元麻布春男の週刊PCホットライン

Microsoftが無償提供するアンチウィルスソフトの意義



●Windowsにはアンチウィルスソフトが必須

 Windows 7がリリースされてそろそろ1週間が経とうとしている。多くの人がインストールを済ませたのではないだろうか。Windows Vistaをスキップした人にとってWinodws 7は、Windows XP以来、本当に久しぶりのアップデート。畳とOSは新しい方が良いかどうかは知らないが、新しいことによるメリットは少なくない。その1つはセキュリティだ。

 2002年1月、ビル・ゲイツ会長が掲げた「Trustworthy Computing」のビジョンの下、Microsoftはソフトウェア開発におけるセキュリティの比重を大幅に引き上げた。一般には不具合の修正集であるService Packだが、Windows XP SP2についてはセキュリティ機能の引き上げにフォーカスしたものになったし、Windows Vistaのデザインに際しては、その主要な目標の1つが、セキュアなOSの開発に設定されたほどだ。Windows Vistaの場合、あまりにもセキュリティを優先させたことが不人気の一因にもなったが、セキュリティが重要であることに異を唱える人はいないだろう。

 しかし、OSのセキュリティ改善を唱えれば唱えるほど、ある自己矛盾が生じた。それはどんなにセキュアなOSであろうと、コンピュータウイルスの侵入を阻止したり、駆除したりするためのソフトウェア、アンチウイルスソフトウェアは、別途用意しなければならないことだ。OSをセキュアにしましたといくら言っても、そのOSには「コンピュータウイルス対策」という大穴が放置されたままだった。この穴を塞ぐためにユーザーは、別途アンチウイルスソフトを購入しなければならない。結局、アンチウイルスソフト(あるいはその機能を持つ統合セキュリティソフト)を購入しなければならないという点では、Windows XPもセキュリティがウリのWindows Vistaも変わりはなかった。そしてこれは最新のWindows 7でも基本的には変わらない。

 なぜセキュアなOSを目指しながら、アンチウイルス機能については、いつまでもオプションのままなのだろう。その理由は、サードパーティが有償でアンチウイルスソフトを提供してきた、という歴史によるのではないかと考えられる。OSがアンチウイルス機能を内蔵することは、サードパーティのビジネスを奪うことになりかねない。OSのシェアが高いMicrosoftがそれを行なうと、独禁法に抵触する恐れもある。

 だが、コンピュータウイルスに代表されるマルウェアの蔓延は、看過できないレベルに達しつつある。怪しげなサイトに行かなくても、マルウェアはスパムメールに乗ってやってくる。ちゃんとした企業や公共機関のページにマルウェアが仕込まれたりすることも珍しくない。中にはセキュリティソフトを名乗るマルウェアさえ存在する。こうしたマルウェアは、感染したPCのユーザーに被害をもたらすだけでなく、PCを踏み台にして二次攻撃することも多い。マルウェアに無防備なPCは、もはや社会問題とも言えるだろう。

 幸い、市販されているPCの多くは、PCベンダーによって何らかのセキュリティソフトがインストールされている。これが有効な期間は、おおむね問題ない。問題は更新期限が切れた後、更新されずに放置されるPCが多いことだ。一部の例外を除き、有償のセキュリティソフト/アンチウイルスソフトには、マルウェアの検知に使われるパターンファイルの更新期限があり、それを過ぎると新しいパターンファイルに更新されなくなってしまう。こうなると、セキュリティソフトは効力を失う。

 もちろん、継続的にパターンファイルの供給を続けるのはコストのかかることであり、パターンファイルの提供が有償になること、更新に期限があることにはやむを得ない面がある。が、セキュリティソフトが有償である限り、すべてのユーザーに行き渡らせることが困難であることも、また間違いない。セキュリティソフト会社の経営を尊重することも重要だが、マルウェアに無防備なPCを極力減らすことも社会的な要請だ。

●Microsoft自身が「Morro」の開発、提供を開始

 こうした声に応えるためか、2008年11月18日Microsoftは、2009年後半に無償のアンチウイルスソフト「Morro」(開発コード名)をコンシューマ向けに提供すると発表した。従来同社は、企業向けのセキュリティソリューションとしてMicrosoft Forefrontシリーズを、コンシューマ向けのセキュリティソリューションとしてWindows Live OneCareを有償で提供していた。無償のMorroで有償のOneCareを置き換えると発表したわけだ。これを受けて、OneCareの販売は2009年6月末日で終了を迎えた。セキュリティソフトを無償化することで、途上国や新興国など、セキュリティソフトが十分普及していない国から無防備なPCを減らすことが狙いの1つだと思われる。

 ただし製品の機能としてMorroはOneCareの完全なる後継ではない。アンチウイルス/アンチマルウェア機能にとどまらず、パフォーマンスチューニング等の機能も備えた統合セキュリティソフトであるOneCareに対し、Morroの機能はアンチウイルス/アンチマルウェア(特にリアルタイム保護)に絞られている。高度な機能を欲するユーザーは、サードパーティ製のセキュリティソフトを購入してください、ということなのだろう。

 とはいえ、Microsoftはすでに、スパイウェア対策としてWindows Defender、マルウェア除去ツールとして悪意のあるソフトウェアの削除ツール、ファイアウォールのWindows Firewallの提供を行なっており、これらにMorroを加えることで、大きな穴は塞がれることになる。また、機能を絞ることで動作が比較的軽く、ネットブックのような非力なプラットフォームでも使いやすくすることも、Morroの狙いには含まれていたハズだ。この時点で、開発中であったWindows 7がネットブックにも対応するとMicrosoftは発表したばかりであり、Morroがそれを意識していなかったとは考えにくい。

 こうした経緯で無償提供が決まったMorroだが、数度のベータリリースを行ない、2009年9月29日に正式リリースされた。正式名称はMicrosoft Security Essentials(以下MSEと略)であり、マイクロソフトのサイトから日本語版をダウンロードすることができる。対応するWindowsは、Windows VistaとWindows 7(32bitと64bit)、Windows XP SP2以降(32bitのみ)。機能が絞られていることもあり、MSEはダウンロードパッケージサイズも小さいが、Windows VistaとWindows 7の兼用パッケージが4.3~4.8MBなのに対し、Windows XP用は8.7MBとサイズが約2倍になっている。

【画面1】MSEは完全に無償で提供されるが、使用するWindowsが正規品であることが必要

 MSEについてまず好ましく感じるのは、ダウンロードおよびインストール、さらにはパターンファイルの更新に際して、個人情報やLive ID等を一切必要としないことだ。唯一、インストール時に正規のWindowsを利用していることを確認する、Genuine Microsoft Windowsの検証が行なわれる(画面1)。セキュリティソフトを騙るマルウェアさえある昨今、どんなアプリケーションであろうと、個人情報を求めるものは疑ってかかる必要があるし、必要でない個人情報は最初から収集すべきでない。

 一般にアンチウイルスソフトの評価は、マルウェアに対する効力、他のアプリケーションにいかに影響を与えないか、そして価格(有効期間)だが、MSEの場合価格や期限を気にする必要はない。マルウェアに対する効力がどれくらいあるのか、高いのか低いのかは簡単に論じることは難しい。オーストリアの非営利団体であるAV-Comparativesが8月に出したレポート23号(英文、PDF)によると、MSEの前身であるOneCareの評価は4段階中3番目のStandard、マルウェア検出率は90.0%となっている。これは評価16製品中14番目だ。

 一方、正常なファイルをマルウェアと誤検出した件数は5件で、16製品中2番目に少ない(一番少ない4件の製品が3つある)。このあたりはWindowsの開発元の強みだろう。他のソフトウェアに影響を与えるという点において、誤検出は最も深刻なものになる(最悪、必要なファイルが削除され、システムが起動できなくなる)だけに、この点は安心して良いかもしれない。少なくともWindowsに対して安全だと思われる。もう1つ気になるスキャンスピードに関して、このレポートの評価はSlowとなっている

 一方、Verizon Businessの傘下にある独立部門であるICSA Labsは、Windows 7対応のマルウェア検出ソフトとして、7製品を認証している。そこにESET NOD32、Norman Secturity Suit、PC Tools Spyware Doctor、Webroot Antivirus、Webroot Internet Security、Microsoft Forefrontと共に、MSEの名前が挙がっている。マルウェア削除ツールとして認証されたのは5製品で、その中にもMSEの名前が含まれている。

 もちろん、こうした機関によるテストは、既知の脅威をサンプルに用いたものであり、必ずしも未知の脅威に対する効力を量ることはできないかもしれない。が、既知の脅威に十分対抗できないようでは、ということもあるので、全く意味がないわけではないだろう。

●未知の脅威への対策

 最近、未知の脅威に対抗する手段として、サードパーティ製セキュリティソフトウェアが取り組んでいるのが、ヒューリスティックや、レピュテーションといった手法だ。ヒューリスティックは、監視対象のソフトウェアの動作をモニタし、その挙動でマルウェアかどうかを検出しようという手法、レピュテーションはそのファイルが多くの人によって使われているか、マルウェアとして処理されていないかなどの評判を元に判断しようというものだ。これらを併用することで、いわゆるゼロデイアタックに対する耐性の向上が見込まれる。

 MSEの設定のリアルタイム保護の項目には、「コンピュータのファイルおよびプログラムの動作を監視する」というオプション(画面2)が用意されている(デフォルトで有効)し、マルウェア情報をMicrosoftに送信するMicrosoft SpyNet(画面3)もある(レピュテーションと呼ぶには少し弱い気がするが)。これらが競合製品に対して、どの程度のものかは分からないものの、機能的に何かが致命的に欠けているということはないように思われる。

【画面2】MSEはリアルタイム保護時に、ファイルやプログラムの動作を監視しているという【画面3】MSEが検出したマルウェアの情報はMicrosoft SplyNetに送信される

 というわけで、筆者も手元にあるネットブック(HP Mini 1000)にMSEをインストールしてみた(画面4)。OSはWindows 7 Home Premium 32bit版である。インストールは極めて平易で、基本的には次へのボタンを押していくだけ。インストールが完了すると、自動的にパターンファイルの更新とスキャンが開始される(画面5)。Mini 1000はディスプレイの縦方向が576ドットしかないが、ダイアログ中のボタンが押せなかったりすることもない。

【画面4】MSEのインストーラ(Windows 7)。Windows XP版もほぼ同じ外観を持つ【画面5】インストールが終わると、パターンファイルの更新と初回のスキャンが実施される

 これで、後は「何か」が起こるまで、基本的には放置しておくことになる。基本的にMSEは非常に静かなアプリケーションで、パターンファイルを更新しました、といったメッセージをこれみよがしに表示することはない。パターンファイルは自動的に更新されることになっており、ユーザーがスケジュールを設定することはできない。

【画面6】スキャン中のCPU占有率。Atomベースのネットブックでは、CPU占有率は非常に高くなる

 MSEを組み込んだPCも、その影響はほとんど感じないで済む。定時スキャンが始まると、さすがに重たくなる(画面6)が、それ以外の時は、ネットブックでも重さを感じることはない。ネットブックでYouTubeの動画をコマ落ちせずに見るのは、結構、性能ギリギリのところだが、MSEを組み込んだMini 1000でYouTubeの動画を見ていてコマ落ちを感じることはなかった(SD動画の場合。HD動画をネットブックでコマ落ちせずに見るのはまず不可能)。もちろん無償のMSEでは、パターンファイルの更新期限がくることもないから、組み込んだら忘れることができるアンチウイルスソフト、という感じだ。

 それではということで、意図的にMSEにマルウェアを与えてみることにした。この1カ月余りの間、スパムメールに添付されて送られてきているトロイの木馬型ウイルスだ。最初はOutlookのサポートを騙り、次はWindowsに組み込むエージェントを騙り、最近はLSM Companyとかいう差出人から届いている。

 このスパムに添付されていたcontract_1.zipをMac上でUSBメモリにコピーし、MSEを組み込んだMini 1000に挿したところ、MSEはたちまち警告を表示した(画面7)。詳細を表示させたところ、この添付ファイルには、TrojanDownloader.Win32と呼ばれるトロイの木馬が仕込まれているという(画面8)。早速、削除してもらった(画面9)。

【画面7】マルウェアを含むファイルが書き込まれたUSBメモリを挿したところ。たちまちMSEは警告を発した【画面8】含まれていたマルウェアはトロイの木馬型のウイルスだという【画面9】MSEによりトロイの木馬は削除された

●Microsoftが無償で提供していることに大きな意義

 おそらくMSEは、現在市場に出回っているアンチウイルスソフトの中で、最も強力なものではないだろう。また、スキャン速度が最も高速な製品でもない。より強力なセキュリティ製品、パフォーマンスチューニングやバックアップも含めた、トータルソリューションを求めるユーザーは、サードパーティ製の有償の製品を求めるべきだ。

 しかし、Windowsが備えるその他のセキュリティ機能とMSEを組み合わせることで、一般のユーザーにとって、十分実用的な対マルウェア対策になり得るのではないかと思われる。少なくとも、何もしなかったり、更新期間の切れたセキュリティソフトを放置しておくよりずっといい。セキュリティの知識のない家族や知人のPCにインストールしてあげるのは有益なことだと思う。

 MSE以前にも、無料のアンチウイルスソフトは存在した。中には、有償の製品と変わらないような優秀なものもある。しかし、PCにあまり詳しくない人にとって、セキュリティソフトを騙るマルウェアさえあると知らされたら、無償のアンチウイルスソフトを利用するのはなかなか勇気がいる行為だろう。その点、Windowsの開発元であるMicrosoftなら、誰もが名前を知っているし、それだけで安心感がある。同社がアンチウイルスソフトを無償で提供するということには、大きな意義がある。