F-Secure ブログでアンチウィルスの現状について議論、やはりウィルス対策は死んだのか？

フィンランドのセキュリティソフト会社である F-Secure が、ウィルス対策の現状について公式ブログで議論している。

同社の Mikko Hypponen 氏と Mika Stahlberg 氏は、同ブログの記事「アンチウィルスは死んだ？」の中で、レピュテーションベースのアンチウィルスソフトが今後主流になると述べている。以下に内容を要約する。

ファイルをブラックリストのようなものと照らし合わせて悪意のあるソフトウェアを特定する従来の保護機能では、ユーザーに特定の Web サイトへアクセスさせて脆弱性を狙う固有のファイルを生成し、PC に感染するという「ドライブバイ攻撃」には対抗できない。

そのため、ファイルをブラックリストと照らし合わせるだけでなく、ファイルの系統を確認して疑わしいファイルかどうかを特定するレピュテーションベースのアンチウィルスソフトが必要だ。

また、Jarno Niemela 氏が執筆した同ブログの「アンチウィルスが役立たなくなることについて」という記事では、昨今のアンチウィルスソフトが役立たずではないかという議論における様々な誤解を指摘している。特に、現在のアンチウィルスソフトはファイルのスキャンだけでなく、ファイル実行時のヒューリスティックの検出など様々な階層でウィルスチェックを行っており、スキャナによって検知されなくても実際の攻撃はブロックできると主張している。

これらの記事に対し、サイバーディフェンス研究所の福森大喜氏は「アンチウィルスはもう死んでいる」という記事を書いている。内容を要約すると以下のようになる。

パターンマッチやヒューリスティックやレピュテーションを組み合わせても、完全なアンチウィルスソフトは実現できない。


重要インフラに関わる業務を担う組織では、重要インフラ用のマシンには動作が不安定になるためアンチウィルスソフトをインストールできない。そのため、ウィルスチェック用マシンのスキャンで問題ないと確認されたファイルや USB メモリを重要インフラ用マシンにコピーしたり接続したりするが、これではパターンマッチによるウィルスチェックのみで、ヒューリスティック検知はどの段階でも行われていないという問題がある。

ほかにも、ヒューリスティック検知型アンチウイルス製品とマイクロソフトの脆弱性緩和ツール「EMET」は競合するので、利用者はどちらかの選択を迫られる。また、完璧な対策を求めてアンチウィルスソフトが高度化することで、久しぶりに PC を利用するときにソフトウェアの更新に時間がかかり、更新が終わる前にウイルス感染してしまう恐れがある。このように、アンチウィルスには様々な問題点が挙げられる。

セキュリティ大手のロシア Kaspersky も、アンチウィルスの現状に対する議論の中で、スキャンによる対策の「死」を認めつつヒューリスティック分析などの新しい防御策の登場を指摘しているが、同技術も既に万能ではないようだ。