SONAR2は「振る舞いに基づくセキュリティ機能」を採用したことにより成功を収め、その効果が認められましたが、今年はさらなる革新的な変更を行いました。SONAR 技術についての詳しい説明は、こちらの記事(英文)を 参照してください。SONAR 2 を採用したことで、私たちは他のセキュリティソフトでは見逃してしまうようなマルウェアまでも見つけ、ノートンユーザーを保護することができました。ノー トンユーザーのために9 カ月間で約 1 億 4,000 万件の問題を分析し4,200 万を超える感染を防止しました。ほとんどの問題はこれまでに見たことのないマルウェア感染に関するものだったので、まさに「ゼロデイ」保護を実現したと言 えます。シマンテックの技術は社外の第三者機関によるテストとレビュー(特に動作に基づくセキュリティのテストとレビュー) で 100% またはそれに近い検出率を挙げ、その効果が何度も裏付けられています。「振る舞いに基づくセキュリティ機能」は、特にサーバー側にポリモーフィック型(攻 撃用コードを暗号化する)マルウェアが存在し、被害者のコンピュータにダウンロードされるマルウェアが一つ一つ異なる (ファイルのフィンガープリントが異なるという意味) 今の時代には不可欠なセキュリティ機能といえます。私たちは SONAR 2 よりパフォーマンスに優れた SONAR 3 の提供を開始しています。
次のステップ
私たちは、「セキュリティは終わりのない旅」だと考えています。この 1 年、マルウェアを巡ってはミスリーディングアプリケーション(ユーザーをだましてインストールさせようとする悪質なプログラム)と呼ばれる脅威のカテゴリの急増や、Hydraq などの標的型の巧妙な攻撃といった興味深い傾向がありました。SONAR 2 が Hydraq を検出(英文)した際に判定基準の変更が不要だったのはうれしいニュースでした。このような傾向に合わせて判定基準を微調整し、判定基準に約 60 個の新しい特徴を追加した結果、社内のラボテストで脅威検出率の大幅な向上が見られました。その結果、特徴グループが約 400 に増えました。
このような多数の特徴を使うこと、つまりSONAR で分類を行うためにファイル、プロセス、関連する活動について多くの側面を追跡、検査することで、マルウェアの亜種が分類エンジンをすり抜けたり、クリー ンな検体を誤分類させる可能性を低くする利点が得られます。言うまでもなく、これらすべての情報分析をシステムパフォーマンスに影響を与えず、ユーザーに 代わって自動的に判断する必要があります。しかし SONAR 3 はそれが実現可能であることを証明しています。
多数の ノートンユーザーから提供された 1 億 4,000 万件以上の問題を分析した結果、SONAR 3 ではクリーンな検体をさまざまな方法で識別した後、疑わしいシナリオに注力できるようなりました。このようにして、判定基準の精度を上げるための特徴グ ループを継続的に充実させています。検体を無視してでも、クリーンなファイルだと分類できる時間が短ければユーザーの使いやすさはそれだけ向上します。
SONAR チームはさまざまな属性を追加するための変更以外にも、マルウェアやクリーンなソフトウェアを取り巻く状況の変化に対応して、新しい判定基準を更新、作成 することにも時間をかけました。SONAR 2 の出荷以降 9 カ月間で判定基準を更新し、7 つの定義更新をリリースしました。昨年の SONAR の出荷以降、SONAR チームは 200 個を超える特徴グループを生成、評価しました。より多くのマルウェアを判定し、まれに起こる誤認問題を減らしてほしいというノートンユーザーからのフィー ドバックにも対応しました。
SONAR 3 で注力した脅威の主なカテゴリが、ユーザーをだましてインストールさせようとする悪質なプログラム、つまりミスリーディングアプリケーションです。ミス リーディングアプリケーションは最近注目が集まっている脅威であり、SONAR 3 で検出率を大きく改善できたことは私たちにとってうれしいニュースです。
振る舞いに基づくシグネチャも改善しました。特定の特徴に影響する振る舞いに基づくシグネチャを記述することで新しい脅威が発生しても短時間で対応 できるようになりました。新しい脅威やその亜種の検出においてシマンテックの判定基準は成功を収めていますが、シマンテックでは階層型のセキュリティモデ ルを信頼しています。脅威が発生する状況によっては、判定基準に頼るよりも脅威の特徴で対象を絞るほうが効果的で意味があります。
SONAR 2 の投稿(英文)で 詳しく説明していますが、SONAR は製品内のファイアウォール、ウイルス対策エンジン、侵入防止エンジンなどから情報を収集し、関連付けます。すべての情報は判定基準の効果向上に役立てら れます。私たちはこの点が ノートンと他社のセキュリティ製品とを大きく差別化していると自負しています。大多数のセキュリティ製品は判定基準の効果を上げられる広範な情報を収集で きません。SONAR 3 ではさらに、悪質なネットワーク活動に基づいてマルウェアを分類、判定、修復できるように、ネットワークコンポーネントとの統合を進めました。この統合の 結果、ネットワークフットプリントを変えないマルウェアの新規亜種の多くを引き続き遮断、削除します。
シマンテックではここまで紹介したものを含めたあらゆる改善を続け、振る舞いに基づくセキュリティをまったく新しい水準に変えていると考えていま す。脅威を取り巻く状況が急激に変化する中でお客様の安全を保つには、このような改善が非常に重要です。ノートンユーザーの皆様に SONAR 3 をお届けすることができ大変嬉しく思います。
以上、私たちが取り組んでいることをご紹介しました。SONAR チームでは皆様からのご意見や要望をお待ちしています。すべての改善点は最新のノートン インターネット セキュリティ 2011 で確認いただけます。皆様からのご意見や要望は改善点を知る手がかりとなり、成功の最も重要なバロメーターとなります。
この記事は 米国のNorton Protection Blog(英語)にてsourabhsatishによって掲載された内容を日本向けに編集された記事です。原文(英文)はこちら。