Microsoftがウイルスとスパイウエアの対策ソリューションの構築に取りかかっていることは,多分ご存知だと思う。同社は既に,スパイウエア対策ソフト「Windows AntiSpyware」のベータ版を公開しており(既報),定評のあるルーマニアGeCAD Software(既報)と米Sybari Software(既報)のウイルス対策ソフトウエア製品を買収した。
業界のアナリストの何人かは,スパイウエアに対応する一番合理的な方法は,ウイルス対策ソリューションを改良し,最初にスパイウエアに感染したシステムからそれが広がるのを防ぐ能力を組み込むことだと考えている。これは合理的なアプローチだし,多くの管理者が試みて失敗した対策でもある。
OSにウイルス対策を統合する可能性も
ニュース・サイトに掲載されたBill Gates会長のインタビューで,私は興味深いコメントをいくつか読んだ。その記事は,最終的にウイルスとスパイウエアの対策ソリューションがWindowsに統合された部品になると匂わせていた。このほかにも,記事には出ていない面白い話がある。
私は,Microsoftがルートキットについての論文を公開し,一般の人には提供されなかった検知ツールを開発したことを書いた。同社はもう1本面白い研究論文をリリースしていた。その内容は,同社が将来において提供するかもしれない,ほかの種類のセキュリティ関連技術に関する将来の見通しを与えてくれるものだ。
ワームを検知したマシンが警報を発令
Microsoft Researchによる2番目の論文「Can We Contain Internet Worms?」(インターネットのワームを封じ込められるか?)は,2004年8月に公開されている(該当記事)。この中でMicrosoftの研究者は,コンピュータがより自動的な方法で協調動作をするようになるにつれて,いかにしてワームがより入り込みやすくなるかを解説している。その研究者が「自警団」と呼ぶコンセプトは,「ワームを自動的に封じ込めるための新しいホスト集中型アプローチ」として提案している。
要約によると,この技術は「インターネット内の端末が協調的にワームを検出する。だが,端末同士はお互いを信頼する必要がない。各端末は,アプリケーションへ感染しようとする試みを分析することでワームを検知して,ワームを検知したときには自己認定警報(SCA:Self-Certifying Alerts)をブロードキャストする。SCAはぜい弱性を持つことを示されたマシンによって作成される。どんな端末もそのぜい弱性を独立して,低コストで検証できる。そして,各端末はSCAを利用して感染を防ぐためのフィルタやパッチを生成できる」。この技術は「Snort」や,ほかの侵入検知・防御システムをより賢くしたものだと考えてよいだろう。
パターン・ファイルの提供が不要に
この提案は,各ホストに自分のマシン内での活動をモニターさせて,悪い振る舞いをするプロセスを自動的に封じ込めるための手段を論じている。1つのホストがワームを見つけた場合,ほかのホストに対してブロードキャストする警告を生成する。一般的な考えでは,特定のネットワークの場所を避けることで,ワームが検出されずに逃れられなくするように,検出システムを分散させるこのアイデアのカギは,ワームが検出されたことを,SCAはその効果を再現して検証できることだ。つまり各ホストはサード・パーティが終端の検知システムへパターン・ファイルを提供するのに依存せず,自分たちの動作認証をすることで一定レベルの信頼を維持するのである。
この論文は次のことに触れていないが,その含むところは途方もないものだ。同じ原理はウイルスやトロイの木馬,スパイウエアにも当てはまるはずだし,どんな種類のアプリケーション,あるいはネットワークの振る舞いにも対応できる。こうしたシステムは,弱点中心になるだろう。つまり不正ソフトの変種が発生するたびに,検知のためのパターン・ファイルを作る必要がなくなる。その代わりに,このシステムが弱点を識別し,それに対してシステムを守る活動をとることになるだろう。例えば,アプリケーションをシャットダウンしたり,ファイアウオールを再構成したり,パッチのようなものを生成できるはずである。この論文のコンセプトについては,さらに深く学ぶべきことがある。
