本日はこちらの記事。NetworkWorldから。
Antivirus doesn’t work. So why are you still using it?
(アンチウイルスソフトはもう効果的じゃない。それなのになぜ使い続ける?)
“It is clear that traditional signature-based anti-malware solutions are increasingly ineffective,” says Gartner analyst Neil MacDonald.
「トラディショナルな定義ファイルベースのアンチウイルス製品は、どんどん効果を落としてきている」とガートナーのNeil MacDonald氏は言っています。
この手の話は最近よく耳にしますね。2014年にSymantecが定義ファイルでは今のウィルスは45%しか防げないとしたニュースが話題になりました。
hackers increasingly use novel methods and bugs in the software of computers to perform attacks, resulting in about 55% cyberattacks going unnoticed by commercial antivirus software.
ハッカーたちは新手法や既存のソフトウェアの脆弱性を突いて攻撃することが増えた。その結果、55%のサイバーアタックはアンチウイルスソフトで検出できない状態になっている。
新手法やゼロデイが全盛で企業がパッチをあてる速度も上がっている現在では、攻撃が行われてから調査して検出できる定義ファイルを作成して配布するという手法で防げるマルウェアが多数ではなくなってしまった、というのは納得できるところです。
では、効果が落ちていても企業がアンチウイルスソフトを使い続けるのはなぜか。
There are several reasons why AV is still deployed on enterprise endpoints. The first is simply because antivirus is required for legal and compliance reasons.
企業がアンチウイルスソフトを使い続ける理由としては、まず最初にコンプライアンスの事情が挙げられます。
マルウェアの攻撃を受けました、ウイルス対策ソフトは使っていませんでした、では確かにコンプライアンスの面で問題になりそうです。
Secondly, even though AV doesn’t catch everything, it still provides some level of protection.
もう1つの理由として、すべての攻撃が検知できるわけではないにしても、まだ多少の防御の役には立っていることも挙げられます。
検出率が45%でも、仮に20%程度まで落ちてしまったとしても、その分のリスクが防げるのであれば、やらない意味はないというのも納得できるところです。
こういう分野こそ機械学習の出番なんじゃないかと思いますが、実際に「machine learning antivirus」とかで検索してみるとその手の論文やニュースはちらほら見かけますね。その手の製品も出始めているようなので、そのうちその手の製品が増えてくる可能性もありそうです。
Wikipediaにもその点の言及が見られます。
Data mining techniques: are one of the latest approach applied in malware detection. Data mining and machine learning algorithms are used to try to classify the behaviour of a file (as either malicious or benign) given a series of file features, that are extracted from the file itself.
最新のマルウェア検出手法のつとして、データマイニングが利用されています。データマイニングと機械学習によってファイルの振る舞いを時系列で特徴化し、分類、検出するというものです。
この手のモデルはおそらくOS問わずにある程度は使いまわせそうな気がするので、良い検出モデルができて公開されたりすると、Linuxユーザ的にはありがたいんですが。
