セキュリティソフトのスペックを読み解く：ミニPCに最適なセキュリティソフトを選ぶ 第1回（1/2 ページ）

[瓜生聖，ITmedia]

セキュリティにまつわる変化

　近年、セキュリティリスクは攻撃者が技術を誇示する愉快犯から、金銭などを目的とした犯罪グループを主体とするものに変わり、一般ユーザーには分かりにくい状況が続いている。「知らないあいだにこっそりと」が普通になってきたため、実感として脅威を感じる機会が減ったということもある。

　しかしその半面、目的や不正侵入の経路、テクニックは多様化しており、セキュリティソフトが防御しなくてはならない攻撃もまた増え続けている。その結果、単にウイルス対策、という言葉が示す方法では対応できない攻撃方法も多くなってきており、セキュリティソフトはさまざまな防御方法を搭載するようになってきているのが現状だ。

　これらの攻撃方法を理解するには高度で広範な知識が必要であり、かつ、そのほとんどが横文字であることから、ソフトウェアのスペックを読み解くことはますます難解になってしまっている。「スキャンベースのビヘイビア分析によるヒューリスティックスキャンによってセキュリティリスクをプロアクティブに検出」と書かれてもなかなか理解しづらいのではないだろうか。

　今回の特集では、「昨今話題の低価格ミニPCに最適なセキュリティソフトを選ぶ」という観点から、まず一般ユーザーがセキュリティソフトのスペックを読み解くための用語の解説から始め、次に各ベンダーがリリースしているソフトウェアの特徴を比較し、そして最後に新旧Eee PCを使ったベンチマークテストを実施していく。

　用語の定義は各ベンダーや文脈によっても異なることがある。例えばトレンドマイクロでは不正プログラムをすべてウイルスと呼び、その中にワームやトロイの木馬を含めているが、マカフィーではワームはウイルスと異なりプログラムに寄生しない（Wormの項）として区別している。厳密に何が正しいのかということよりも、大まかな意味をとらえ、文脈に応じて解釈してもらいたい。

セキュリティリスクの基本用語

マルウェア／リスクウェア

　悪意のあるソフトウェア全般を指す言葉。

ウイルス

　自己複製（増殖）機能を持つプログラムで、ユーザーの知らないうちにターゲットのコンピュータにコピー、実行される。インフルエンザウイルスなどの本来のウイルスと同じように感染（コピー）、発症（破壊活動や情報漏えい活動）するため、流行、予防、隔離、ワクチンなど、医学用語になぞらえた単語を使用することが多い。

　狭義のウイルスは単体のファイルとしてではなく、既存のDLLやEXEファイルを改変（寄生）し、本来の機能を保持したままウイルス自身の活動も行うものを指す。この場合、ウイルスに感染しているものの、削除するとシステムが動作しなくなることも多く、手作業での除去はほぼ不可能になる。もっとも、OS側の対策やセキュリティソフトによってファイルの書き換えが阻止されるようになったことなどから、現在ではファイル単体で存在するものも含める、広義の意味で使用されることも多い。

ワーム

　ネットワークを経由してぜい弱性を攻撃し、増殖するプログラム。具体的にはターゲットとなるコンピュータを探し、通信を確立。ぜい弱性を突いて制御を奪い、自身のコピーを送りこんで実行させる、という手順が一般的。ユーザーの行動によって感染するのではないため、「何もしていないのに感染した」という状態になる。過去に猛威をふるったCodeRedはワームの一種だが、これは手当たり次第に感染したことによってネットワークのトラフィックが増大し、2次災害を引き起こした。

　現代的なワームはゆっくりと感染（不定期に間隔を空けながら感染活動を行う）したり、複数の感染済みコンピュータが同じコンピュータを攻撃しないようにターゲットの選び方を工夫したり、二重感染を防ぐためにいったん感染するとぜい弱性を修正するなど、より目立たない手法をとる。

　なお、ワームはworm（線虫などの虫）の意味で、ネットワークをはいまわって次々と増殖することに由来する。ネットワークウイルスともいう。

ぜい弱性

　基本的にウイルスはプログラムであるため、ターゲット上でなんらかの方法を使って実行しなくては活動できない。そこで利用されるものがOSやアプリケーションのぜい弱性だ。有名なものにはバッファオーバーフローと呼ばれるものがある。これはプログラムに非常に長いデータや、特定のコードを処理させ、データ用の領域を超えてプログラムを誤作動させるというもの。

トロイの木馬

　便利そうなプログラムや面白いゲームのように見せかけて、実は悪意のある活動を行うプログラム。ユーザー自身に実行させることで感染を広げるタイプのウイルスを指す場合もある。

スパイウェア

　個人情報やシステムの情報、Webサイトの閲覧履歴などを収集するソフトウェア。ユーザーの活動や嗜好性を調査してマーケティングなどに用いることを目的としており、フリーソフトや試用版ソフトなどに組み込まれていることがある。ただし、利用規約にそのような情報収集を行うことが明記されていることもあり、一概に問題のあるソフトウェアと言えない場合もある。

rootkit（ルートキット）

　rootkit（ルートキット）はコンピュータに侵入後、痕跡や不正プロセスを隠ぺいしたり、再度侵入する際に利用するバックドアを設置したりするツール一式のことだが、PCでのセキュリティ対策においては「自分自身の存在を隠してしまうプログラム」を指すことが多い。具体的にはOSの持つ、現在稼働しているプロセスの一覧やファイルの一覧を取得する機能（API）を書き換え、特定のものを意図的に一覧からもれるようにしてしまう。セキュリティソフトからも存在が検知できなくなるため、ファイルのチェックも怪しい動作からの保護も動作しない。

ステルス

　存在を隠してしまうこと。セキュリティ対策においては2つの意味で使われることが多い。1つはルートキットで用いられるプロセスやファイルの隠ぺいであり、セキュリティ上のリスクになる。もう1つはネットワークからPCが存在することを分からないようにしてしまうこと。こちらはネットワーク経由の攻撃を回避するためのセキュリティ対策だ。

RAT（ラット）／BOT（ボット）

　RAT（ラット）はRemote Access Toolの略でPCを遠隔操作するツール。Windows XPやWindows Vistaに標準で搭載されているリモートデスクトップなどもこのRATの一種だが、RATの機能を持ったマルウェアもあり、ユーザーの知らないあいだに遠隔操作可能な「ロボット」になってしまっていることもある。この「ロボット」を略してBOT（ボット）といい、数百台、数千台規模でネットワーク（ボットネット）を構成し、攻撃者のコマンド1つで一斉に特定サーバへの攻撃を仕掛けたり、迷惑メールを送信するなどの機能がある。最近ではフィッシングサイトのサーバになっていることも多い。

フィッシング

　金融機関などのサイトそっくりの詐欺サイトを用意し、メールなどで本物と誤解するように誘導してIDやパスワードなどの個人情報を詐取する詐欺。

ファーミング

　フィッシングと同様に詐欺サイトによる個人情報詐取だが、本物のURLにアクセスしても詐欺サイトにつながってしまうように、ホスト名からIPアドレスへの変換の仕組みに手を加える攻撃方法。セキュリティソフトの設定画面では「ファーミング対策」という名称よりも「DNSポイズニング検出」「HOSTSファイル改ざん検出」のような具体的な手法名が使われることが多い。

スパム

　迷惑メールのことで、勝手に送りつけられる広告メールや詐欺メールを指す。