地味ながら実力派の「マカフィーインターネットセキュリティ2009」を検証する：2009年版セキュリティ特集 第3回（1/2 ページ）

[瓜生聖，ITmedia]

増え続けるマルウェア

マカフィーインターネットセキュリティ2009

　インターネットの普及・高速化・常時接続の一般化はユーザーのコンピュータの利用形態を大きく変えた。20年前まではコンピュータといえばスタンドアロンが当たり前だったのに対し、今はインターネット常時接続が前提となっている。インターネットが利用できないPCでは何もできない、と感じているユーザーも多いだろう。

　このことはWebや電子メールといった、積極的にインターネットを利用するアプリケーション以外にも影響を及ぼしている。OS自身もセキュリティパッチやサービスパックなどをインターネット経由で配布しているし、ダウンロード販売はアプリケーションだけでなく、音楽や動画までありとあらゆるデジタルコンテンツに拡大した。しかし、それと同時に、マルウェアの増加、高度化、多様化、多機能化といった弊害も生んでいる。

　常時接続ネットワークによってマルウェアの感染ルートが大規模かつ高速になっただけでなく、マルウェア作者間での情報共有、技術交換も頻繁になった。ぜい弱性が見つかるとあっという間に実証コードが作られ、それを目的に応じて簡単にカスタマイズできるようなツールやソースコードが公開される。そして数多くの亜種が生まれ、感染被害は拡大していく。マルウェアは増加のペースが落ちることはあっても、総数としては確実に右肩上がりに増加し続ける。しかも、増加のペースは落ちるどころか、加速しているのが現状だ。

　このことが意味するところは、「旧来のマルウェアに対するアプローチは遅かれ早かれ破綻する」ということでもある。パターンファイルのサイズ増大により処理速度は低下し、マルウェア発生頻度に対する相対的なパターンファイル更新頻度の低下は新規マルウェアの検出率低下に直結する。そのため、技術力に定評のあるセキュリティソフトベンダーは、どこもこの数年間でなんらかの対抗手段を打ち出している。逆にそういった技術刷新の行われていないセキュリティソフトウェアの導入を検討する場合は注意が必要だ。

　マルウェアの爆発的増大に対する「マカフィーインターネットセキュリティ2009」（以下、マカフィー2009）」の回答が「Active Protection」だ。通常、マルウェア検出はターゲットファイルのシグネチャをパターンファイルと照合して行う。そのため新規マルウェアのシグネチャがパターンファイルに追加されるまでは検出ができない。一方、Active Protectionはパターンファイルにシグネチャがないファイルでも、疑わしいと判断された場合（判断基準は非公開）はサーバに問い合わせを行い、統計的に判断する。その際の通信量は400〜500バイト、処理時間にして約100ミリ秒であり、マルウェア以上に現在のネットワーク環境を活用したソリューションとなっている。

地味ながら実力派

　マカフィーの印象はノートン、ウイルスバスターに比べて若干地味な印象がある。その理由の1つは確固とした「製品のイメージ」があまり浸透していないということがあるかもしれない。ほかのセキュリティソフトでは良くも悪くも「重い」「軽い」「検出率が高い」「安い」「ダブルエンジン」など、一言で言い表せる特徴を持っているものが多いが、マカフィーに関しては難しいところだ。グレーとベージュを基調にした、落ち着いたユーザーインタフェース、デフォルトで選択されている標準メニューのシンプルさも要因の1つだろう。だが、検出率、シェアともにトップクラスであり、詳細メニューに変更すれば意外にもとんがった機能が見つかる。

　メニューを標準、詳細に分けて初心者にも扱いやすく、上級者にも細かくカスタマイズできるインタフェースを提供しているところはほかにもあるが、マカフィーの場合は詳細メニューで表示される「ツール」が特徴的だ。

　コンピュータの保守として不要ファイルのクリーンアップ、デフラグプログラムへのショートカットなどがあるほか、世界地図と組み合わせた視覚的なリポートがインターネット脅威の発生源を表示する「HackerWatch」、特定サイトへのルートを追跡する「ビジュアル追跡機能」、ウイルス感染状況を表す「ウイルス地図」の3種類が用意されている。標準メニューしか利用しないユーザーは存在にすら気付かないツールなのでもったいない機能だ（もっとも、HackerWatchやウイルス地図に関しては認証なしのWebサービスとして提供されているため、マカフィーユーザーでなくても利用できる）。

HackerWatchはインターネット脅威の発生源をグラフィカルに表示する。発信源の集中傾向がよく分かる（画面＝左）。ウイルス地図は感染状況を表示。日本語では右下にVBScriptエラーが表示された（画面＝中央）。ビジュアル追跡機能はサイトとの通信経路を表示する。イギリスのWebサイトにアクセスしたところ、アメリカを経由していることが分かった。距離的には地球を約1周していると考えるとちょっと面白い（画面＝右）

検索結果には安全性を示すアイコンが表示される。アイコンにマウスオーバーするとなぜ注意が必要なのかが表示される。ページごとにダウンロードファイル、リンクまで分析されていることが分かる

　また、Web検索エンジンの検索結果に安全性を表示するサイトアドバイザは現在では同様の機能を備えたソフトがあるものの、先駆者としての豊富な蓄積は一歩先んじている。単に安全や危険を判断するだけではなく、なぜ危険なのか、どうしてそう判断したのか詳細な分析情報が表示される。

　さらに、その分析に対するユーザーのコメントも投稿、掲載することができるため、ユーザー間での情報共有という一面も持っている。もちろん、悪意を持ったユーザーや、危険に気付かずに誤った情報を流してしまうユーザーも含まれるため、信頼性に関しては保証できないものの、オークションサイトのユーザー評価に近いものととらえればいいだろう。

危険なWebサイトの分析結果（画面＝左）。ソフトウェアのダウンロードサイトが注意が必要なサイトとして検出された。原因はスクリーンセイバーソフトとP2Pファイル共有ソフトだ（画面＝中央）。実際は安全であるのに危険だと判断されているWebサイトについてユーザーが反論している。これらの情報から総合的に判断することができる（画面＝画面）