米大手 ISP、ビヘイビアブロッキング技術提供へ

米国の大手 ISP は今月、数百万人にものぼる顧客向けに新しいセキュリティ技術を提供する予定だ。

アトランタを拠点にする EarthLink 社は、カリフォルニア州サンマテオにある Sana Security 社の“ビヘイビアブロッキング”ソフトウェアを、EarthLink 社のセキュリティプログラムに追加する予定だ。EarthLink 社の関係者の話によると、Protection Control Center と呼ばれるこのセキュリティプログラムには、120万人ものユーザー数がいるとのこと。

ビヘイビアブロッキングは、たえずアンチウイルスシグネチャーを更新しなくても、ウイルスやルートキットからの攻撃をくい止めることが可能とのことで、セキュリティ研究者の間で最近話題になっている。シグネチャーを更新するかわりに、危険なふるまいを察知し、不正プログラムが PC のコントロールを奪う前に不正を防ぐことを目的としている。

EarthLink セキュリティサービスを拡大

EarthLink 社のセキュリティアプリケーション商品マネージャの Ben Kaplan 氏は電話インタビューで、ビヘイビアブロッキングを今月にも、同社の新セキュリティソフトウェアに組み込むことが可能だと説明した。同社の商品について以下のように説明している。

・PCC（Protection Control Center）1.0 は EarthLink 社のセキュリティプログラムで、ISP の会員には無料で、非会員には月々4.95米ドルで提供されている。非会員向けの価格を、月々3.95米ドルまたは年間36ドルに下げる予定だとのこと。

・Kaplan 氏によると、PCC 2.0 がまもなく発売され、これにアップグレードすると Sana Security 社のビヘイビアブロッキングソフトウェアが提供されるとのこと。このアップグレード版セキュリティプログラムを、“PCC 2.0 with Active Shield”という名で、月々2.95米ドルもしくは年間24米ドルで販売する予定、と同氏は説明する。

Kaplan 氏は、Sana 社の技術を採用するまでにたくさんのテストを行ったという。「たくさんの商品をテストした結果、Sana 社のものが飛びぬけて優れていると感じた」という。

ビヘイビアブロッキングとはどんな技術で、シグネチャーベースのアンチウイルススキャンの改善にどのように影響するのだろう？

問題のあるコードを見張る

Sana 社のマーケティング上級副社長の Timothy Eades 氏は、Sana 社が最近モニターしたマルウェアの約8％が、ソーシャルセキュリティ番号などの金融情報を PC から収集しようとしているという。現在のマルウェアの約10％が、すでにルートキット技術を使って、アンチウイルスプログラムから身を潜めているという。

EarthLink 社のインターネットアクセスユーザーをハッカーから守るための初期の試みについては、2004年5月3日付の記事に書いている。この記事で、エンドユーザーが知らずに“フィッシングサイト”や他の危険な Web サイトを訪れることがないように防ぐためのツールとして、一般的に使われるようになった最初のブラウザツールバー、ScamBlocker について説明した。

また2005年3月29日付の記事で、Sana 社と同社のビヘイビアブロッキングソフトウェアについて説明した。この技術は、身を潜めている不正プログラムを検出し捕まえることを目的としている。

以前 Sana 社の関係者が、マルウェアのどういった点に注目して見張るのかについて、以下のように話してくれた。

・Windows の起動時にプログラムを実行しようと試みる
正規のソフトウェアの場合、 Windows が起動するたびにモジュールを実行させる必要はないが、マルウェアは、Windows 起動時にアプレットを実行させるための Windows レジストリにたえず入り込もうとする。

・身を隠そうとする
スパイウェアもマルウェアも、通常アンインストールプログラムを提供しない。現在のマルウェアは、エンドユーザーの PC の支配権を静かに主張することの方が多く、「感染しているよ」と豪語したり、PC に何か不具合があることをあからさまにエンドユーザーに警告するような行動を起こしたりしない。

・次の指示を待つ
ほとんどのマルウェアは、被害者の PC から情報を収集し、ハッカーのサーバーにデータを送り、次の指示を待つことが使命である。

このような行動のすべては、好ましくないコードがマシンを感染させようとしているサインになる。Sana 社のマーケティング上級副社長の Timothy Eades 氏は「現在228のパターンを追跡している」という。

Sana 社は、いくつかの研究について特許の申請をしているが、マルウェアをみつけるだけでなく、PC から除去することができるかどうかが鍵を握っている、と Eades 氏は語る。

ビヘイビアブロッキングは、従来のシグネチャーベースのアンチウイルスプログラムを凌ぐセキュリティの手段になるのだろうか？　これらの異なるアプローチを互いに検証することができるようになるのだろうか？

セキュリティ製品のテストベッド

Sana 社の関係者は、検査機関 Tolly Group が2006年5月に行った調査を取り上げる。Tolly Group は、Sana 社のビヘイビアブロッキング技術についてレポートを出している。 Sana 社がスポンサーとなったこの調査で、Sana 社のソフトウェアは、Web サイトから入手した183ある脅威のすべてを検知して取り除いたことがわかった。

この調査では、セキュリティレベルを下げた Internet Explorer を使って、数千のハッカーサイトといわれるサイトを訪問した。これらのハッカーサイトは、SpywareWarrior.com が管理する不審サイトのリスト AGNIS に含まれているものだ。

大手の雑誌は、セキュリティ製品としてのビヘイビアブロッキングの評価をなかなか出さない。その理由のひとつとして、評価のための新しいテストプログラムをこれから開発しなければならないほど、この技術がまだ新しいことがあげられる。一般消費者向けの主要出版物がこの新技術をテストするようになるまで、Tolly Group の調査はその他の研究機関が出した結果と比較することはできない。

今回 EarthLink 社がセキュリティプログラムを拡大することで、ビヘイビアブロッキングがシグネチャーベースの対策と比べて効果があるかどうかのデータを手に入れることができるようになるかもしれない。その結果を早く知りたいものだ。