Symantec Security Response Weblog
Reputation-based Security: Suspicious.Insight detections on Virus Total」より
February 19、2010 Posted by Gerry Egan

 米シマンテックは先日、オンライン・セキュリティ検査サービス「VirusTotal」に提供している検査モジュールをアップグレードし、レピュテーション(評判分析)ベースの新たなセキュリティ・エンジンを追加した。その結果、VirusTotalでシマンテック製エンジンによる検出率が急上昇した。中でも「Suspicious.Insight」という検査結果の増加が顕著である。今回はこうした変化の背景などを簡単に紹介しよう。

 まずSuspicious.Insightの意味をきちんと説明する。これはシマンテックの新しいレピュテーション・セキュリティ技術が出す検査結果で、「コミュニティ参加者からの評価情報が少なく、まだ評判の確定していないファイル」ということを明確化するための分類である(評価内容が良いか悪いかには関係ない)。我々はユーザーのパソコンを守る手段の一環として、パソコン内の検査対象ファイルにどう対処すべきか判断するのに役立つ情報を提供する。つまりSuspicious.Insightは、評価のはっきりしない状態のファイルを目立たせてくれる。

 次に、この検査結果を出すようにした理由と、これまでのウイルス検出シグネチャを用いるセキュリティ対策手法がうまく機能しない事情を述べる。残念だが従来のウイルス対策技術は、もはや以前と違って強力な防衛能力を発揮できない。我々は、ITセキュリティを取り巻く脅威がこの数年で激変したと見ている。2年前の時点で、当社が新規発行するウイルス定義データは1週間当たり数百種類を少し上回る程度の規模だった。ところが新規発行数は急激に増え、今や平均で毎日1万5000種類をやすやすと超えるレベルになってしまった。どうしてこんな事態になってしまったのだろうか。それは、ウイルスの作者が「自分たちのマルウエアに対応するウイルス定義データが作られたら、そのマルウエアはもう使いものにならない」ことを悟ったからだ。そこで、新作マルウエアがネットワーク経由で地球全体に広まって多くのパソコンに感染するよう願うことや、セキュリティ・ソフトの最新シグネチャに行動を阻まれないよう祈ることをやめ、マルウエアの外形をできるだけ頻繁に変えて従来型の検出技術を回避しようと努力するようになった。例えばサーバー・サイド・ポリモーフィックや難読化、暗号化といった手口でマルウエアの形をごまかして、ひっきりなしに姿を変えている。現在、マルウエアの大多数は、実質的に同じものであっても被害者ごとに姿が異なり、しかも変化し続けているのだ。このため、レピュテーションに基づくセキュリティ・システムはこうしたマルウエアを完全に別種のあまり広まっていないものと認識してしまう。これに対し無害なソフトのファイルは、たいていの場合、全く異なる性質を持つ。発行元が判明していたり、問題ないファイルと評価されていたり、古いバージョンのファイルと共通点が多かったりといった状況が多い。このような背景を踏まえ、Suspicious.Insightで「検査対象アプリケーションは安全性が確認されておらず、まだ数千万人いるシマンテック製品ユーザーにもあまり知られていない」と知らせるのだ。

 なお「Symantec」および「Norton」ブランドの当社製品もSuspicious.Insightという検査結果を出すものの、状況はやや違う。これにはいくつか理由がある。

・Symantec/Norton製品は検査対象ファイルについて、パソコンに入り込んだ経路やタイミング、発行者の情報など様々な属性を調べる。属性を判断材料に使うと、問題のないファイルをSuspicious.Insightとみなすことがほとんどなくなる(VirusTotalのようなオンライン・セキュリティ検査サービスは属性情報の多くを知り得ないため、Suspicious.Insightと判断しやすい)。したがって、フォールス・ポジティブ(良性ファイルをSuspicious.Insightとして検出すること)は極めてまれだ

・現在のNorton製品はSuspicious.Insightという検査結果でユーザーに警告するだけで、当該ファイルの動きをブロックしない。「安全性が確認されていない」という印を付け、最終判断をユーザーに委ねる。今後当社は、企業向けセキュリティ製品「Endpoint Protection」にレピュテーション機能を搭載し、許容可能なリスク・レベルにもとづくIT管理者向けブロック・ポリシー設定機能を提供するだろう

・レピュテーション・ベースのシステムには、良性ファイルを当初(非常にまれだが)「安全性が確認されていない」と判断しても、通常はすぐに(大抵1日か2日で)良い評判を確立させる特性がある

 結局Suspicious.Insightを出す目的は、パソコン内の検査対象ファイルにどう対処すべきか判断するのに役立つ情報を提供し、当社製品のユーザーを手助けすることだ。

 詳細については以下の情報を参照してほしい。

ブログ記事:「Norton Internet Security 2010の新機能 - Download Insight

ブログ記事:「消費者向けの新たな保護モデル:レピュテーション・ベースのセキュリティ技術

製品のチュートリアル:「Norton Download Insightの使い方

Copyrights (C) 2009-2010 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり、含まれている情報やリンクの正確性、完全性、妥当性について保証するものではありません。
◆この記事は、シマンテックの許可を得て、米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は、「Reputation-based Security: Suspicious.Insight detections on Virus Total」でお読みいただけます。