ウイルスなどの不正なソフトウエア=マルウエアは増えるばかりで、2.5秒に1件のスピードで新種が登場するといわれている。270万以上のマルウエアがあるために対策が困難になってきており、ウイルス対策ソフトのしくみも変わらざるを得ないようだ。(テクニカルライター・三上洋)
急激に増えるマルウエア(不正なプログラム)セキュリティー大手のトレンドマイクロが、11月13日に都内でセキュリティー技術の発表会「トレンドマイクロ DIRECTION 2008」を開催した。その中でCEO・代表取締役社長のエバ・チェン氏は「マルウエアは急激な勢いで新種が登場している。2009年には2.5秒に1件のペースで、新種のマルウエアが登場する見込みだ」と語った。
この数字はトレンドマイクロ社のラボが、収集しているマルウエアの数から推測したもの。新種のマルウエアの出現数は、2007年には1時間に205件だったが、2009年には1時間に1484件が登場すると予測。これを基に「2.5秒に1個」という数字を出している。さらに2015年には、1時間当たり約2万7000件に増えるのではないかと予測している(0.13秒に1個のペース)。
ここで言う「マルウエア」とは悪意のあるソフトウエアのことで、ウイルス、スパイウエア、ボットなど、ユーザーやネットワークなどに被害を与える不正なソフトウエアだ。同じトレンドマイクロのCTO(最高技術担当者)レイモンド・ゲネス氏は「トレンドマイクロが起業した1988年には、マルウエアの総数は1738件しかなかった。しかし10年後の1998年に17万7615件、そして2008年には275万3587件にも及んでいる」とのこと。急激なペースで新種のマルウエアが増えていることが伺える。マルウエアが自分を改変し、自動的に新種のマルウエアを生み出す機能を持っていることが大きな原因だろう。
パターンファイル方式は限界?ここまで増加すると、ウイルス対策ソフトでの発見・駆除でも問題が起きる。現在のウイルス対策ソフトは、ユーザーのパソコンにウイルスを発見するためのパターンファイルを保存している。パソコンにあるパターンファイルを基にして、ファイル、メール、ウェブサイトなどをチェックする方式だ。
しかしマルウエアの種類が増えたため、パターンファイルが巨大になり、パソコンの動作を重くしている。最近ではリアルタイム検索機能が一般的になり、作業するファイルをその場でスキャンするため、よりいっそう動作が重くなってきた。
そこで各社はウイルス対策ソフトの軽量化を図っている。以前の記事「09年版一押しセキュリティー対策ソフトは?」でとりあげたように、最新版では軽量化を大きな柱にしている。問題の起きそうなファイルを中心にスキャンしたり、スキャンの方法を変えるなどの方法で、各社とも動作を軽くするように努力している。
それでも限界はある。急激なペースでマルウエア新種が登場するため、パソコンに保存するパターンファイルが大きくなりすぎるからだ。パターンファイルが大きくなれば、メモリーやCPUの使用量が増え、さらにパソコンの動作が重くなることは確実だ。
ネット経由でスキャンする方式へトレンドマイクロでは抜本的な対策として、パターンファイルをインターネット上に置き、ネット経由でスキャンする方法を取り入れようとしている。11月12日に発表した「スマートプロテクションネットワーク」という新技術だ。この技術ではメール、ウェブサイト、ファイルの3つを、インターネット上のネットワークに置くデータベースでスキャンし、不正なソフトウエアかどうか判別する。
ユーザーのパソコンには、基本的なパターンファイルだけを置き、巨大なパターンファイルはネットワーク上に置く方式だ。ユーザーのパソコンでは、扱うファイルからフィンガープリントという固有の値を取り出し、ネット経由でマルウエアかどうか判別する(ファイルレピュテーション)。従来のようにユーザーが巨大なパターンファイルを持つ必要がなくなるため、動作が軽くなる上に、更新する頻度も少なくて済むのが特徴だ。
重くなりすぎたウイルス対策ソフトの動作を、抜本的に解決する方法として注目したい。「スマートプロテクションネットワーク」のうち、電子メールとウェブサイトに対するプロテクションは、すでに最新版のウイルスバスター2009で対応している。最大の目玉となるネット経由のファイルのスキャン(ファイルレピュテーション)は、2009年秋に登場する次期バージョンに搭載される見込みだ。
今後もマルウエア新種が登場するスピードは加速するだろう。ライバル各社もウイルス対策ソフトの動作の「重さ」を解消するために、何らかの新しい技術を導入することになるかもしれない。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081114nt18.htm