「ドライブバイインストール」防止ツール、Exploit Prevention Labsが開発

　Exploit Prevention Labsは、脆弱なPCに悪質なコードをインストールする「ドライブバイインストール」を防止するツールを開発した。

　Exploit Prevention Labsの最高技術責任者（CTO）Roger Thompson氏が米国時間4月28日にインタービューで語ったところによると、同ツールは「SocketShield」と呼ばれ、PCにインストールされると、インターネットトラフィックを監視し、既知の悪質なウェブサイトや脆弱性の署名についてのブラックリストに基づいて対処するという。「悪質なコードを含むページを開いて感染することを、未然に防止できる」（Thompson氏）

　Exploit Prevention Labsは、Thompson氏がBob Bales氏と創設した新興企業だ。両氏は、CA（旧Computer Associates International）が2年前に買収したスパイ対策の草分け的な企業PestPatrolの元幹部である。

　SocketShieldの目的は、ドライブバイインストールからWindowsユーザーを保護することだ。ドライブバイインストールとは、ユーザーがウェブを閲覧している間に悪質なソフトウェアを秘密裏にインストールする行為である。サイバー詐欺犯らはスパイウェア、トロイの木馬、ボットなどのソフトウェアを何も気づいていないユーザーのコンピュータにインストールするため、Windowsやウェブブラウザなどのアプリケーションにあるセキュリティホールを悪用する場合が多い。最近の例では、Windows Meta Fileの脆弱性やCreateTextRangeのバグなどがある。

　Directions on MicrosoftのアナリストMichael Cherry氏によると、SocketShieldは、セキュリティホール情報が公開されてから、該当するソフトウェアのメーカーがパッチをリリースするまでの期間を保護するものだ。

　「Microsoftなどのベンダーは脆弱性のパッチを作成するのにいつも時間を要する。ソフトウェアベンダーからのパッチを待っている間、システムを保護する機能を持つべきだ。さもないとパッチが配布されるのを待っている間、システムは脆弱になってしまう」（Cherry氏）

　SocketShieldクライアントソフトウェアは、既知の悪質なウェブサイトおよび脆弱性の署名に関する情報で継続的に更新される。脆弱性の署名の仕組みは、ウイルス対策ソフトウェアと同じだ。つまり、SocketShieldは、潜在的に悪質なウェブサイトを既知のセキュリティエクスプロイトのデータベースに照らし合わせてチェックする。

　SocketShieldは、ウイルス対策ツール、スパイウェア対策ツール、ファイアウォールソフトウェアなどのセキュリティアプリケーションと併用することが望ましいとThompson氏は述べた。「われわれは、これらの対策ソフトにないものを提供している。当社はさらなる保護層を提供しつつ、互換性を確保するために多くの作業をした」（Thompson氏）