ウイルス対策に近道なし、基本は一にも二にも「教育」

フォーティネットは「コンピュータウイルスのミステリ」と題するプレス向け説明会を開催。宣伝文句を過信することなく、地道にユーザー教育を行うことの重要性を説いた。

» 2005年01月20日 21時22分 公開
[高橋睦美,ITmedia]

 「ウイルス対策の基本はやはり人に対する教育やトレーニング。仮にピンポイントで特定の企業を狙うようなウイルスが出現したとしても、ユーザーがきちんとした知識を持っていれば大丈夫ではないか」(フォーティネット・ジャパンのテクニカル・アドバイザーを務める中田秋穂氏)。逆に言えば、“100%ウイルスを検出できます”といったベンダーの宣伝文句を過信すべきではないということだ。

 フォーティネットは1月20日、「コンピュータウイルスのミステリ」と題するプレス向け説明会を開催した。この場で中田氏は、一般に「当たり前」と思われているウイルスにまつわる常識に疑問を投げかけるようなユニークな分析を行った。

問題は「野放し」ウイルス

 その1つが、コンピュータウイルスの種類だ。ベンダーによっては何万種ものウイルスが報告されているが、中田氏によれば「実際にフィールドに存在するのは、たかだか2000種ほど」という。

 その根拠として同氏が挙げるのが、「WildList」だ。The WildList Organization Internationalがまとめているこのリストには、世界中に散らばるウイルス研究者が「実際にフィールドから受け取ったウイルス」が掲載される。つまり、実害を及ぼさないコンセプトレベルのウイルスではなく、実際にネットワーク上に流通しているもののみがリストアップされる仕組みで、ウイルス対策製品の検出の正確さを図る指標である「Virus Bulletin」のテストにも用いられている。

 WildListには、2人以上から報告がない限り掲載されない「Main List」と、1人でも報告があれば掲載される「Supplemental List」の2種類がある。2000年1月から2004年5月までのデータを中田氏が集計したところ、前者にリストアップされたウイルスは268種類、後者は1212種類。両方に載ったものを含めても、「野に放たれている」状態のウイルスは合計1871種に過ぎない。

 また、毎月ウイルス届出件数をまとめている情報処理推進機構(IPA)のデータでは、1994年7月から2004年6月末までに報告されたウイルスは545種類にとどまる(ただしIPAでは、亜種はカウントしていない)。国内のある企業での実測データ(2002年1月〜2004年11月)の集計では、計961種類のウイルスが検出されたという。

中田氏 「今後は、静かにPCに潜入して検知を困難にするようなウイルスが登場してくるだろう」と予測した中田氏

 こういった状況を踏まえると、「『うちの製品では何万種ものウイルスを検出できます』という具合に、検出できるウイルスの数を競うのは昔の話となった」と中田氏。今後は、新規のウイルスにどのくらい速く対応できるか、また定義ファイル更新が間に合わない場合でも、古いパターンファイルでどの程度新種のウイルスに対応できるかが、対策ソフトの能力を測る指標になるだろうと予測する。

基本はやはりユーザー教育

 ただ、これら2つの指標についても落とし穴がある。

 たとえば、最近のウイルス対策製品の多くは“未知のウイルスも検出できる機能”を売りにしている。しかしながら、AV-Comparativesが行っているプロアクティブテストの結果を見れば、その機能は必ずしも十分とは言いがたい。このテストは、3カ月前の定義ファイルを用い、現在出回っているウイルスをどのくらい検出できるかを測定するものだが、検出率は高くて30%、ほとんどの製品では数%。中にはまったく検出できない製品もあるといった結果だ。

 「いくら『未知のウイルスを検出できる』といっても、In-the-Wildのウイルスの検出率はこの程度にとどまっている。やはり、パターンファイルのアップデートを行わざるを得ないのが現状だ」(中田氏)。

 では、その更新がどのくらい迅速に行われているかというと、「一般のお客に配布するまでには、やはり出現してから6〜10時間はかかる」(同氏)。この数字は、各ウイルス対策ベンダーの定義ファイル更新状況を調査している「AV-Test.org」によるもの。更新のスピードはケースバイケースで、一概にどのベンダーが速い、とは言いがたいという。

 発生から更新が完了するまでのタイムラグを踏まえても、「新しいウイルスは、検出されないことも多い」と中田氏。その現状を踏まえ、いかにして新しいウイルスが入り込まない形を作り上げるかと同時に、仮に入り込まれたとしても感染しないようにするかが重要だ。

 その鍵となるのは、結局のところユーザー教育だと中田氏は述べている。「万一ウイルスが侵入し、感染してしまったとしても、しっかり原因を追跡し、どこから入ってきたかを突き止め、(添付ファイルなどを)開いてしまったユーザーには再教育を行うことで、今後のネットワークセキュリティ強化のいいきっかけになるはずだ」(同氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ