Previous Topへ Next

これでまた「どのウイルス対策ソフトが安全度が高いですか?」
とかいう勘違いが再生産されるんだろうか

Why do you think it secured?


これでまた「どのウイルス対策ソフトが安全度が高いですか?」とかいう勘違いが再生産されるんだろうか

先日イカタコ「ウイルス」の作者が逮捕されたことが報道された。
逮捕された人物は、3年前に「原田ウイルス」の作者として逮捕された人物だったというオマケ報道付きで、この「ウイルス」作者の自宅からイカタコの亜種のウニ、クラゲ等のデザインのラフスケッチが出てきたことから、どうやらこの亜種は全部この人物が一人でバラまいていたらしい。
だから、逮捕が逆効果で油断したWinnyユーザが、一斉に亜種のカモになるんじゃないかという心配は無くなったのかもしれない。

今日たまたまwebでこういうページを見つけた。
タコイカウイルスはノートンで駆除できますか? - Yahoo!知恵袋

この質問者さんはどうやらPCにウイルス対策ソフトを入れていないらしい。
それで不安になってきたので、ノートンのアンチウイルスを入れればイカタコ「ウイルス」の心配をしなくても大丈夫かという質問をしているらしい。

それに対して、大変几帳面な回答者が当時の各ウイルス対策ソフトの対応状況をリストにしている。
よく調べたなと感心したので転載する。


・マカフィー→×(感染)
・バスター→×(感染)
・AVG→×(感染)
・AVIRA→◯(検出成功 防御)
・G DATA→◯(検出成功 防御)※BitDefenderとavast!のOEMエンジン搭載。
ただし、2011ベータ版の方では検出できなかったようだ。
・カスペルスキー→◯(検出成功 防御)
・マイクロソフト Security Essentials →×(感染)
・Panda クラウド→×(感染)
・ESET→×(感染)
・ノートン(2011ベータ版)→×(感染)
・COMODO→×(感染)
・avast!→×(感染)
・BitDefender→◯(検出成功 防御)
・キングソフト→×(感染)
・TrustPort →×(感染)※AVGとBitDefenderのOEMエンジン搭載。

これはこれで貴重な記録だと思うけど、問題はこれを見て情弱方面のウイニーユーザが
「Avast!やAviraを入れておけば安全なんだな」
という思い込みを持たないだろうかと気になった。

あるいは
「イカタコにも対応したKasperskyはやはり優秀だ」
という変な評価が広がるんじゃないかなとも思った。

最近はあちこちでウイルス検出率を競い合ったランキングサイトなんかが公表されていたりで、そういうものを見て
「カスペルスキー優秀、Avira命」
みたいな評価に凝り固まっている人を時々見かける。

前にも書いたかもしれないけど、ウイルスの検出率が極端に低いソフトは除外するにしても、上位の20製品くらいのウイルスに対する防御力はどれもこれも同じようなもので、どれが優秀ということも突出しているということもない。
ウイルス検出率はあくまで参考値程度の話に留めておけと言いたい。
自分で用意した検体を使って自分でテストするんだからベンダー公表の検出率は100%に近くなるに決まっているし、こういう手のランキングサイトにはしっかりベンダーとのスポンサー関係があるところもあるので、参考になるようなならないようなものだ。

どんなに検出率が高いソフトでも、一つだけの対策では完璧ではない。
複数のソフトを、それもできるだけ数多くのソフトを組み合わせて(可能ならネットワークに繋がっている全機種のウイルス対策ソフトがバラバラというのが理想型。ネットワーク管理者は音を上げるだろうけど)、お互いの弱点をカバーするというのが万全なウイルス対策だと思う。
カスペだろうがアヴィラだろうが、一つのソフトに命を預けるのはアフォのすることだと思うのですよ。


それと
「イカタコウイルスに対応したから優秀なウイルス対策ソフトというわけではない」
ということも強調しておきたい。

イカタコ「ウイルス」の正体についてはこちらのページで実際にテストしたので、参照してもらいたい。
タコ「ウイルス」をゲット、テストしてみた〜これは引っかかるヤツが悪いといってしまうと身もふたもないのだが・・・

私がなぜイカタコ「ウイルス」をカッコ付きのウイルスと書くかもここで説明した。
厳密にいうとこの「イカタコ『ウイルス』」はウイルスではない。
ウイルスには自律的に活動し、自分のコピーを感染環境にバラまくという要件があるのだが、このイカタコ「ウイルス」はその要件を満たしていない。
感染には必ず人間が自分の意志でダウンロードしてきて、自分の意志でこれをクリックして起動させないと、増殖どころか感染もできない。活動中の「ウイルス」も自分のコピーをネットワーク上のコンピュータにバラまいたりはしない。
こういうものは正確にはウイルスとはいわない。

こういうものにウイルス対策ソフトが対応するべきなのかは微妙な問題を含んでいる。

単なるスクリプトで、ある条件で特定のボリューム、あるいはディレクトリのファイルに何かを上書きしろという内容になっているとするなら・・・
するとウイルス対策ソフトはどういうシグネチャーを使ってこれを「ウイルス」と識別すればいいのか?
ファイル名やファイルサイズ、拡張子などの外見的な条件で「ウイルス」を特定することはできるが、それは簡単にすり抜けることができる。
ファイル名や、ウイルスが抱いているゴミファイルを入れ替えればいいだけだ。
もっと踏み込んでスクリプトの振る舞いや構文をシグネチャーにすると、今度は似たようなスクリプトまでウイルスと誤認してしまう可能性がある。
これは簡単な問題ではない。
あるウイルス対策ソフトベンダーが、正規のWindowsシステムファイルをウイルスと誤認するシグネチャーを配布した為に日本の大企業、新聞社などの機能が停止した事件が数年前にあった。

ウイルス対策ソフトのベンダーとしてはそういう誤認は是非避けたいと考えるから、こういうものは無視する方が得策ともいえる。
ファイル名で特定するのはイタチごっこだし、振る舞いの特定は難しいならほっておくべし、どうせ犠牲になるのはWinnyユーザだから社会的責任も追及されないだろう・・・というところじゃないかな。

ファイル名などの対応で敢えて対応したウイルス対策ソフトベンダーも
「あのイカタコウイルスにも対応しました!!」
なんて宣伝文句を書くためのスタンドプレーみたいな匂いを感じないだろうか。

こういうものに対応するのが優秀なソフトというわけでもないということも、是非WInnyユーザの情弱方面の人達に知ってもらいたいと思う。
ましてや件の質問者はウイルス対策ソフトも入れないでファイル共有をやってるんじゃないかという疑いもあるわけで、ノートンが対応してるかどうかを心配するよりも「イカタコウイルス」の情報をもうちょっと集めてみたらどうだろうかと思う。
それ以前にファイル共有ソフトを使うの止めろというアドバイスの方が適切かな。




2010年8月12日















Previous Topへ Next





site statistics
青木さやか