ウイルス対策ソフトは「戦国時代」の継続を

ITpro

2007.03.28

　2007年2月，マイクロソフトがリリースしたばかりのウイルス対策ソフト「Windows Live OneCare」をはじめとする同社の複数のセキュリティ製品に，非常に恐ろしいセキュリティ・ホールが見つかった。製品共通のウイルス・スキャン・エンジンに問題があり，悪意のあるファイルをスキャンするだけで，任意のコードを実行される恐れがあったのだ。

　マイクロソフトが2月14日に公開したセキュリティ情報「Microsoft Malware Protection Engine のぜい弱性により、リモートでコードが実行される (932135) (MS07-010)」によれば，同社が「Microsoft Malware Protection Engine」と呼ぶスキャン・エンジンには，PDFを解析する手法に問題があり，特別な細工が施されたPDFをスキャンすると，任意のコードを実行される危険性があったという。

　このセキュリティぜい弱性は，家庭向けの「Windows Live OneCare」以外にも，スパイウエア対策ソフトの「Windows Defender」（Windows Vistaに標準搭載されているだけでなく，同社のWebサイトで無償配布されている），サーバー用ウイルス対策ソフトの「Microsoft Antigen」や「Microsoft Forefront Security」にも存在した。同社は同日，この問題を修正するセキュリティ修正プログラムをリリースしている。

　スキャン・エンジンにぜい弱性が存在するのは，非常に恐ろしい。スキャン・エンジンは，外部からデータが送られてくると自動的にそれをスキャンする。スキャンしなければそのデータが危険かどうかは分からないので，「怪しいデータをスキャンしない」ことは不可能だ。

　今回のケースでいえば，攻撃者はPDFファイルをメールで送りつけるだけで，送り先のパソコンやメール・サーバーを乗っ取れた恐れがある。しかもそのPDFファイルは，マイクロソフト製のマルウエア対策ソフトを有効にしているコンピュータにだけ有害で，皮肉なことにマルウエア対策ソフトを無効にしているコンピュータには無害だったのだ。

主要ウイルス対策ソフトは皆「前科持ち」

　もっとも，スキャン・エンジンにぜい弱性が見つかったのは，マイクロソフト製品が初めてではない。ITproが過去に記事で取り上げたケースだけでも，シマンテック製品（「シマンテックのウイルス対策製品に危険なセキュリティ・ホール」）やトレンドマイクロ製品（「ほとんどのトレンドマイクロ製品にセキュリティ・ホール，エンジンのアップデートを」），マカフィー製品（「マカフィーのウイルス対策製品に危険なセキュリティ・ホール」），ソフォス製品（「Sophosのウイルス対策ソフトに危険なセキュリティ・ホール，複数のOSが影響」），アンラボ製品（「アンラボのウイルス対策ソフトにセキュリティ・ホール」），日本エフ・セキュア製品（「F-Secureのウイルス対策製品に危険なセキュリティ・ホール」），日本ではジャストシステムが販売するロシアKaspersky Labs製品（「Kasperskyのウイルス検出エンジンにセキュリティ・ホール，影響を受ける他社製品も），無料ウイルス対策ソフトのavast!（「ウイルス対策ソフト「avast!」に危険なセキュリティ・ホール」），オープン・ソースのClamAV（「オープンソースのウイルス対策ソフト「ClamAV」にセキュリティ・ホール」）に同様のぜい弱性が見つかっている。いずれの製品も，その後すぐにぜい弱性が修正されているが，スキャン・エンジンにぜい弱性が見つかることは，決して珍しくないと言えるだろう。

　それでも，「ウイルス対策ソフトが，ウイルスを呼び入れる原因になる」という危険性があるからといって，「ウイルス対策ソフトを使わないことが最も安全」となるわけではない。本当は「絶対に安全なウイルス対策ソフト」が存在すればいいのだが，願うだけ無駄だと思っている。

　1つだけ，はっきり言えることがある。それは「ウイルス対策ソフト市場に独占や寡占は不要」ということだ。あるスキャン・エンジンにぜい弱性があったとしても，その製品のシェアが低ければ，被害の拡散は小規模で済む。しかし，独占状態にあるスキャン・エンジンにぜい弱性があったら，「Blaster」の悪夢の再来になってしまう。

　OSやWebブラウザ，仮想マシンといった「プラットフォーム」も，各製品のシェアが低い方が社会全体で見た安全性は高まるだろう。しかし，プラットフォームには，各製品のシェアがある程度高い方が，互換性などユーザーの利便性が高まるという側面もある。それがセキュリティ対策ソフトではどうだろう。記者には「セキュリティ製品のシェアの高さと，ユーザーの利便性の相関」が全く見出せない。

　幸い，ウイルス対策ソフト市場は，プラットフォーム市場と違ってまだまだ多くのベンダーが生き残っている。依然として「戦国時代」が続いていると言える。日本市場ではトレンドマイクロとシマンテックのシェアがやや高いが，最近，ジャストシステムやマイクロソフトによる新規参入もあった。

　ウイルス対策ソフト市場は，永遠に戦国時代が続いてほしい。ウイルス対策ソフト・ベンダーにとっては呪いの言葉にしか聞こえないだろうが，そこは「ユーザーのため」だと思って，割り切ってほしいところだ。

　ちなみに筆者は，ここ4年ほど，スロバキアEsetが開発する「NOD32アンチウイルス」を使っている（日本での販売はキャノンシステムソリューションズ）。NOD32のシェアが上がったら別の製品に乗り換えることも検討しようと思っているが，まだまだその心配はなさそうだ。