製品ワークショップで発表されたレピュテーションベースのセキュリティとノートン2010の新機能

シマンテック本社からPCセキュリティ専門家が来日し、PCセキュリティの課題や将来のシマンテック製品に関するワークショップが開催された。本稿では「レピュテーションを基本としたセキュリティ製品」、「ノートン2010製品」という2つのセッションについて、その内容の一部を紹介する。

シマンテックのレピュテーションベースのセキュリティ

レピュテーションを紹介する前に、問題提起がなされた。もし、存在するすべてのファイルを良いものと悪いものに分類しようとする。良いものを右、悪いものを左に並べると、図1のようになると思われる。

これらのファイルを識別する方法として、良いものにはホワイトリストが、悪いものにはブラックリストが有効となる。しかし問題となるのが、ちょうど中間に位置するファイルである、数も決して多くはない。ここにこそ新しい技法が必要になる。つまり、数は少ないのであるが、評価の定まりにくいファイルが存在していることになる。

これに対し、同社では、レピュテーション(評判)という仕組みを導入し、これらのファイルに対しても安全性を予測可能にしている。多くのユーザからの意見を集約することで「そのファイルが良いものか悪いもの」かを予測するというものである。実際には、ユーザが個別のファイルに評価を行うことはなく、具体的な依頼を行うこともない。ユーザのPCにインストールされたソフトウェアが、

• 評価対象となるファイルが、いつ登場したか(もしくはいつインストールされたか)
• 評価対象となるファイルは、使われているか
• 評価対象となるファイルのハッシュ値などの情報

などを自動的に、同社のサーバに送信するのである(これをオプトイン方式と呼ぶ)。収集されたデータは、同社の独自の手法により分析され、レピュテーションスコアが作成される。その方法はGoogleの「ページランク」に近いものとのことだ。2009年6月、ノートンコミュニティウォッチでは、3億を越えるファイルがデータベース化されている。

レピュテーションがもたらすもの

さて、レピュテーションを使うことでどんなことが可能になるのか。まず図3を見ていただきたい。

上が安全なファイル、下が悪いファイルである。これまでのセキュリティ対策ソフトでは、中央の白い部分のファイルに対して見逃す可能性が少なからず存在していた。ノートン2010では、レピュテーションベースのセキュリティを採用することで、

• 信頼度の高いファイルはスキャンをしない(スキャン時間の削減)
• レピュテーションにより安全なファイルはスキャンを行う
• シグネチャやレピュテーションにより危険と判断されたファイルは遮断

という措置をとる。つまり明確に安全とわかっているファイルはスキャンから除外され、無駄なスキャンを行う必要がない。そして、これまで同様にシグネチャーベースによって発見される悪意を持ったファイルや、レピュテーションにより明らかに悪意を持っていると判断されるファイルは、これまで同様に遮断されるのである。

図3の白い部分については、ビヘイビアブロックやIPSなどで検出される可能性もある。しかし、世界中で特定の数台を狙うようなマルウェアを検出する可能性は非常に低いといわざろうえない。もし、そんなマルウェアが送られてきたら… シグネチャーではとうてい対応できない。

レピュテーションベースのセキュリティは、そのような判断の難しいファイルに対し、非常に効果的であるといえよう。増大するマルウェアに対し、シグネチャーベースのスキャンだけでは対抗できない。そして、確実に安全なファイルをスキャン対象から除外することで、効率化も可能となる。同社では、2008年に作成した新たなシグネチャーは、それまでの20年間のシグネチャー数を超えるという事態が発生している。シグネチャーは具体的なマルウェアを検知してから作成される。

どうしてもそこにタイムラグが発生し、ゼロディ攻撃などの原因となる。同社のセキュリティ対策ソフトでは、パルスアップデートという5分に1回の頻度で更新を行う機能もあるが、これとて完全ではない。急増するマルウェアに対し、シグネチャーベースの防御だけではもはや安全とはいえず、レピュテーションベースのセキュリティ対策が求められる背景にはこのような理由が存在するのである。

レピュテーションの実例を紹介しよう。ノートン2010にはさまざまな方法でレピュテーションが実装されているが、ダウンロード時に行う「ダウンロードインサイト」である。図4はYahooメールで送られてきたものである。

さて、これをダウンロードし、実行しようとすると、OSはセキュリティの警告を発する(図5)。

もちろん、これだけでも注意するには十分なのであるが、ユーザには「何が危険であるか」は伝わっていない。レピュテーションでは、図6のように警告が発せられる。

このファイルは、「非常に少数のユーザしか利用していない(10人以下)」、「このファイルは登場してごく間もない(1週間以内)」ということがわかり、実行しないことを推奨(recommended)している。もし、評価が不可能な場合でも実行可能なデータが提供される。逆に安全なファイル(マイクロソフトのサイト上のMedia Player 11)では以下のようになる(ベータ版での実行例)。

セキュリティの警告は発っせられるが、安全なファイルでも必ず表示されることが注意力の低下を助長してるといえなくもない。ノートン2010は安全であることを告げる(図8)

ここで、[詳細を表示]をクリックする。すると、このファイルのレピュテーション結果が表示される(図9)。

このように、多くのユーザが使用し、安全であることが確認できる。同社では、これまでの多くのファイルを同社のアルゴリズムで分析した結果、良いものと悪いものに明確なクラスタが存在するとしている(図10)。

良いものを青、悪いものを赤で表示している。この結果により、分析結果がこのしきい値に付近にあるものが注意すべきファイルとなる。これが、ファイルの危険性の予測をある程度可能なものとしている根拠である。また、どんなセキュリティ対策ソフトでも、検知率を上げると誤判断(Fales Positive)もまた上昇する(図11)。同社では、現状、エンジンとして避けられないとしている。

ところが、レピュテーションと併用することで、この誤判断を大きく改善できたとのことである。

レピュテーションの今後の課題

レピュテーションベースのセキュリティはこれまでにない防御を可能にする。しかし、注意も必要である。たとえば、判断の難しいファイル、図6のように「Very Few」と表示されるものを見てみたい。特定の環境や目的のために使われ、コミュニティが小さい環境でしか利用されないファイルは、このような評価になりやすい。これには、ファイル自体の別の方法による安全性のチェックが求められる。

また、「新しいファイルは危険」という点も、なじみにくい部分がある。なぜなら、「パターンファイルはつねに最新に」、「パッチやアップデートで、OS、アプリは最新の状態にする」という考え方もある。それに対し「新しいから危険」という考えはどうしても矛盾してしまう。これらについては、よりわかりやすい情報の提示方法などが必要になるのではないか。

ノートン2010の新機能

さて、最後にノートン2010の新機能について紹介しよう。すでに同社では、パブリックベータを公開しており、誰でも希望すれば2010を体験することができる。ここでは、今回のセッションで紹介された新機能を中心に紹介する(画面の一部は、筆者の環境でパブリックベータ版を使用したものである)。

まず、なんといってもレピュテーションベースのセキュリティ対策の追加である。これについて、同社では、ハイブリッド車のようなものと、たとえていた。つまりこれまでのウイルススキャンがガソリンエンジンであり、レピュテーションがモータエンジンにあたるというわけである。この2つのエンジンを使い分けることで、あらゆる脅威に対し対抗していくのである。そして、その2つのエンジンを最適にコントロールする役割を担うものが、ノートン2010となる。

ノートン2010に求められるもの

多くの脅威に晒されている現在、ノートン2010の求められる機能とな何か？まずはそこがスタートラインとなったとのことである。この1年で24億にも達する悪意ある攻撃、それらを分析すると以下のような特徴が浮かぶ。

• ステルス性(感染してもばれない、自らの姿を隠す)
• 特定の地域に特化(中国、ブラジルなどの地域の性格を反映する)
• 特定のサービスを狙う(SNS、Twitterなどを標的)
• 巧みな偽装(特定の国を狙うために翻訳されるなど)
• 正規のWebサイトも攻撃対象(iフレームやjavaフレームの埋め込み)

これらの脅威に対抗することが、ノートン2010に求められるものとなった。そして、何よりももっと早く、より高いパフォーマンスが前提条件として求められるという。具体的には、

• レピュテーションベースの防御
• SONAR2：次世代のビヘイビアシステム
• 新しいアンチスパム
• Online Family
• ダウンロードインサイト
• クリーンブート

などである(図12)。

さて、実際のノートン2010のメイン画面は図13のようになる。

SONAR2

さて、SONAR2であるが、これまでのウイルススキャンをより高度にしたものである。いくつかの機能と連携をし、システムやユーザーに負担のないスキャンを行う。

クリーンブート

さて、それでもマルウェアに感染してしまうことは完全にないとはいいきれない。感染した場合の対処であるが、比較的多く使われてきたのが、セーフモードで起動し、マルウェアの駆除を行うといったものである。しかし、最近のマルウェアはシステムの深部にまで侵入しており、セーフモードでもシステムと同時に起動してしまうこともある。そこで、PC本体のOSとはまったく別の外部のOSを起動することで、マルウェアの起動も防ぐというものである。

これは、クリーンブートという新機能である。

保護者機能

保護者機能はこれまでも搭載されていたが、実際に使われる機会の少ない機能でもあった。ノートン2010では、より機能強化されている。これまで、子供がどのサイト閲覧したのか、さらにどのようなサイトをブロックするのかといったことを設定してきた。新しいOnline Familyでは、親子でルールを定め、そのルールを守る、そして親子のコミュニケーションを深めることにより、よりうまく機能させることができる。

Online Familyでは、子供が何をしているのか?だけではなく、なぜ、そのWebサイトに行こうとしているのか、といったことまでもわかるようになる。

さらに、細かい部分では、実際にノートン2010が何をしているのか?といったことがより明確にメッセージとして表示されるようになった。アンチスパムでは、これまでのエンジンではなく、エンタープライズ向けに開発されたエンジンが搭載されるようになった。

ノートン2010は現在、正式版のリリースに向けて、パフォーマンス面でのチューニングなどが行われているとのことである。ネットブックのよううなややもすると非力なPCでも、快適に動作することを目標としたいとのことである。また、Windows 7への対応も順調に行われつつあるとのことだ。