ルートキット vs ウィルス対策業界

ルートキットはSony BMGのCDの件で有名になったが、理解している人は極めて少ないように思う。Sony BMGの一件は月刊FACTAで阿部編集長がブログに書かれているが、国内では火がつかないままに幕引きモードになりつつあるのは残念。ルートキットはウィルスそのものではない。しかし大きな問題。何故か? ルートキットとは裏口(バックドア)を自由に空けるための仕掛けであり、且つ、簡単には検出ができないからだ。再び、何故か? エクスプローラーとかタスクマネージャの表示結果、さらにはOSのカーネルサービスへの問い合わせ結果から自身の存在を消してしまうからだ。見えないものは検出しようがない。

ここで、The Matrixのモーフィアスのセリフを思い出してみよう。
Matrix - The Script:
What is real? How do you define real?
If you're talking about your senses, what you feel, taste, smell, or see, then all you're talking about are electrical signals interpreted by your brain.
何が現実なのか? 要はそこがポイント。OSへの問い合わせ結果に無ければ、実在しても存在しないのと同じだ。その逆もまた然り。PCを再インストールするしかない、と言われるのはこのためだ。しかし、前述の理由で単純には検出できないから、再インストールしないといけない状態かどうかを判断できない。結果として感染者のPCは裏口を空けられたままずっと存在し続けることになる。現実世界で言えば、合鍵をつけ「いつでもどうぞ」状態で家を世間に晒している状態なのだ。Winnyどころの恐さの比ではない。

ちなみに、技術解説はこのあたりの記事が参考になる。誤解しないでほしいのは、ルートキットはUNIXから広がったもので、Windowsが危ないとかOSを変えれば安心とかいう話ではないということ。
そんな中、ルートキット「Hacker Defender」の開発者であり、白帽子(正義の味方)を自称するUKのTibbarが昨年末にEmail battlesに書いたポストがこれ。ウィルス対策ベンダーが提供しているのはエセ・セキュリティで、新バージョンの製品を売ることが大事で、そういう態度を改めようとはしない、と主張している。
Rootkit Guru: AntiVirus Makes Me Do It:
Antivirus companies sell a fake sense of security, but they do not bring real security to your computer. Antivirus just fights programs that are visible to common users. They don't care about the cause.
<中略>
This attitude brings money to security companies because their users download upgrades and buy new versions of their products. This is why these security companies don't want to change the situation.
ウィルスへのワクチンと同じように、ルートキット対策には別のルートキットが効くという考え方がある。Tibbarはそれを作る立場であり、だから「白帽」なのだと言っている。その真偽はよくわからないが、彼は昨年12月28日に、ルートキットがもたらす危険性のデモンストレーションとして、Hacker Defenderの暗号化バージョンをgovernmentsecurity.orgにソースコード付きで公開した。2ヵ月後の3月1日、3月23日、4月5日と3回に渡り、Jottiという別のルートキットも含め、ウィルス対策ソフト側の対応をチェックし、ひどく落胆した彼は、調査結果を「Adventures of the White Rabbit - codeCrypter」という記事で4月7日に自ブログ上にポスト。さらにこれを、Email battlesが「How The Anti-Virus Industry Is Turning A White Hat Black, or (at least) Gray」というTop Storyとして紹介している。影響が大きそうなので、ここに掲載されてる結果表をそのまま引用するのはやめておく。この結果表が正しいとすれば、ウィルス対策ベンダーは一部を除き、真面目にやってないということだ。著名なベンダーかどうかはあまり関係ない。フリーか有償かどうかも関係ない。Tibbarの行動が正しいのかどうかはともかく、せめて金を取っているベンダーは真面目にやれよと思うわなあ。

ウィルス対策領域にもGoogleらが進出し、チープ革命が起きればどうなるか? その材料はオープンソースの対策ソフトはじめ、既に揃っていると思う。


[][][][]

0 件のコメント: