特集
» 2006年09月11日 08時00分 公開

狙われる企業、スパイウェア対策事情:どっちを選ぶのが賢い? ウイルス対策ソフトとスパイウェア対策ソフト (2/3)

[野々下幸治,ITmedia]

 ウイルス対策ソフトが利用するシグネチャは、プログラムファイルそのものを検出する。スパイウェアのプログラムファイルがHDDに書き込まれる瞬間をとらえて、シグネチャとマッチングするという仕組みだ。どちらかといえば、シグネチャは侵入を防ぐために使われる。

 ウイルス対策ソフトは、元来からそのプログラムの存在自体に悪意があるという考え方をとっており、インストーラであっても検知・駆除を行う。しかし、インストーラのパッカーアルゴリズムを変えた亜種を作成されると、ウイルス対策ソフトでは検知できず、感染を許してしまうということもある。

 これに対し、スパイウェア対策ソフトでは、スパイウェアがインストールされる前の状態と、インストール後のシステム内の変化をシグネチャとして提供している。そのため、インストーラのパッカーアルゴリズムの変更には影響を受けない。シグネチャに合致する変化が見られれば、検知・削除が可能だ。スパイウェア対策ソフトは、侵入された後にどう復旧するかに重きが置かれているといえる。

 スパイウェアの場合、侵入を前提とした対策を考えることが重要だ。特に削除がきちんと行えるかどうかは、TCO(Total Cost of Ownership)に影響する。検知をしても削除が十分に行えなければ、ヘルプデスクはユーザーのPCまで出向き、復旧作業を行う必要が出てくるのは言うまでもない。

複数の対策ソフトの必要性

 最近はウイルスの大規模感染が減少した半面、トロイの木馬が急増している。このトロイの木馬は、悪いことにそれ自身が感染能力を持たないため、ウイルス対策ベンダーも迅速に検体を入手しにくい。また、PCが明らかな感染症状を示さないため、ユーザー自身も感染に気付かないことが多く、ユーザーの報告に頼る方法があまり有効に働いていない。

 さらに多くのトロイの木馬の作者は、ウイルス対策ソフトが検知するかをチェックした上で配布を行う。

3カ月前の定義ファイルによる新種のマルウェア検知能力 3カ月前の定義ファイルを利用した新種マルウェアの検知能力。大手のウイルス対策ベンダーの製品では、検知率が3分の1程度にまで下がる傾向にある

 この図は、AV-Comparative.orgが公表している、ウイルス対策ソフトのプロアクティブな対応能力を測定した最近のベンチマークテストの結果だ。3カ月前のシグネチャを利用して、この間に登場した新種のウイルスをどの程度検知できるか、そのヒューリスティック能力をテストしている。

 一般的にアンチウイルスは、未知のウイルスにも対応できるように、ヒューリスティックという技術を導入している。このテスト結果によると、一般的には小さなベンダーの方が良い成績を出している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ