不正プログラムをあぶり出すウイルス対策ソフトの最新検出技術とは？：セキュリティ対策技術の基礎を知る（3/4 ページ）

[國谷武史，ITmedia]

最新技術のレピュテーション

　レピュテーション（評判）技術は、未知のプログラムによる脅威へ対処するための新たな検出技術として多くのウイルス対策メーカーが注目しており、ここ数年で各社が相次いで導入を進めている。

　レピュテーション（評判）技術の基本的な仕組みは、ユーザーが入手しようとしている、もしくは入手したばかりのデータの安全性について、ユーザーがウイルス対策メーカーへネットワーク経由で照会を行い、メーカーが評価した結果をユーザーにフィードバックする。ウイルス対策メーカーは、レピュテーションを行うために世界各国のユーザーから未知のデータ（ファイルやプログラム、URL、Webサイト、電子メールなど）に関する情報を収集し、データベース化している。

　トレンドマイクロでは、「Web」「ファイル」「Eメール」の3カテゴリーでレピュテーションを行うためのデータベースを構築し、3つのデータベースが協調動作するシステムを構築しているという。

ファイルレピュテーション技術による検出イメージ（同）

　例えばWebレピュテーションでは、ユーザーからの報告や独自に入手した情報を基に不審なWebサイトをクローラーなどで使って調査する。その際、サイトが登録された日時や安定度（頻繁にIPアドレスが変更されていないなど）、過去に不正プログラムやスパムに配信に使われたかどうか、サイト内に不審なプログラムが置かれていないかといった基準で安全性を評価し、その結果をデータベースに登録する。別のユーザーがそのサイトへアクセスしようとした場合、事前にデータベースに照会して「危険」と判定されたサイトであれば接続をブロックし、「安全」と評価されていればアクセスを認めるという具合だ。

　ファイルレピュテーションやEメールレピュテーションも基本的には同様の仕組みで、ユーザーを未知の脅威から保護するものとなる。最近はスパムメールのリンクからWebサイトにユーザーを誘導し、そこで不正プログラムをダウンロードさせるといった複合型の攻撃が主流となっている。トレンドマイクロは、3つのレピュテーションデータベースを協調動作させることでこうした形態の攻撃に対処できるとしており、仮にいずれかのデータベースに脅威情報が登録されていなくても、別のデータベースで脅威だと特定することが期待できるという。

　パターンマッチングなどのこれまでの検出技術とレピュテーション技術の大きな違いは、従来の検出技術がユーザーのコンピュータに到達してしまった不正プログラムを検出するのに対して、レピュテーション技術は不正プログラムがコンピュータに到達する前に予防措置的に防御を実現できる点だろう。

　また、レピュテーション技術は検出するためのパターンデータをコンピュータ上に用意する必要がないため、ウイルス対策ソフト全体のサイズをスリム化できる。これにより、コンピュータのパフォーマンスを低下させるというウイルス対策ソフトが長年抱えてきた課題を解消するのにも大きな効果をもたらす。しかしながら、レピュテーション技術にはネットワークに接続していなければまったく機能しないという根本的な問題が残されている。

　この点についてトレンドマイクロの平原伸昭氏は、「将来的にわれわれも含めたウイルス対策ソフトはレピュテーション技術へシフトしていくと思うが、オフライン環境をどう保護するのかという問題が残る。最終的に脅威の75％はレピュテーション技術でブロックし、残りの25％はパターンマッチングやヒューリスティックなどの既存技術でブロックすることになるのではないか」と予測する。

　その意味では、現在のウイルス対策ソフトは機能面において大きな転換点を迎えているようだ。