［世界］【Secunia調査】
市販のセキュリティ・ソフト、大半が脆弱性を悪用するコードを検知できず

セキュリティ・ソフトの実態をセキュニアが指摘

（2008年10月14日）

　デンマークのセキュリティ・コンサルティング会社Secuniaは10月13日、現在市販されているセキュリティ・スイート製品のほとんどが、PCにインストール済みの各種ソフトウェアの脆弱性を突くエクスプロイトを十分に検知できないという調査結果を明らかにした。

今回の調査結果はSecuniaのWebサイトから入手できる

　SecuniaのCTO（最高技術責任者）、トーマス・クリステンセン（Thomas Kristensen）氏によると、同調査では10数種類のインターネット・セキュリティ・スイートを用いて、各種ソフトウェアの脆弱性を突く攻撃をどの程度阻止できるかをテストしたという。

　このテストのアプローチは、現在のセキュリティ・プログラムの開発手法とは異なっている。セキュリティ・ソフトウェアは、脆弱性を利用してPCに侵入した悪意あるプログラムを検知することに重点を置いており、侵入後PCに送られる悪意あるペイロードを検知するためのシグネチャ（データ・ファイル）を更新することでアップデートされるようになっている。

　クリステンセン氏は、無数に存在するペイロードからコンピュータを守るのではなく、エクスプロイト・コードの検知に重点を置くほうが明らかに有利であると指摘している。エクスプロイト自体は変化せず、ハッキング対象となるPCでの利用方法も同じだからだ。

　とはいえ、エクスプロイトを特定するのは決して容易ではない。エクスプロイトがどのように機能するか調べるには、パッチを適用する前と後で、脆弱性の影響を受けるプログラムのバージョンを分析しなければならない。

　Secuniaは、各社のセキュリティ・ソフトウェアをテストするため、既知の脆弱性に対応する作業用のエクスプロイトを300種類作成した。このうち144種類はマルチメディア・ファイルやOffice文書などの形式で作成された悪意あるファイルであり、残りの156種類はブラウザやActive Xの脆弱性などを探知するため、悪意あるWebページに組み込まれるエクスプロイトだ。

　同社のテストで最もよい成績を収めたのは、米国Symantecの製品であった（それでも決して優秀とは言えない）。同社の「Internet Security Suite 2009」は、300種類のエクスプロイトのうち64種類を検知した（検知率は21.33％）。

　Symantec製品の次に成績がよかったのはSOFTWINの「BitDefender Internet Security Suite 2009 build 12.0.10」とTrend Microの「Internet Security 2008」で、検知率は共に2.33％、その次がMcAfeeの「Internet Security Suite 2009」で、検知率は2％だった。

　クリステンセン氏は、ほとんどのベンダーがエクスプロイトの検知に重点を置いていないという点を認めたうえで、「ペイロードではなくエクスプロイトを検知するためのシグネチャを開発すれば、検出にかかる時間も短縮できる」と指摘する。エクスプロイトのほうがペイロードよりもはるかに種類が少ないからだ。

　クリステンセン氏によると、すでにSymantecなどのベンダーは、Microsoft製品関連のエクスプロイトに対応するシグネチャを開発するなど、エクスプロイト重視の方向に舵を切りつつあるようだが、他の多くのベンダーがこうした動きに追随するという状況になっていないという。

　ユーザー側にも、パッチがリリースされた時点で早急に適用する、あるいは、エクスプロイトの情報が公表されてからパッチがリリースされるまで時間がかかるようなら、影響を受けるプログラムの使用を避けるなど対応が求められる。

　「ウイルス対策ソフトさえあれば何も心配はいらないと考えている人があまりにも多いが、そうした思い込みは捨てるべきだ」とクリステンセン氏は注意を促している。

(Jeremy Kirk／IDG News Serviceロンドン支局)