。

この場合、そのお菓子が本当に甘いのかどうかを知る必要がない。どこのメーカーでも似たような発想をするので、色によってお菓子の中身を推察することは、確かに効率的ではある。

第一段階のスキャナーに対して、一般的には、既知のマルウェアのシグネチャが非常に似ていれば、16進数の文字列もしくは一連の指示がマルウェアとの近似性や傾向を示す、と考えられている。

2 お菓子の着色料と香料が一致しているかどうか、化学的分析を行う。

現在のスキャナーがどのように動いているのかを、この例で考えることができる。さまざまな技術を使用しており、そのプラグラムが実際にどういった動作を行うのかを知るために、安全な仮想環境上でプログラムを実行するような技術を含んでいるからだ。

実は、最初の例が「静的テスト」であり、次の例が「動的テスト」である。第二段階のスキャンは、明らかに第一段階のスキャンによっては検出できないものを見つけることができる。つまり「静的」と「動的」のテストの違いは、見た目が似ているかどうかを単純に判別するだけではなく、もっと洗練されたアルゴリズムによる判別なのかどうかということでもある。

3 お菓子を実際に食べてみることによって、有害物質が含まれているかどうかをチェックする。

実際にプログラムを実行させてみる、という手法のことである。ただし、動的テストを行う際に最も気を付けなければならないのは、ラボ環境外にマルウェアが拡散してしまわないようにすることである。それに対して、ラボのマシンに意図的にマルウェアを放り込むというのは、非常に矛盾した作業となる。だが結局は、この両者のバランスにおいてのみテストが可能となる。

もし被害者が中毒症状で救急車に横たわっているとき、自分が握り締めている袋の中のお菓子のラベルが全て(場合によってはい幾つかが)正しく貼られていたと分かったとしても、すでに手遅れなのである。しかもこのことは、世界中のカバンに入っているお菓子が全て正しくラベルが貼られていることの立証にもならない。もちろん、それらに毒性のものが含まれていないということも立証していない。

常にマルウェアは新種が生み出されているので、全てのマルウェアを用意してテストを行うことは現実的にあり得ない。そのためテストを行う側は、常に妥協的にその一部をサンプルとして選ぶほかない。だが結果として、選ばれたサンプルはテスト時に大きな影響力を持ってしまう。

それゆえ、テストを行う側は、テストに使用したサンプルがどうやって選ばれたのかを、誠実に説明しなければならない。ところが、サンプルセットは数多くのマルウェアの中から「代表」として選ばれているにもかかわらず、どういった基準で選ばれたのか、十分な説明があるわけではない。

実施したテストにおいて100%の検知を獲得した製品は、もちろん優れた製品だと言えるだろう。だが、マーケティング的な理由から、全てのマルウェアまたは全ての既知のマルウェアを100%検出できるような印象を与えようとすれば、テストそのものが信用できなくなってしまう。しかもこれは、ベンダーのマーケティング担当者のみならず、テストの実施者にも疑いが向けられてしまう。テストを実施する側もまた、ビジネスの側面がないわけではないからである。

もちろん、誤解を招くような主張は必ずしも何か魂胆があってなされているとは限らないだろう。しかし、そうした主張が繰り返されると、製品の良し悪しのみならず、市場や業界そのものへの不信感が拡大してしまう恐れがある、ということを忘れてはならないだろう。本当の「AVの死」がやって来ないように願うばかりである。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!