定義ファイルによる保護からの脱却を目指す：カスペルスキーの試み - (page 2)

カスペルスキーのアプローチ

　アンチウイルスソフトウェアの最初の世代はいわばブラックリスト方式であり、有害だということが知られているソフトウェアの実行は阻止するものの、それ以外のソフトウェアの実行は基本的に許可していた。それに対して、現行世代のアンチウイルスソフトウェアでは、有害と分かっているソフトウェアを阻止することは共通だが、未知のソフトウェアに関しては実行を許可するものの監視と制御の対象とする、というアプローチを採る。

　Kaspersky Labが取り組む次世代のアプローチでは、現行世代の手法をさらに発展させ、ホワイトリスト方式とレピュテーション方式を組み合わせた制御をさらに導入する。従来実行を許可されていた、「有害と分かっているソフトウェア以外のソフトウェア」を、さらに「問題ないことが分かっているソフトウェア」と「未知のソフトウェア」に分類し、問題がないと分かっているソフトウェアはそのまま実行を許可するが、未知のソフトウェアは制限された環境で実行する。

アンチウイルスソフトによる保護の変遷

　問題ないことが分かっているソフトウェアのリストや情報は、Kaspersky Labのデータベース（Whitelisting Database）に格納されている。登録されたファイル数は1800万種、データベースのサイズは7.5TBに達しており、さらにデータベースサイズは毎日30GBのペースで増加し続けているという。

　ホワイトリストの作成には、ユーザーコミュニティからの情報が重要な情報源となっており、この点はレピュテーション方式の併用と言えるだろう。ユーザーがそれぞれのPCにインストールしたKaspersky Internet Security 2009や、Kaspersky Anti Virus 2009といったソフトウェアは、実行されたアプリケーションやダウンロードされた実行可能ファイルに関するメタデータをKaspersky Labのサーバに送信する。その数は毎分2万5000リクエスト、1日で3500万件に達するという。

　Kaspersky Labのアナリストはこれらの情報のうち、著名なウェブサイトからダウンロードされた実行可能ファイルを常時チェックしており、有害な動作をすると疑われるコードがダウンロードされていることに気づくと、すぐにその情報をデータベースに登録し、他のユーザーに被害が拡大するのを阻止するという。

　これを同社では「クラウドで提供されるリアルタイムセキュリティ（Real-Time Security Deliverd from "the Cloud"）」と表現しており、「5分毎のアップデートよりも効果的で、秒単位のレスポンスが実現できる」として、競合優位性に自信を示す。

　さらに、Kaspersky Labでは、アプリケーションコントロールを超える保護手法として、アンチフィッシングモジュールによるソーシャルエンジニアリング手法からの保護や、バーチャルキーボード技術による不正な入力情報漏えいからの保護なども実現しているという。

アプリケーションコントロールはホワイトリストやブラックリストだけでなく、Kaspersky Security Networkからの情報でも判断される

　今後の技術開発計画に関しては、仮想化の活用、より進化したデバイス制御、ヒューリスティック技術やエミュレーション技術の進化、新しい類似性判定技術に基づく検出エンジンの新モジュールの開発、といったテーマに取り組んでいることも紹介された。

　Kaspersky Labの強みは、創業初期段階から高い評価を得てきた技術力にある。同社では今後も技術開発に重点を置き、新技術開発に積極的に取り組んでいく計画だ。