Mac OS X版の同梱でも話題となったウイルスバスター2010。このウイルスバスター2010に搭載される、新しいセキュリティ技術が「スマートプロテクションネットワーク」だ。これがどのような技術なのか、そしてなぜ新しい技術が必要なのか。トレンドマイクロの長島理恵氏に聞いた。
スマートプロテクションネットワークは3つの技術で
ここ最近のウイルスの特徴の1つが、膨大な数の亜種の誕生だ。トレンドマイクロの発表によれば、現在2.5秒に1つの割合で不正プログラムが発生しているという。1日に約3万5000個、年間で約1245万個という膨大な数だ。その結果、ウイルス対策製品は「今までの手法だけでは、なかなか打ち勝つことができない」(長島氏)という状況に陥っているという。もちろん、打ち勝てないからといって、手をこまねいているわけにはいかない。
そこで、トレンドマイクロが対抗手段として開発した技術基盤が「スマートプロテクションネットワーク(Smart Protection Network)」だ。
ウイルスバスター2010に搭載されるスマートプロテクションネットワークは、レピュテーション、相関分析、そしてスマートフィードバックの3つのコンポーネントで作られている。
まず、1番目のレピュテーション(Reputation)には、Webレピュテーションとメールレピュテーション、ファイルレピュテーションの3種類がある。そもそも、ウイルスの検出手法というと、既知のウイルスのコードを集めたデータベース(パターンファイル)を使った「パターンマッチング」、プログラムの挙動から未知の危険なウイルスを発見する「ヒューリスティック」が有名だろう。これに対しレピュテーションは、対象となるWebサイトやメール、ファイルの評価(レピュテーション)によって、危険を検知する技術だ。
Webレピュテーションは、ウイルスバスター2008から搭載された機能で、ページの継続期間、利用しているドメイン名の安定性(頻繁に変わっていると不審)、既知の不正ソフトウェア作成者と関係があるか、IPアドレスがスパム送信者のものかといった条件でWebサイトの危険度を判断。危険なWebサイトへのアクセスを警告したり、ブロックを行なう。
一般的なURLフィルタリングは、コンテンツの内容を人間やソフトウェアで確認して危険かどうかを判定するが、Webレピュテーションはコンテンツの内容ではなく、その周辺情報から危険を判断するわけだ。
同様にメールレピュテーションは、たとえばスパムの送信元IPアドレスを登録しておき、「そのIPアドレスからのメールはスパムの可能性がある」と判断する技術だ。このように、レピュテーションとは、どのくらい危険かという情報を集めたデータベースというわけだ。
2番目の「相関分析」は、蓄積されたレピュテーションのデータベース間を関連づけて分析する技術だ。たとえば、スパムメールが見つかった場合、送信元のIPアドレスはメールレピュテーションに登録される。続いて、そのスパムに記載されたURLにアクセスしたら、フィッシング詐欺サイトに誘導されたとする。すると、このURLは危険なサイトとしてWebレピュテーションに登録される。さらに、そのURLから危険なファイルのダウンロードもされてしまう事がわかると、そのファイルはファイルレピュテーションに登録される。
このように3つのレピュテーションの情報を組み合わせることで、新たな危険の発見が可能になる。そして、その結果をレピュテーションに情報を追加することで、安全を高めるのだ。
ユーザーからも情報を集める
3番目のスマートフィードバックは、ウイルスバスター2010が検出した脅威をトレンドマイクロに送信する機能だ。そもそも、パターンマッチングにせよレピュテーションにせよ、対策にまず必要となるのはサンプルだ。サンプルの収集には、一般にハニーポットやクローラーなどを使って、トレンドマイクロ側から能動的に行なっていた。
しかし、2.5秒に1つの不正プログラムが発生する状況では、ハニーポットやクローラーだけでは、とうていサンプルを収集しきれない。そこで、ウイルスバスター2010では、ユーザーにサンプルを送信してもらうというスマートフィードバックが搭載されたわけだ。
たとえば、危険なファイルをダウンロードしてしまった場合、これまでのウイルスバスターではブロックして終わりだった。しかし、ウイルスバスター2010では、ブロックした上で、ブロックしたという情報がトレンドマイクロにフィードバックされる。
スマートフィードバックが有効になるのは、ウイルスバスターが危険だと検知したファイルだ。検知した以上、そのファイルの活動はブロックされるため、被害は発生しない。
フィードバックされた情報は、レピュテーションに登録され、必要であればパターンとして配信されるという。「一人のユーザーの情報が、他のユーザーがブロックするための情報として使われる」わけだ。
スマートフィードバックを含むスマートプロテクションネットワークの技術は、トレンドマイクロが海外で発売している製品にはすでに搭載しており、
- 50億
- 16億
- 5000万
- 1.2TB
- 2億5000万
1日に処理される問い合わせ数
評価データベースに登録されているWebサイトの数
1日に処理される新しいIPアドレス/URL数
1日に処理される新しいデータ量
1年間に処理される不正プログラムの検体数
といった実績をもっているという。