Previous Topへ Next

もうウイルス対策に関するデタラメな情報を垂れ流すのは止めようよ

virusrumor


もうウイルス対策に関するデタラメな情報を垂れ流すのは止めようよ〜(追記あり)

最近のウイルスに関する記事、特にウイルス対策ソフトのベンダー等が流す記事広告の記述がヒドイなと思っていて、ちょっと連続的にそういうものにであってしまったのでイチャモンをつけとく。
シロートを騙して儲けるような商売は大概にしよーぜ。
ベンダーさんからの反論は歓迎だが。

まずは報道記事ですらガセ満載のヨミウリオンラインの記事広から。



Macでもウイルス対策は必要? - トラブル解決Q&A - ネット&デジタル - YOMIURI ONLINE(読売新聞)

Macでもウイルス対策は必要?
 「マッキントッシュパソコン(Mac)はウイルスに強いと聞きますが、対策をしなくても大丈夫でしょうか?」

 Macはウイルスに感染しない--。パソコンに詳しい人ほど、Macの安全神話を信じている人が多いようです。しかし、この常識は、一昔前のものになりつつあります。なぜなら近ごろ、Macを狙ったマルウエア(悪意のあるアプリケーション)が増えてきているからです。昨年の事例ですが、「MacSweeper」という偽のセキュリティー対策ソフトが出回ったことがあります。このときは、虚偽の警告画面を表示し、偽セキュリティー対策ソフトの購入を強いるというものでした。


「MacSweeper」に関しては当サイトでも取り上げた。
詳細はこちらの記事を参考にしてもらいたい。
2008 年 1 月 17 日
OSXを狙い撃ちにしている悪質な偽装セキュリティソフト「MacSweeper」に要注意(追記あり)

この時の記事を見てもらったら分かるように実際に、インストールしてテストしてみた印象をいうならこの時点でウイルス対策ソフトはこのスケアウエアには対応していなかったし、一般的にいってウイルス対策ソフトはスケアウエアに対する対応は遅い。
正直ウイルス対策ソフトでこの手のスケアウエアを防げるとは到底思えないし、一度インストールしてしまったらレジストしないと「ウイルスに感染しました」というアラートは消えない。
初心者がこれをきれいにクリアするのは相当難しいと思われる。

ここで推奨されているウイルス対策ソフトは、今現在ではもう「MacSweeper」には対応しているのかもしれないが、シグネチャーを変えた偽セキュリティソフトはいくらでも作れるし、作って配布してもソフト本体にウイルス性のものを仕込まない限り未知のスケアウエアをウイルス対策ソフトで防ぐことは不可能だろう。

はっきりいってこの手の脅威はウイルス対策ソフトをインストールしただけでは、ほぼ対策にならないにもかかわらずこういうデタラメな記事で
「ちゃんとしたウイルス対策ソフトを買ってインストールすれば、怪しいスケアウエアからも守られて安心」
みたいな印象を与えかねない。

聞いたことも無い二流のメディアがこういうことをやるんならともかく、天下の大読売が署名入りのテクニカルライターを使ってこういうデタラメ記事を公然と掲げるというのは、いくら記事広告といってもいかがなもんだろうか。


「この常識は、一昔前のものになりつつあります」

「Macはウイルスが無いから安全だ」なんていうつもりは毛頭無いが、かつてよりも危険が増えているというきちんとした確証もあるわけでもない。
マルウエアが増えていると簡単に言うが、その増えている例証が一件だけ現れたスケアウエアや、ライセンスリミットを外した海賊アプリに仕込まれたトロイの木馬の例を取り上げて
「もはやMacも安全ではない」
というのも牽強付会ではないか。
ウイルス対策ソフトについてちゃんと理解しているなら、ウイルス対策ソフトは何について対策できて、何に対策できないかも分かる筈だ。
そうすると危険なのは連続的に脆弱性が発見され公表されてから、パッチが全ユーザに行き渡るまでのゼロデイ攻撃こそ警戒するべきなのだが、そういう実例があまり見当たらないので、むりやり「MacSweeper」の例を引いてきたとしか思えない。
この記事書いた人は本当にプロのテクニカルライターなのだろうか?


こうしたMacを狙ったマルウエアは、ウィンドウズを狙ったマルウエアの1%未満かもしれません。しかし、マルウエアが金銭を詐取する目的で作られている以上、侵入されれば大きな損害を被ります。

「MacのマルウエアはWindowsの1%未満かも」というのもものすごい印象操作だ。
実際には数十万対200、あるいは数百万対200というようなオーダーだ。
勿論それでも「未満」がついているからウソではないが、それなら
「Macのウイルス感染例はWindowsの80%未満だ」
「MacのバグはWindowsの90%未満だ」
と言ったってウソではないことになる。

(さらにいえばこういう場合の正しい統計学の用語は「MacのマルウエアはWindowsの100分の1未満かも」という言い方になる筈だ。%という百分率の単位はあくまでそのうちわけの構成の表現であるべきで数の大小の比較に使うのはおかしい。ここら初等数学ではないかなぁ)

こういう記事では数字を扱う時にはきちんとした根拠を持った正しい数字を挙げてもらいたいものだ。
どんぶり勘定のいい加減な数字表現で印象操作するのは、やめてもらいたい。


 

Macユーザーの多くが、ウイルス対策ソフトを使っていないという調査結果もあります。Macユーザーは狙いやすい……などと攻撃者に思われたら、マルウエアの数は増えていくことでしょう。今後、Macへの攻撃を拡大させないためにも、各ユーザーがセキュリティーへの意識を高めていくことが求められています。

Macユーザはウイルス対策ソフトをインストールしていない人の比率が多いというのは、事実だと思う。
これには「Macは安全だからウイルス対策ソフトは必要ない」という誤った思い込みが背景にある。
しかしだから「Macユーザーは狙いやすい」とかはウイルスの作者は思わないだろう。
ウイルスを作る連中はもっと違う発想をしている。
この表現も事実とは違うと思う。


マルウエアと並び、いまだになくならない攻撃方法が「フィッシング詐欺」です。
〜中略〜
ブラウザーソフト自体にフィッシング詐欺対策機能を備えていても、100%防げるとは限りません。偽サイトへと誘導させる危険があることを頭に入れて行動することが必要です。

Mac向けセキュリティー対策ソフトが続々登場
〜中略〜
主な機能はマルウエア対策と、フィッシング詐欺を含む危険なサイトへのアクセス遮断です。

最近のこうしたセキュリティソフトが「フィッシングサイトのブラックリスト」である程度危険なサイトへの接続を撥ねる機能を持っているのは理解している。
しかしこうした機能は、安全のための補助機能というか、セキュリティソフトのオマケ機能くらいに理解しておいた方がいいと思う。
もちろん無いよりある方が安全性が高まる確率は多少ある。
しかしこういうものがあれば「もう安心」というわけでもない。

この手の防御機能は「フィッシングサイトである」と認定されたサイトに対してしか効力がない。
現実にはウイルス対策ソフトベンダーが世界中の数十億か数百億かあるサイトを全部チェックして「フィッシングサイト仕分け」をするなんて不可能だ。ましてや一日に登場する新規サイトの数を考えると、その効果はほぼ絶望的なくらい低いと思われる。

フィッシングについてはこれはユーザがきちんとその手口を理解して気をつけるしかなく、何かソフトをインストールしたら自動的に守られるというような幻想を抱かない方がいい。
ここらの書き方も誤解を招く。



次にこちら。
こちらは個人サイトのようだが...

WindowsとMacintoshどちらか?ウイルスに感染しにくいのか? - OS選び(ウィンドウズ or マッキントッシュ) -

WindowsとMacintoshどちらがウイルスに感染しにくいのか?

1.ウイルスの感染については、感染しやすいかどうかではなく、ウイルス制作者に狙われやすいかどうかという問題です。
Windowsの方がユーザ数が多く、ウイルス制作者に狙われやすいです。
2.Macintosh
・Macはウイルスに感染しにくいと言われたりしますが、そんなことはありません。
どちらかと言うと、ウイルス制作者に狙われにくいという感じです。
・ユーザ数が少ないので、被害報告が少ないのは当然です。
・Macやそのアプリケーションにも脆弱性がありますが、ウイルスに狙われることが少ない分、 脆弱性の指摘も少ないと思われます。
(Macの脆弱性を探す人が少ない)
・OS XからOSを一新したとはいえ、大規模なソフトウェアで脆弱性がないものはないと言っても過言ではありません。
3.Windows
・世界的には圧倒的にWindowsユーザが多いので、Windowsユーザを狙う方が効率が良く、よくウイルスに狙われます。
(Windowsの脆弱性を探す人が多い)
・ユーザ数が多いので、被害報告が多いのは当然です。
・よくウイルスに狙われるため、脆弱性の指摘はよくあり、ほぼ毎月アップデートがあります。
4.どちらのOSを選ぶか?
・脆弱性があっても、あまり指摘はされないが、ウイルスに狙われることが少ないMacか?
・ウイルスに狙われやすいが、脆弱性の指摘はよくあり、ほぼ毎月アップデートされ、耐性を付けるWindowsか?
という感じでしょうか。


これなんか4年前の記事なので無視してもよかったのだけど、いまだにこういう手のでたらめを言っている人が結構いるので、これも事例として。

Windowsはウイルスが数百万種類という単位で存在する。
Macのウイルスは多めに数えても数百だ。
この1万倍以上の差は何か。

この話題になるとアンチマカなWindowsユーザは
「Windowsは95%のシェアを持っているから狙われるのさ。Macのような2%程度のOSを狙っても仕方がないからMacは狙われない」
というような負け惜しみをいう。
おめでたいマカがこれを真に受けて
「Macはシェアが低いから、ウイルスが存在しない。だから安全だ」
なんて能天気なことを言っている。

しかしこういうデタラメを垂れ流すのももういい加減にして欲しい。
ウイルス作者はシェアを見てウイルスを作っているわけではない。
毎月のベンダーのサイトに出ている「脆弱性の警告」を見てそれを攻撃するスクリプトを考えているだけだ。

この脆弱性の警告は圧倒的にWindowsが多い。
昨年大流行したAutorunにしてもWindowsはやはり攻撃しやすい弱点が数多くあるから狙われるのだ。

その脆弱性の警告もユーザの数が多いからチェックする人が多いためにたくさん出てくるというのはデタラメだ。
Windowsのソースコードをチェックできるのはマイクロソフトの一部の社員だけだ。
オープンソースのSIGの数とどちらが多いかなんてことは比較にならない。
Windowsの方が潤沢なチェックを受けているとは一概にいえない。

MacOSXはUNIXであり、その意味では40年ものチェックを受けてきたOSだ。
秘密主義の10年モノOSとどちらが厳密なチェックを受けているだろうか。

しかし、大規模な脆弱性が連続して発見される可能性は、あらゆるソフトにある。
その意味では危険はどのプラットフォームにも均しくあるということはいえる。
しかし間違えてはいけないのは、シェアが高いから狙われるのではなく狙われるプラットフォームは狙いやすいから狙われるのだ。
これはウイルス作者の立場に立って考えれば自明のことなのだが、それでもこういうデタラメを知ったかでいう人が多いというのも実感だ。

(後日追記:少し表現が紛らわしかったかもしれないが、「UNIXは40年ものチェックを受けてきたOSで 秘密主義の10年OSとどちらが厳密なチェックを受けているか」という書き方をすると「だからUNIXの方がウイルスが少ないというのは疑問」みたいな取り方をする人が必ず出る。
私がいいたかったのはだからUNIXの方がウイルスが少ないということではなく、「Windowsの方が脆弱性の報告が多いのは、Windowsの方がユーザが多いからチェックしている人も多いためだ」というのはデタラメだといいたかったのだ。
Windowsの脆弱性の報告が多いのは、ユーザが多いからという問題は関係なくて、「脆弱なOSだからだ」というのが要因だといいたかっただけだ。)


こういうことを実感するのは、システムのベンダーにはこういうことを言う人がいて、Windows一辺倒のシステムの危険性を指摘すると
「Macはシェアが低いから狙われないだけですよ。
危険性はWindowsと全く変わりません」

なんてことを真顔でいう人がいるのだ。
何を根拠に言うのだろうか。

こういうことを言う「自称専門家」の腹の底も大体透けていて、扱ったことがないプラットフォームの利用を考えるのがメンドクサイから頭ごなしにMacやLinuxの有効性を否定したがるのだ。

「結局はどっちも危険なんですよ。
だったら対策法もたくさんあって情報も多いWindowsの方がはるかに安全ですよ。
面倒なこといわないでWindowsに統一しておきましょう」

てなもんだ。
しかしこういうことを言う「自称専門家」に限ってその安全対策は疎漏だったりする。



こちらは「アフィリエイトサイト」とあるので個人サイトなのかもしれないが、さらにひどい。

Macのセキュリティ対策!ウイルスバスターこれ1本で!

Macのウイルス感染者の割合は約30人に1人です。あなたのMac、ウイルス対策ソフトはきちんと入ってますか?

実際にあったおそろしいウイルス事件をひとつ紹介しておきます。Twitterというコミュニティサイトの人気ブロガーのアカウントが不正に利用され、コメントのクリックが引き金となってWindowsとMac両方のユーザが、自動的に不正サイトに誘導されるというウィルスに感染してしまいました。そのまま利用していると個人情報が盗まれるということが起こります。誘導先に個人情報を盗む危険なサイトが設定されていると、クレジットカード番号やパスワードなどユーザの個人情報が知らずに盗み取られているかもしれません。

2009年4月トレンドマイクロの調べによれば、30人に1人のMac ユーザ(本人、または周りの人)がウイルスに感染したことがあると答えています。


なんと! Macユーザの「30人に1人はウイルスに感染している」のだそうだ。
これはぜひともトレンドマイクロにきちんとしたデータの出元を表示してもらいたい。

確かに記事にあるようなTwitterから誘導されるWindowsとMacと両方をターゲットにしたフィッシングサイトは存在したが、30人に1人もそれに引っかかったというのは実態に合わない。
というよりもTwitterの利用率自体が8%程度に留まるのに、その手のサイトにTwitter利用者がほぼ半数引っかかったということになるんだろうか?
(それ以前にだいたいTwitterって「コミュニティサイト」か?)

と突っ込みどころ満載なのだが、この手のサイトは
「あなたは気がついていないだけであなたの周りのMacユーザも皆実はウイルスに感染しているのだ。
さぁ大変だ!
今すぐウイルスバスターを買え!
さもないとあなたのMacもウイルスまみれになるぞ!!」」

という文脈が透けて見える。

しかしこれって前出の「MacSweeper」のようなスケアウエアの売り文句とそっくりじゃないだろうか。

データをもって説得をしたいならきちんとした中立的立場のデータを挙げて、論じるべきなのだ。
論拠になっているデータがデタラメでは話にならない。

しかもこのサイトは後半はほぼフィッシングサイトのリスクについて書いているが、これも上で書いたがフィッシングサイトのリスクはウイルス対策ソフトでは、ほぼ防ぎきれないと理解した方がいい。

こういう書き方をするとフィッシングサイトの危険性はウイルスバスターのような対策ソフトを買うことで無くなると初心者は勘違いしかねないので、この手のデタラメ記述は止めてもらいたい。



カスペルスキーのサイトはトレンドマイクロアフィの個人サイトよりはマシと言うか、ある程度きちんとした統計は取っているようだ。
しかし問題の記述はないでもない。

ウイルスからあなたのMacを守るために。カスペルスキー初のMac版が登場。 | カスペルスキー製品情報 | ウイルス対策ソフト | カスペルスキー 情報サイト | JUST Kasperskyポータル

Macユーザのうち、どれくらいの人がウイルスに感染したことがあるのでしょうか?

現在Macにおいても、ウイルスの脅威がカスペルスキーにおいて確認されています。
「Trojan-Downloader.OSX.Jahlav」での感染数は100,000件で、「iWorm」での感染数は10,000件となり、とても多くの感染が報告されています。

「Trojan-Downloader.OSX.Jahlav」について
「Trojan-Downloader.OSX.Jahlav」は、2009年10月現在、Macにとって最も深刻な脅威です。
このトロイの木馬を使って、マルウェア作成者は強力なボットネットを作成しています。
「iWorm」について
このトロイの木馬はIntelやPowerPCプラットフォーム上で活動する種類のもので、iWorkServicesとして現れ、起動時にrootパスワードを尋ねてきます。
Macアプリケーションの実に半数ほどは、rootパスワードを要求してきます。つまりMacユーザにとってこれはとてもありふれた挙動なので、ためらいなくrootパスワードを入力してしまいます。パスワードを入力すると、トロイの木馬はボットネットセンターに接続し、さまざまなコマンドを受け取ってきます。


このiWorkServicesはiWorkのワレズ(不正にライセンスキーを外して配布されている海賊ソフト)に仕込まれて流行したもので、こういうものにカスペルスキーが対応しているという情報も大事だが、
「こういう出元が怪しい海賊ソフトにはウイルスを仕込まれても仕方がないので、こういうものには手を出すな」
という警告をした方がいいのではないかという気がする。

「Trojan-Downloader.OSX.Jahlav」も結局偽ビデオコーデックに仕込まれているダウンローダ(マルウエアをダウンロードさせて、管理権を奪ってリモートをとったりボットネットを構成したりするトロイの木馬)で、感染経路はエロ系サイトを閲覧していると
「このビデオを見るには◯◯のコーデックが必要だ。ダウンロードしてインストールするか?」
というポップアップが出てきて、ユーザがOKボタンをクリック、さらにインストール時にパスワードを入力するという手順を踏まないと感染できない。

つまりこの例に挙げられた二つに関してはある程度
「引っかかるヤツが悪い」
「感染するヤツがバカ」

というレベルのシロ物で、そういう不注意をやっていなければ普通は感染することはあり得ないものだ。
Macの脅威というのは今のところこういうものが大部分だ。

そういう間抜けが30人に1人いるのかいないのかということになると、私もあまり確信みたいなものはないのだが、だからといって非常な脅威が蔓延しているというようなものではない。
勿論そういうマルウエアの感染者とメールのやり取りをしたり、USBメモリのやり取りをしたくらいで自動的にウイルスに感染してしまうというようなものでもない。

ここらもかなり、危険性を誇大に表現している気がしないでもない。


しかしだからといってMacにはウイルス対策ソフトは必要ないと言っているわけではない。
むしろMacもWindowsと同じくらいの意味でウイルス対策は必要だと思っている。

カスペルスキーはさすがにそこらはちゃんと抑えていて、

また、Windowsウイルスも他人事ではありません。
ウイルス対策をしていないと、Windowsウイルスが侵入してきても気がつきません。その場合、普段のメールのやりとりで、あなたのMacがウイルスをまき散らす加害者になることもありえるのです。
だからこそ、あなたのMacにもウイルス対策が必要となるのです。


という表現がサイトにある。

Macと言えども孤立して仕事しているわけではない。
Windowsともかなりファイルのやり取りをしている。
だから当然Windowsのマルウエアをもらってしまうことはあり得る。
WindowsのマルウエアはMacには普通感染しないから、影響はないのだがそのファイルをそのままWindowsに渡すと当然感染を媒介してしまうことになる。
またWindowsのセキュリティ担当者からよく
「Macユーザはセキュリティ意識が低い。
MacユーザからもらうUSBメモリ等のメディアは大抵ウイルスまみれだ」

という話も聞かされる。

これは事実で、Macユーザは大部分Windowsウイルスには無頓着だから、そういう状況に平気でWindowsのセキュリティ責任者にそういう印象を持たれてしまっている。
「30人に1人が感染」
はなんとなく私には突拍子もない数字に見えるが、
「30人に1人はWindowsウイルスをスルーして媒介している」
というのはかなり納得できる数字だという気がする。
30人に1人が感染というのはWindowsユーザから見た主観かもしれない。
そういう意味ではこの数字はむしろ控えめかもしれない。


[6] ウイルス対策ソフトを導入するとしても、どれも同じと感じていませんか?

はい、これは思っています。

というか、
「ウイルス対策ソフトは何を入れたら安全ですか?」
「お薦めのソフトはありますか?」

という質問を時々受けるが、私の実感でいえば「アンチウイルスソフト」の効果はどれもこれも似たり寄ったりだと思っている。
多少の検出率の高低はあるが、これも客観的なランキングというものはなくてwebなどでよく見かける
「ウイルス対策ソフト検出率ランキング」
なんてのはあくまで参考程度に見て置くに留めるべきだ。
ああいうランキングは全く当てにならないと思っていい。

ウイルス対策ソフトはどれを入れても完璧ということはあり得ません。
というよりもシグネチャーデータベースの対応も各ベンダーでまちまちなので、どれがマシということもない。
できればネットワーク上でできるだけバラバラなウイルス対策ソフトを入れて、検出率を上げるという工夫が必要だと思う。

検出率80%程度のソフトを二つ組み合わせれば90%代後半の検出率が期待できる。
一番よくないのは一種類のプラットフォーム上でウイルス対策ソフトも統一してしまうという考えかただ。
管理が楽だからそうしたくなるが、もしシグネチャーデータベースがゼロデイ攻撃に間に合わなければネットワーク上の端末は全滅する。
違うウイルス対策ソフトを入れていれば、少なくともどちらかが反応することは考えられる。
できるだけバラバラにすれば安全性は高まる。
ましてやプラットフォームも各ノードでバラバラにしておけば、かつてのMSBlasterのような凶悪なネットワーク経由で直接感染するワームが入り込んできたとしても、そこで活動が止まる。
とにかく安全な環境を構築するには、できるだけバラバラにして統一しないことだ。

個人の自宅ではなかなか、そうはいかないだろうが職場のネットワークは当然そうであるべきだ。
私個人の自宅環境では3種類のウイルス対策ソフトが常に稼働しているが。


後はウイルス対策ソフトだけに頼らないということは当然必要だ。
自宅環境でも当然ルータ経由のIPマスカレードは最低限必要だし、全ての個体にファイアウォールは立てているべきだ。
できればファイアウォールとは別にポート監視ソフトは稼働しているべきだ。
フォームに何かを入力させるサイトや何かをダウンロードさせるサイトの訪問には神経質になっているべきだ。

それらの対策が全部そろってある程度安全と言えるわけで、何かのソフトをたとえ有料であろうがインストールしただけで安全になるわけではない。
ましてやパターンファイルを更新していなければ全く無意味だ。

ウイルス対策ソフトのベンダーは、スケアウエアのようなセールストークを書きなぐるのではなくそういうことをきちんと解説することの方が重要だし、ユーザの信頼感を得られるんじゃないかと思ったりする今日このごろだ。




2010年3月13日



BBS書き込みを追記


ソフト本体にウイルス性のものを仕込むとは 投稿者:nobio 投稿日:2011/01/15(Sat) 23:42 No.4751

お世話様です。
しょっちゅうお世話になってるのですが、書き込むのはたぶん初めてです。
初めての書き込みが非常に瑣末でどうでもいい疑問で恐縮なのですが、

「もうウイルス対策に関するデタラメな情報を垂れ流すのは止めようよ」という記事に

A)シグネチャーを変えた偽セキュリティソフトはいくらでも作れるし、
B)作って配布してもソフト本体にウイルス性のものを仕込まない限り
C)未知のスケアウエアをウイルス対策ソフトで防ぐことは不可能だ。

というくだりがあります。
AとCはよくわかるのですが、Bはどういう意味でしょうか。
「作って配布しても」というのは、たぶんAの末尾の「作れるし」つながりで「シグネチャーを変えたスケアウェアを作って配布しても」ですよね。次の「ソフト」は「偽セキュリティソフト(スケアウェア)」を指すのでしょうか、「ウイルス対策ソフト」を指すのでしょうか。

「ウイルスにもいろいろあるけど、偽装ソフト本体にウイルス性のものを仕込むというのはかなり幼稚な手口である。そういう幼稚なウイルスでない限り、対策ソフトでは検知できないのだ」という理解で合ってるでしょうか。



Re: ソフト本体にウイルス性 muta - 2011/01/16(Sun) 20:27 No.4753

書き込みありがとうございます。

ここら少し表現に分かりにくいところがありましたね。
どういうことか解説します。

ウイルスとかワームとか最近では割と不用意に使われていますが、実はどういうものを「ウイルス」「ワーム」と呼ぶのかというのは厳密な定義があります。

「ウイルス」「ワーム」の共通の必要条件はまず「自己増殖機能を備えている」ことです。ウイルスはオペレーションシステム、常駐アプリケーションなどの実行環境を借りて「自己増殖」するものをいい、ワームはそれ自体がスクリプト・マクロのような形でプログラムとして完結しているものを言いますが、共通しているのは自分で自己増殖して他のボリューム、あるいは他の個体に自分のコピーをバラまく、つまり感染する能力を持っているものをいいます。

しかしマルウエアには、そういうものとはタイプが違うものもあります。
自己増殖機能は一切持たずに、入り込んだ環境でひたすらスパイ活動をするトロイの木馬、最近話題になったイカタコウニクラゲ「ウイルス」のように厳密には自己増殖機能は一切持たずに、人間の不注意につけ込む形で増殖することを狙ったもの、ライセンスキーを外したiWorkに仕込まれた人間の欲につけ込むマルウエア、そしてMacSweeperのようなス人間の恐怖感につけ込むケアウエアなどがそれに当たります。

これらに共通しているのは、コンピューター上の実行環境や自動機能を使ってプログラムで増殖するのではなく、人的な弱点を利用して増殖する、あるいは増殖することを最初から期待されていないものということになります。
「いかがわしいサイトから勝手にダウンロードされた自己コピーを行わないスパイファイル」
「タダでiWorkやMSOfficeなどの高額なソフトをダウンロードしたいという人間の欲を使って増殖する」
「タダでアニメや映画のリッピングをファイル共有ソフトを通じて手に入れたいという人間の欲を使って増殖する」
「無料お役立ちソフトを装ってアプリをダウンロードさせ、それを起動すると『お前のコンピュータは危険なウイルスに感染している』というアラートを執拗に出して不安感を煽って金をだまし取る」
などどのマルウエアもコンピュータ上の動きとしては、問題のない通常のファイル、プログラムと自動識別では区別がつかない方法で増殖しています。

こういう厳密には「ウイルス」ではないものはプログラム的には特定の文字列を表示するとか、入り込んだところでファイルを読み込んだりそれをwebにアップロードしたり、タイピングを監視したり、セキュリティログを読んだりもちろん悪用するためにそういうことをするのですが、それ自体は普通のアプリでもやっていることなのでそれ自体の振る舞いで
「マルウエアである」
と断定して駆除することができません。

上記の本来の意味での「ウイルス」「ワーム」はネットワークにスキャンをかけたり、ボリュームをマウントした時に自動読み出しの機能を使ってみたり、システム領域に自分のコピーを置いてみたりウイルス、ワームに特有の怪しい振る舞いをします。

シグネチャーによるウイルス特定はファイル名、ファイルサイズ、拡張子、ファイルに含まれる特定の文字列など外見的な特徴で識別されますが、こうした外見は例えばそのシグネチャーに記録されている文字列などを変えてしまえばマルウエアとして識別されなくなります。

これがウイルス・ワームであればいくら外見的特徴を変更されても、その振る舞いでウイルスであると特定することが可能ですが、ウイルス・ワームではないマルウエアはそれ自体怪しい振る舞いをしませんので、いくら特定の偽ソフトウエアをシグネチャー登録しても、外見変更でいくらでもチェックをすり抜けられます。

ましてやMacSweeperのようなスケアウエアはあちこちのディレクトリに忍び込んで
「お前のMacはウイルスまみれだ」
と書いてあるポップアップウインドウを表示しているだけですから、「ソフトウエア的」には何ら怪しいプログラムではないわけです。
自動駆除はほぼ絶望的だと思います。

たとえウイルス対策ソフトの一部が
「MacSweeper」という名前や、ファイルサイズ、プログラムの中の文字列などを識別子にしてこれを駆除するシグネチャーを作ったとしても、名前を「MacCleaner」とでも変更して、ゴミファイルを抱かせてファイルサイズを大きくして、シグネチャーを解析して識別に使われている「文字列」を見つけて、それを変更するというこの程度の細工でウイルス対策ソフトに捕獲されないマルウエアが一丁上がりでできてしまいます。
実に簡単でITのスキルなんか大して必要でもありません。

「ウイルス対策ソフト」
というのも一般に大いに誤解されていますが、その機能は「ウイルス、ワームを発見し駆除する」ということだけが期待されていて、それ以外のトロイの木馬、スパイウエア、スケアウエア、フィッシングサイトなどを発見しそれを駆除したりユーザを守ったりなどという機能は大して期待されていないということです。
最近の製品版のソフトはそういう機能を謳ったものが多いので、そういう機能も万全のように誤解している人がいますが、そういう機能の足しになる程度と理解した方がよさそうです。

「ソフト本体にウイルス性のものを仕込まない限り」
という意味は、例えばMacSweeperにMacに自動感染できるようなウイルス性のプログラムを仕込めば、その振る舞いからウイルスとして識別することができるかもしれませんが、もしそういう細工をしないで、今のままユーザを嚇かすだけの機能に徹していれば、ウイルス対策ソフトでこれを完全に駆除するのは不可能だという意味です。


Re: ソフト本体にウイルス性 nobio - 2011/01/16(Sun) 23:00 No.4754

なるほど。

「悪意のあるソフトウェアにもいろいろあり、悪意のあるソフトウェアが必ずしもウイルスとは限らない。ウイルス独特の振る舞いがあれば検知できるかも知れないが、そうでない限り、未知の(シグネチャーを変えた)スケアウエアをウイルス対策ソフトで防ぐことは不可能だ」
ということですね。
ありがとうございました。すっきりしました。














Previous Topへ Next





site statistics
青木さやか