PR

高倉 弘喜 京都大学 准教授

 皆さんは、ウイルス対策ソフトをお使いですか。このコラムの読者であれば、当然「Yes」ですよね。それでは、対策ソフトをどの程度信用していますか。

 ちなみに、今回の記事では、対策ソフトのカバー率には触れません。2009年10月8日~10日に開催された「ネットワーク・セキュリティ ワークショップ in 越後湯沢 2009」で、カバー率の話を書いてほしいというご要望を複数の方からいただいたのですが、正直に書くと対策ソフトベンダーさんから恨まれそうですので……というのは冗談ですが、現在活動中のウイルスの総数が分からない状況下では、カバー率の算出は難しく、またパターンによる検知が限界に達したといわれるようになり、「カバー率の高い対策ソフト=高性能対策ソフト」というわけではありません(……それにしても台風18号の首都圏への影響は凄かったですね)。

 それはさておき、今回は対策ソフトが報告するウイルス名(ファミリー名)について触れたいと思います。韓国の対策ソフトベンダーAhnlab社の報告によれば、現在、新種/亜種ウイルスは2.5秒に1個の割合で出現しているそうです。このような頻度では、対策ソフトベンダーのアナリストによる手動解析は物理的に不可能ですし、実際のパソコンに感染させて、長期間に渡る観察の後に、最も似ているウイルスを特定するという解析法では迅速性に欠けます。このため、主な対策ソフトベンダーは、各社で開発した自動解析ツールを使って、未検知となったウイルスを検知するためのパターンを自動/半自動で作成しています。

 実は、この自動解析ツールで各社の個性が出てきます。自動解析ツールは、未検知のウイルスに対して、最も似ている既知のウイルスを探します。類似度は、ウイルスのプログラム構造を見る静的解析や、実験環境下で数分間の動作を観察する動的解析の結果から判定しています。その結果によって、どのファミリーの亜種と命名するかが決まります。しかし、「似ている」の判断基準は各社それぞれのため、未検知ウイルスが登場してからしばらくの間、対策ソフトベンダーによってファミリー名が大きく異なることがあるのです。見た目にほとんど同じであれば、新たな亜種名を付けずに、既存の亜種名を名付けることもあります。