恐竜の時代

現在のセキュリティ市場に関する見解のうち、最近メディアに繰り返し利用されているものがある。それは、対応が後手に回るシグネチャに基づく検知に常に依存している「第一世代」もしくは「伝統的」(時には「化石」もしくは「恐竜」のような)マルウェア検知技術と、シグネチャによらない検知を利用した、優れた(と主張される) 「次世代の」技術とが2分されるという考えである。この考えは、幾つかの「次世代」企業がマーケティングをする際に非常に好んで用いられているが、必ずしも実態を反映しているわけではない。

進化論

最初に、私は「第一世代」という用語に反論したい。最近主流の総合的な（＝多層的な）性能を持つウイルス対策ソフトを初期のころの「単一層の」技術(固定シグネチャのスキャナーなど)と一緒くたにされるべきではない。それらは過去のアプリケーションと基本的な目的(不正ソフトの検知・阻止、もしくはテキストの生成や処理)を共有しているかもしれないが、格段に機能の幅が広い。最近のワープロが数十年前にはデスクトップ・パブリッシング、表計算、もしくはデータベースの領域と考えられるような機能をも備えているのと同様である。

種の起源

最近のマルウェア対策に重きを置いたウイルス対策ソフトは、「総合的な」性能を持っているが、プログラムの構成要素という観点から言えば、それほど幅があるわけではない。とはいっても、シグネチャをはるかに超えるジェネリックな保護が幾層にも取り入れられている。こうした保護技術は、初期のセキュリティ製品が作られたときには存在しなかったのは確かであるが、全く異なる世代の商品と共に開発が進む中で次第に取り入れられていったという経緯がある。したがって、市場への新規参入者のみが、原始的なシグネチャに特化した技術を超える「次世代」であるかのように語るのは誤解であり、完全に語弊がある。

何のシグネチャ？

最近の単一機能の商用ウイルス対策ソフトですら、特定のサンプルや単純な固定シグネチャを探すだけでなく、それよりもはるかに多くのことを実行している。ホワイトリスト、ふるまい分析・ブロック、変更検知など、かつては純粋に「ジェネリック」な技術であると考えられていた技術の要素を取り入れることによって、既知の、ハッシュ値で特定可能なマルウェアファミリーをより多く検出するようになっている。断っておくが、ここで私は大企業がよく無償提供する単一機能のソフトの利用を推奨しているわけではない。彼らは、ほかにも各種ソースから抽出したコンポーネントを利用しており、さらに、商用向け総合的なウイルス対策ソフトを活用するか、もしくはそのようなスイートの多層化機能を複製するなどして、その他の「層」の保護機構も活用している。しかも、その後者のアプローチには脅威とセキュリティ技術に関するある程度の理解が必要であり、それができる人材は限られている。この点について言えば、自社内にそのような博識な人材を有していない組織も多い。そのため、技術アドバイスを装ったマーケティングに翻弄される余地が残るのである。

基本に立ち返る

幾つかの次世代製品は技術の詳細について極秘にしており、主流のマルウェア対策商品がオープンソースのように見えてしまうほどであるが、「化石時代」商品と「次世代」商品の切り分けは技術面ではなく、用語上のものであることは明らかである。かなり昔にフレッド・コーヘン（Fred Cohen）氏がマルウェアに対する基本的な対策を定義(1984年に、コンピューター・ウイルスという用語を導入・定義し、これが明らかにウイルス対策ソフト業界を活性化させた)しているが、「次世代」商品が「従来の」ソリューションが実施するこれらの対策をはるかに超えたことを実現するようになったとは私は考えていない。これらの対策とは以下の通りである。

• 不正のふるまいを特定・ブロックする
• 想定外かつ不適切な変更を検出する>
• 既知もしくは未知のマルウェアの存在を指し示すパターンを検知する

もちろん、これらのアプローチの実装方法は格段に発展してきた。しかし、その発展に寄与しているのは最近登場した商品のみではない。例えば、通常われわれは、不正コードが侵入・実行しているのではないかと疑える情報を「危殆化指標」（IOC）と呼んで扱っているが、これは(弱い)シグネチャとして見ることもできる。

実際、ふるまい分析/監視、トラフィック分析などを自社商品が活用する場合と、従来の主流のマルウェア対策商品が活用する場合との差異を、納得できる形で説明することができていないベンダーも複数存在する。そうした説明の代わりに彼らは「化石時代の技術」の欺瞞的な見方を広め、実体のよく分からない仰々しい言葉（バズワード）を使ったマーケティングで味付けすることを選択する。

マシンへようこそ

例えば、次世代を第一世代と切り分ける技術としてよく大げさに称賛される「ふるまい分析」と「純粋な機械学習」について考えてみよう。現実の世界では、機械学習は一つのマーケットセクターに閉じるものではない。ニューラルネットワーク（＝人間の脳の神経回路の仕組みを応用したもの）や並列処理のような分野での発展が他のコンピューティング分野同様、セキュリティにおいても有用となったのである。例えば、精度の高い検知をするためには毎日分析されなければならない大量のサンプルの処理が必要であるが、これはサンプルの分類プロセスの自動化によって可能となったのである。

しかし、「純粋な機械学習」などの用語は、口当たりは良いものの、技術的なものではない。この用語は、機械学習がそれだけでほかのどの技術よりも高い検知精度を実現するのみならず、人間の見落としを心配する必要がないぐらい効率的であることをほのめかしている。実際、機械学習を用いた手法はマルウェア対策業界でも長い間よく知られており、またよく利用されてきたが、他の手法同様、機械学習にも長所と短所が存在する。特に、マルウェアの作成者もマルウェアを検知するセキュリティベンダー同様、機械学習の存在を知っている。彼らは、他のマルウェア対策技術に対応するのと同様に、機械学習検知をうまく回避する手法を探すために尽力しているのである。

最高のふるまいについて

同様に、次世代ベンダーがふるまい分析を自社独自の発見として語るのも、語弊がある。ふるまい分析という用語とそのアプローチをとる技術はすでに何十年もの間、主流のマルウェア対策ソフトに利用されてきた。実際のところ、固定シグネチャを超える検知手法はたいてい、ふるまい分析として定義されるからである。

自然な選択と不自然な選択

ジャーナリストのケビン・タウンゼンド（Kevin Townsend）氏から、「ユーザーがマルウェア検知について第一世代（中略）と第二世代（中略）を比較したいと思った際に、業界が何かその手助けをしてくれるようなものはないのか」という質問を頂いたことがある。第一世代対第二世代という語弊のある用語についてはさておき、もちろん、そのような方法は存在する。実のところ、第二世代を自称し、自社の技術を試験することができないほど先進的であると主張する企業の中には、自社商品と「第一世代」ベンダーの商品を比較する試みの中で、さらなる物議を醸すようなことを実施している。例えば、少なくとも次世代ベンダー1社が自社の公開デモの場でマルウェアサンプルを利用しているが、もしも異なる世代の商品が独立したテスト環境の中で比較できないのであれば、そのようなデモが正しいものであると、宣伝活動として行っている実演の中でどうやって主張することができるだろうか。ほかにも、次世代ベンダーによる疑問符の付くマーケティングがある。例えば「第一世代の商品は、ファイルを持たないメモリ上のマルウェアを検知できない」という主張である(ESETは数十年前から検知している)。ほかには、情報公開請求に基づき調査を実施しているのであるが、適切な設計がされておらず、攻撃と成功した攻撃を区別することもなく、「従来の」マルウェア対策の「みじめな失敗」を「証明」している、という例もある。

検査と疑似検査

さらに一般的なこととして、無料でウイルスやURL のスキャンサービスを行う「ウイルストータル」（VirusTotal）が間違った活用のされ方をされていることがある。ウイルストータルやそれに類するサービスが「複数のエンジンからなるウイルス対策ソフトの試験サービス」として利用されるのが適切であるかのように、そのレポートを間違って伝えるものであるが、実際にはウイルストータルはそういったものではない。次のようなただし書きがそのサイトにはある。

「ウイルストータルは異なるウイルス対策商品を比較するための基準作成のために利用されるべきではない。ウイルス対策ソフトのエンジンは高度なものであり、ウイルストータルのスキャン環境の中では動作しない追加機能も存在する。そのため、ウイルストータルのスキャン結果をウイルス対策商品の有効性比較のために利用することは、想定されていない」

ウイルストータルはファイルを一連のウイルス検知エンジン群に入力することで、「評価」をするものであると言われることもある。しかし、ウイルストータルはそれらの商品の検知技術の全てを利用してはいない。そのため、正確に評価したり、商品の有効性を表すものではない。ある次世代ベンダーはあるランサムウェアのサンプルがウイルストータルに提供される1カ月前にそのサンプルを検知したと宣伝したことがある。しかし、少なくとも1つの主流かつ従来のベンダーは、その次世代検知が公表される1カ月前にはそのハッシュ値を検知していたのである。

このように、ウイルストータルのリポートだけで、ウイルス対策製品の有効性を計ることはできない。というのも、ウイルストータルはテスト機関ではなく、そのリポートはウイルストータルが利用している商品の部分的な機能を反映しているにすぎないからである。そうでなければ「VirusBulletin」や「SE Labs」「AV Comparatives」そして「AV-TEST」などの定評のある主流のテスト機関の存在理由がなくなってしまう。これらのテスト機関は、その評価を可能な限り精緻に、そして公平な評価結果となるように、努力を重ねて作られてきたものである。

協力関係の構築に向けて

2016年に起こった劇的な転換の一つに、ウイルストータルが利用条件を変更したことがある。これは、次世代企業が自らウイルストータルに貢献することなしに、「第一世代」企業がウイルストータルに提供したサンプルにアクセスするのを難しくすることが目的である。ウイルストータルのブログには次のように記してある。

「……全てのスキャニング企業は今後、もしウイルストータル APIサービスの一部としてウイルス対策結果を受信する資格を維持したいのであれば、自身の検知スキャナーをウイルストータルの公開インターフェースと統合する必要がある。また、新たに本コミュニティーに参加するスキャナーについては、ウイルス対策ソフトの性能テストに対する公正な標準化を目指す団体「AMTSO」(Anti-Malware Testing Standards Organisation)のベストプラクティスに従い、セキュリティテスト機関発行の証明書もしくは独立したレビューを提出する必要がある」

多くの新世代ベンダーが当初「不平等だ」「大手が団結してわれわれを攻撃している」「われわれはシグネチャを利用しないからウイルストータルも必要ないので、何も気にしない」などと反応していたが、複数の著名な組織はAMTSOに参加し、独立した検査(ウイルストータルによる疑似検査ではなく、本当の検査)を受けられる体制を整え、これらの要求条件に応える準備を進めているようである。

次世代ベンダーは過去に自身の製品を試験することはできないと主張する傾向にあり、特にAMTSOに代表されるバイアスのかかったテスト機関により試験することはできないと主張していたため、今回の動きは、全ての顧客が購入判断をする際に純粋にマーケティングを信じているわけではないということを表しているのではないかと考えている。

情報の共有

新世代ベンダーたちは、なぜウイルストータルと一緒にやっていかなければならないと決断したのだろうか。ウイルストータルは受け取ったサンプルをベンダーと共有し、ウイルストータルが利用している全てのエンジンに対し自動的にファイルをチェックするAPIを提供している。これにより参加ベンダーは、大手ベンダーにより共有されたサンプルの共有プールにアクセスできるだけでなく、はっきりと判定できないサンプルに対して大手ベンダーのエンジンの評価を確認することができ、同時に自身の検知結果を確認することができる。それにより、(該当する場合には)彼ら自身の機械学習アルゴリズムを訓練することができる。

それとも、何かウイルストータルを利用しない理由があるというのだろうか。ウイルストータルの上記のような使い方は、従来のベンダーの利用方法となんら変わらないものである。

違いは、更新された利用規約においては3通りの利益が存在することにある。(ジェネレーションによらず全ての)ベンダーはウイルストータルのリソースとその巨大なサンプルのプールにアクセスすることで利益を得ることができる。ウイルストータルは情報の集積者として、またプレミアムサービスの提供者として利益を得ることができる。それ以外の組織・機関は、疑わしい個々のファイルを幅広い商品でチェックすることができる無料サービスの存在から利益を得ることができる。最近登場した技術を含めるべく、商品の幅を広げることは、そのサービスの精度向上に貢献するだろう。同時に、新規に参入した業者はその種のデータの操作に自身もさらされることになるため、ウイルストータルのリポートを疑似テストやマーケティングに利用しないよう、より細心の注意を払うようになるだろう。

商品全体のテスト

AMTSOの基準に従うテスト機関が近年「商品全体のテスト」に着手してきているが、これは、最近の商品ファミリーを評価するためにテスト機関がまさに向かわなければならない方向性そのものである 。しかし、テスト機関はその評価の方法論については保守的な部分があるかもしれない。静的評価が流行であったのはそれほど昔のことではない(そしてAMTSOの基準に従わないテスト機関の間では、現在でもまだ、ある程度その傾向が残っている。AMTSOはその設立以来、それをやめさせようとしている)。

AMTSOに全く問題点がないとは言わないが、AMTSOが創出する成果は、私欲に縛られず、その構成組織の活動成果の総和よりも素晴らしい。なぜならば、AMTSOはベンダーとテスト機関の双方からさまざまな研究者を集めており、マーケティング関係者はそこでは強い発言権を持っていないからである。そのため、ベンダーおよびテスト機関の双方の個別企業が、自身の興味を追求するために、組織全体に影響するような不当な影響力を行使することは難しい。もし次世代企業も公益を優先し、共に活動をしてくれれば、誰もが利益を得ることができるようになるだろう。

AMTSOは過去に、データの操作もしくはそれ以上のことに過度にフォーカスする企業の存在に悩まされていたことがある。しかし、新旧ベンダーとテスト機関がAMTSOの中で良いバランスをとることで、そのような不正行為から生き延びる可能性を高めていくことができるはずである。

新生代へ向けて

数年前、私はVirusBulletinのある記事を、次のような文章で締めくくったことがある。

「明らかに最後の儀式が整おうとしている今、ウイルス対策ソフトなしの世界をわれわれは想像できるだろうか。……現在ウイルス対策の研究成果を利用しつつもそれを侮辱しているその企業たちが、ウイルス対策の研究所で働いている人々の専門知識にかなうのだろうか」

おそらくわれわれはこの質問に対する回答を持っているだろう。しかし、もし自己流の次世代が自身の限界を受け入れることができ、攻撃的なマーケティングを抑え、異なる強みと能力を持つ企業が連携するメリットを学ぶことができるならば、われわれは全員、緊張を緩和してさまざまな利益を得ることができるだろう。