2018年2月2日
常識を疑え!ハッカー視点のセキュリティ
筆者)株式会社トライコーダ 上野宣
第1回 検出率100%のアンチウイルスソフトを使えばウイルスに感染しないのか?
サイバー攻撃やランサムウェア、毎日のようにコンピュータなどのセキュリティが脅かされるニュースを目にします。そんな時代なので、きっと皆さんはアンチウイルスソフトをしっかりと導入しているのではないでしょうか。
ウイルスの検出率は驚異の100%
少し前のアンチウイルスソフトを思い出すと、家電量販店などの売り場には「検出率99.9%!!」のような売り文句が並んでいて、どれも検出率を売りにしていた気がします。しかしここ10年ぐらいは、そういう文句は控えめになっています。
最近の検出率はどんなもんだろうと、アンチウイルスソフトのテストで有名な「AV-TEST(https:// www.av-test.org/en/)」や「AV-Comparatives(https://www.av-comparatives.org/)」などのテスト結果を見てみると、なんとほとんどのソフトが検出率100%、もしくは99.99%といった驚異的な数値を叩き出しています。
いつの間にかアンチウイルスソフトがウイルスを100%検出するようになっていたようです。99.99%の検出率ならもし見逃したときの言い訳ができるとしても、100%検出するのであればウイルスに感染するなんてことは起き得ないのではないでしょうか。100%ですもんね。
全員が100点を取るそのテスト方法とは
ところで、どういったテストを行っているのでしょうか。先ほどのテスト機関のページを見てみると、「既知のウイルス」と「未知のウイルス」に分けてテストを行っているとのこと。
既知のウイルスの場合には、直近1ヶ月ぐらいで世の中で見つかったものをどれぐらい検出するか。未知のウイルスの場合には、アンチウイルスソフトを導入した端末を一定期間実世界で運用して、不正なWebやメールにアクセスしてどれぐらい検出するかといったテストを行っているようです。
一見良さそうに見えるテスト方法ですね。過去に知られているウイルスを検知しているかを確認し、新しく登場したウイルスも検知するかを確認しているようです。しかし、この方法では本当に未知のウイルスは検出しない可能性がありそうです。
100%の検出率をすり抜けるウイルス
もし、あなたが企業秘密や仮想通貨を狙った攻撃者で、目的達成のためにウイルスを作るとしたらどうするでしょうか。※
当然ですがアンチウイルスソフトに検出されないウイルスを作りますよね?検知を回避する工夫を凝らし、そしてあらかじめ複数のアンチウイルスソフトで検査しておいて、すり抜けることを確認するはずです。 そうやって作られたウイルスは、この時点では本当に未知のウイルスだということになります。
このウイルスに対しては100%の検出率を誇るアンチウイルスソフトなのに、このウイルスは検出しないという耳を疑うようなことが起きます。これは別に100%の検出率が嘘だと言っているわけではなく、何に対して100%なのかということを理解しておく必要がありますね。
そして、本当に未知のウイルスが世界中にどれだけあるかなんて数えることはできないので、それに対して何%検出するなんて計算しようもありませんよね。
未知のウイルスをいかに早く検出するか
世界中の全てのウイルスを100%検出しないならアンチウイルスソフトは不要かと言うとそうではありません。
先の例のような特注品のウイルスもありますが、その特注品が複数のところで使われることもあります。例えば、どこかで怪しい通信などをするそのウイルスの活動に気が付き、ウイルスの情報がアンチウイルスソフトに反映されると、複数社を狙っていたような場合には次からは検出できるようになるわけです。
また、アンチウイルスソフトなどのセキュリティソフトは、ウイルス検知だけがその機能ではありません。攻撃者による怪しい通信や挙動などの検出を行うこともあります。
各社はこういったところにも力を注いでいて、本当に未知のウイルスを発見し、いかに早く世界中のユーザーに反映するかといったことも行っています。
こういった努力を続けているベンダーのアンチウイルスソフトは必ず導入しておいた方がよいでしょう。
※ウイルスの作成や供用は通称「ウイルス作成罪」と呼ばれる「不正指令電磁的記録に関する罪」として犯罪行為です。決してやってはいけません。
