セキュリティ・ベンダー各社、2009年は「マルウェア検出手法の刷新を図る」/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

「新たなマルウェアは
毎日1万2,000種類も現れる」

ステップ1：コンピュータ・ウイルスの検体を発見。ステップ2：ウイルスを検出、駆除するための「シグネチャ」を作成し、シグネチャ・ファイルをコンピュータに配布。ステップ3：新しいウイルスとその亜種についてステップ1と2をひたすら繰り返す――。

　長年にわたり、ウイルス対策ソフトウェア業界ではこうした「シグネチャ・ベース」によるウイルスとの戦いが行われてきた。しかし現在、一部の大手ベンダーは、マルウェアの急激な増殖を背景に、2009年にはこの方法論の重要性が低くなると見ている。

　シグネチャに基づくスキャンは「ダイナミックではなく、古くさいやり方だ」と、米国Symantecのセキュリティ技術／レスポンス部門の製品管理ディレクター、ジェリー・イーガン（Jerry Egan）氏は語る。「検出／駆除すべき新しいマルウェアが毎日1万2,000種類も現れるようになった現在、われわれは、シグネチャ・ベースの方式は役目を終えつつあると考えている」（同氏）。

　しかも、現在のマルウェアは巧妙な設計がなされており、20〜30台のマシンに拡散したのちに突然変異するのだとイーガン氏は指摘する。「そのため、同じシグネチャで対処していても、マシンによっては効果がないこともある」（同氏）。

　イーガン氏の話によれば、Symantecはシグネチャ・ベース方式の検出をすぐにやめるつもりはないが、来年はほかのマルウェア対策技術、例えばビヘイビア検出、ヒューリスティクス、評判分析、さらにはホワイト・リスト／ブラック・リストといった技術とのハイブリッド化が進む見込みだという。

“ポスト・シグネチャ”の検出手法を巡り
多種多様な取り組み

　他のセキュリティ・ベンダー、米国Trend MicroやロシアのKaspersky Labも、シグネチャ・ベースの検出についてはSymantecとあまり変わらない見解を示している。

　「今年はマルウェアの件数だけでも昨年の8倍に増えていると見られる。こうなると、従来のシグネチャ・ベースによるアプローチでは対処が極めて難しい」と、Kaspersky Labのシニア製品マーケティング・マネジャー、ピーター・ビアードモア（Peter Beardmore）氏は語る。

　ビアードモア氏も、自社製品の検出モデルが変わっていくことを予想している。「マルウェアのコードが持つパターンよりも、そのコードが実行する“呼び出し（コール）”のパターンがポイントになる。例えば、コールしようとしている対象がプリンタなのか、レジストリなのかで判断は大きく変わるだろう。したがって、今後はビヘイビア・ベースの手法によりマルウェアが特定されるケースが増えるはずだ」（ビアードモア氏）。

　また、Kasperskyは、すべてのデスクトップ製品にホワイト・リスト／ブラック・リストのアプローチを導入しようとしている。同社は米国Bit9との提携により、今年の夏、コンシューマー製品でこのアプローチを試験導入している。なお、現状では、このアプローチはデスクトップ製品により適していると考えられるため、Kasperskyはそれらをサーバ製品で使う方針は示していない。

　Trend Microのコア技術ソリューション担当副社長、ジョン・マディソン（John Maddison）氏も、マルウェアの大増殖は、従来のシグネチャ・ベースの対策では対応が困難な問題だと考えている。

　「われわれの予想では、2015年には、マルウェアの増殖に追いつくためだけでも、1時間ごとに2万5,000件以上の新たなシグネチャが必要になる」（マディソン氏）