エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。