誤検知問題に見る今後のセキュリティソフト

読み物

近年、セキュリティソフトの過剰防衛による弊害が問題視されるようになってきました。最近では、有名なフリーソフト作者様が何度も誤検知に悩まされ、ソフトウェアの更新停止にまで追い込まれました。
個人的な考えになりますが、私もフリーソフト作者の一人として、この問題について考えてみたいと思います。意見はいろいろあると思いますので、あくまで私個人の意見としてご覧いただければ幸いです。

何故最近このような誤検知が際立つようになってきたかと言えば、それはもちろん脅威の爆発的な増加にあると思います。各セキュリティベンダは、こぞってその脅威の検知率を競っています。この点について、ユーザ置き去りの企業思想と感じる部分もありますが、今回はその話は置いておいて、とにかく「全部の脅威を検出できますよ」と言わんばかりの性能を出すために、各ベンダとも新機能をどんどん搭載しています。

未知の脅威の検知手法としてヒューリスティック技術は昔から搭載されている製品も多いですが、最近はビヘイビア技術、それもかなり過剰な基準によるプロアクティブなディフェンスをほとんどの製品でおこなっています。
「利用者が少ない=脅威」「作成日時が新しい=脅威」というような「そりゃそうだけどさぁ・・・」といえるような基準でも脅威を検出しています。これの厄介なところは、「人間(=ベンダ)の介入無く半自動的に脅威と判定している」ところにあります。逆に言えば「とりあえずめぼしいものは全部ブロックするように作って、あとからどうにかすればいいや」的な考えなのです。まさに毒をもって毒を制すです。いや、制せてないかもしれません。

これは非常に危険で、ただでさえ従来のパターンマッチング方式でも誤検知が発生するというのに、それに上塗りするかのようなさらなる誤検知の発生要因をベンダ自ら作り出していると言わざるを得ません。
ヘタすればオペレーティングシステムのファイルを誤検知して致命的な自体になるかもしれませんし、そうでなくても使えなくなってしまう一般の正常なソフトウェアは多いでしょう。個人向けのセキュリティとしてはオーバースペックであり、未熟であるとも言えます。

そんな諸刃の刃的な技術ををウェブフィルタリングに応用して、冒頭でも述べたような大問題になっているのがT社の製品です。T社の製品は、手当たり次第にウェブサイトをクロールし、わずかにでも脅威かもしれないという兆候があればブラックリスト入りさせ、T社の製品を利用している人がそのウェブサイトを閲覧できないようにします。クロールからブラックリスト入りまではおそらくプログラムによる全自動で、とにかく検知率をアピールするために、脅威と判定する閾値をかなり低めにとっているかもしれません。

これによって得をするのは誰でしょうか。ユーザは見たいサイトが見れず、そのサイト運営者は信頼を失墜されますが、ユーザはセキュリティソフトの言っていることは大抵信じるでしょう。「守ってくれた」と安堵するでしょう。つまり、ごく一部の人間が問題視して反発しようとも、ベンダは得をするのです。コストも削れて、利用者の(まやかしの)信頼も得て、製品がもっと売れる。ブロックされたサイトの運営者が損をするだけなのです。しかもそれが個人とくれば、もう無敵状態です。

しかし、私はこれを一概に非難はできないとも思います。毎日何万、何十万と発生する脅威を一つ一つ人間が確認して判断するなど不可能ですし、仮に実施して、製品の価格が何十万にもなれば、それこそ誰も得しません。ある程度の誤検知は容認するべきだとは思います。肝心なのは誤検知の削減よりもアフターフォローではないかと思います。誤検知を限りなくゼロに近づけたところで、何件かは誤検知に対象にされたことによってクリティカルな問題に発展します。それに対する信頼回復の手段、迅速な連絡、対処を個人であろうと企業であろうとやってくれる、それが求められるのだと思います。

しかし、このフェーズで問題になってくるのは、「対象のサイトは本当にシロか」ということです。たとえばえん罪であれば、裁判をもって無実を証明できます。要は第三者が介入します。しかし、セキュリティソフトの問題に関してはそうはいきません。当事者同士の話し合いになってきます。ここで私は言いたいのですが、「ウチのサイトは安全です。誤検知ですから解除してください」といわれて「はいはい。分かりました」というようなベンダのソフトは使いたくありません。つまり、「誰が」「何の手段を持って」シロと判断するかというのが非常にネックになります。ベンダ側も誤検知報告が1件や2件などということではないでしょうから、1つの誤検知に対して多くのリソースは割けません。かといって信頼の回復のためには迅速な対処が求められます。私の頭ではこれに対する解決策を導き出すことはできませんが、今後のセキュリティソフトの課題は正にここにあると思います。サポートを制するものはセキュリティソフトを制するといっても過言ではないかもしれません。

私はまだこのような被害にあったことは少ないですが、今後各ベンダがどのような方向性でセキュリティソフトを「考える」のか、非常に注目しています。