2006年12月21日 - オンラインスキャンによるウイルス検索サービスと対策
オンラインスキャンなるウイルス検出サービスをご存知だろうか?
特定のソフトウェアを購入・インストールせずに、ブラウザでウイルス対策ソフトウェアメーカーのサイトへ接続し、感染の可能性があるパソコンをウイルススキャンできるサービスである。
無料で行えるサービスであり、気軽に利用できるので便利なものだ。
オンラインスキャンには特定ファイルをアップロードしスキャンするようなサービス(便宜上、特定ファイルアップロード型とする)、トレンドマイクロ社のウイルスバスターオンラインスキャンのようにシステムをフルスキャンするものがある(システムフルスキャン型とする)。
このブログエントリ中にては、特に言及しない限りは後者のシステムフルスキャン型を指すとする。
オンラインスキャンは気軽に利用できる手段であり、多くの感染者を救ったのは間違いのない事実である。
時代は移り変わり今時では、ウイルスに感染しました!との質問に対してオンラインスキャンを安易に薦めれば、一斉に集中砲火を浴びて非難されるだろう。
投稿直前にオンラインスキャンの是非について(ウイルス対策掲示板 Ver. 2)に気付いたので、視点を多少変えて - 質問者への回答として薦めるのはどうなのかを考えてみた。
だから今回もかなり内容がくどくなるのだが、承知していただきたい。
(ある程度の経験が備わっている層が所有しているパソコンが感染した場合とは多少の乖離がある点も容赦願いたい)
うかつに薦められないなと真剣に考えたのは、ネットワークワームによるWindowsマシンの大規模感染が問題となった頃だ。
ネットワークから隔離すべき?マルウェアに感染したパソコンと対策(Semplice)にて言及したが、感染中のパソコンをネットワークへ接続する際には幾つかの問題がある。
被害が重篤化する可能性(他のマルウェアに感染したり、ダウンローダーにより新たな何かが勝手にインストールされる等)と、加害者となる可能性(どこかを攻撃し、どこかを感染させてしまう等)だ。
確かにGAN氏の指摘通り、どこか質問を書きこめる場所が無いかと探し・投稿内容を練って実際に投稿するまでの間に、相当の時間が経過しているだろう。
かなりの時間をネットに接続していたのだから、わずかな時間を更に追加したとしてもどうなのさ、と。
付記するならば、ウイルス対策ソフトをインストール後に更新作業を行うには、ネットワークに接続しなければならない点だ。
ネットワークに接続せずに更新するとしても、他のパソコンよりウイルス定義ファイル・シグネチャファイルやエンジン更新用ファイルを手動でダウンロードし、リムーバルメディアで感染中のパソコンに導入しなければならない。
(一連の操作を行える層は、質問掲示板に「どうしたらいいんですかぁ!」と投稿しないだろうから、除外できる)
これらの観点よりは、多少の時間をかけてオンラインスキャンを行うよう薦めたとしても、それほど「間違い」ではないのかもしれない。
(質問者の投稿でいきなり隔離推奨の深刻な事例であると判断された場合は別とするが)
前提として1つのメーカーが提供するシグニチャ等に基づく、システムフルスキャン型オンラインスキャンサービスであるならば、として。
(将来複数のウイルス対策ソフトメーカー相乗りサービスが出現しないとも限らないので)
オンラインスキャンでは、何らかのイベントが発生しなければ起動しないプログラムファイルを見逃す可能性があるだろう、またPackされたファイルをunpackできなかった場合などだ。
オンラインスキャンにて何も検出されなかったファイルをダブルクリックした途端に、インストール済みアンチウイルスソフトの常駐監視機能が警告を表示した経験は無いだろうか。
市販のアンチウイルスソフトウェアでは、常駐監視機能が備わっている製品が大多数だろう。一部の製品にては、起動時スキャン(Boot-time Scan)が備わっている。
起動時スキャンにて、早い段階にて活動させるスタートアップエントリ(起動エントリ)により登録されているマルウェアが検出された経験は無いだろうか?ルートキット(Rootkit)の隠蔽工作が間に合わず、起動時スキャンにより検出される事例もある。
(ウイルス対策ソフトの起動時スキャン(ブートタイムスキャン)を活用(Semplice))
だが最近多いルートキット本体やその設定ファイル、ルートキットにより隠蔽されているファイルは、システムフルスキャン型オンラインスキャンでは検出できないだろう。
(ハードディスクを外して他のパソコンにスレーブ接続してスキャンすれば、オンラインスキャンでも検出できる可能性はあるが)
誤解しないでもらいたいのだが、これらは単純な検出力の高低の話ではない。検出しやすい機会をオンラインスキャンに与えられるのか否かだ。
では少し方向性が違う話を。
近年ではたった一つのファイルをうかつに踏んでしまったばっかりに、数種・時には数十のマルウェアに感染してしまう事例がある(誇張ではない)。そのようなケースではパソコンの動作も重く、更には多くのネットワークトラフィックのためにオンラインスキャンも重くて利用できない場合がある。
ネットワークに接続していない状況でのインストール済みアンチウイルスソフトウェアによるセーフモードでOSを起動してのスキャンであれば、新たなファイルの無断ダウンロードやIEによる強制的サイト表示を回避でき、結果としてスキャン中のプチフリーズやパソコンの動作不良を回避できる可能性がある。
(セーフモード で ウイルススキャン(Palm84)参照)
最も優れた利点は、メーカーが販売するフルパッケージのソフトウェアをインストールしなくても利用できる点だ。
複数の常駐型アンチウイルスソフトをインストールすればかなり面倒な目に遭遇するが、オンラインスキャンではインストール済み製品を気にしなくてもよいだろう。
質問をする初心者層などにとっては、新規にアンチウイルスソフトを購入したとしても即座に利用方法を習得できるのではないが、オンラインスキャンは簡便である。
余計な話となるが。丁度今のシーズンは各社とも2007年版を販売しているが、幾つかの製品は問題がありメーカーサポートへ連絡したり対策方法を自力で見つけなければならないケースもあるだろう。だがオンラインスキャンはインストール不要なので、そのような心配は不要だ。
次に、オンラインスキャンでは大体の場合、ほぼ最新の状態にてスキャンが行われるだろう、多分。
店頭で販売されているパッケージ製品の中身はリリース時のままであるし、ネットから・または雑誌から入手できる体験版もまた古く、アップデートしなければ利用できない。
(ウイルス対策ソフト体験版を、定義ファイル・エンジンのバージョン更新をせず利用できるのか?(Semplice)及び雑誌の付録CD/DVDに収録されている体験版のバージョンは最新なのか(Semplice)参照)
その他としては特定ファイルアップロード型・システムフルスキャン型いずれであっても、感染後にアンチウイルスソフトが停止させられたりする事例では、有用な対策法かもしれない。
(感染後にはウイルス対策ソフトメーカーのサイトへ接続できなくなるよう妨害される事例も多々あるのだが)
質問掲示板における回答として薦めるならば、初期のコメントにてどのような状態であるのかを把握する目的だろうか。
または具体的な症状が無いもののどうも不安だと訴える方へ、念のためなど。
隔離が必須ではないような事例(もしくは隔離しなくてもさほどの被害が無い事例)であり、オンラインスキャンにより容易に解決できると予測されるならば、状況次第だし配慮は必要なものの選択肢に含めても良いだろう。
あとはHijackThisのログより診断する際に、判断材料を補強する目的だろうか。
この場合は特定ファイルアップロード型のかけもちかVirusTotalのような複数メーカーのエンジンでスキャンするサービスを薦める例もあるだろう。
特定のソフトウェアを購入・インストールせずに、ブラウザでウイルス対策ソフトウェアメーカーのサイトへ接続し、感染の可能性があるパソコンをウイルススキャンできるサービスである。
無料で行えるサービスであり、気軽に利用できるので便利なものだ。
オンラインスキャンには特定ファイルをアップロードしスキャンするようなサービス(便宜上、特定ファイルアップロード型とする)、トレンドマイクロ社のウイルスバスターオンラインスキャンのようにシステムをフルスキャンするものがある(システムフルスキャン型とする)。
このブログエントリ中にては、特に言及しない限りは後者のシステムフルスキャン型を指すとする。
感染後における、オンラインスキャンによるマルウェア対策の問題点
オンラインスキャンは気軽に利用できる手段であり、多くの感染者を救ったのは間違いのない事実である。
時代は移り変わり今時では、ウイルスに感染しました!との質問に対してオンラインスキャンを安易に薦めれば、一斉に集中砲火を浴びて非難されるだろう。
投稿直前にオンラインスキャンの是非について(ウイルス対策掲示板 Ver. 2)に気付いたので、視点を多少変えて - 質問者への回答として薦めるのはどうなのかを考えてみた。
だから今回もかなり内容がくどくなるのだが、承知していただきたい。
(ある程度の経験が備わっている層が所有しているパソコンが感染した場合とは多少の乖離がある点も容赦願いたい)
「感染中のマシンをネットワークに接続してはならない」ルールでは、オンラインスキャンは却下か?
うかつに薦められないなと真剣に考えたのは、ネットワークワームによるWindowsマシンの大規模感染が問題となった頃だ。
ネットワークから隔離すべき?マルウェアに感染したパソコンと対策(Semplice)にて言及したが、感染中のパソコンをネットワークへ接続する際には幾つかの問題がある。
被害が重篤化する可能性(他のマルウェアに感染したり、ダウンローダーにより新たな何かが勝手にインストールされる等)と、加害者となる可能性(どこかを攻撃し、どこかを感染させてしまう等)だ。
で、オンラインスキャンは当初私自身抵抗がありましたが、それが葛藤に変わり、最後は妥協することになりました。
その理由ですが、感染した人は既に半日、数日に渡ってインターネットに害を及ぼしています。
(と言うケースを前庭としての議論だと思うので)
それをあと数時間で止められるのであればプラスマイナス差し引き大きなプラスじゃないですか?
であれば多少のリスク、コストもやむなしと。
オンラインスキャンの是非について(ウイルス対策掲示板 Ver. 2)
確かにGAN氏の指摘通り、どこか質問を書きこめる場所が無いかと探し・投稿内容を練って実際に投稿するまでの間に、相当の時間が経過しているだろう。
かなりの時間をネットに接続していたのだから、わずかな時間を更に追加したとしてもどうなのさ、と。
付記するならば、ウイルス対策ソフトをインストール後に更新作業を行うには、ネットワークに接続しなければならない点だ。
ネットワークに接続せずに更新するとしても、他のパソコンよりウイルス定義ファイル・シグネチャファイルやエンジン更新用ファイルを手動でダウンロードし、リムーバルメディアで感染中のパソコンに導入しなければならない。
(一連の操作を行える層は、質問掲示板に「どうしたらいいんですかぁ!」と投稿しないだろうから、除外できる)
これらの観点よりは、多少の時間をかけてオンラインスキャンを行うよう薦めたとしても、それほど「間違い」ではないのかもしれない。
(質問者の投稿でいきなり隔離推奨の深刻な事例であると判断された場合は別とするが)
システムフルスキャン型オンラインスキャンは、常駐型ウイルス対策ソフト以上のものではない
前提として1つのメーカーが提供するシグニチャ等に基づく、システムフルスキャン型オンラインスキャンサービスであるならば、として。
(将来複数のウイルス対策ソフトメーカー相乗りサービスが出現しないとも限らないので)
オンラインスキャンでは、何らかのイベントが発生しなければ起動しないプログラムファイルを見逃す可能性があるだろう、またPackされたファイルをunpackできなかった場合などだ。
オンラインスキャンにて何も検出されなかったファイルをダブルクリックした途端に、インストール済みアンチウイルスソフトの常駐監視機能が警告を表示した経験は無いだろうか。
市販のアンチウイルスソフトウェアでは、常駐監視機能が備わっている製品が大多数だろう。一部の製品にては、起動時スキャン(Boot-time Scan)が備わっている。
起動時スキャンにて、早い段階にて活動させるスタートアップエントリ(起動エントリ)により登録されているマルウェアが検出された経験は無いだろうか?ルートキット(Rootkit)の隠蔽工作が間に合わず、起動時スキャンにより検出される事例もある。
(ウイルス対策ソフトの起動時スキャン(ブートタイムスキャン)を活用(Semplice))
だが最近多いルートキット本体やその設定ファイル、ルートキットにより隠蔽されているファイルは、システムフルスキャン型オンラインスキャンでは検出できないだろう。
(ハードディスクを外して他のパソコンにスレーブ接続してスキャンすれば、オンラインスキャンでも検出できる可能性はあるが)
誤解しないでもらいたいのだが、これらは単純な検出力の高低の話ではない。検出しやすい機会をオンラインスキャンに与えられるのか否かだ。
では少し方向性が違う話を。
近年ではたった一つのファイルをうかつに踏んでしまったばっかりに、数種・時には数十のマルウェアに感染してしまう事例がある(誇張ではない)。そのようなケースではパソコンの動作も重く、更には多くのネットワークトラフィックのためにオンラインスキャンも重くて利用できない場合がある。
ネットワークに接続していない状況でのインストール済みアンチウイルスソフトウェアによるセーフモードでOSを起動してのスキャンであれば、新たなファイルの無断ダウンロードやIEによる強制的サイト表示を回避でき、結果としてスキャン中のプチフリーズやパソコンの動作不良を回避できる可能性がある。
(セーフモード で ウイルススキャン(Palm84)参照)
オンラインスキャンの優位性
最も優れた利点は、メーカーが販売するフルパッケージのソフトウェアをインストールしなくても利用できる点だ。
複数の常駐型アンチウイルスソフトをインストールすればかなり面倒な目に遭遇するが、オンラインスキャンではインストール済み製品を気にしなくてもよいだろう。
質問をする初心者層などにとっては、新規にアンチウイルスソフトを購入したとしても即座に利用方法を習得できるのではないが、オンラインスキャンは簡便である。
余計な話となるが。丁度今のシーズンは各社とも2007年版を販売しているが、幾つかの製品は問題がありメーカーサポートへ連絡したり対策方法を自力で見つけなければならないケースもあるだろう。だがオンラインスキャンはインストール不要なので、そのような心配は不要だ。
次に、オンラインスキャンでは大体の場合、ほぼ最新の状態にてスキャンが行われるだろう、多分。
店頭で販売されているパッケージ製品の中身はリリース時のままであるし、ネットから・または雑誌から入手できる体験版もまた古く、アップデートしなければ利用できない。
(ウイルス対策ソフト体験版を、定義ファイル・エンジンのバージョン更新をせず利用できるのか?(Semplice)及び雑誌の付録CD/DVDに収録されている体験版のバージョンは最新なのか(Semplice)参照)
その他としては特定ファイルアップロード型・システムフルスキャン型いずれであっても、感染後にアンチウイルスソフトが停止させられたりする事例では、有用な対策法かもしれない。
(感染後にはウイルス対策ソフトメーカーのサイトへ接続できなくなるよう妨害される事例も多々あるのだが)
オンラインスキャンを回答として薦めるべきか
質問掲示板における回答として薦めるならば、初期のコメントにてどのような状態であるのかを把握する目的だろうか。
または具体的な症状が無いもののどうも不安だと訴える方へ、念のためなど。
隔離が必須ではないような事例(もしくは隔離しなくてもさほどの被害が無い事例)であり、オンラインスキャンにより容易に解決できると予測されるならば、状況次第だし配慮は必要なものの選択肢に含めても良いだろう。
あとはHijackThisのログより診断する際に、判断材料を補強する目的だろうか。
この場合は特定ファイルアップロード型のかけもちかVirusTotalのような複数メーカーのエンジンでスキャンするサービスを薦める例もあるだろう。
この記事へのコメント
とても勉強になりました。
また、いろいろな点で繊細なご配慮をいただき、ありがとうございます。
また、いろいろな点で繊細なご配慮をいただき、ありがとうございます。
Posted by ドリッパ
at 2006年12月23日 09:12
オンラインスキャンは、「インストールしない」とは言うものの実際にはしっかりActiveXの形でダウンロード、インストールされていて、ディスク領域が減ります。だから本当なら単にActiveX型ウイルススキャンとでも言うべきものだと思います。
常駐スキャンと違って起動が「ウイルスより後」というのが致命的な違いなのは記事のとおりなので、それ以外でコメント。
(例えば感染したら全てのActiveXを使えなくする/使えなくなるウイルスがあります)
世の中には「悪いActiveX」があります。悪いActiveXが入らないようセキュリティを高くすると、オンラインスキャンの時になって初心者がとまどうし、そもそも「使えないから元に戻して!」と怒鳴るでしょう。
常駐スキャンと違って起動が「ウイルスより後」というのが致命的な違いなのは記事のとおりなので、それ以外でコメント。
(例えば感染したら全てのActiveXを使えなくする/使えなくなるウイルスがあります)
世の中には「悪いActiveX」があります。悪いActiveXが入らないようセキュリティを高くすると、オンラインスキャンの時になって初心者がとまどうし、そもそも「使えないから元に戻して!」と怒鳴るでしょう。
Posted by itochan
at 2006年12月23日 19:54
メーカー等の慣用的文言に従ったまでです。
ex) http://www.pandasoftware.jp/activescan/index.html
では修正しておきます。
ex) http://www.pandasoftware.jp/activescan/index.html
では修正しておきます。
Posted by Luca
at 2006年12月23日 22:36
ごめんなさい。
修正は不要です。
わたしが勝手に「そうと思っている」だけです。
(某掲示板だと「ゲームできない!」って話になるのでActiveXのセキュリティをいじる話はしづらいです。反面オンラインスキャンは薦めやすい感じ。)
追伸
メリークリスマス。
修正は不要です。
わたしが勝手に「そうと思っている」だけです。
(某掲示板だと「ゲームできない!」って話になるのでActiveXのセキュリティをいじる話はしづらいです。反面オンラインスキャンは薦めやすい感じ。)
追伸
メリークリスマス。
Posted by itochan
at 2006年12月25日 19:41
