ウィルス対策を考える【 NOD32アンチウイルス編】

ウィルスの脅威

2003年は Bugbear,Klez,Redlof がワースト3だった。2004年は MyDoom ウィルスが史上最悪のペースで感染を広げた。このように毎年、新種のウィルスが誕生しては被害を拡大していくのだ。

ウィルスは進化し、自分自身の存在を隠すため、すなわちウィルス対策ソフトに検出されないために数々の工夫を凝らしている。

例えば、感染するたびにプログラム・コードが変わるものもある。

巧みな新種ウィルス

ポリモーフィック
ウィルスのプログラム・コードを暗号化して配布、感染する。プログラム・コードの一部に暗号化/復号化のエンジンを持ち、感染するたびに暗号カギを変え、自己解凍形式のファイルにして配布される。ウィルスの実体となるプログラム・コードは変化しないが、暗号化されているため復号化せずにスキャンしても検知は難しい。
メタモーフィック
感染するたびにウィルスが自分自身の実行コードを書き換える。計算手順やウィルス本体の位置をランダムに変えるなど、プログラムコードの並びをチェックするパターンマッチングを回避してしまう。

ウィルス対策ソフトが、このような新種ウィルスを検出するのに、パターンマッチング手法では限界がある。パターンマッチングの弱点は、未知のウィルスを検出できないことにある。新種のウィルスが発見されてからパターンファイルが配布されるまで、早いベンダーでも数時間はかかる。さらにパターンファイルの配布が開始されてからクライアントにダウンロードされるまでの時間は新種ウィルスに対して無防備な時間となる。

防御の手法

このような新種ウィルスに対して無防備な状態を避けるために、ウィルス対策ソフトには新たなウィルスの検出方法が求められる。

ポリモーフィック型に対しては、プログラム・コードに組み込まれている暗号カギを読み取り、プログラムを復号化しスキャンする。これによりパターンマッチングでも検知が可能になる。しかし、これでもメタモーフィック型は検知できない。そこで考えられたのが下記の手法である。

ヒューリスティック

メタモーフィックに対抗するために考えられた手法で、静的ヒューリスティックと動的ヒューリスティックがある。いずれも、ウィルスに特有のコード、例えば、レジストリへのアクセス、ファイル・オープン、メール送信が無いかをチェックする。両者の違いは、前処理としてウィルスに特有のコードやシステム・コールを抜き出す方法にある。
- 静的ヒューリスティック
  バイト列の照合によりコードを抜き出す。
- 動的ヒューリスティック
  仮想マシン上で動作させ、発行されるシステム・コールを抜き出す。
後処理では、ウィルスとしての活動をするかどうかのチェックを行う。
ビヘイビア・ブロッキング

起動中のプログラムの動きを監視する手法である。OSに対するシステム・コールなどを監視し、ウィルスと思われる動きが無いか監視し、それをブロックすることで感染活動を阻止するものだ。

NOD32 はこのヒューリスティック技術により、ウイルス定義ファイルを更新すること無しに、2004年に流行していた Netsky,Bagle,Mydoom を検出することが確認されている。

●「NOD32アンチウイルス」が定義ファイル更新なしにウイルスを防御猛威を振るう新種ワーム「Netskyウイルス」発生時点から既に保護！(キヤノンシステムソリューションズ)
「「NOD32アンチウイルス」は、アドバンスドヒューリスティック機能により、このようなウイルスに対してもウイルス定義ファイルなしに発見できますので、感染の確率を極端に小さく抑えることができます。アドバンスドヒューリスティック機能は、Eset社が日々改良を重ね、精度の向上が図られていますので、未知のウイルスに対してこのような素晴らしい防御が可能となっているのです。」
」
2005年に起きた価格.com改竄事件の時も、NOD32だけがウイルスを検知したことは今でも語り草となっている。

●カカクコムがサイト閉鎖の経緯を説明，「当初は対策ソフトの多くが未対応，ウイルスを確認できず」(ITpro)
「当初，同社では改ざんについては確認したものの，ウイルスについては気付かなかった。というのも，5月11日時点で今回のウイルスに対応していたのは，「NOD32」という対策ソフトだけだったからだ。トレンドマイクロやシマンテックなどの製品は対応していなかった。」

●価格.com改竄事件、NOD32だけがウイルスを検知したのはなぜか(INTERNET Watch)
「未知のウイルスだったWin32/PWS.Delf.FZを検知できたのは、NOD32の「アドバンスド・ヒューリスティック機能」のためだという。ヒューリスティックとは「発見的手法」と訳され、汎用的なアルゴリズムを利用し、未知のコードを解析して「理解」することで不振な挙動を検出する。」

ウィルス対策ソフトだけに頼らないこと

パーソナルファイアウォール製品(ウィルス対策ソフトにバンドルしている場合もある)に実装されている、許可した実行ファイルしか起動を許可しない機能も未知のウィルス対策として有効だ。誤操作によるウィルスファイルの実行を防ぐ効果もある。

インターネットから無差別な攻撃を行ってくるワームに対しては、パーソナルファイアウォールが有効で、Windows XP SP2 ではデフォルトでオンに設定される。特にダイアルアップ接続を行う(PHS、モデム(ケーブルモデム、YahooBBモデム等))パソコンにおいては必須といってよい対策だ。

次世代対策ソフト NOD32アンチウイルス

・スキャン速度が速い

Nimda や Blaster がノートパソコンの持ち込みにより被害を拡大したことが発端となり、近年、企業にノートパソコンを持ち込む際や、ダイアルアップ接続を実行したPCをLAN接続する前に、最新のパターンファイルでハードディスクのフルスキャンをセキュリティポリシーで義務付けるところが多くなっている。昨今のノートパソコンのハードディスク容量は、すくなくとも20GB以上搭載しているので、フルスキャンは非常に時間のかかる処理だ。特にモバイル環境でノートパソコンを持ち歩いている人間にとって、スキャン速度の遅さは致命的と言っても過言ではない。しかし Norton Anti Virus で1時間30分もかかるパソコン環境で、NOD32アンチウイルスでは 20分でスキャンできたのだ。数倍の速さでフルスキャンをかけることが出来るということである(全ファイルの検索を行なった。圧縮ファイル、アーカイブファイルを含む設定にし、検索条件がほぼ同じになるようにした)。その速さの秘訣は「スマートCRC」と呼ぶ対数的アプローチによる検索の成果によるものだろう。

・検出精度も文句なし

スキャン速度が早くても検出精度が低ければ元も子もないのだが、ヒューリスティック検出により、今まで検出が困難だったウィルスを検出できるようになる。業界で最も権威のあるウイルス関連情報誌「Virus Bulletin（VB）」による「Virus Bulletin 100% Award」を52回と最多受賞(2008年10月時点)していることからも、単にスキャン速度が速いだけでなく、大手メーカー製のウィルス対策ソフトに劣らない精度を持っていることが証明されている。この VB 100% Award は、In The Wild ウィルス(実際にインターネット上で流行しているウィルスの総称で5万種以上存在)の全件検出と誤検出が無いソフトに与えられる称号なのだ。

NOD32アンチウイルスの欠点

スキャン速度の速さや検出精度はNOD32アンチウイルスの優位点であるが、ここでは欠点もあえて指摘しておこう。

インターネット接続環境が必須
ウイルス定義ファイルをダウンロードして、オフラインで更新することができない。
アップデートファイルは小さくなるように工夫されているが、回線速度の遅い(数十kbps程度)モバイル環境での定義ファイル更新はつらい。
パーソナルファイアウォール機能が無い
Windows XP であれば標準のインターネット接続ファイアウォール (ICF) 機能を使える(SP2からデフォルトでオンになりました)し、そのほか、フリーのパーソナルファイアウォールソフト、Sygate,Outpost,ZoneAlarmなどや市販の製品も数多くある。
送信メールのチェック機能が無い
これはウィルスに感染してしまった時に、拡散を防ぐための機能だ。ゲートウェイレベルで対応したいところだ。
SPAMメールの除去機能が無い
これもメールゲートウェイあるいは別途専用のSPAM対策ソフトで対応したい。最近のウィルスはスパマーが作っていると言われているものもある。

これらはNOD32アンチウイルスが大手メーカー製のウィルス対策ソフトに見劣りする点だが、NOD32アンチウイルスはウィルス対策に特化した製品であると理解すればよいだろう。
2年目以降の更新料は、他社製品とさほど変わらない。ちなみに、Norton AntiVirus 2003 が 2,600円、Trend Micro ウイルスバスターが 3,000円、NOD32 が 2,500円である。

ウィルス対策ソフトはどれも大差ないと思われる方もいるだろう。しかし、ウィルス対策ソフトを選定する基準によっては、このNOD32アンチウイルスはベストソリューションだといえる。

こんなユーザにNOD32アンチウイルスをお勧めしたい

検出精度が高いウィルス対策ソフトが欲しい
スキャンが速いウィルス対策ソフトが欲しい
アップデートファイルが小さく、メモリやCPUなどのリソース消費の少ないウィルス対策ソフトが欲しい

まさにハードウェアリソースに余裕の無い、ネットブックPCにも最適なソフトであるといえよう。

百聞は一見にしかず。まずは30日間無料で試してみてはいかがだろうか。

■ 2008年追記

NOD32には、パーソナルファイアウォール機能とSPAMメール対策機能がないのが欠点と書いたが、その後、NOD32アンチウイルスの上位モデルであり、さらなる動作の軽さ・高速スキャンを実現した総合セキュリティソフト「ESET Smart Security」が発売されている。

ESET Smart Securityは、ウイルス対策のほか、スパイウェア対策、フィッシング対策、不正侵入対策、迷惑メール対策がオールインワンになっている。

警察庁に採用！人気急上昇中のウイルス対策ソフト

インターフェイスもNOD32と比べて、使いやすくなっている。

・検出率No,1 - 2006年度/2007年度最優秀アンチウイルス製品
・軽さNo,1 - ウイルス対策ソフトを入れていないのとほぼ同じ体感
・安い - 総合セキュリティソフトで驚きの4,200円

３拍子揃ったウイルス対策ソフトが「イーセットスマートセキュリティ」。しかも軽さはそのままである。

2004年10月5日にコンポーネントがアップデートされた。

1）Windows XP Service Pack2 セキュリティセンターへの対応
2) HTTP検査機能の追加
3) DMON（DocumentMONitor）追加
4) AMON及びオンデマンドスキャナにアドバンスドヒューリスティックを追加
5) 一部のスパイウェアに対応

2005年8月30,31日にコンポーネントがアップデートされた。

1）ThreatSense(TM)テクノロジーによるスパイウェア・アドウェアなどの検出を強化
2) スパイウェアの検出機能に対するCheckmark認定を獲得
3) ThreatSense.Net（早期警告システム）をスタート
4) インターネットから侵入するウイルス検出を強化（Webアクセス時のウイルスチェック）
5) Microsoft Office Document に含まれるウイルス検出を強化