［米国］
ゼロデイ攻撃にシンプルなアプローチで対抗

（2006年05月01日）

　エクスプロイト・プリベンション・ラボ（XPL）という米国ジョージア州アトランタの新興セキュリティ対策ベンダーが、未パッチのWindows脆弱性を突く、いわゆる“ゼロデイ攻撃”コードからPCを防御するシンプルなアプローチを提案している。

　XPLが開発した「SocketShield」ソフトウェアは、ネットワーク・トラフィックをスキャンして既知のゼロデイ攻撃コードを検出する。また、Webサイト・フィルタとしても機能し、悪意のあるコードを配布していると知られているWebサイトにユーザーがアクセスするのを防ぐ。

　SocketShieldは現在、ベータ版が提供されており、最初の完成版は6月に出荷される予定だ。新規導入の場合は年間29ドル95セント、更新時は年間19ドル95セントのサブスクリプション料金で利用可能になる予定だ。

　大手セキュリティ・ベンダーの製品とは異なり、SocketShieldが遮断する対象は、多様なマルウェア全般ではなく、現在出回っていることが判明しているエクスプロイトと呼ばれる小規模なゼロデイ攻撃コードだけである。現在、Webブラウザ「Internet Explorer」と「Firefox」のバグを突くエクスプロイトが約15種類ほど存在するという。

　SocketShieldの特徴について、XPLのCTO（最高技術責任者）ロジャー・トンプソン氏は、「あらゆるマルウェアに対応できるわけではないが、現在どのようなエクスプロイトが存在し、どれが重大なのかを認識し、ユーザーがパッチを当てられるようになるまでユーザーを保護することができる」と説明している。

　同氏によると、SocketShieldは現在、Webブラウザのエクスプロイトに焦点を当てているが、他の種類の攻撃を防ぐのにも利用できるという。

　なお、セキュリティ・ベンダーのイーアイ・デジタル・セキュリティは今年4月、Internet Explorerの未パッチの脆弱性を突くことができるコードが出回り始めた際に、その脆弱性を回避できるコードをリリースした。マイクロソフトがその問題を修正するまでに、同社のコードがダウンロードされた件数は15万件に上ったという。

　このことは、ユーザーの一部が、こうしたゼロデイ・エクスプロイトに迅速に対応するシンプルな対策を望んでいることを示している。

　ミシガン州バーミンガムのリサーチ会社、ITハーベストのチーフ・リサーチ・アナリスト、リチャード・スティーノン氏は、SocketShieldが他のウイルス対策ソフトウェアと異なる点は、ネットワーク・トラフィック・スキャンへのフォーカスと、既知のマルウェア・サイトをブロックできる能力にあると説明する。

　一般的なウイルス対策ソフトウェアのベンダーは、ユーザーをマルウェアに感染させようとしているサイトを見つけ出すのがさほど上手でなく時間がかかるが、それはチェックしなければならないサイトが何億もあるせいだ、と同氏は指摘している。

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)