パスワードを忘れた? アカウント作成
11517356 story
セキュリティ

アンチウイルスが死んだとして、今後はどうなる? 36

ストーリー by headless
保護 部門より
本家/.「Ask Slashdot: How Dead Is Antivirus, Exactly?」より

Symantecは5月にアンチウイルスの死を宣言し、そこから利益を得られるとは考えていないことを明らかにしている。競合他社からは追随する意見もあれば、無料でメディアの注目を引きたいだけではないかという意見もあった。報道ではアンチウイルスの効果が非常に低いことを示すデータが数多く出ている。特筆すべき例としては、アンチウイルスソフトウェアがスパイウェア「Zeus」の亜種の40%しか阻止できないというデータもある。マルウェア作者とセキュリティー企業の戦いは終わることはなさそうだ。

一方、専門家の意見では、アンチウイルスソフトウェアはかなり前から低調であり、驚くにはあたらないといったものもある。実際、アンチウイルスソフトは万能薬ではない。残された疑問は、アンチウイルスは現在のセキュリティーソリューションでどのように機能すべきなのかという点だ。保護の重要な部分となるべきなのだろうか、わかりやすい脅威や既知の脅威のみを阻止するだけのものとなるべきなのだろうか。

脅威だけではなく、パフォーマンスに与える影響も問題だ。プロセッサーやディスクアクセスも高速化しているが、アンチウイルスが必要とする処理能力もどんどん増加している。定期的なアップデートや完全スキャン、リアルタイムスキャンなど、アンチウイルスが完璧を目指す限り、コンピューター使用時の生産性は大きく低下する。この状況は近いうちに変わることはなさそうなので、受け入れるしかない。実際のところ、今後はどうなっていくのだろう。ワークステーションから工業用の自動化システムまで、すべてを移行することなど可能なのだろうか。Windowsマシンでホワイトリストによる保護を使うのが正解だろうか。それとも素晴らしい保護機能が統合された新しいWindowsをMicrosoftが作ってくれるのを、ただ期待して待つしかないのだろうか。他に何か良い方法があるだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Printable is bad. (38668) on 2014年08月23日 15時24分 (#2662644)

     ブラックリスト形式のアンチウイルスソフトは既に死んだものも同然です。入れないよりは多少マシといった程度です。「ウイルス対策ソフトを入れたから、アダルトサイトやアングラサイトからダウンロードした怪しいアプリを起動しても安全だ」などと過信したら、逆効果にもなりかねません。

     ウイルス対策ソフトを入れて、定義ファイルを自働更新にしたとしても、何も考えずにアダルトサイトなどからダウンロードした怪しいexeファイル(ダウンローダーやプレイヤー、Codec、年齢認証プログラムなどのいう名目)を実行しまくる初心者ユーザーが、すぐにウイルス(やその他のマルウェア)まみれの環境にしてしまうことからもわかります。

     従来のアプリケーションとの互換性を維持するのが難しいですが、もう OSレベルでの対策が必要な段階に来ています。Android OS のように OS レベルでアプリケーションの権限管理をするのが望ましいでしょう。

     Windows 8 の Windowsストアアプリ にはアクセス権があり、原則許可なしにそのアプリ用のフォルダ以外に読み書きできないなど、設計思想としては良かったのですが、デスクトップモードで動作しないという致命的な仕様 によって、殆ど普及せずにおわりました。複数のアプリを自由に画面上に配置できるというマルチウインドウから逆戻りしたメトロスタイルは、マウスとキーボードのある環境では使い物にならないでしょう。

    --

     理想論ではなく、現時点での一般的なパソコンユーザーが可能な対策としては、ウイルス対策ソフトの導入に加えて、仮想化(VirtualBox など) VirusTotal [virustotal.com] の利用をお勧めします。

     仮想環境は作りすぎるとパッチあてなどの管理が大変です。面倒であれば、銀行・証券会社・その他不正利用されると大きな損害があるサイト以外のWebサイト(アダルトサイトその他)を閲覧するための仮想環境を1つ作るだけでもだいぶ安全になります。IE の保護モードだけでは現状安全とは言えないので、仮想OSの方が良いです。

     また、ダウンロードした実行ファイルはとりあえず VirusTotal [virustotal.com] でチェックすることをお勧めします。PCに導入しているウイルス対策ソフトで検出されないウイルスが検出されることがあるので、お勧めです。

     高木浩光さんにメールで送られてきた卒論の協力依頼のrarファイル [twitter.com] を VirusTotal でチェックした結果 [virustotal.com] をご覧下さい。53個のウイルス対策ソフトのうち、12個のウイルス対策ソフトのみで検出されていることがわかります。このように、1つのウイルス対策ソフトだけでは不十分ですので、複数のウイルス対策ソフトでチェックするサイトが有効なのです。(それでも検出されない場合もあるので、注意)

    • 補足 (スコア:5, 参考になる)

      by Printable is bad. (38668) on 2014年08月23日 15時32分 (#2662647)

       「VirusTotal でチェックした結果 53個のウイルス対策ソフトのうち、12個のウイルス対策ソフトのみで検出」というのは、2014-08-14 05:50:20 UTC 時点 [megalodon.jp] (Web魚拓) の結果です。

       再チェックをしてみたところ、2014-08-21 14:09:32 UTC 時点 [virustotal.com] では、54個のウイルス対策ソフトのうち、16個のウイルス対策ソフトで検出と、検出できるウイルス対策ソフトが4個増えました。

       疑わしいファイルは、実行する前に少し寝かしてみるのも良いかもしれません。(ただし、怪しいファイルは、仮想環境で実行すべきです)

      親コメント
      • by Anonymous Coward

        2014-08-14 05:50:20 と 2014-08-21 14:09:32 を見比べてみたところ、
        1つ減って、5つ増えたようですね。

        減ることもあるんですね。

    • by Anonymous Coward on 2014年08月23日 17時29分 (#2662683)

      捕獲した疑わしいメールは、一度Virustotalにかけて、3つ以上アウト判定が出たら削除するように設定していますが、50近くある対策ソフトで、15以上の判定が出たのはあまり見かけません。ZIPファイルの中にscrが入っているあからさまに怪しいものでも判定が0になることがよくあります。

      ウィルス対策企業は、VirusTotalに提供しているエンジンは製品版より劣っていて、優劣には関係ないと逃げ口上を打っていますが、ウィルス制作者が作成を諦めるくらい優秀な判定システムを提供できないいいわけに聞こえてきます。

      VirusTotalがウィルス判定ソフトをつくり、ウィルス対策企業はVirusTotalにエンジンを提供するだけにして、実際に送られてきたウィルスを判定できた比率で利用料を分配するようにしたら、少しは競争してよい製品を作ろうとするんじゃないかと思えてきます。

      親コメント
      • by Anonymous Coward

        誤検出との兼ね合いもあると思いますが

    • こぞって批判して、IT情報サイトはUACを止める方法を宣伝しまくった。

      あれ以来リテラシ低い人になにを言っても無駄だと思ってる。
      もう、クラウドなりでデスクトップを提供して、管理権限を剥奪するしかないと思うよ。
      いくら壊れたって再インストールの必要がないんだから。

      • by Anonymous Coward

        UACはUI実装が糞ったれだと思うぞ。
        思想が良くても実装が糞なら実体も糞でしかない。

        せめてシステムを書き換えるのがわかりきってるソフトの場合は
        一回確認したら次からは確認しないようにするチェックがあっていいと思う。
        (コントロールパネルでチェックできるか選べるようにして初期状態は選べなくしておけばいい)

        同じソフトで何度も聞かれたら機械的に押していって確認の意味がなくなるし
        うざいからと無効にされかねない。
        今MSでUI設計をしてる人間はその程度の人間心理も理解できないタコなのかなと。

        • by Anonymous Coward

          それは権限取得後しばらく潜伏しておいてなにか条件が揃ったら発動、を防げないのでは

        • by Anonymous Coward

          同じ台詞をLinuxにも言って下さい。

          どんだけsudoが必要か。
          UIでも、何かちょっとした事する度にわざわざパスワード入れなきゃならんし。

          他コメでも指摘されてるが、貴方の言う

          > せめてシステムを書き換えるのがわかりきってるソフトの場合は
          > 一回確認したら次からは確認しないようにするチェックがあっていいと思う。

          そんな実装も、UACを無意味にするくそったれな実装だよ。

    • by Anonymous Coward

       Windows 8 の Windowsストアアプリ にはアクセス権があり、原則許可なしにそのアプリ用のフォルダ以外に読み書きできないなど、設計思想としては良かったのですが、デスクトップモードで動作しないという致命的な仕様 によって、殆ど普及せずにおわりました。複数のアプリを自由に画面上に配置できるというマルチウインドウから逆戻りしたメトロスタイルは、マウスとキーボードのある環境では使い物にならないでしょう。

      デスクトップモードで動いた方が・・・ってのは半ば賛同する思いはあるのだけど、
      しかし実際どうあるべきだったかと言われると中々難しい。

      例えば、ストアアプリをウィンドウ内で動かせるようにする、という軌道補正は今からでも可能だと思うけど、
      「マウスとキーボードのある環境では使い物にならない」と仰るように、もともとタブレット向けにデザインされたフレームワークだから、

  • 40%も防げれば (スコア:3, すばらしい洞察)

    by Anonymous Coward on 2014年08月23日 14時43分 (#2662625)

    完全に的を絞られた標的形などはふせげなそうだけど

    不特定多数に蔓延してるタイプのものだったらある程度期間が経てば防げるってことじゃないかな?と
    ノーガードよりはまだよっぽど入れる価値はあると読めたけど

    あとは何か起きたときにアンチウィルスは効果ないのでいれてませんでした!っていうのと
    アンチウィルス入れてましたが防げませんでした!
    でどっちが相手に納得してもらえるかというと…

  • by Anonymous Coward on 2014年08月24日 7時44分 (#2662932)

    いろいろなニュースにしても、自分の身の回りにしても、大規模なウイルス感染は以前よりだいぶ減っているような。

    なぜかAndroidやiOSと比較している人がいるようですが、あれらは結局のところ、エンドユーザに特権を与えず、
    アプリストア経由でしかアプリをインストールさせないことで対策しているわけで、そういう「ユーザーの自由と引き換えの安全性」は個人的には求めていません。
    アプリストアがないと仮定した場合のAndroidが安全とも思えません(あのインストール時の権限承認にたいして意味があるとは思えません)。

    比較するなら他のデスクトップOSでしょう。そして、LinuxやOS Xと比べてセキュリティ設計が劣っているとは思いません。

    私は制限された安全性よりも自由の方が大事だと思いますので、アプリストアのような仕組みは導入してほしくありません。
    OSやブラウザなどのソフトウェアを最新に維持する、あやしいプログラムは実行しないという基本を守るしかないのでは。

    • by Anonymous Coward

      実感が無い理由は、↓だと思います。
      ・感染していてもAVSで検出されない
      ・ユーザに見つからないように潜伏
      どうでしょう?

  • by Anonymous Coward on 2014年08月23日 14時40分 (#2662618)

    その死体 [norton.com]で、いまだに商売を続けてらっしゃるのに??

  • by Anonymous Coward on 2014年08月23日 14時41分 (#2662620)

    ノーガード戦法がまだ残っている。
    # え?

    • by Anonymous Coward

      EMETぐらいは入れとこうよ。

  • by Anonymous Coward on 2014年08月23日 14時49分 (#2662629)

    XP専業にシフトしてもらい
    あとは、マイナーOSに逃げ込もうぜ!

    • by Anonymous Coward

      LinuxなんてマイナーなOS、私は使ってないからね!

  • IPSやビヘイビアなどが有用というのがシマンテックの言い分のハズなんだが。
    企業向けは競合と違って、この辺全部入りという発表をしているよ。

  • by Anonymous Coward on 2014年08月23日 18時43分 (#2662720)

    UTMと次世代型ファイアウォール。

    前からあったものだけど、ここ最近の技術系サイトの記事風広告の多い事、多い事。
    クラウド活用とサンドボックスのものが多いが、どこまで効果があるのか?

    • by Anonymous Coward

      日本市場をパロアルトが広げたいだけじゃ? 要は中国の金盾だから、文化が近い日本でも受け入れられると思ってるんじゃないの

  • by Anonymous Coward on 2014年08月23日 18時55分 (#2662723)
    ユーザーの意識が変わって添付ファイルを不用意に開かなくなったり、そもそもメールならサーバー側でスパム・ウィルス判定されてユーザーの手元に届かなかったりするので活躍の機会が減ったのもあると思います。

    加えてあまり検出判断が厳しいとそれはそれで鬱陶しくてユーザーから疎まれてしまい使われなくなってしまうだとか、精密にチェックするとPCが重くてやはりユーザーから使われなくなってしまうとか誤検出多いと叩かれるとか(誤検出の詳細を説明したってユーザーにはわかっちゃもらえない)
    検出率の低さにはそういう難しさもあるんじゃないかと思います。
    で、検出できないならいらないなどと言われてしまう。
    • http://msdn.microsoft.com/ja-jp/library/ms995351.aspx#securityerrormes... [microsoft.com]

      ・人間は、一般にセキュリティ チェーンの中の最も弱い輪である。
      ・人間は、特にありそうもない出来事については、リスクを理解することができない。
      ・ユーザーは、セキュリティ メッセージをわずらわしく感じ、必要に応じてそれを喜んで回避しようとする。
      ・ユーザーは、一般にセキュリティに関する警告を目を通すことなく消してしまうので、セキュリティ上の警告は役に立たない。
      ・人間は、とにかく自分の仕事を終わらせることしか考えていない。
      ・ユーザーは、セキュリティ上の適切な決定をすることができない。ILOVEYOU と Anna Kournikova ワームの成功は、その明らかな証拠である。

      親コメント
    • 昔はウィルス検出を逃れるためだった。今はウィルス検出ソフトに対し、如何に検出負荷を掛けるかがポイントになってきている。
      数の暴力と、各々の情報爆発による検出負荷増大。これでは検出プロセスを敬遠する理由になってしまう。
      softnicのように、パッケージを自動生成し、増殖する構造をとられては、為すすべも無い。

      ブラックリスト方式に限界が来たわけではない。検出以前の段階でフィルタリングを怠った結果こうなった。
      つまり、悪意あるサイトが検索結果に出ることや、悪影響のあるファイルを公開されつづけることが問題。
      アンチウィルスの無力感はここから来ているのではないか。
      ページランクを変更する理由として、ファイルの健全性を盛り込んで欲しい。
      願わくば、アドウェアファイルの消滅を。

    • by Anonymous Coward

      誤検出が多いと、利用者(≠(直接の)ユーザー)は叩きたくなりますね。
      直接的には、使いたいアプリが動かなくなってしまうし、
      間接的には、数十万の人件費が吹っ飛ぶ(企業の場合)。
      検出されると、業務中断しネットワークから関連装置全部切り離し、それぞれウイルススキャンしつつ緊急対策委員会を立ち上げ~ってやらなきゃいけないので、百人近い人間から数時間は奪ってしまう。

  • ある意味これが一番正しいよね。自分で作ってもいいと思うけど。
    OSのセキュリティモデルがいつまでもフラットかほぼフラットから進歩しないってのが原因の一つでしょ
    Androidの特権昇格ウイルスなんてほぼ消え去った(代わりに正面から電話帳とかを抜くようになった)し。

    • MSは、それをわかっていて、そうしようとは努力している。
      たとえば、VistaでWin16Sを捨てた => その結果、互換性がなくなったとたたかれた。
      コード署名を厳密にしようとした (MSA 2915720) => たぶん動かないソフトが出てやはりあきらめた
      一方、アップルは問題が出ることがわかっても実行する。
      http://ascii.jp/elem/000/000/921/921616/ [ascii.jp]
      ギークは別として、一般のユーザに対しては、互換性より、セキュリティを最重要してもいいかも、
      そこにアプリを作っている技術者が賛同して、文句言わなければいい。

      親コメント
    • by Anonymous Coward

      W、Windows RT

      • by Anonymous Coward

        実際、Windows RT向けのウイルスって問題になったことないじゃん。Authenticodeちゃんと使うだけでもそうなる。
        署名されてりゃ安全かっていうとそうじゃなくて不十分だし不便だし現状は失敗だけど、方向は正しい

    • by Anonymous Coward

      期待するのはいいけども、
      XP→Vistaの時みたいな、未完成品を押し付けてくるぞ。
      発売後、サードパーティーのセキュリティソフト入れて、MSのセキュリティ機能は斬るべきって記事が今から目に見える。

      • by Anonymous Coward

        セキュリティソフトじゃなくてセキュリティモデル。セキュリティソフトが今みたいにOSの機能に干渉できるのはセキュリティモデルに欠陥があるから。
        iOSなんかJailbreakしなきゃセキュリティソフト入れられないでしょ。特権昇格って誰でもある程度の権限とか自由度を持ってるってところが突かれやすいし。

        • by Anonymous Coward

          >iOSなんかJailbreakしなきゃセキュリティソフト入れられないでしょ。

          えーと、JoilbreakしちゃうとWindows並は無理でも今よりは脆弱になるのでお勧めしません。
          って言うか、Jailbreakして入れるセキュリティソフトってあるんだっけ?
          Winの問題はWinが昔からマルウェアに利用しやすい機能を沢山実装しているから危険だ、っていうだけの話だから、他社製のOSを引き合いに出すのはどうかと。
          で、他社製OSに逃げろと言うと信者が騒ぐから、取り敢えずRTにでも逃げとけば?

      • by Anonymous Coward

        過去の負の遺産というか
        つぶしたい穴をがっちり利用しているアプリがあった場合
        何で動かないんだ!ってなるからつぶせない

        つぶしたら欠陥品だ!ってなるってことでしょ…

        • by Anonymous Coward

          穴をつぶした結果動かなくなる有力なソフトがあれば、その特定のソフトだけに対して穴を再現する機能を用意していたよ。
          レジストリの何処かにそういう一覧対応表があって不名誉の殿堂みたいな名で呼ばれていたはず。
          さすがに従業員が数万の企業の中核事業だから素人よりは考えている、最近はちょっと怪しいけれどねえ。

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...