Semplice - マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか

インチキソフト、なのでは？

　2ヶ月ほど前に海外フォーラムを閲覧していると、「勝手にソフトウェアをインストールされた」との投稿を複数発見した。このまま見過ごせばこれは、あまりにもありきたりな相談として見落としていたのだが。
　たまたま暇で時間が余っていたので、ふと思い立ち。それらのソフトウェアをインストールしたんだが。
　。。。。。。。。。。笑ってしまいました。これらってEICARやAlexa（Alexa Toolbarではなくレジストリ内Alexa）を検出できるじゃないですか、しっかりと（笑
　その後はスキャン後に出る「その製品を購入しなければ駆除できないぞ」との表示や、OSを再起動するたびに何度も出る購入を強要するポップアップ広告のうっとおしさを笑いつつ、VirtualPCの変更を削除しましたとさ。
　一応それらの製品についてのネット上の評価を調べれば、主要なアンチウイルスソフトメーカーにより検出対象とされていたり、またブラウザハイジャッカーの感染時に勝手にインストールされたとの相談例を複数発見し。「やっぱり怪しいソフトウェアだったんだなぁ」としみじみしたんですがね。

　そこでですね、ふっと考えたんですよ。
　「明らかに怪しい」、「勝手にインストールされた」、「ブラウザハイジャッカーによりユーザーにマルウェアを導入するような悪質業者と提携している」ようなセキュリティ対策ソフトウェアであったとしても、それがある程度の（それが最低レベルであったとしても）のマルウェア対策機能を備えていたとしたらば、インチキと言い切れるんですかね？

　これらの「信頼できない・インチキと決め付けるための」判断基準となる指標のようなものをあれこれと練ったんですが、なかなか自分の中でうまく整理できず。
　とりあえずはアンチウイルスソフトやアンチスパイウェアソフトの性能・信頼性の指標を幾つか取り出して考えてみる事とした。
　なおここで議論を進めるに当って、この場合の「信頼できない・インチキ」とは、以下のようなソフトウェアを指すと定めた上で話を進める。

1. 本当にマルウェアに対応しているのか否か
   
2. EICARやAlexaやトラッキングクッキー（またはそれらのいずれか）を検出したとしても、その他の主要なマルウェアを検出できないものは「ダウト（疑わしい）」に含める。
   
3. 「ダウト」のうち、それらは製品の機能面での不十分さなどの瑕疵によるものであると考えられた場合、「信頼できない・インチキ」ではなく「性能が十分とは言えない製品」として扱う。
   

　また「信頼できる」と「インチキ」は同義ではない。だから以下の話は「製品の性能が至らない」との視点で扱う事とする。

EICAR Standard Antivirus Test Fileによるテスト

　EICAR Standard Antivirus Test Fileはアンチウイルスソフトを判別するための、テスト目的に利用される「安全な」ファイルである。
　これによる具体的なテスト結果として、■　EICARテストファイル　ダウンロードテスト　■（2006年度版）（Palm84）を推奨する。またその解説そしてeicarテストウィルスについて（Firewallと森で遊ぼう）なる詳細なサイトがあるので、是非とも参照していただきたい。
　上記の解説中にもあるのだが、アンチウイルスソフトの設定次第、例として圧縮ファイルをスキャンするか否かなどにより検出されない場合もあるのだが。その辺りは各自工夫してもらいたい。

　主要なアンチウイルスソフトメーカーはこのEICARに対応しているのだが、これが検出されればアンチウイルスソフトが「正しくインストールされ・そして（少なくともEICARを検出する目的としては）機能している」と考えられる
　このEICARが「アンチウイルスソフトが正常に動作しているのか否か」との指標になると考えているユーザーも存在するようだが、しかしそれは正しい解釈ではないだろう。
　配布元のEICAR Standard Antivirus Test File Information（http://www.avast.com/eng/eicar_standard_antiv.html）には「customers can verify their antivirus installations」つまり「消費者がアンチウイルスソフトのインストールを確認する」と書かれているのだよ。
　つまりこのEICARが検出されたとしても、以下のような可能性によりマルウェア（この場合はウイルスを指す）を検出できない可能性の存在は否定はできないと念頭に置いていただきたい。

• EICARを検出したとしても、エンジンやシグネチャファイルが対応していないマルウェアは検出できない可能性はある。
  
• マルウェアに感染し、その破壊活動のためにマルウェア本体及びその関連ファイルが検出できない場合もあり得る。
  
• アンチウイルスソフトメーカーにより「これはマルウェアではない」と判断されたソフトウェアは、検出対象から外されているだろう。
  

　更には、アンチウイルスソフトメーカーの不都合なり不具合にて、このEICARが検出されない場合もあるだろう（3年ほど前に某有名メーカーであったような記憶が）。
　それらの理由にて、「EICARを検出できない」アンチウイルスソフトであったならば、それは少なくともダウトであるのは確実ではあるものの、インチキ呼ばわりするのは早計なように思われる。
　そして今回の「インチキか否か」を考える上では、EICARを検出できる=インチキではない、と決め付けるのもまた早計である。

「大多数が該当する脅威」の検出とスパイウェア対策ソフト

　レジストリ内Alexaについて、Bogus wareとRogue ware、インチキソフト（Semplice）に追記したんですが。
　このようなWindowsXPであればどれでも存在するレジストリエントリをスパイウェアとして検出したとしても、それはスパイウェア対策製品が「信頼できる」とは限らない。

　またトラッキングクッキー。Internet Explorerにて複数のサイトをブラウジングしていれば、トラッキングクッキーなんてよく作成されるものですが。
　（トラッキングクッキーはスパイウェアか否かについては、ここでは議論する必要性を感じないので言及しない）

　ならば他のスパイウェアなりアドウェアには全く対応せず、これらにのみに対応したような製品が存在したとすれば、どうなんだろうか？
　そのようなソフトウェアであった場合は、迷わず「インチキ」と決定しても良さそうな気がするのだが。
　多少判断が難しいので、議論は後に譲る。

メーカーが製品及び関連情報をほとんど公開していない

　検出数が素晴らしく多いと謳われているソフトウェアであっても、その製造・販売元のサイトにて、検出対象としているマルウェアの情報やリストが公開されていない・また極めて情報が貧弱な場合がある。
　よくレポートされている・されうるだろう不具合への対処方法などが全く公開されていないスパイウェア対策ソフトなどもあるようなんだが。

　これらの技術情報の公開不足を元にその製品がインチキと決めつけるのは、十分な理由とは言えないだろう。
　ただしユーザーの信頼を得る上で製品の情報を公開するのは、マーケティングの面でも信頼醸成の面でも必須なのは確かである。それをサイト上より欠くのは、何かがおかしい。
　だからこの場では「少なくともLucaさんの私見では、その製品が十分には信頼できるとは考えない」とトーンダウンしておく。

マルウェアの検出力

　これはユーザーにとっては、極めて切実な問題なんですが。

　アンチウイルスソフトメーカーのヒューリスティックスキャンにより検出できないようなマルウェアであった場合、アンチウイルスソフトの検索エンジン・シグネチャファイル（定義ファイル）を更新すれば検出できる場合もあるし。またメーカーがその検体を入手していないようなマルウェアであれば、検出できない場合もあるだろう。
　記憶に留めなければならない部分として、全てのマルウェアにアンチウイルスソフトメーカーが対応できているのではないとの現状も鑑みなければならない。極めてマイナーなものや感染が確認される国が割りと限定されているようなマルウェアである場合、シグネチャファイルの増大を防ぐ目的にて対応しないメーカーもあるだろう。
　また現在ではありえないような古すぎるウイルスは、テストに利用すべきではない。シグネチャファイルの増大を避ける目的で、アンチウイルスソフトメーカーは不要と判断したマルウェアへのシグネチャは削除しているのだ。
　この場合、著名かつ十分な数の被害者を過去に生んだ・そこそこ古くて「最新のシグネチャファイルで対応できていないはずがない」検体でのスキャン結果と、最新の（または極めてマイナーな）マルウェアへのスキャン結果は、上記の理由にて単純に比較し指標とすべきではないように思われる。

　またアンチウイルスソフトなどが対応していないような変わった・マイナーな圧縮形式（この場合はPackerではなくArchiver）を利用してのスキャン結果は、どうなんだろうか。
　それは時には単純にそのアンチウイルスソフトが「ある圧縮形式に対応しているのか否か」の指標であり、「あるウイルスに対応しているのか否か」を示すものではない可能性は存在する。必要に応じ解凍してからテストする必要がありそうな予感がする。
　まぁ十分有名なウイルスが送信するようなファイルであるならば、そのような心配は不要なのではなかろうか。

　この場で中間決算的結論になるのだが。アンチウイルスソフトメーカーは、主要なウイルスの検体は互いに交換しあって協力しているため、ある程度の感染数が報告されているようなマルウェアである場合は、検出されなければ何かがおかしい可能性は存在する。

　さて、この場でのお題は、「どれだけ信頼できるのか」ではなく、「どれだけ信頼できないのか」を定量的に把握する試みである。
　このような指標を求めるに当って、あるアンチウイルスソフト（またはスパイウェア対策ソフトウェア）が「完全にバチもん」か否かを判別するためには、以下のような検体を用いて調査する必要があるのではなかろうか。

1. 「ある程度」古いマルウェアを利用しテストしなければならない。
   
2. 十分な数の感染者を生んでおり、メーカーがこれを見逃しているとは考えられないものを利用する必要がある。
   
3. テストに当って個別に圧縮・pack・cryptせず、マスメーリングなどにより配布されるファイルそのままを扱わなければならない。何故なら「そのような圧縮形式に対応はしていない」とか「スタティックスキャン（手動スキャン）で対応できなくてもヒューリスティックスキャンでは検出が期待される」との言い訳を阻止する目的だ。
   

Conclusion

　信頼できるのか否かは、そのソフトウェアの性能だけではなく、企業イメージやその他の要因により左右されるだろう。
　そして件出力のレベルなりにより「インチキ」と決め付け断定できるソフトウェアは、実際にはそれほど多くはないように思われる。以前も書いたのだが、これは利用するユーザーの設定がおかしい可能性を否定できないし。またその企業が「まとも」な企業であったとしても、その技術力が不十分であるためなのやもしれない。
　そうは言ったものの、あまりにも件出力が低いソフトウェアは、ユーザーに不安を感じさせるのは紛れもない事実である。

　結局のところ即座にインチキ呼ばわりできるのは、ブラウザハイジャッカーに感染したユーザーが強制的にインストールされるような怪しいスパイウェア対策ソフトで、存在しないマルウェアをスキャン結果に表示するようなものだろうか。
　もちろんこの場合、マルウェアの機能によりレジストリエントリや個別のファイルが隠蔽されているのか否かを検証する目的で、検出されたレジストリエントリやファイルが本当に存在するのか否かを、ハードディスクを引っこ抜き他のパソコンで検証する必要があるような気がする。

Acknowledge

　この記事を書くに当って、yassyさんにはEICARによる評価についてアドバイスをいただきました。この場にて謝辞を申し上げます。