企業経営者やＩＴ部門の担当者の間でもウイルス対策は、ウイルス対策ソフトの定義ファイルやOSを定期的にアップデートしておけば、「万全」という受け止め方が一般的だ。しかし、ソフトベンダーが提供する修正パッチやOSヴァージョンを最新版にアップデートするだけでは対応できないウイルスが、今、世界中で猛威をふるっている。そのひとつが「ゼロデイ攻撃」と呼ばれるタイプのウイルスだ。

※従業員規模100名以上の企業294社の情報システム担当者への調査。 　（2010年11月10日、（株）テクノアソシエーツ調べ。）

　ゼロデイ攻撃（zero-day attack）とは、ソフトウェアやOSの脆弱性(セキュリティ・ホール)が広く公表される前に、その脆弱性を悪用して行われる攻撃のことをさす。ゼロデイという言葉は，修正パッチが提供された日を1日（目）とすると，それより前に攻撃が始まったということを意味している。未知のウイルスが短期間に拡散するため、これまで有効とされてきたメーカーが提供する修正パッチ（定義ファイル）を適用する方法では、その被害から逃れることは難しい。

　セキュリティの専門家によれば，ゼロデイ攻撃は二つのパターンに分類できる。一つは，ユーザーもベンダーも知らないセキュリティ・ホールを突かれる場合。もう一つは，セキュリティ・ホールの情報が公表され，ベンダーによって修正パッチが配布されるまでの間を捉えて攻撃するというもの。
　独立行政法人 情報処理推進機構（ＩＰＡ）は、ソフトウェアのベンダーから公開される脆弱性情報を分析して、緊急性が高いと判断したものを「緊急対策情報」として発信しているが、2009年4月以降、発信された15件の緊急対策情報の全てが、ゼロデイ攻撃に絡むものだったという。

　こうした拡大を見せるゼロデイ攻撃に対抗するために、従来の手法に加え、ソフトウェアのふるまいを検知してウイルスを判定する「ヒューリスティック」と呼ばれる検知技術に対する関心が高まっている。
　ヒューリスティック（Heuristic）とは、過去の事例の蓄積などから未知のものに対して予測を行い、必ず正しい答えが導けるわけではないが、一定以上の精度で正解に近い解を得ることができる方法を示す言葉。従来のウイルス検知の技術が、ウイルスやスパイウェアをあらかじめ登録されたデータベースとのマッチングによって発見するのに対して、ヒューリスティック技術の場合は、コンピュータ・ウイルスなどの特定の行動パターンなどから不審なものとして検出することで、未知の脅威にすばやく対応することを可能にする。このヒューリスティック技術を活用した検知エンジンを持つウイルス対策ソフトをベンダー各社は提供を始めている。

　しかし、ヒューリスティック自体は、検知手法に関する概念であって、特定の技術を意味するものではなく、ウイルス対策ソフトベンダー各社が提供している「ヒューリスティックエンジン」の技術内容はさまざまで、その検知能力にも差がある。
　すなわち「ウイルス対策ソフトはどれも変わらない」というこれまでの常識は過去のものになりつつある。とすれば、調査結果が示していたようなウイルス対策の見直しが、９割の企業で行われていないという現実は許されるものではないだろう。企業の経営者やセキュリティ担当者には、自社のセキュリティ環境に最適なソフトを見極める目とスキルがあらためて求められている。

（今野　靖雅）