マルウェア対策における「アプリケーションコントロール」の重要性

インターネット セキュリティ

 従来のアンチウイルスソフトによるマルウェア対策では,シグネチャに基づく検出,ヒューリスティックジェネリック検出がある.シグネチャによる検出は確実ではあるが,各ベンダーがマルウェアの検体を入手してそれを分析してシグネチャを発行する・・という手順を踏むため,後手に回ることになり,未知のマルウェアに対しては役に立たない.ヒューリスティックスキャンやジェネリックスキャンでは,プログラムの振る舞いや整合性をチェックして,マルウェアであると判断される場合にはマルウェアとして駆除する方式である.この方法では,挙動に基づいて判断するため,検出率を高めようと思うとどうしても誤検出率も高くなってしまう.その他,仮想化技術を利用したスキャン方式もあり,これらはダイナミック・ヒューリスティックやミューテーションと呼ばれる.

 ファイルをスキャンして,マルウェアであるかどうかを判断するという方法だけでは,未知のマルウェアには対応しきれない.そこで,多角的な方法が求められるが,Kasperskyは「アプリケーションコントロール」の重要性を説いている.まあ,大半のアプリケーション・ファイアーウォールはプロセスレベル,アプリケーションレベルで動作を監視していて,動作の許可・禁止を定義出来るが,この機能を更に進化させ,有効活用させよう・・というわけだ.

 マルウェア対策は定義ファイルからアプリケーション制御の時代に - INTERNETWatch

 例えば,「Online Armor Personal Firewall v3.0.0.190」はフリーで使用出来るファイアーウォールなのだが,非常に強力なHIPS機能を備えており,アプリケーションの挙動,オートランの設定の許可・拒否を設定出来る.これによって,許可されていないプログラムやオートランの実行を防止することが出来る.これを有効に使えば,例えばオートラン型のUSBウイルスなどは感染を防ぐことが出来るし(関連[2]),ローカルにある悪意のあるプログラムの実行も防止出来る.しかしながら,それを状況に応じて的確に判断するには,かなりのPCリテラシーを要求されることになる.

 そこで,Kasperskyでは「ブラックリスト方式」と「ホワイトリスト方式」を導入し,実行されてはいけないプログラムはブラックリストに基づいて実行を禁止,あるいはマルウェアとして検出し,信頼できるプログラムはホワイトリストに基づいて許可する.

KIS2009およびKAV2009がインターネット経由で参照するホワイトリストには約1800万ファイルが登録される。データベースの容量は7.5TBに上り、現在も1日30GBのペースで増加中という。ホワイトリストの作成に当たっては、全世界のKIS2009およびKAV2009のユーザー2500万人以上がダウンロード・実行したアプリケーションのメタデータを活用。このユーザーコミュニティは「Kaspersky Security Network(KSN)」という名称で、毎分2万5000件、1日3500万件の情報が送られてくる。
     マルウェア対策は定義ファイルからアプリケーション制御の時代に - INTERNETWatchより引用

Kasperskyホワイトリストのデータベースは非常に膨大であり,このことからも個人が各プログラムのアクセス許可を設定する手間が大幅に省けることが分かる.

 その他,KasperskyにはMcAfeeのArtemisと似た機能も備わっているらしい.

 KSNの情報はホワイトリスト作成だけでなく、ウイルス定義ファイルに登録されていない脅威を防ぐ緊急検知システム「Kaspersky Urgent Detection System」にも活用する。具体的には、ユーザーがダウンロードした「疑わしいファイル」の情報をKSN経由で入手。同社のウイルスアナリストがファイルの危険性を認めた場合は、その情報を同システムのデータベースに登録する。その後、他のユーザーが同様のファイルをダウンロードしてアプリケーションの実行が試みられた際には、警告画面を表示して実行を阻止する。

 Grebennnikov氏によれば、緊急検知システムのデータベースに「疑わしいファイル」の情報が登録されてから「数秒で」該当するアプリケーションの実行を阻止できるという。「いわば“クラウド”を活用したリアルタイムの防御方法。(Symantecが提供する)5分ごとの定義ファイル更新よりも効果的だ」。なお、「疑わしいファイル」が確実にマルウェアであることが判明した場合には、その情報がウイルス定義ファイルとして全ユーザーに配信される。
     マルウェア対策は定義ファイルからアプリケーション制御の時代に - INTERNETWatchより引用

ジェネリックスキャンによって怪しいと判断されたファイルに関しては,「Kaspersky Urgent Detection System」によってベンダーに検体が送られ分析される.それによって,マルウェアであると判断された場合は,その他のユーザーに対しても警告を表示するなどの対応を即座に取れるようだ.この機能は,今後よりSaaS型のサービスとして発展し,警告だけではなくてArtemisと同等の形態を取るかもしれない.

 一方、Kaspersky Labが「Kaspersky Internet Security 2009」で実装する新しいコンセプトを端的に表現すると、「アンチウイルスソリューションがどれだけの種類のマルウェアを知っているかが重要なのではなく、どのような種類のアプリケーションに対して、PC上での実行を許可するかが重要だ」ということになる。
     定義ファイルによる保護からの脱却を目指す:カスペルスキーの試み - ZDNet

 不正なプログラムが実行されなければ,問題が生じることはない.マルウェアであるかどうかが適切に判断出来るかよりも,不適切なプログラムがいかに実行されないようにするかが重要である.そのために必要なのは,セキュリティソフトにおける「ブラックリスト方式」「ホワイトリスト方式」によるアプリケーション・コントロールの実現が挙げられる.そして,それよりも重要であるのは,ユーザーのPCリテラシー向上による適切な判断能力だろう.


 最後に・・

 Kaspersky Lab、モスクワ本社オフィスを披露 - INTERNETWatch

観葉植物がいっぱいな職場.

関連:
[1] 2009年版セキュリティソフト各種批評
[2] 増え続ける被害 USBウイルスにご用心