クラウド型セキュリティでの強みは自動/自動処理技術 - Panda Security森氏

検索を悪用した偽アンチウイルスソフトに注意

まずは、セキュリティ対策にクラウドが必要とされる背景を知るべく、セキュリティのトレンドについて聞いてみた。

森氏は、「偽アンチウイルス・ソフトウェア(Rougueware:ローグウェア)が大量に出回っています。これはBlackHat SEOとも呼ばれますが、検索サイトで検索結果の上位にリストされるように工夫を凝らし、サイトを訪問したユーザーにマルウェアをダウンロードさせ、実行させるものです」と説明する。

偽アンチウイルスソフトの仕組みは次のようなものだ。まず、ビデオを再生しようとすると、「このビデオを見るためにはコーデックをダウンロードしてください」などと誘導して、リンクをクリックさせて、結果として偽アンチウイルスをダウンロード・実行させる。すると、今度は「あなたのPCはマルウェアに感染しています。除去するためにアンチウィルス・ソフトウェアのライセンスを購入してください」などと、支払いを強要するのだ。

偽アンチウイルスソフトにとっては、いかにしてリンクをクリックさせてダウンロード・実行させるかということが重要なため、さまざまな工夫が凝らされているとともに、ユーザーの興味を惹くために時事的な話題をいち早く採り入れるなど、変化が速いことも特徴だという。

最近は、Webブラウザに直接URLを打ち込むユーザーは少数派で、通常は検索サイトで目的のサイトを探してそこからリンク先に行くユーザーが大半なので、こうした手法に引っかかりやすくなってしまっているというわけだ。

「Panda Securityの"Collective Intelligence"のサイトでは日々新しいマルウェアの発見が報告されています。Collective Intelligenceとは、クライアントのPC上で発見された、あるいは、まだチェックを受けたことのない"ユニークなファイル"がクラウドに送られてチェックを受ける仕組みですが、その数は1日平均10万程度です。それらの半分以上である5万5,000程度が結果としてマルウェアと判定されています。こうした大量の新しいマルウェアに対して、従来の定義ファイルだけで対応するのは難しくなっているのが実情です」

クラウド上での自動解析を実現するCollective Intelligence

同社が独自開発したクラウド型のアンチウイルス技術「Collective Intelligence」とは、どのような技術なのだろうか?

森氏は、「Collective Intelligenceは、もちろん急増する大量のマルウェアに対処することが重要なのですが、同時にグッドウェアのデータベースも作成する点がポイントです。既存のセキュリティ・ソフトウェアが使用する定義ファイルはマルウェアの一部に対応したデータベースしか持たないため、ヒューリスティックなどその他の技術で補完をしていますが、やはり誤検知の可能性が残ります。Panda Securityでは"TruPrevent"と呼ばれる振る舞い検知技術を他社に先駆けて2004年に導入しました。その経験からも、効率的かつ確実に検出を行うには、マルウェアのデータベースだけでは不十分であり、グッドウェアのデータベースも特に誤検知を避けるために重要という判断に至りました」と語る。

Collective Intelligenceの開発は2006年にスタートし、2007年には一部の機能をWebベースで無償公開したオンデマンド・スキャナーとして「ナノスキャン」という名称で提供されている。そして、2009年に「Panda Cloud Antivirus」がこのCollective Intelligenceを100%使い、定義ファイルを持たずに常時保護を提供する製品として製品化された。

「ユーザーからの情報提供をクラウド型のサービスで受け取ってマルウェアの情報を収集する」というコンセプト自体は、他社でも同じような取り組みが行われている。そうしたなか、同社の強みは他社より早く始めたことだという。

さらに、「クラウド型のセキュリティでは解析能力と処理能力が重要です。Collective Intelligenceでは毎日10万ファイルの解析を行っていますが、解析プロセス自体が自動化されているため、マルウェアが発見されてから6分以内に対応できるようになっています。発見されたマルウェアの99%以上は一切人手を介さずに自動処理され、ラボの研究員が解析作業を引き継ぐ例は滅多にありません。クラウド上での自動解析が実現したことで、定義ファイルを持たないPanda Cloud Antivirusの提供も可能になったといってよいでしょう」と、森氏は付け加える。

無償版と有償版でクラウド型セキュリティの機能差はほぼない「Panda Cloud Antivirus」

Panda Cloud Antivirusでは、インストール後にバックグラウンドで全ファイルのスキャンを実行し、スキャンしたファイルかどうかの結果を残しておく。その結果を参照しながら「新しいファイル」や「改変されたファイル」について"指紋"(ハッシュ値)を取る。続いて、指紋をクラウドのナレッジベースに照会し、レッジベースに登録済みのファイルはマルウェアかグッドウェアかの判定が返ってくるが、未登録だった場合はファイルそのものを圧縮・暗号化してクラウドに送って検査を実行する。

森氏によると、ナレッジベースへの登録は原則として1回行うだけで、以後は全世界のユーザーがその結果を参照できることになるという。なお、その指紋自身は4KB程度と小さなものなので、通信の負荷もあまりかからない。

また、リアルタイム保護では、メモリにロードされたプロセスイメージを実行前に割り込んでチェックし、指紋を採取してリアルタイムでクラウドに問い合わせる。オフライン時には、ローカルで検出された結果をキャッシュに残しておくことで対応している。

「Panda Cloud Antivirusはβリリースから約1年、製品版のリリースから約半年経過したところです。全世界で1,000万近くのユーザーを獲得でき、ユーザーが増えることで精度も高まり、徐々に注目されるようになってきました。最近アップデートしてVer 1.0から1.1になり、このタイミングで日本語版もリリースしましたので、日本でもようやく本格的にスタートしたところです。ユーザーインタフェースはシンプルで、誰でも簡単に使い始められます。セキュリティ・ソフトウェアをいじり倒したい人ではなく、セキュリティのことを心配せずに普通にPCを使いたい人が主なターゲットです」

Panda Cloud Antivirusは1.1へのバージョンアップに伴い、動作ブロックなど未知のマルウェアへの対応を強化するなどの機能強化を行うとともに、有償(Pro)版が新たに追加された。有償版では、クラウド型防御に加えてTruePreventの技術を応用した振る舞い検知技術などの機能が追加されている。また、自動アップデート機能などもあり、いったんインストールした後は一切メンテナンスを心配することなく保護が継続するように設計されているのが特徴だ。

森氏は無償版と有償版の違いについて、「クラウド型セキュリティの部分は無償版と有償版の機能差はほとんどないので、数ヵ月に1度のバージョンのアップデートを自力で行うことが気にならないユーザーや、これまでセキュリティ対策を十分に行っていなかった2台目/3台目のPCにはまず無償版をインストールすることをお勧めします。一方、日本語でサポートを受けたい場合などは有償版を使っていただくことになります。無料版が高機能すぎるという話もありますが、セキュリティ製品は基本的に他の製品と併用するものではなく、単独で使うことが前提であるため、無償とはいえ保護機能が不十分なものを出すわけにはいかず、こうなっています」と説明する。