「ウイルス対策ソフトは死んだ」の真意
物議を醸したブライアン・ダイ氏の発言ですが、この内容の背景について筆者なりに調査した範囲で補足します。これまでのウイルス対策ソフトは、パターンマッチングと呼ばれる手法が中心で、ウイルスと判定するための検体と合致することを確認することで検知し、ウイルス感染から保護するわけです。
以下の図の左半分が、ウイルス対策ソフトの期待されている動作と言えるでしょう。ウイルス対策ソフトを導入したPCやサーバーは、パターンファイルを最新にすることで、言わばカプセルの中で安全に守られているというものです。
しかし標的型攻撃では、まさに標的と狙いを定めた企業・組織が使用しているウイルス対策ソフトの製品を特定した上で、攻撃者サイドで開発したウイルスが、そのウイルス対策ソフトでは検知できないことをあらかじめ確認し、攻撃を仕掛けてきます。言ってみれば「攻撃の練習をして準備万端にしてから本番に備える」のです。以下の図の右半分がその本番の状況を示しています。
▲ウィルス対策ソフトの限界[クリックすると図が拡大します]
「攻撃の練習」で絶対検知できないことを確認してから、攻撃するのですから、ウイルス対策ソフトは期待した動きをしない、まさに「ウイルス対策ソフトは死んだ」と言える状況です。
しかし、このことをもって、もう防御には限界があるというのは少々早計に過ぎないではないでしょうか。確かに、前述のような緻密な計画から攻撃を仕掛けられるとウイルス感染は防ぎようがない状況です。
しかし、第1回の連載でも取り上げたとおり、攻撃者は一連の攻撃を成功させるための重要なマイルストーンとして管理者権限を奪うことに狙いを定めています。
では、その狙いを防ぐために、効果的な対策ができているでしょうか。ウイルス対策ソフトが期待した動作をしなかったからといってそれで“おしまい”ではないはずです。
