トレンドマイクロは2003年9月9日,ウイルスのコードをファイルとして書き込まないCode Redのようなウイルスや,迷惑メール,スパイウェアを防げるようにした個人向けアンチウイルス・ソフトの新版「ウイルスバスター2004 インターネット セキュリティ」を10月24日に出荷すると発表した。
Code RedやSlammerは,従来からのパターン・ファイルによる対策では感染を防げなかった。Code Redなどは,対象ソフト(IISなど)のセキュリティ・ホールを突いて感染したあと,攻撃コードをメモリー上で動作させるが,そのとき攻撃コードをファイルとしては書き込まない。従来からのアンチウイルス・ソフトは,ファイルが読み書きされた時点でしかパターン・ファイルを照合しないため,検知が不可能だった。
一方パーソナル・ファイアウォールの機能を使えば,Code Redなどの感染を防げる。パーソナル・ファイアウォールなら,Code Redなどが送信する攻撃パケットのシグネチャ(バイト列)をリアルタイムに調べることで,それを遮断できるからだ。ウイルスバスターは,実は現行版でもパーソナル・ファイアウォールの機能を備え,Code Redを遮断できた。ただし,新しく出現するウイルスには対応できなかった。新しいウイルス向けのシグネチャをあとから追加できなかったからである。新版では,攻撃パケットのシグネチャをインターネット経由で更新して,今後登場するウイルスにも対応できるようにした。攻撃パケットのシグネチャは,ウイルス検知用のパターン・ファイルと同様に自動的に更新される。
この機能は,ネットワーク経由でセキュリティ・ホールを攻撃するすべてのウイルスに有効である。例えばBlaster(MSBLAST,Lovsanと呼ぶこともある)やNimdaなどが送信する攻撃パケットを遮断できる。とはいえ,Blasterなどなら通常のアンチウイルス・ソフトの機能でも感染を防げた。どれもセキュリティ・ホールを突いたあと,攻撃コードをファイルとして埋め込むため,それが書き込まれた時点で検知できるからだ。Code Redのようにファイルを保存せず,メモリー上だけで動作するウイルスだけが検知できなかった。今回のバージョンはそれに対応した。もっとも,こうしたタイプのウイルスで広く流行したのはCode RedとSlammerの二つだけである。
迷惑メール対策では,メールのタイトルやヘッダー,本文などをすべて検査して,迷惑メールかどうかを判断する。迷惑メールでよく使われる単語(Viagraなど)がタイトルや本文に含まれていないかや,迷惑メールに特有のヘッダーが付いていないかなどをチェックする。迷惑メールの送信者リスト(ブラックリスト)も備えており,受け取ったメールの送信者と比べて一致すれば迷惑メールと判断する。ブラックリストは,インターネット経由で自動更新される。
迷惑メールと判断したメールを自動的に消去することはしない。誤検知の可能性があるからである。代わりに,迷惑メールと判断したメールは,タイトルの先頭に[MEIWAKU]といった文字列を付加する。これをキーとして,メーラーでフィルタリングしてもらうことを想定する。フィルタリングしたメールに誤検知がないかどうか,ユーザーは目視でチェックしなければならない。
最後のスパイウェアは,Webサイトのアクセス履歴や個人情報などをユーザーに気付かれることなく第三者に送信するソフト。ほかのパソコンに感染したり,パソコンのシステムに被害を与えたりはしないが,プライバシー侵害の恐れがあるソフトである。今回の新版では,こうしたスパイウェアを従来からのウイルスと同様にパターン・ファイルで検知・遮断できるようにした。
