オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >
RSS
一般システムエンジニアの刻苦勉励

身の周りのおもしろおかしい事を探す日々。ITを中心に。

海外で有名なアンチウイルスソフト bit defender のブロガーミーティング

»

不勉強ながら存じ上げませんでしたが海外で実績の豊富なアンチウイルスソフトのbit defenderのブロガーミーティングに参加してきました。

数多あるアンチウイルスソフトですが、最近のトレンドとしてはクラウド化とホワイトリスト化というキーワードがあるかと思います。クラウド化については定義体の作成と配信にオーバーヘッドが生ずることから、利用するPCのトラフィックを何らかのセキュリティサービスを提供するサーバに転送し、メール受信であったりHTTPのリクエストであったりという通信内容を検査してもらうものです。もうひとつのホワイトリスト化はPC上のファイルについて検疫済みのファイルをホワイトリストに保存してスキャンに要する時間を減らすものです。

bit defenderについては検出アルゴリズムや遠隔検疫サービスなどの実装形態はちょっと把握できなかったのですが、そういった最近のトレンドについても対応している旨の発表を聞くことができました。また、セキュリティ方面では有名なav-test.orgの様々な評価項目について高い評価を受けているとのことです。ただしav-test.orgでの評価に用いられる検体はセキュリティパッチの適用などにより既に毒性の失われたものが多く含まれているという噂もあり、それを理解した上で数字を読み解く分には非常に有意義なことは否定するまでもありませんが、ウイルスソフトのベンダーによっては検出率の9x.x%という数字だけを強調するような行動も見らます。そういった意味では受け止め方に注意が必要なテストであるという側面も付記しておきたいと思います。

さてbit defenderの製品のデモや評価版に触れる機会がありませんでしたので発表内容をそのまま書くしかないのですが、bit defenderの特徴的なところはソーシャルメディア(SNSやブログやtwitter)での悪意ある振る舞いに対する抵抗性にあるということです。SPAMや掲示板を通し悪意あるソフトウェアが潜んだURLが「知り合いの手により」広まるのがこの種の攻撃の特徴です。日本ではラブレターウイルスが広まったことがありました。その際に友人のアドレスにより届けられるメールや書き込みについて身防備に行動することで攻撃を受けるということを知ったのはある意味でよかったのかもしれません。今では日本人は「見知らぬ英語のメール(と日本語の不自由なメール)は開かない」という行動が浸透しています。日本語の難しさから、洗練されていない文章に危険を感じて行動することができる人が多いです。twitterでは、世間一般的にはITの世界の「有識者」に分類されても不思議はなかろうという人物が何名もSPAMにひっかるという珍しい事件も観測されました。(あまり蒸し返すつもりもありませんが。)

しかし攻撃は洗練され進化するものです。日本語の文章が自然でついクリックしてしまうという攻撃も生まれるかもしれませんし、今のところ少ない日本人の手による攻撃も発生するかもしれません。先日はサービスが開始されたばかりの「アメーバなう」のサービスではまちやさんによる脆弱性の指摘(というか実地試験というかゼロデイ攻撃というか)がありましたし、運用面での不備がしてきされていたネットスーパーサービスにもXSSなどの脆弱性が発見されるということがありました。

このような日本語SNS上での日本人による攻撃や、日本語で提供されるネットサービスに対する脆弱性の攻撃はかなり大きな規模での被害を生みます。ラブレターウイルスが猛威を振った時のような規模と拡大速度でソーシャルメディアによる被害が発生したケースはありません。たとえば多くの人が利便性のためにログインしっぱなしにしていると思われるmixiやyahooで脆弱性を利用した攻撃、しかもソーシャルメディアを利用して広まる性質を備えた攻撃が発生した場合は、非常に広範な被害を生じることが予想されます。ましてや自分に悪意あるソフトウェアを届けるのが友人・知人、場合によっては妻や夫であるということは今の日本の一般的なネットユーザにとって理解しがたいことではないかと思います。(近いとすれば携帯電話の身元詐称メールが流行したことがありました)

ただし先行事例として考えておきたいところは、国内の著名なサイトがハッキング攻撃によりウイルスを配布する踏み台にされた事例です。脆弱性を備えたブラウザによりそのサイトにアクセスするとウイルスに感染する恐れがあり、しかも多くのアンチウイルスソフトがそのウイルスに対応できていませんでした。このために少なからぬ感染者が発生しました。非常に有名なサイトですので何の心配もなく閲覧しに行くわけですが、そこで感染してしまうというものでした。これは拡散する性質の強いウイルスではなかったために大パニックというレベルにまでは達しずに収束しました。しかしもし拡散する性質を備えたウイルス、たとえばホームページ編集ソフトなどを通じて感染者の管理するWebサイトにウイルスダウンロード機能を仕込むような展開であった場合、非常に広範な被害を生じた可能性があります。また、この際にウイルスをいち早く検出することができたアンチウイルスソフトは非常に知名度と信頼性が向上したということです。

今のところ海外ではソーシャルメディアを利用した攻撃手法の流行というのは見逃せない事象となっていますが、日本では大きな被害を生じたという事例は多くありません。その中で、クライアントソフトにインストールすることで悪意あるソフトウェアの潜むURLやSPAMメールをはじく機能について強みのあるソフトウェアというのは消費者に対するメリットが理解されにくいものであるように感じます。

それよりも定期スキャンの時間が短いですとか、定義体の更新頻度が3時間だとか1時間だというほうがわかりやすいアピールポイントであるかもしれません。しかし有名サイトからのウイルスばら撒き事件があった経緯を考えると、何かの事象をきっかけにしてソーシャルメディアを利用した攻撃の対策が急激に進むという可能性も十分に考えられます。本日のミーティングでもbit defender社側に要望をお伝えしましたが、アジアにはアジアの、日本には日本のマルウェアがあります。マルウェアであればマルウェアの解析ラボが海外にあったとしても検体提供が可能ですが、ソーシャルメディアを利用した攻撃についてはその文面を送付し、どういった精神的弱みを疲れるのかまでを文化的背景まで含めて理解できる人材がいなければ脅威に対する方策が生まれないのではないかと思います。

もしbit defender社がそういった体制を気づいてくれるのであれば非常に心強いです。私の認識では日本ではトレンドマイクロ社が国内にラボをおいていますので、それに続く事例となるでしょう。日本語による各種の攻撃手法に対する対策を考慮するラボという意味での設置は初になるのではないでしょうか。あらゆるウイルスがOSの壁を越えずに感染していくのと同様、ソーシャルメディアを利用した攻撃は文化や国籍の壁を超えずに広がっていくと思われます。その意味ではこれまでのアンチウイルスベンダーの戦略と異なり、非常に多くの観測ポイントと多種多様な文化的背景を持つ人材を多量に投入できる人材こそが今後のクライアントセキュリティ向上を担っていく、私はそのように考えています。bit defender社はその先駆者として活躍するのではないかと思い、今後に期待しています。

山口 陽平 2009/12/15 23:46:49 Comment(0)