« J2第02節 札幌0-1水戸 | トップページ | そりの合わない人 »

2006.03.14

今のウイルス対策の限界が見えてきた?

現在の方式のウイルス対策が果たして正しいのか、この問題が根本的に問われるきっかけになりかねない(と私は思う)事件が立て続けに起きました。
 
 
まずひとつめ。

マカフィーさんのウイルス対策ソフトが、正常なファイルを大量に誤検知してしまう事件があったそうです。

マカフィー、3月11日配布のウイルススキャン定義ファイルに欠陥(IT Pro)
セキュリティホール memo 20060313
McAfeeのウイルス対策ソフトに障害(スラッシュドットジャパン)

ウイルス定義(DAT)ファイル4715でのW95/CTXウイルス誤認識について(マカフィー)

善良のユーザが利用しているアプリケーション関連のファイルを、間違いでウイルス扱いして、勝手に隔離してしまったそうです。

昨年、ウイルスバスターがやらかした事件と同じです。ウイルス対策業界として、あの事件をきちんと教訓にはできなかったようですね。被害に遭われた方、特に企業の情シス関連の方は、ご苦労様です(夜中だったため、日本では被害はそう多くなさそうですが)。

それにしても、Excel やら Google Toolbar やら Cygwin 関連のファイルをウイルス扱いとは、また豪快な誤検知ですな。

しかし、ここでちょっと考えてみましょう。エクセルはともかく、例えばgoogleのライバル会社(マ○クロソ○トとか)のシステム担当者なら、社内の人間に Google Toolbar を使わせたくは無いはずで、これをウイルス扱いされてもかえって喜ぶ可能性はありませんかね? エクセルだって、ジ○ストシステムやI○Mなら……。

 
 
ふたつめ。

トレンドマイクロの企業用ウイルス対策ソフト「ウイルスバスター コーポレートエディション」が、情報漏洩で話題のソフト「Winny(ウィニー)」を駆除する機能を追加されたそうです。

トレンドマイクロ、新ウイルス対策ソフトにWinny削除機能(NIKKEI NET)
Winny「自体」を削除するアンチウィルスソフト登場(スラッシュドットジャパン)

x64ネイティブ、NAC Version2に対応した「ウイルスバスター(TM) コーポレートエディション 7.3」を発表(トレンドマイクロ)

「Winny検出専用のパターンファイルと検索機能により、クライアントにおけるWinnyの有無を確認し、必要に応じて削除することが可能です」……だそうですよ。

企業の情シス担当者からしてみれば、おそらくのどから手が出るほど欲しかった機能でしょう(そのまえに、企業内のPCでそもそもWinnyをインストール可能にすべきではありません。……とは言っても、企業風土によってはなかなか難しいんだよね)。
 
 
しかし、ここであえて問題提起をしてみます。

いくら悪名高いWinnyとはいえ、れっきとした出所明かなフリーソフトを、一私企業のウイルス対策製品が勝手にウイルス扱いして駆除してしまうということが、果たして許されるのでしょうか?

ニーズがあれば許されるというのなら、やはり一部で悪名高いPacketiX VPN(旧称 SoftEther)なんかをウイルス扱いして勝手に駆除するソフトは許されますかね?

昨年のSony BMG社が堂々と悪のプログラム付きのCDを売っていた事件の時には、各ウイルス対策ソフトがこれを駆除する方向にいきましたが、もし天下のSonyが「我が社のソフトをウイルス扱いするとは何事だ!」と怒ったら、各社はきちんと対応できたのでしょうか? 
Sony BMGコピー防止機能付き音楽CDが招いた大問題(日経BP)

もっと極端な事をいえば、いつまでたっても次々と脆弱性が発見され続けるマイクロソフトのIEを、危険なソフトということでウイルスバスターが勝手に駆除してしまったら、大きな問題になりませんかね? これと、上述のマカフィーの誤検知事件との本質的な差は、いったいどこにあるのでしょう? マカフィーの件は「誤検知」ということになっていますが、もしマカフィーが「これは仕様です。エクセルは弊社の定義ではウイルスなのです」と言い張ったら、マカフィーの会社としての信用はともかくとして、法的にはどうあつかわれるのでしょう?
 
 
てなわけで、駆除されるべき悪のソフトウエアと、駆除されるべきではないソフトウェアの区別は、いったい誰がどのように行うべきなのか? これがこれから大きな問題になっていくような気がするなぁ。

そして、今のウイルス対策ソフトの基本的な仕組み(ブラックリスト方式)の限界も近いような気がします。

じゃあこれからどうなるべきだと言われると、……どうなるんでしょうねぇ?
 
 
 
以下、おまけ。

一応、世の中では「ウイルス」の定義は決まっていたりします。

コンピュータウイルス対策基準(経済産業省)

第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
(1)自己伝染機能
(2)潜伏機能
(3)発病機能

 
 
しかし、スパイウェアとかマルウェアとかよばれる、上記ウイルスの定義に入らない一般の「悪のプログラム」のについては、定義すら一般的な合意は出来ていないと言ってもいいんじゃないかな。

スパイウェア等の定義や解説の例。

スパイウェアとは?(アダルトサイト被害対策の部屋)
スパイウェア(Wikipedia)
ウイルス対策基礎知識用語集(トレンドマイクロ)
マルウェアの定義 : FAQ(マイクロソフト TechNet)
Anti-Spyware Coalition Definitions and Supporting Documents(Anti-Spyware Coalition)

実際には、対策ソフトの各メーカーが、個々の事例ごとに勝手に考えているのが現状です。すなわち、ある怪しいソフトウェアが、あるメーカーの対策ソフトでは駆除されて、別のでは駆除されない場合があってもおかしくないわけです。誤検知とか検知漏れではなく、もともとのポリシーということで。
 
 
さらにおまけ。

関連するかもなぁ、と思われる最近の記事いくつかメモ。

公正取引委員会は日本でこういうFUDを許すのか(高木浩光@自宅の日記)
求む「怖い名前」(IT Pro)


|

« J2第02節 札幌0-1水戸 | トップページ | そりの合わない人 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: 今のウイルス対策の限界が見えてきた?:

« J2第02節 札幌0-1水戸 | トップページ | そりの合わない人 »