アンチウイルスが死んだとして、今後はどうなる? 36
保護 部門より
Symantecは5月にアンチウイルスの死を宣言し、そこから利益を得られるとは考えていないことを明らかにしている。競合他社からは追随する意見もあれば、無料でメディアの注目を引きたいだけではないかという意見もあった。報道ではアンチウイルスの効果が非常に低いことを示すデータが数多く出ている。特筆すべき例としては、アンチウイルスソフトウェアがスパイウェア「Zeus」の亜種の40%しか阻止できないというデータもある。マルウェア作者とセキュリティー企業の戦いは終わることはなさそうだ。
一方、専門家の意見では、アンチウイルスソフトウェアはかなり前から低調であり、驚くにはあたらないといったものもある。実際、アンチウイルスソフトは万能薬ではない。残された疑問は、アンチウイルスは現在のセキュリティーソリューションでどのように機能すべきなのかという点だ。保護の重要な部分となるべきなのだろうか、わかりやすい脅威や既知の脅威のみを阻止するだけのものとなるべきなのだろうか。
脅威だけではなく、パフォーマンスに与える影響も問題だ。プロセッサーやディスクアクセスも高速化しているが、アンチウイルスが必要とする処理能力もどんどん増加している。定期的なアップデートや完全スキャン、リアルタイムスキャンなど、アンチウイルスが完璧を目指す限り、コンピューター使用時の生産性は大きく低下する。この状況は近いうちに変わることはなさそうなので、受け入れるしかない。実際のところ、今後はどうなっていくのだろう。ワークステーションから工業用の自動化システムまで、すべてを移行することなど可能なのだろうか。Windowsマシンでホワイトリストによる保護を使うのが正解だろうか。それとも素晴らしい保護機能が統合された新しいWindowsをMicrosoftが作ってくれるのを、ただ期待して待つしかないのだろうか。他に何か良い方法があるだろうか。
OS レベルでの対策が必要 (スコア:5, 参考になる)
ブラックリスト形式のアンチウイルスソフトは既に死んだものも同然です。入れないよりは多少マシといった程度です。「ウイルス対策ソフトを入れたから、アダルトサイトやアングラサイトからダウンロードした怪しいアプリを起動しても安全だ」などと過信したら、逆効果にもなりかねません。
ウイルス対策ソフトを入れて、定義ファイルを自働更新にしたとしても、何も考えずにアダルトサイトなどからダウンロードした怪しいexeファイル(ダウンローダーやプレイヤー、Codec、年齢認証プログラムなどのいう名目)を実行しまくる初心者ユーザーが、すぐにウイルス(やその他のマルウェア)まみれの環境にしてしまうことからもわかります。
従来のアプリケーションとの互換性を維持するのが難しいですが、もう OSレベルでの対策が必要な段階に来ています。Android OS のように OS レベルでアプリケーションの権限管理をするのが望ましいでしょう。
Windows 8 の Windowsストアアプリ にはアクセス権があり、原則許可なしにそのアプリ用のフォルダ以外に読み書きできないなど、設計思想としては良かったのですが、デスクトップモードで動作しないという致命的な仕様 によって、殆ど普及せずにおわりました。複数のアプリを自由に画面上に配置できるというマルチウインドウから逆戻りしたメトロスタイルは、マウスとキーボードのある環境では使い物にならないでしょう。
--
理想論ではなく、現時点での一般的なパソコンユーザーが可能な対策としては、ウイルス対策ソフトの導入に加えて、仮想化(VirtualBox など) と VirusTotal [virustotal.com] の利用をお勧めします。
仮想環境は作りすぎるとパッチあてなどの管理が大変です。面倒であれば、銀行・証券会社・その他不正利用されると大きな損害があるサイト以外のWebサイト(アダルトサイトその他)を閲覧するための仮想環境を1つ作るだけでもだいぶ安全になります。IE の保護モードだけでは現状安全とは言えないので、仮想OSの方が良いです。
また、ダウンロードした実行ファイルはとりあえず VirusTotal [virustotal.com] でチェックすることをお勧めします。PCに導入しているウイルス対策ソフトで検出されないウイルスが検出されることがあるので、お勧めです。
高木浩光さんにメールで送られてきた卒論の協力依頼のrarファイル [twitter.com] を VirusTotal でチェックした結果 [virustotal.com] をご覧下さい。53個のウイルス対策ソフトのうち、12個のウイルス対策ソフトのみで検出されていることがわかります。このように、1つのウイルス対策ソフトだけでは不十分ですので、複数のウイルス対策ソフトでチェックするサイトが有効なのです。(それでも検出されない場合もあるので、注意)
補足 (スコア:5, 参考になる)
「VirusTotal でチェックした結果 53個のウイルス対策ソフトのうち、12個のウイルス対策ソフトのみで検出」というのは、2014-08-14 05:50:20 UTC 時点 [megalodon.jp] (Web魚拓) の結果です。
再チェックをしてみたところ、2014-08-21 14:09:32 UTC 時点 [virustotal.com] では、54個のウイルス対策ソフトのうち、16個のウイルス対策ソフトで検出と、検出できるウイルス対策ソフトが4個増えました。
疑わしいファイルは、実行する前に少し寝かしてみるのも良いかもしれません。(ただし、怪しいファイルは、仮想環境で実行すべきです)
Re: (スコア:0)
2014-08-14 05:50:20 と 2014-08-21 14:09:32 を見比べてみたところ、
1つ減って、5つ増えたようですね。
減ることもあるんですね。
Re:OS レベルでの対策が必要 (スコア:1)
捕獲した疑わしいメールは、一度Virustotalにかけて、3つ以上アウト判定が出たら削除するように設定していますが、50近くある対策ソフトで、15以上の判定が出たのはあまり見かけません。ZIPファイルの中にscrが入っているあからさまに怪しいものでも判定が0になることがよくあります。
ウィルス対策企業は、VirusTotalに提供しているエンジンは製品版より劣っていて、優劣には関係ないと逃げ口上を打っていますが、ウィルス制作者が作成を諦めるくらい優秀な判定システムを提供できないいいわけに聞こえてきます。
VirusTotalがウィルス判定ソフトをつくり、ウィルス対策企業はVirusTotalにエンジンを提供するだけにして、実際に送られてきたウィルスを判定できた比率で利用料を分配するようにしたら、少しは競争してよい製品を作ろうとするんじゃないかと思えてきます。
Re: (スコア:0)
誤検出との兼ね合いもあると思いますが
VistaにUACが載ったときどのような反応だったか。 (スコア:0)
こぞって批判して、IT情報サイトはUACを止める方法を宣伝しまくった。
あれ以来リテラシ低い人になにを言っても無駄だと思ってる。
もう、クラウドなりでデスクトップを提供して、管理権限を剥奪するしかないと思うよ。
いくら壊れたって再インストールの必要がないんだから。
Re: (スコア:0)
UACはUI実装が糞ったれだと思うぞ。
思想が良くても実装が糞なら実体も糞でしかない。
せめてシステムを書き換えるのがわかりきってるソフトの場合は
一回確認したら次からは確認しないようにするチェックがあっていいと思う。
(コントロールパネルでチェックできるか選べるようにして初期状態は選べなくしておけばいい)
同じソフトで何度も聞かれたら機械的に押していって確認の意味がなくなるし
うざいからと無効にされかねない。
今MSでUI設計をしてる人間はその程度の人間心理も理解できないタコなのかなと。
Re: (スコア:0)
それは権限取得後しばらく潜伏しておいてなにか条件が揃ったら発動、を防げないのでは
Re: (スコア:0)
同じ台詞をLinuxにも言って下さい。
どんだけsudoが必要か。
UIでも、何かちょっとした事する度にわざわざパスワード入れなきゃならんし。
他コメでも指摘されてるが、貴方の言う
> せめてシステムを書き換えるのがわかりきってるソフトの場合は
> 一回確認したら次からは確認しないようにするチェックがあっていいと思う。
そんな実装も、UACを無意味にするくそったれな実装だよ。
Re: (スコア:0)
Windows 8 の Windowsストアアプリ にはアクセス権があり、原則許可なしにそのアプリ用のフォルダ以外に読み書きできないなど、設計思想としては良かったのですが、デスクトップモードで動作しないという致命的な仕様 によって、殆ど普及せずにおわりました。複数のアプリを自由に画面上に配置できるというマルチウインドウから逆戻りしたメトロスタイルは、マウスとキーボードのある環境では使い物にならないでしょう。
デスクトップモードで動いた方が・・・ってのは半ば賛同する思いはあるのだけど、
しかし実際どうあるべきだったかと言われると中々難しい。
例えば、ストアアプリをウィンドウ内で動かせるようにする、という軌道補正は今からでも可能だと思うけど、
「マウスとキーボードのある環境では使い物にならない」と仰るように、もともとタブレット向けにデザインされたフレームワークだから、
40%も防げれば (スコア:3, すばらしい洞察)
完全に的を絞られた標的形などはふせげなそうだけど
不特定多数に蔓延してるタイプのものだったらある程度期間が経てば防げるってことじゃないかな?と
ノーガードよりはまだよっぽど入れる価値はあると読めたけど
あとは何か起きたときにアンチウィルスは効果ないのでいれてませんでした!っていうのと
アンチウィルス入れてましたが防げませんでした!
でどっちが相手に納得してもらえるかというと…
あんまり実感がないのですが (スコア:1)
いろいろなニュースにしても、自分の身の回りにしても、大規模なウイルス感染は以前よりだいぶ減っているような。
なぜかAndroidやiOSと比較している人がいるようですが、あれらは結局のところ、エンドユーザに特権を与えず、
アプリストア経由でしかアプリをインストールさせないことで対策しているわけで、そういう「ユーザーの自由と引き換えの安全性」は個人的には求めていません。
アプリストアがないと仮定した場合のAndroidが安全とも思えません(あのインストール時の権限承認にたいして意味があるとは思えません)。
比較するなら他のデスクトップOSでしょう。そして、LinuxやOS Xと比べてセキュリティ設計が劣っているとは思いません。
私は制限された安全性よりも自由の方が大事だと思いますので、アプリストアのような仕組みは導入してほしくありません。
OSやブラウザなどのソフトウェアを最新に維持する、あやしいプログラムは実行しないという基本を守るしかないのでは。
Re: (スコア:0)
実感が無い理由は、↓だと思います。
・感染していてもAVSで検出されない
・ユーザに見つからないように潜伏
どうでしょう?
説得力的なもの (スコア:0)
その死体 [norton.com]で、いまだに商売を続けてらっしゃるのに??
存在価値が無くなっている (スコア:5, 参考になる)
http://security.srad.jp/comments.pl?sid=630612&cid=2595639 [srad.jp]
多分お金の問題で防ぐ訳には行かないんだろうけど、そんな会社のウイルス対策ソフトに用は無い訳で
必然的にMSEで十分という事になってしまう
方向性を変えたいという事なんだろうけど、こういう本質の部分が治らなきゃ、どう転んでも用のないソフトになるだろうね
問題ない (スコア:0)
ノーガード戦法がまだ残っている。
# え?
Re: (スコア:0)
EMETぐらいは入れとこうよ。
XPユーザーかいるだろ! (スコア:0)
XP専業にシフトしてもらい
あとは、マイナーOSに逃げ込もうぜ!
Re: (スコア:0)
LinuxなんてマイナーなOS、私は使ってないからね!
っつーかシグネチャベースのアンチウイルスがダメで (スコア:0)
IPSやビヘイビアなどが有用というのがシマンテックの言い分のハズなんだが。
企業向けは競合と違って、この辺全部入りという発表をしているよ。
Re:っつーかシグネチャベースのアンチウイルスがダメで (スコア:1)
まぁ、結局それらを使いながら、暗号化ZIPやHTTPSサイトからダウンロードしたファイルを最終的にチェック可能なアンチウィルスを使うという、複合的な対策で、確率を減らすしかないですね。
[Q][W][E][R][T][Y]
代わって活躍する…のか? (スコア:0)
UTMと次世代型ファイアウォール。
前からあったものだけど、ここ最近の技術系サイトの記事風広告の多い事、多い事。
クラウド活用とサンドボックスのものが多いが、どこまで効果があるのか?
Re: (スコア:0)
日本市場をパロアルトが広げたいだけじゃ? 要は中国の金盾だから、文化が近い日本でも受け入れられると思ってるんじゃないの
厳しすぎるとユーザーに受け入れられない (スコア:0)
加えてあまり検出判断が厳しいとそれはそれで鬱陶しくてユーザーから疎まれてしまい使われなくなってしまうだとか、精密にチェックするとPCが重くてやはりユーザーから使われなくなってしまうとか誤検出多いと叩かれるとか(誤検出の詳細を説明したってユーザーにはわかっちゃもらえない)
検出率の低さにはそういう難しさもあるんじゃないかと思います。
で、検出できないならいらないなどと言われてしまう。
Re:厳しすぎるとユーザーに受け入れられない (スコア:4, 興味深い)
http://msdn.microsoft.com/ja-jp/library/ms995351.aspx#securityerrormes... [microsoft.com]
・人間は、一般にセキュリティ チェーンの中の最も弱い輪である。
・人間は、特にありそうもない出来事については、リスクを理解することができない。
・ユーザーは、セキュリティ メッセージをわずらわしく感じ、必要に応じてそれを喜んで回避しようとする。
・ユーザーは、一般にセキュリティに関する警告を目を通すことなく消してしまうので、セキュリティ上の警告は役に立たない。
・人間は、とにかく自分の仕事を終わらせることしか考えていない。
・ユーザーは、セキュリティ上の適切な決定をすることができない。ILOVEYOU と Anna Kournikova ワームの成功は、その明らかな証拠である。
アドウェアが求めてしまったもの (スコア:0)
昔はウィルス検出を逃れるためだった。今はウィルス検出ソフトに対し、如何に検出負荷を掛けるかがポイントになってきている。
数の暴力と、各々の情報爆発による検出負荷増大。これでは検出プロセスを敬遠する理由になってしまう。
softnicのように、パッケージを自動生成し、増殖する構造をとられては、為すすべも無い。
ブラックリスト方式に限界が来たわけではない。検出以前の段階でフィルタリングを怠った結果こうなった。
つまり、悪意あるサイトが検索結果に出ることや、悪影響のあるファイルを公開されつづけることが問題。
アンチウィルスの無力感はここから来ているのではないか。
ページランクを変更する理由として、ファイルの健全性を盛り込んで欲しい。
願わくば、アドウェアファイルの消滅を。
Re: (スコア:0)
誤検出が多いと、利用者(≠(直接の)ユーザー)は叩きたくなりますね。
直接的には、使いたいアプリが動かなくなってしまうし、
間接的には、数十万の人件費が吹っ飛ぶ(企業の場合)。
検出されると、業務中断しネットワークから関連装置全部切り離し、それぞれウイルススキャンしつつ緊急対策委員会を立ち上げ~ってやらなきゃいけないので、百人近い人間から数時間は奪ってしまう。
素晴らしい保護機能が統合された新しいWindowsをMicrosoftが作ってくれるのを、ただ期待し (スコア:0)
ある意味これが一番正しいよね。自分で作ってもいいと思うけど。
OSのセキュリティモデルがいつまでもフラットかほぼフラットから進歩しないってのが原因の一つでしょ
Androidの特権昇格ウイルスなんてほぼ消え去った(代わりに正面から電話帳とかを抜くようになった)し。
Re:素晴らしい保護機能が統合された新しいWindowsをMicrosoftが作ってくれるのを、ただ (スコア:2, 興味深い)
MSは、それをわかっていて、そうしようとは努力している。
たとえば、VistaでWin16Sを捨てた => その結果、互換性がなくなったとたたかれた。
コード署名を厳密にしようとした (MSA 2915720) => たぶん動かないソフトが出てやはりあきらめた
一方、アップルは問題が出ることがわかっても実行する。
http://ascii.jp/elem/000/000/921/921616/ [ascii.jp]
ギークは別として、一般のユーザに対しては、互換性より、セキュリティを最重要してもいいかも、
そこにアプリを作っている技術者が賛同して、文句言わなければいい。
Re: (スコア:0)
W、Windows RT
Re: (スコア:0)
実際、Windows RT向けのウイルスって問題になったことないじゃん。Authenticodeちゃんと使うだけでもそうなる。
署名されてりゃ安全かっていうとそうじゃなくて不十分だし不便だし現状は失敗だけど、方向は正しい
Re: (スコア:0)
期待するのはいいけども、
XP→Vistaの時みたいな、未完成品を押し付けてくるぞ。
発売後、サードパーティーのセキュリティソフト入れて、MSのセキュリティ機能は斬るべきって記事が今から目に見える。
Re: (スコア:0)
セキュリティソフトじゃなくてセキュリティモデル。セキュリティソフトが今みたいにOSの機能に干渉できるのはセキュリティモデルに欠陥があるから。
iOSなんかJailbreakしなきゃセキュリティソフト入れられないでしょ。特権昇格って誰でもある程度の権限とか自由度を持ってるってところが突かれやすいし。
Re: (スコア:0)
>iOSなんかJailbreakしなきゃセキュリティソフト入れられないでしょ。
えーと、JoilbreakしちゃうとWindows並は無理でも今よりは脆弱になるのでお勧めしません。
って言うか、Jailbreakして入れるセキュリティソフトってあるんだっけ?
Winの問題はWinが昔からマルウェアに利用しやすい機能を沢山実装しているから危険だ、っていうだけの話だから、他社製のOSを引き合いに出すのはどうかと。
で、他社製OSに逃げろと言うと信者が騒ぐから、取り敢えずRTにでも逃げとけば?
Re: (スコア:0)
過去の負の遺産というか
つぶしたい穴をがっちり利用しているアプリがあった場合
何で動かないんだ!ってなるからつぶせない
つぶしたら欠陥品だ!ってなるってことでしょ…
Re: (スコア:0)
穴をつぶした結果動かなくなる有力なソフトがあれば、その特定のソフトだけに対して穴を再現する機能を用意していたよ。
レジストリの何処かにそういう一覧対応表があって不名誉の殿堂みたいな名で呼ばれていたはず。
さすがに従業員が数万の企業の中核事業だから素人よりは考えている、最近はちょっと怪しいけれどねえ。