セキュリティ対策ソフト業界でも意見が分かれる「マジックバイト」問題とは

　複数のウイルススキャンソフトウェアに存在する脆弱性が悪用されると、悪質なファイルがソフトウェアの侵入検知機能をすり抜けてしまう恐れがあると、セキュリティ専門家が警告を発した。だが、セキュリティ対策ソフトウェア業界の一部は、これは脆弱性ではないと反論している。

　セキュリティ研究家のAndrey Bayoraが公開した勧告によると、特定のデータが追加されたファイルは、悪質な実行ファイルであっても、ウイルススキャンソフトウェアのチェックをすり抜けることができるという。問題の原因は、スキャンソフトウェアのエンジンが、余分なデータを含むファイルを脅威として検出できないことにある。Bayoraは、この余分なデータを「マジックバイト（Magic Byte）」と呼んでいる。

　イスラエルでセキュリティコンサルタントとして活動するBayoraによれば、Trend Micro、McAfee、Computer Associates、Kaspersky Labのソフトウェアを含め、多くのウイルス対策製品が、この問題の影響を受けるという。同氏が発表した勧告には、Symantec、F-Secure、BitDefender製のソフトウェアなど、この問題の影響を受けない製品の名称もリストアップされている。

　同氏は自らのウェブサイトに問題の詳細を記し、「これは、最近明らかになった脆弱性のなかで最も深刻なものの1つだ。スキャンソフトの大半に影響があるのだから」とつづっている。

　Bayoraが同脆弱性の詳細情報を公開したのは現地時間10月24日のことだった。それ以来、有名なセキュリティメーリングリストである「Full Disclosure」では、この問題について活発な議論がなされている。

　こうした問題が発覚したことは、研究者らが以前にも増してセキュリティ製品の脆弱性を探し出すことに力を入れていることを表している。PCやサーバ、ネットワークゲートウェイ、モバイル端末は大抵の場合、何らかの安全対策技術を備えている。こうしたセキュリティ対策ソフトウェアは普及するにつれ、オンライン犯罪者から格好のターゲットにされつつある。

　Bayoraはこれがウイルススキャンエンジンの脆弱性であるとしているが、業界内にはこれがシグネチャベースのウイルス対策ソフトにはつきものの問題だと見る向きもある。

　「これは厳密にはセキュリティ脆弱性ではない。ウイルス対策ソフトウェアはそもそも、このように動くように作られているのだから。新しいマルウェアが出現したら、ウイルス対策ソフトウェア業界は、それに対応した新しいシグネチャを作るだけだ」と独マクデブルク大学でウイルス対策ソフトウェアを研究するAndreas Marxは述べる。「この方法では脅威の検出や（ユーザー環境の）保護が常に後手に回る」（Marx）

　ウイルス対策ソフトウェアで使われるシグネチャとは、既知のウイルスを辞書にまとめたようなものだ。ウイルス対策ソフトウェアはスキャンのプロセスにおいて、スキャン対象の各ファイルが、この辞書のなかのシグネチャと合致するか否かをチェックするのである。シグネチャは新たな脅威が見つかるたびに追加される。

　Computer Associates International（CA）のKen Williamsは、Bayoraがウイルスの亜種を作り出したのだと指摘する。同氏は声明のなかで「ウイルス対策ソフトウェアに検出されないレベルにまで、ウイルスを改変したのだから、この問題を脆弱性と呼ぶのはおかしい。ほとんどのウイルスも同様に定期的な周期で作り変えられるが、CAでは、こうして登場したウイルスを新しい亜種として扱っている」と述べる。

　一方、KasperskyとTrend Microはマジックバイト問題をソフトウェアの脆弱性として認識し、これを修正するためのアップデートを提供している。