テスト用ウイルス作成は倫理に反するか?

脆弱性の公開やエクスプロイトコードの開発は「研究」と称されるのに、なぜテストのためにウイルスを作成することは人類に対する罪だと言われるのだろうか。

» 2006年08月22日 18時52分 公開
[Larry Seltzer,eWEEK]
eWEEK

 最近Consumer Reports(CR)が行ったウイルス対策製品に関するテストをめぐり、ウイルス対策コミュニティーは騒然となっている。

 CRは、われわれが以前やろうとして実際にはやらなかったことを、あえてやった。ISE(Independent Security Evaluators)のコンサルタントの助けを得て、新しいウイルス5500種のテストベッドを作成し、製品をテストしたのだ。

 CRについての古いジョークで、自分の専門分野についてのCRの記事を評価する人はいないが、それ以外であれば信用する、というものがある。つまり、大工はCRによる「丸のこ」のレビューを冷笑するが、ガスグリルや食洗機についてのレビューなら信用するというわけだ。ウイルステストについての論争でも、こうした話がたくさん出ている。

 ウイルス対策コミュニティーでは、ウイルスを作成するのはどんな理由であれ悪であり、ウイルス対策ソフトをテストするためにウイルスを作成する必要などないと主張する人が多い。それはほかの選択肢ほどよい方法ではない、と言うのだ。この問題に関する意見への有意義なリンクの数々が、Sunbelt Softwareのアレックス・エッケルベリー氏のブログのこのエントリーにある。

 わたしはウイルス対策製品のテストに多数従事してきたが、そういったテストはいつも困難なものだ。ウイルス対策製品をテストする方法は数多くあるが、すべての方法には強みと弱みがある。最大の問題は、未知のウイルスに対する予防、いわゆるヒューリスティック防御だ。

 わたしはCRの記事に関して特に意見はない。購読していないので、実際のテスト結果を読んでおらず、上のブログにリンクされていた方法について読んだだけだ。だが、多くの人が表明しているウイルス作成に対する嫌悪は、過剰反応のような気がする。

 ウイルス作成に対する2つの中心的な反対理由と思われるものを見てみよう。まず、マルウェアを作ると、それが外部にもれて罪のない第三者にダメージを与える可能性がある、というもの。もう一つは、それはウイルス対策製品をテストする方法としては適切ではない、というもの。

 たしかに、不注意でマルウェアが外部にもれる可能性はある。注意を怠れば、あらゆる悪いことが起きる可能性がある。

 サーバの設定を間違えれば、サーバをオープンリレーやボットの対象としてしまい、第三者の攻撃に利用されるかもしれない。

 プログラムの書き方が悪ければ、テスト用ウイルスプログラム作者のコンピュータを攻撃にさらしてしまう可能性もある。まだ例を挙げることはできるが、テスト用マルウェアを公開する可能性は切迫した脅威ではないようだ。特に過去にそういった不名誉な事故がなかったのだからなおさらだ。

 だが、この話題でわたしが本当に驚いたのは、ウイルス作成がエクスプロイトテストと比較されていることだ。どういうわけか、脆弱性調査とエクスプロイトコードの開発は正しいことで、業界への貢献だと見なされている。研究者らは内容を一般公開せずにベンダーに連絡するべきではないかという意見もあることはあるが。

 この業界の人間なら誰でも知っているように、脆弱性やエクスプロイトの開発者の方が、マルウェアの研究よりはるかに多くのダメージを罪のない第三者に与えている。それなのに、事がマルウェアになると、なぜみんなこうも保守的になるのだろうか。

 では、マルウェア作成は最上のテスト方法だろうか? ヒューリスティックテストのより良い方法として、ウイルス対策製品をしばらくの間アップデートせずに取り置いておき、最後にアップデートをかけた後に登場したマルウェアを与えてみるというやり方を提案した人がいる。

 かつてわたしはPC Magazineで、実際にこのような方法でテストを行ったことがある。その結果は、誰も満足できないようなひどいものだった。実はアップデートしないでいる期間は十分長かったとは言えないし、与えたマルウェアも多くはなかったにもかかわらず、だ。

 うまく防衛できたとしても、このテストで分かることは、せいぜいアップデートをやめた時点までのウイルスに対しては、製品がちゃんと対応しているということだけだ。

 従って、長期間アップデートせずに、より多数のサンプルマルウェアを与えることでテストを正確にするほど、テストは不正確になる。報告時点の製品の実際の性能と結果がかけ離れるからだ。

 わたしはCRの評価記事のテスト方法と分析には反対だが、テストのために同誌がウイルスを作成したという事実はこのテストを疑問視する理由にはならない。

 自分たちでウイルスを作成するにしても、既存のウイルスを使うにしても、その扱いには注意する必要がある。CRのテストには倫理的に踏み外した部分はなく、製品を積極的にテストしようという試みがあるだけで、それは称賛すべきことだ。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ