AV-Comparativesの落とし穴!?


By Grayson Milbourne and Joe Jaroch

アンチウイルス業界における真実の一つとして、100%効果的にマルウェアをブロックするソリューションは存在しないという事になるでしょう。このことを念頭に置いて、ウェブルートセキュアエニウェア(WSA)は、たとえシステム上で動作している不正なソフトウェアが検知できない場合でも、ユーザを保護する事ができるようにデザインされています。

AV-Comparativesは、6月の“Real World”保護テストの結果を発表しました。このテストは現実世界におけるPCへのマルウェア感染をシミュレートすることを目指しています。このテストのスコアは脅威ファイルをいくつ見つけることができたのか、いくつ見逃したのかという事を示しています。

6月のテストでは、ウェブルートセキュアエニウェアは93.4%のサンプルをマルウェアとして検知し、6.4%のサンプルを見逃してしまったというスコアでした。WSAは、他のアンチウイルスソフトウェアとは大きく異なるアーキテクチャを持ちますがこのブログにおいて、その検知率の結果についてコメントを行いたいと思います。
キーとなる違いは、不正なソフトウェアを見逃した時、WSAはどのようにユーザを保護しているのかという事になります。残念ながらこのテストでは、マルウェアに感染したとしてもユーザが保護されていることや、あるいはマルウェア感染を検知して削除するまでにどのくらいの時間がかかるのかという事を示してはいません。これらは、WSAの有効性を判断する際に考えるべき2つの非常に重要な要素となります。我々は、これらの要素と我々の脅威解析プロセスがどのように機能するのか、お客様にとって私たちのソリューションがどのように効果を発揮するかを常に検証しています。セキュアエニウェアのリリース以来、ユーザのシステムから、手動での駆除操作が必要な脅威の劇的な削減によって、お客様のセキュリティについての大幅な改善を提供しています。加えて、上記の理由によって私たちのサポートセンターへのウイルスに関する問い合わせは減少しており、弊社製品のご利用者数の上昇につれてお客様の満足度も上がっております。

WSAがどのような保護を提供しているのかという事は、既存の定義ファイルベースのアンチウイルスソフトウェアと、根本的にどこが異なるのか?という事を知ることによって、そのシステムをよりよく理解することができます。最初の違いとしては、WSAはクラウドベースのアーキテクチャによって、世界中にWSAがインストールされたエンドポイントから寄せらせたファイルの情報をリアルタイムに集約しています。このアプローチの主な利点は、ローカルにダウンロードされる定義ファイルの更新によるシステムへの負荷がありません。その代り、WSAはPC上に新しいファイルを見つけるたびにオンラインのクラウドへ確認を行います。もう一つの大きな利点は、マルウェア解析者から見るとユーザからの新しいファイルをリアルタイムに分類することができるという事です。これは特に重要です。なぜならば、世界中のWSAユーザに対して、新しく出現した悪意のあるアプリケーションの発見から分類と保護を行うためのターンアラウンド時間を大幅に短縮することができるためです。

6月のAV-Comparativesテストの結果として68件の未検知の内、テストの数時間後に65件のサンプルが分類されていることを確認しました。また、残りの3件は情報を受け取った数分後に処理が完了していました。68件の未検知マルウェアの中で、テスト中の非常に早いタイミングにチェックされた34件のファイルは、我々のユーザに対して影響を与えておらず、今までにこれらのコンポーネントを見たことがありませんでした。他の932件のサンプルはテスト中に自動的にブロックされました。

マルウェアがクラウド上で認識されていない間、WSAはこれらの感染したエンドポイントを、どのようにして保護するのか?という疑問がわいてくると思います。
このパズルには2つのピースがあります。最初のピースは、WSAは新しい未知のファイル(「グレー」なファイルとします)によって行われたシステムへの全ての変更を元に戻します。そして、そこからさらに逆に戻せないようにします。例えば、もし見たことのないプログラムが新たに見つかった場合には、ファイルシステム、ディスク、レジストリ、またはメモリ内の変更を行うと全て記録され、リアルタイムで分析されます。WSAは、実行されたプログラムがクラウド上に記録されているかどうかを頻繁にチェックし、システム上の「グレー」なファイルの判定が更新されているかどうか(「白(無害)」や「黒(有害)」という判定に更新されていないかどうか)を確認します。この間、プログラムはシステムを変更することができますが、サンドボックスによって、すべての変更動作を分析するだけではなく、システムへのあらゆる変更を記録しています。クラウド上にてファイルが「黒(有害)」であるという判断がされた時点で、WSAは自動的に感染を駆除し、感染前の状態にシステムを完全に復元します。WSAはアプリケーション単位に作動する効果的なイメージ化機能の元、定義ファイル(パターン)を人手によって記述することなく、脅威の影響を完全に元に戻すことができます。良くできていると思いませんか?

またもう一つの別のピースは、データの漏えいを防ぐことです。ほとんどの場合、個人の電子メール、銀行サイトあるいはソーシャルネットワークサイト等、様々なウェブサイトへの認証後であろうとなかろうとマルウェアには感染します。これを防ぐために、WSAはユーザへ操作を要求することなく安全なブラウジング環境を作成する、革新的な組み合わせのセキュリティコンポーネントを持っています。これは、保護されたブラウザのセッションからキーストロークを盗聴する方法や、今日の脅威が使用する多数の新しい手法等、様々な方法(動作しているブラウザからの情報窃盗攻撃、画面キャプチャウイルス、中間者攻撃(MITB)や様々な隠れた情報収集等)をブロックすることによって実現します。

この保護レイヤにおいて、WSAはファイルが悪性であることがわからない場合でも脅威をブロックします。もちろん、システムのパフォーマンス観点からすべての脅威を取り除くことが最良の方法ですが、WSAを有効にすることによって、検知不能なゼロデイのZeus等に感染したとしてもシステム上でオンラインバンキングを安全に継続して行う事が可能です。この多層防御は、ユーザに対して実際の保護ができ、純粋な定義ファイルによる検出のギャップを埋めることができるものです。検出は確かに重要ですが、実際にマルウェアで使用される攻撃をブロックする事はセキュリティソフトウェアの目標であり、真のあるべき姿です。

現在、ほとんどの“Real World”テストは自動化され、テスト実施中は次のラウンドの為に、テストシステムのリカバリ操作が行われます。リカバリ後、ウイルススキャナは1回のみ検知テストを実施するチャンスがあるだけです。残念ながら、このテストモデルの場合WSAのユニークなクラウドアプローチを評価するチャンスを与えてもらうことができません。非常に静的なファイル検知の評価を行うためのテストとなります。もし、別のスキャンが少し後に行われていた場合には、ほぼすべてのサンプルは我々のクラウド上のバックグラウンドルールにより検出され、すべてのシステムの変更は自動的に元の正常な状態に戻されていました。

ウェブルートはテストのプロセスが変更されない間も、引き続き我々の製品に対する技術革新を続けてゆきます。私たちは、積極的にさまざまなサードパーティのテスターとセキュリティソフトウェアが感染したシステムのリスクをどれだけ軽減することができるかどうか、ベンダーが新しい脅威に対していかにユーザに対して素早く対応できるのか、という事に沿ったより良い“Real World”テスト環境の構築を行い規格の策定をしてゆきます。

wordpress blog stats