and I say we are detecting between 400,000 and 10,000,000 malware!より
June 19,2008 Posted by Francois Paget
友人の一人から,アンチウイルスの現状はどうなっているのか,飛躍的に増大するマルウエアにどこまで対処できるのか,などと尋ねられた。友人は「君のあるライバル会社が,1日で170万件以上のマルウエアを新たに検出したと発表したんだ。これで7万4000件だった総数は180万件に跳ね上がった。この調子でいけば,200万件の大台もすぐに突破してしまうだろう」と語った。この友人は,冗談めかして「ところで,君の会社(米マカフィー)は,まだ40万件も見つけていないんだろう」と締めくくった。
マルウエアの集計は非常に難しい。マカフィーは「VirusScan」用のアンチウイルス定義に関して,新たなウイルス定義ファイル(DAT)をリリースするたびに,検出した脅威の数を発表している。ただし,この数値は「系列」をまとめて数えたものだ。2008年6月17日の時点で,検出した脅威の数は40万7125件だった。
2004年9月(DATファイルのバージョン4391)は検出した脅威が10万件で,2006年5月(同4800)は20万104件に達した。検出件数が2年で倍増しており,この状況は以下のように分析できる。
マルウエアの数字が7万4000件から40万件,果ては180万件へと膨らんだ理由を説明するため,友人には,アンチウイルス研究者の「zoo(動物園)」,別名「コレクション」を考慮する必要があることを告げた。コレクションは,毎日収集される数百万件のマルウエア・サンプル(「ユニーク・サンプル」と呼ぶことが多い)を隔離して保存するものだ。マカフィーでは,高いセキュリティのサーバーで,およそ100万個のファイルを次のような方法で扱っていると説明した。
・系列で分類する
・これらのファイルには,膨大な数の亜種が含まれることが多い
・一つのマルウエア亜種でも,寄生型あるいはポリモーフィック型だと複数の感染ファイルを生み出すことがある。マルウエア作者が,ダウンロードのたびに異なるバイナリ・ファイルを生成することもある。このような場合,「バージョン」が1~2種類だけのものもあれば,1万種類,あるいは10万種類に及ぶものまで出てくる
・分類不可能な,膨大な数にわたるファイルの「種々雑多」サブフォルダも存在する
当然の話だが,「マルウエアがほぼすべて検出されることなどないし,検出結果から導き出される予測も真実とは言い難い」と友人に話した。さらに「これらの数値は長期的なトレンドを立てる上で役立つに過ぎず,その算出方法は絶えず一つのルールに沿うことが前提となる」と付け加えた。
マルウエアに関する実際の数字を探してみた。まずウイルス対策ソフトの試験機関「AV-test.org」の統計に目がとまった。同機関のWebサイトには「AV-test.orgは数百万件のマルウエア・サンプルやクリーン・ファイルを含め,60T(テラ)バイトに及ぶテスト・データを管理している」と記載されている。主要なデスクトップ/サーバー環境でマルウエアをテストしており,現在ベンダーからサポートが受けられるWindows,Linux,Solaris,UNIX,Lotus Domino/Notes,MS Exchangeの全バージョンを対象としている。筆者が最近ドイツから同団体のマルウエア収集に関する集計データを受け取った際,その収集規模は,ユニーク・サンプルにして1100万件を超える(2008年4月の時点で1100万2741件)とはっきり聞いた。
この件数から,マカフィーで検出した数は,独自サンプル内の寄生/ポリモーフィック型マルウエアを含めれば同程度になると確信した。筆者が確認を求めていくつか入手した数値を,以下のグラフに示す。
筆者は,当記事を執筆しながら読者の驚く様子を想像していた。わずか3カ月間(2008年1月31日~4月30日)で,マルウエアのサンプル数がマカフィーで288万件,AV-test.orgで170万件増加しており,平均すると毎月76万個の新しいファイルが収集されている。この数値は間違いではない。だからこそ,我々は最新の技術で絶えずこの難題に挑んでいるのだ。
記事を締めくくるにあたり,グラフを一つ示そう。このグラフは,我々が2007年末時点で検出したマルウエアは「35万7820(DATバージョン5196)~860万件」という形で発表できることを示している。これに加え,筆者は「2008年末時点のマルウエア検出数は45万~220万件の見込み」と予測する。少し冗談が過ぎたが,マルウエアの集計方法には非常に多くの種類があることを示したかったのだ。発表された検出数を鵜呑みにして判断しないでほしい。
Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,and I say we are detecting between 400,000 and 10,000,000 malware!でお読みいただけます。
