2006年02月17日 - アンチスパイウェアソフトの性能・検出力評価と認証、Spywaretesting.org・ICSA Labs
スパイウェア対策製品の評価
アンチウイルスソフト・ウイルス対策ソフトウェアの検出力は、Virus BulletinやICSA Labsなどの団体または個人により検証されレポートされている。これらの外部評価により「その製品が信頼に値するのか否か」が判断される。
また海外・国内のフォーラムにては、各種アンチウイルスソフトの機能面や性能・取り扱いの容易さ・スキャンに要する時間・そして検出力が「口コミ」として投稿され、それらの情報はユーザーが製品を購入する際に何らかの判断基準とされるのだろう。
では、アンチスパイウェアソフトではどうだろう?
実際のところ、自分はこれまでアンチスパイウェアソフトに関する検出力評価をレポートしている公的な団体を全く知らないのだ。
エンドユーザーがアンチスパイウェアソフトを購入するに当っての判断基準は、せいぜい「有名」とか「どこどこで推奨されていた」とか、そんなものだろう。
そのためか明らかにインチキ・検出力が極めて低いスパイウェア対策ソフトであっても、「まともそうに見えれば」「Google検索でのアドワーズ広告で表示されれば」、それが信頼できる製品であると誤解したユーザーが導入した事例も多々見受けられる。
自分ならば知人にどの製品を薦めるかと問われれば、(検出力が常に100%か否かは置いておいて)まずはそのスパイウェア対策ソフトメーカーが十分に信頼できるメーカーなのか否かをもって判断している。
しかしこのような口コミによる評価が、どれだけ中立的かつ公正なものかと問われれば、それは疑問だ。いずこかの機関にてこのような認証を行い評価してくれれば、どれだけ多くのエンドユーザーの利益につながるのだろうかと、密かに望んでいたのだよ。
Spywaretesting.orgと、スパイウェア対策ソフト評価
2006年01月31日のITmediaの記事にて、いよいよ待ち焦がれていた団体がスタートしたのか!と期待したんだが。
セキュリティベンダーのMcAfee、Symantec、Trend Micro、ICSA Labs、Thompson Cyber Security Labsが1月30日、スパイウェア対策技術の評価基準を策定するための業界団体を設立した。
加盟各社は今後、ウイルス対策において共通の命名規則やベストプラクティスなどで協力してきた経験を生かし、取り組みを進めていく。スパイウェアの定義はスパイウェア対策団体Anti-Spyware Coalition(ASC)が策定したものを使用し、ASCと協力していくという。
この団体のテスト手法とベストプラクティスはwww.spywaretesting.orgに掲載されている。
Symantecなど、スパイウェア対策製品の評価基準を策定へ(ITmedia)
このSpywaretesting.orgのPartnerは、ICSA Labs・McAfee, Inc.・Symantec Corporation・Thompson Cyber Security Labs・Trend Micro, Inc.の5つなのだが、どうも引っかかる。
このSpywaretesting.orgなる団体は、対策ソフトを販売しているメーカーからの中立性を、果たしてキープし得るんだろうか。Anti-Spyware Coalition(ASC)とはどうも印象がかけ離れている。
この団体で配布している「Anti-Spyware Testing Best Practice index.pdf」を眺めてみよう。
テストの範囲を定め、テストファイルをテスト前に3つのグループに区分けするよう強く推奨される、と記述されているのだが。どうもグループのカテゴリ分けにおける基準がよくわからないな。Group IとIIはそれぞれ、極めて深刻なリスクのようだが。
Group I
以下の挙動のスパイウェアプログラム
・キーロガー(Keystroke Logging)
・スクリーンスクラッピング(Screen Scraping)
・システムへのトロイ行為(Trojanization of the sytem)
事前に危険性を確かめられ導入されたアドウェア(Adware that introduces a certain pre-defined risk level)
Group II
境界例のセキュリティリスクカテゴリ
・バックドアプログラム(Backdoor programs)
・ボットネット(Botnets)
・ボット・ゾンビ感染マシン(Drones)
・無許可のダイヤラー(Unauthorized Dialers)
・ハイジャッカー(Hijackers)
・ルートキット(Rootkits)
・ダウンローダー(Tricklers(Downloaders))
Group III
カテゴリ以外の潜在的なもの
・ハッキングツール(Hacker Tools)
・ジョークプログラム(Joke Programs)
・クッキー(Cookies)
・アドウェアの幾つか(Some adware programs)
Anti-Spyware Testing Best Practice index(Spywaretesting.org)(http://www.spywaretesting.org/metadot/index.pl)
思い返してもらいたいのだが、この文書の名称は「スパイウェア対策テストの最善の試み」である点だ。どう見てもこれらは(狭義・広義でも)スパイウェアではないものを複数含む。
Anti-Spyware Coalition(ASC)の定義に従うとの報道があったものの、ASCはこのような(広義の)スパイウェアの解釈には積極的に賛同はしていない。
またこの文書では、単純に対応しているマルウェアの数の多寡にて、スパイウェア対策製品が優れているのか否かを意味しないとする。これについてはアンチスパイウェアソフトはそれぞれ製品ごとに異なる方法にて検出し修正するものの、アンチスパイウェア製品は幾つかのファイルあるいはレジストリエントリを削除しないものであり、スパイウェア対策製品は正確さをユーザーに示すべきであると言及している。
その部分は全面的に歓迎。あえてどことは言わないが、ありえないんぢゃ?と思われるほどのマルウェア対応数を謳う製品とかがありますが。そのような「対応数の多さ」よりも「しっかりと・確実に駆除されるのか否か」との視点は、文中にもあるが消費者の信頼を得るには不可欠なものだろう。
そう言えばアンラボ社スパイゼロとシグネチャ対応数の謎、今はどうなっているんだろうか。
ICSA Labsによるアンチスパイウェアソフト認証制度 - Desktop Anti-Spyware Certification
2006年02月15日、同月7日のICSA Labs絡みのニュースがIT Proに掲載されたのだが。
セキュリティ・ベンダーである米Cybertrustの研究機関である「International Computer Security Association Lab(ICSA Labs)」はこのほど,米Fortinetの「FortiClient Host Securitynet」,米McAfeeの「McAfee VirusScan Enterprise 8.0i」と「McAfee AntiSpyware Enterprise Module」の組み合わせ,米Symantecの「Symantec AntiVirus Corporate Edition 10.0」という3つのスパイウエア対策ソフトが,ICSA Labsによるスパイウエア対策ソフト認証「Desktop Anti-Spyware Certification」を取得したと発表した。
Desktop Anti-Spyware Certificationは,スパイウエア対策ソフトが本当に有効かどうかをICSA Labsが認証する制度。
McAfeeやSymantecの製品が「スパイウエア対策ソフト認証」を取得(IT Pro)
ICSA Labsはアンチウイルスソフトの評価にて、有名な団体なのだが。
Desktop Anti-Spyware Certificationとは、どのような認証制度なのだろうか?
ICSALabsのDesktop Anti-Spyware Certification (ICSALabs)、Latest News and Eventsより「February 7, 2006 - ICSA Labs Announces Results of New Desktop Anti-Spyware Certification Testing Program(直リンでは開けない)」を読んでも、この認証制度について・またテストの内容については言及されていない。
前述のSpywaretesting.orgの「Anti-Spyware Testing Best Practice」と深い関わりがあるようなのだが。
マカフィーとシマンテック製品はAnti-Spyware Certified Products
(ICAS Labs)にて掲載されているように、スパイウェア対策ソフトとして本当に有効なソフトウェアとして認証されたのだが。
Spywaretesting.org加盟企業であるトレンドマイクロ社の製品はどうなったのだろうか。ちなみに近年トレンドマイクロ社はスパイウェア対策ソリューションとして、スパイバスター2006なる製品をリリースしたのだがな。どうも判断がつかないので、今後の経緯を見守りたい。
まぁそれは置いておいて。
マカフィー・シマンテックがスパイウェアに対して「ボチボチと」対応したのは、せいぜいここ3年。これらはスパイウェア対策製品としてではなく、アンチウイルスソフトの「おまけ機能」的な役割だった。つまり以前は、大手アンチウイルスソフトメーカーはアドウェアやスパイウェアにはほとんど対応しておらず、ほぼ野放しだったのだ(現在では積極的に対応しているのだが)。
メジャーなアンチウイルスソフトが対応していないマルウェア(アドウェア・スパイウェア等)に対し、Ad-awareとSpyBotの2つが長らく活躍。多くのユーザーの信頼を得て、そして十分な実績を重ねてきたのだが。
何故にこれまで十分な実績があるスパイウェア対策ソフトを差し置いて、メジャーなアンチウイルスソフトをアンチスパイウェアソフトとして認証するのだろうか?
今後の展開をじっくりと見守りたい。
関連記事
マルウェア対策ソフトの件出力及び性能評価、そして「信頼できる製品」なのか
ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義
