なぜダウンロードインサイトなのか?
悪意のあるソフトウェアのダウンロードは、通常は誤ってマルウェアをダウンロードするように仕向けることで、ユーザーのコンピュータを感染させる主な手法になりつつあります。今日のほぼすべての脅威はそれぞれが独自の手法によって、検出を逃れるように作られているため、従来型のシグネチャベースのアプローチにとっては対応が大変難しくなっています。特定のマルウェア変種用にシグネチャが作成される前に、マルウェアは姿を変え、そのシグネチャを使っても「不明」ファイルとされてしまいます。シグネチャがディスクやクラウドのどちらに置かれていたとしても、現在の脅威に対応するには迅速であるとは言えません。
シマンテックがダウンロードインサイトでとったアプローチは、クラウドベースの評価システムの構築です。このシステムでは、世界中の数百万のアプリケーションと個々のファイルのナレッジを蓄積し、統計的手法によりそれぞれの評価を判断します。このアプローチは、シグネチャでの対応を十分に補足可能であり、不明な実行ファイルについての判断が可能になっています。一方のシグネチャは、既知の事項 (既存のウイルスやトロイの木馬など) について通知をするのに優れた方法です。この評価ベースのテクノロジーを「ノートンのレピュテーション技術」と呼んでいます。
簡単に説明すると、Norton インサイトはレピュテーションサーバーに接続をし、パッケージの評価を要求します。評価をもとに、パッケージはディスクへの保管/実行が許可されるか、あるいはコンピュータから削除か除去されます。
私たちのクラウドが優れているわけ
クラウドベースのスキャニングはセキュリティ業界の新しい言葉で、時には異なるものを指していてもこの用語を使っているセキュリティベンダーがあります。
クラウドスキャニングの明らかな利点は、定義情報が提供されるまでの時間が極めて短いことにです。定義がクラウドに提供されるとすぐに、ユーザーが利用できるようになります。このアプローチでも、シグネチャを作成するには、それまでに実際に脅威が確認されている必要がありましたが、日々数千の新しい脅威が出現していることを考えると、これを前提とする場合には疑問が残ります。
私たちはノートンのレピュテーション技術によって、インターネット上で新しいソフトウェアやファイルの評価を分析し、それぞれに評価スコアを算出するシステムを構築しました。このシステムは、Norton Community Watch プログラムに匿名で参加する数千万の顧客から情報を受け取ります。ノートンのレピュテーション技術は、新しいファイルを認識すると、自動的に評価スコアの算出を開始します。
これは強力なシステムであり、世界中から新しいファイルのナレッジを受信し、シマンテックの「秘中」のアルゴリズムをもとに、評価スコアを自動的に算出できます。この情報は、クラウドを通じて即座にダウンロードインサイトで利用できます。ただし、従来のシグネチャモデルをクラウドに置き換えた評価とは異なっています。
ファイルの評価スコアの決定方法
評価スコアは、各種のパラメータをもとに複雑なアルゴリズムを使用して算出されます。評価システムの主な入力は、Norton Community Watch プログラムから受け取った情報です。
評価スコアの算出に使用されるパラメータをいくつかあげてみます。
- 特定のファイルが出現した回数
- ファイルが出現してからの期間
- ダウンロード元の URL
- データを提出したシステムの基本的な安全性
- ファイルが属しているソフトウェアベンダー
これらのパラメータが複雑なアルゴリズムに入力され、アプリケーションやファイルのスコアが決まります。常に新しい情報を受け取るため、ファイルのスコアは時間とともに変化します。
ダウンロードインサイトの操作
ダウンロードインサイトは、ファイルがダウンロードされた時期をモニターし、ダウンロードが完了すると稼動を開始します。ユーザーの視点からは、基本的に 2 つの「フロー」による簡単なものとなります。
1) ダウンロードしたファイルを保存する
このフローでは、ユーザーはアプリケーションをコンピュータ上のフォルダに保存するよう選択します。
1. ダウンロードインサイトは、インターネットからのファイルダウンロードが完了するのを監視します。
2. ファイルの SHA256 ハッシュが計算され、即座にレピュテーション判定用のオンラインサーバーに評価スコアを要求します。
3. 評価スコアをもとに、ダウンロードインサイトは以下を行います。
a. 評価スコアが「不正」レベルの場合、アプリケーションを削除して、ユーザーに通知をします。
b. 評価スコアが「良好」の場合は、ファイルを維持し、通知を表示します。
c. ファイルのスコアが評価中である場合は、追加情報を提供します。
評価スコアに応じた通知は次のようになります。
それぞれの通知の「詳細を表示」のリンクにより、レピュテーションサーバーからの詳細情報を確認できます。以下はその例です。
1. ▼普及度▽ - このファイルが Norton Community でどの程度使用されているかを示します。ごく少数から数百万台のマシンまでの範囲があります。
2. ▼経過日数▽ - ファイルが出現してからの時間です。
3. ▼評価レーティング▽ - Norton によるファイルについての評価です。ファイルがどの程度信頼できるかを示します。
4. URL - ファイルがダウンロードされた Web サイトを示します。
上記の各項目はそれぞれに役に立ちますが、これを組み合わせることで、特定のファイルがどの程度信頼できるか、その全体像を知る上で強力なものとなります。
例えてみれば、新しい HD カメラを買う場合を考えてみましょう。通常は、商品に関する多くの情報をインターネットで見つけようとするでしょう。調査が終わり、それが売れ筋のカメラで長く販売されていると分かれば信用ができ、そのカメラを買う確率が高くなります。これは、「評価」がよい場合と言えるでしょう。
また、先週発売されたばかりの新しいカメラを見つけ、試してみた人がごくわずかであるとします。おそらくは、買うのはこのカメラの評判を待ってからにするでしょうし、すぐに購入する確率は低くなります。これは、「評価」が低いとされる状況です。
これと同じことがソフトウェアアプリケーションでも行えるのです。
2) ダウンロードファイルを実行する
ダウンロードインサイトが関わる 2 番目のユーザーフローでは、インターネットからダウンロードしたアプリケーションを実行します。これは、アプリケーションをダウンロードした直後であったり、数日たってからアプリケーションをインストールする場合があります。
ファイルの評価がまだ算出中であれば (図 1 の黄色の通知)、Norton のダイアログが通知され、図 2 の情報と、ユーザーによるアプリケーションの扱いについて推奨事項が示されます。これは次のようになります。
(図 3)
このカテゴリは、「現在監視中」として扱うことができます。評価スコアが黄色のアプリケーションを起動するごとに、評価サーバーに再度問い合わせをし、このファイルの新しい情報がないか確認が行われます。
通知 (図 1) とダイアログ (図 3) とも、ユーザーの好みに合わせて、機能設定を行って、無効化したり、細かい設定で利用することもできます。
まとめ
Norton 2010 製品では、不明なマルウェアに対する新しい評価ベースの保護手段であるノートンのレピュテーション技術が導入されています。ノートンのレピュテーション技術はすでに数年の稼動実績を持ち、特に現在発生している不明なマルウェアに対する保護のために設計されています。また、ノートンのレピュテーション技術が提供するすべてのファイルについての有益な情報 (良/悪) は、ダウンロードインサイトや Norton 2010 製品のその他の機能を通じてお客様に提供されます。ダウンロードインサイトは、お客様が最も必要とするとき (ダウンロードファイルをインストールする直前) にこの情報が提供されます。最新の情報が提供されることで、保護が強化されるだけでなく、お客様全般に優れた体験をしていただけると考えています。
Q & A
Q:ダウンロードインサイトは、Norton 2009 製品の Norton Insight と似ていますか?
A:ノートンのレピュテーション技術バックエンドインテリジェンスにもとづく評価スコアは、Norton Insight の機能から大きく改良されています。Norton 2009 製品では、Norton Community プログラムを利用して「良質」なファイルや実行ファイルを識別していました。Norton 2010 製品では、これを次の段階に進め、「悪質」なものを識別して、より強力な保護と情報を提供しています。
Q:現在サポートしているブラウザは?
A:現在、ダウンロードインサイトは Internet Explorer 6.0 SP2以上と Firefox 3.0 以上をサポートしています。将来的に、この機能が使用できるブラウザを追加する予定です。
Q:評価スコアを取得するのにかかる時間は?
A:評価スコアを得るために送受信されるデータ量はわずかで、応答時間は非常に短く済みます。通常の操作では、ユーザーが遅延を感じることはありません。
Q:ダウンロード済みのファイルについて評価スコアが変わることはありますか?
A:はい。Norton Community Watch とノートンのレピュテーション技術からの情報が常に増えていくので、評価スコアが変わる場合があります。ダウンロードインサイトが次回にこの情報を必要とするとき (上記のファイル操作を実行する場合など)、新しい更新済みの評価スコアが利用可能であれば、その情報が取得されます。
Q:個人情報がシマンテックに送信されて保管されることはありますか?
A:いいえ。問い合わせにはファイルハッシュのみが含まれ、個人を識別できる情報がシマンテックに提出、保管されることはありません。Norton Community Watch での提出についても同様になります。
この記事は Norton Protection Blog(英語)にてViralMによって掲載された内容を日本向けに編集された記事です。原文(英語)はこちら。