検出・駆除の高評価は忖度 !? 確実に効くのはWeb分離と実行制限

　検出、駆除率がほぼ100％と高評価だからと安心していませんか。しかし、AIや動作解析を駆使しても、未知のウイルスやマルウェアの検出、駆除にはかなりの取りこぼしがあるのが実情のようです。これは、唯一の米国政府系ということでセキュリティ製品ベンダへの忖度不要なMitre社の評価をみれば明らかです。従って、以下に示す通り、セキュリティの強化には、検出・駆除性能の評価結果に拘るよりも、Web分離や実行可能ファイルの動作制限等の根本的な侵入／感染防止対策を併用する方がより確実と言えます。 　　 

１．民営の第三者機関の収入源は評価対象ベンダ 　

　有料でも構わないのでベストのアンチウイルスを入れておきたいというのは当然のことです。しかし、その選定に、第三者機関のネット上の評価結果に頼るのは止めるべきです。これは、ＰＣ Matic社の指摘どころか、評価の改善を目的とした業界団体AMTSOがNSS Labsにより訴訟まで起こされていることから明らかように、名だたる第三者機関のそれも含め、大半の評価が適切に行われているわけではないからです。第三者機関が、評価対象側のベンダの参加費を収入源としているために、評価の中身がお得意様である常連のベンダが不利にならないよう忖度されているからです。 

２．信頼のおけるのは政府系第三者機関 

　収入をベンダに依存しない第三者機関、NPOや政府系の機関であれば、このような不適切な評価にはならないことが期待されます。実際、イギリスのNPOのVirus Bulletinはシグネチャデータベースが更新されないようにネットへの接続を止めてから収集する検体を測定に用いることで未知マルウェアに対する検出性能まで評価できるようにしたRAP TESTの結果を公表していました。その検出性能は、最高でも90パーセント程度と、未知マルウェアに対する検出性能の低さを実証すものでした。残念ながら、この測定手法がクラウドのAIや動作解析を併用する最近のマルウェア検出手法をカバーできないことから、2018年のものが最後となってしまっています。  

３．忖度なしのMitre Att&ck EvaluationsではBitdefenderが健闘

 　他に、有力な第三者機関はないのでしょうか。探してみると、米国の政府系機関であるMitre社が、ウイルス対策ソフトの機能を含み検出・防御の技術が共通するエンドポイントセキュリティの評価を行っていることがわかりました。しかし、残念なことに、そこからのレポートMitre Att&ck Evaluationsに、優劣が直接分かる比較結果は示されていません。このため、優劣の比較には、レポートの読み手側で、掲載データを解釈してまとめる必要があります。幸い、Sachiel氏やCheck Point社が、その結果の比較表や比較図を示しています。これら図表からは、ウイルス対策ソフトベンダの中で、Bitdefenderの健闘が目立つ一方、AV-Comparatives、AV-Testでの上位が常連のカスペルスキー、E-Setは、奮わないことがわかります。カスペルスキーについては、負ける喧嘩はしないというこでしょうか、2020年の評価には参加していません。 

４．ウイルス対策ソフトよりWeb分離や動作制限 　

　Mitre Att&ck Evaluations（2020）の攻撃シナリオは、Wordで不正マクロを実行させて初期侵入をはたし、それによって本体のマルウェアを送り込むというEmotetの手口そのものです。そもそも、この手口はWDAGによるWeb分離やSimple Software Restriction Policyによる実行ファイルの動作制限が機能している環境では通用しません。これは、ウイルス対策ソフトやエンドポイントセキュリティの優劣に拘るより、Web分離や実行可能ファイルの動作制限の方がより確実に効くことを意味しています。