［世界］【FireEye調査】
ウイルス対策ソフトが晒した、ボットネットに対する“不甲斐なさ”

新手のボット・コードを数日以内に検出できる確率はわずか40％程度

（2008年12月01日）

　多くのウイルス対策ソフトウェアが、ボットネットを拡大させるのに使われるバイナリ・コードを的確に検出できていない――そんなショッキングな実態が、米国のセキュリティ・ベンダーFireEyeが11月28日に発表した調査結果から明らかになった。

　FireEyeの主任科学者であるスチュアート・スタニフォード（Stuart Staniford）氏によると、感染の可能性および危険性が最も高い期間――ボットネット開発者が特定のバイナリ・コードを使用し始めてから最初の数日間――に、ウイルス対策ソフトウェアがそうしたコードを検出できる確率は平均40％程度でしかないという。

　スタニフォード氏は、「この期間に多くのボットが、セキュリティ・ソフトウェアを回避して世界中のPCを攻撃し感染させている状況が推察できる」と警告する。

VirusTotalのWebサイト

　また今回の調査では、FireEyeの顧客が所有する同社製セキュリティ・アプライアンスから抽出した217個のサンプル用バイナリ・コードを、独立系セキュリティ研究所が運用するウイルス・テスト・サイトのVirusTotalにアップロードして検証することも行われた。同サイトでは、世界中で企業や個人が利用している代表的なウイルス対策ソフトウェア製品37種類が稼働しており、疑わしいバイナリ・コードをアップロードして、各製品での検出結果の一覧を得ることができる。

　その結果、FireEyeが選んだバイナリ・コードのうち、VirusTotalがマルウェアとして検出できたのはほぼ半数に過ぎなかった。これは、ウイルス対策ソフトウェアが新たなボットネット・コードを検出できるようになるまでには時間がかかるということを示唆している。

　マルウェアはしばしば、自らのバイナリ・コードをほんの少しずつ定期的に変更する「ポリモーフィズム」という手口を使ってウイルス対策ソフトウェアのパターン検知から逃れるようとする。つまり、今回の調査で明らかになった“マルウェアを迅速に検出できない”という既存のウイルス対策ソフトウェアの欠点は、この点からもきわめて深刻なものだと言える。

　スタニフォード氏も、「ウイルス対策プログラムでは、マルウェアが新たなバイナリ・コードを使い始めてから1週間以内にこれを検出できる能力が重要なのだ。今回われわれが使用したサンプル・コードにしても、サイバー犯罪者たちはすでに放棄して新たなものを使っていることだろう」と訴えている。

　加えて同氏は、「大手セキュリティ・ベンダーの多くが、同一の技術を利用してマルウェアの早期発見を図ろうとしていることも、今回当社が用意したサンプル・コードを多数のウイルス対策プログラムが見逃す結果につながった」と指摘している。

　今年11月11日、ボットネット運営者にWeb接続サービスを提供していたとされる米国のISP（Internet Service Provider）McColoがインターネットへの接続を遮断された事例からも明らかなように、ボットネットこそがマルウェアおよびスパム・メールを蔓延させる中核となっている（関連記事）。

　このような“諸悪の根源”とも言えるボットネットに対して、本来その駆逐に活躍すべきウイルス対策ソフトウェアが十分な効果を発揮できていないという事実には、多くのネット・ユーザーが心許なさを感じることだろう。

　しかしスタニフォード氏は、ウイルス対策ソフトウェアには明るい展望を抱いているようだ。「確かに今回の調査結果は愕然とすべきものではあった。しかし、ウイルス対策ソフトウェアは確実に進化し続けているのも事実だ。日を追って優れた性能を発揮するようになっている。今後リリースされる最新の製品であれば、マルウェア・コードの検出率は70～80％に達するだろう」

(John E. Dunn／Techworld.com)