セキュリティのトピックス-PR-

第2回 ウイルス検出テスト:独自サンプルの検出率に違い

2008/01/08
勝村 幸博=日経パソコン (筆者執筆記事一覧
出典:日経パソコン 2007年11月12日号70ページより
(記事は執筆時の情報に基づいており、現在では異なる場合があります)

 対策ソフトで最も重要なのは、ウイルスを見逃さないこと。その実力を探るため、検出テストを実施した。今回のテストは、セキュリティに関する調査や研究をしている日本コンピュータセキュリティリサーチ(JCSR)の遠藤基コンピュータウイルス主席研究員と、セキュリティ対策製品やソリューションを開発販売するセキュアブレインの星澤裕二プリンシパルセキュリティアナリストの両氏に依頼した。

 テストに使用したサンプルは、(1)ワイルドリストに掲載された598種類のウイルス、(2)ワイルドリストを補完する目的でJCSRが独自に収集したウイルス259種類、(3)セキュアブレインが研究目的で収集したウイルス1000種類。(2)と(3)には、世界中だけではなく、国内でのみ出回っているウイルスも含まれる。(1)と(2)については遠藤氏、(3)については星澤氏がテストした。

 テストでは、ハードディスクにコピーしたサンプルを、初期設定状態の対策ソフトで手動スキャンし、ウイルスを検出できるか確かめた。

ワイルドリストは大差なし

ウイルス検出テストの結果
図2●ウイルス検出テストの結果
[画像のクリックで拡大表示]

 結果は図2の通り。ワイルドリストについては検出率に大差はなかった。5製品が598種類すべてを、2製品が597種類を検出できた。検出率が劣ったのは「キングソフト インターネットセキュリティフリー」。遠藤氏によれば、主に最近出現したボット(パソコンを乗っ取るタイプのウイルス)を見逃したという。

 AVG Anti-Virusについては、検出できなかったウイルスは1種類だが、検出できたものの駆除できなかったウイルスが2種類あった。

 差がついたのは、独自サンプルのテスト結果。独自サンプル(1)と(2)のいずれについても、ソースネクストの「ウイルスセキュリティZERO」とキングソフトの製品は、他製品よりも劣った。この原因として、「日本国内で主に流通しているウイルスの収集体制が不十分な可能性がある」(キングソフト取締役の沈海寅氏)と分析。ソースネクストも同じ見解だ。今後は、国内で出回るウイルスの検出率向上に努めるという。

 具体的には、「製品の開発元であるK7コンピューティング(インド)では、日本国内のウイルスを今まで以上に収集できる方法を模索しているところ。人員も増強している。ソースネクストでも、国内のウイルスサンプルを収集する環境を整えている」(ソースネクスト プロデュースグループの溝口宗太郎氏)。

 キングソフトでも、「現在も実施している(1)一般ユーザーからのサンプル提供(2)国内のウイルス収集家などからのサンプル入手(3)国内に設置したハニーポットによるサンプル収集──といった取り組みをさらに強化する」(沈氏)という。

 AVG Anti-Virusについては、独自サンプル(1)でも、検出はできたが駆除できなかったウイルスが12種類あった。これらのほとんどは、JavaScriptなどで記述されたスクリプトウイルスや、「Excel」や「Word」などのデータファイルに感染するマクロウイルス。

 また、未検出のウイルスも12種類。その中には、過去に猛威を振るったマクロウイルスやスクリプトウイルスである「ラブレター」や「レッドロフ」といったウイルスが含まれた。このためテストを実施した遠藤氏は、「パターンファイルの作成段階で何らかの手違いがあった可能性がある」と推測。「ユーザーにとっては致命的なので、早急に対応してほしい」とコメントする。

 検出率の違いはどこから来るのか。それを知るには、対策ソフトがウイルスを検出する仕組みを理解する必要がある。各社とも、対策ソフトにさまざまな検出手法を搭載しているが、基本は「パターンマッチング」(図3)。既知ウイルスの特徴を収めたパターンファイルと検査対象ファイルを照合し、一致が見られる場合にはウイルスと判断する。

 このためパターンマッチングでは、(1)いかに早く新種ウイルスのサンプルを入手するか(2)いかに早く正確に分析してパターンファイルに反映させるか──の2点が重要となる。

パターンファイルはウイルスの特徴を収めたデータ
図3●パターンファイルはウイルスの特徴を収めたデータ
ウイルス対策ソフトは、検査対象のファイル(プログラム)の中身をチェックして、今までに見つかったウイルスの特徴を収めたパターンファイル(ウイルス定義ファイル)と照合する。特徴が一致した場合には、そのファイルはウイルスに感染していると判断する。
  • このエントリーをはてなブックマークに追加
  • Evernoteでクリップする
  • 印刷する

今週のトピックス-PR-

この記事に対するfacebookコメント

nikkeibpITpro

▲ ページトップ

CIO Computerworld

Twitterもチェック

執筆者一覧

イベントINFO -PR-

最新号