意外に知らないコンピュータウイルスのミステリ

2005/1/21

 フォーティネットジャパンは20日、「コンピュータウイルスのミステリ」と題した記者向けのラウンドテーブルを開催した。「何万種というウイルスの数が報告されているが、実際に活動しているウイルスは2000種程度しかない」。フォーティネットジャパンのテクニカル・アドバイザー 中田秋穂氏は、ウイルスの脅威を冷静に分析する。同氏はネットワークアソシエイツ(現マカフィー)の社長を務めていた。

フォーティネットジャパンのテクニカル・アドバイザー 中田秋穂氏

 ウイルス対策ソフトウェアのお墨付きとして、Virus Bulletinの100%検出ロゴ(VB 100%)をよく見かける。これは、「in the Wild」と呼ばれるウイルスを100%検出し、なおかつ1万種以上ものダミーファイル(ウイルスではないクリーンなファイル)を誤検出しないというテストに合格したウイルス対策エンジンに贈られるものだ。例えば、シマンテックは32回挑戦して26回合格、トレンドマイクロは18回挑戦して11回合格、マカフィーは35回挑戦して18回合格といった具合である。

 さて、ここでいわれる「in the Wild」とはWildList Organization Internationalという団体が毎月公表している“生きているウイルス”のことだ。WildListには世界各国から81人のウイルス専門家が参加しており、彼らが実際に受け取ったウイルスのみを報告している。日本からはAVAR(Association of anti Virus Asia Researchers)会長の村上清治氏が名を連ねている。

 WildListには、2人以上の専門家が報告したMain Listと1人だけが報告したSupplimental Listの2種類が存在する。ちなみに、2004年12月22日に公表された最新版では、Main Listは390種、Supplimental Listは1514種で両者を合わせても2000種弱のウイルスしか活動していないことになる。現役で活動しているウイルスは最近出現したものが多いのだが、1994年7月に発見されたForm.Aや1995年1月に発見されたAntiCMOS.Aも依然として活動している。

 ウイルス対策ベンダにより6万種とも8万種ともいわれるウイルスの総数と比べてみると2000種というのは少ないように感じる。中田氏の統計によれば、2000年1月から2004年5月までのWild Listを通じて、Main Listのみで報告されたウイルスは268種、MainおよびSupplimental Listでは391種、Supplimental Listのみは1212種と、4年間というスパンで計算しても活発なウイルスは2000種弱という。

 また約6000台のクライアントPCを持つ日本企業のネットワークでの感染調査(2002年1月から2004年11月まで)でも、同様の傾向を示している。この企業では、ゲートウェイでSMTPだけを対象としたウイルスチェックとクライアント用ソフトによる2重のウイルス対策を施している。結果は、ゲートウェイで検出されたのが111種、クライアントのみが785種、両方で検出されたのが65種で、合計961種だ。

 このようなデータから中田氏は「検出可能なウイルス総数を競う時代はすでに昔話になった。今後求められるのは、新たなウイルスにどれだけ早く対応できるか、そして定義ファイルが間に合わなくても防御可能な技術があるかということ」と語る。

 対応の早さでいえば、ドイツのOtto-von-Guericke University Magdeburgがウイルス対策ベンダの製品を評価するAV-Test.orgというプロジェクトを実施している。AV-Test.orgでは、各ベンダと提携して、ウイルス定義ファイルを1分ごとにチェックし、新しいウイルスが定義された時間を統計調査している。

 例えば、MyDoom.Aは2004年1月26日13時5分(GMT)に発見された。これはマネージドメールサービスプロバイダのMessageLabsが、独自に用意したウイルス定義データベースにより怪しいと思われる添付ファイルを隔離した時間だ(つまりこの時点ではMyDoomという名前がついていない)。AV-Test.orgの調査によれば、F-Protという対策ソフトが22時30分に最初の定義ファイルを更新した。そのほかのベンダも発見から9〜10時間で定義ファイルを準備している。中田氏によれば、「ウイルスによってどのベンダが早いというのはまちまちだが、全体的な傾向をみるとロシアのKasperskyは早い」とのことだ。

 また、古い定義ファイルで新しいウイルスに対応できるかどうかという調査もAV-Test.orgが実施している。調査は2004年5月に実施され、利用したのは2004年2月時点の定義ファイルとウイルス対策エンジンだ。73種のin the Wildなウイルスが対象で、ほとんどのベンダでは検出率0%だった。比較的多く検出したのは、NOD32が24種、Pandaが12種、McAfeeが11種であった。

 このような調査結果から中田氏は「やはりエンドユーザーの教育が非常に重要だ。ウイルス対策ベンダがいうような『100%検出可能』『プロアクティブな検出ができる』といった宣伝をうのみにしてはならない」と警告する。

(@IT 岡田大助)

[関連リンク]
フォーティネットジャパン

[関連記事]
キャリア向けセキュリティ・アプライアンス、フォーティネット (@ITNews)
約98%のスパム、ウイルスを除去、ミラポイントが新製品 (@ITNews)
シスコの下に集結したセキュリティベンダ3社のトップ (@ITNews)
「他社より100倍速い」、ASICベースのウイルス対策アプライアンス (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)