ドクターを知りたいと妹が言うので

不動産投資信託のすごさ

中古ワンルームマンションや中古ファミリータイプマンションから不動産投資を考えているようであれば、不動産投資信託を購入したのが早いような気がする。不動産投資信託は、すでにいくつかのマンションがパッケージされているので、どのような不動産投資物件にしようか迷ったこともない。また、お部屋のリスクも分散されている。
中古ワンルームマンションや中古ファミリータイプマンションから不動産投資をしている場合は、アパート経営をするのが良いと思う。マンション経営が、自分の意思が反映やすい。中古ワンルームマンションや中古ファミリータイプマンションは、最終的に、区分所有です。その点が、資産価値から見ると、疑問を感じる。
　2011年秋ごろに発売予定の次世代Norton製品は、「Insight 3」や新しく作り直された「Norton ID Safe」など、「どうしたら毎年、こんな大改編ができるのだろう？」と思わせるほどの改良が施されている。

【画像のある記事：次世代「Norton」を強化する「SONAR 4」の新機能】

　今回、次期Norton製品に搭載されるSONAR（Symantec Online Network for Advanced Response）の最新バージョン「SONAR 4」について、SONAR 2から開発に携わっているアーキテクトのシェーン・ペレイラ（Shane Pereira）氏に話を聞いた。

●多重チェックをかけるNorton製品

　「アンチウイルスソフト」はPCを買ったらどうしても必要となるソフトウェアの1つだ。個人利用であれば、MSE（Microsoft Security Essentials）のように無料で提供されている製品を使うことも考えられるが、有料の製品は一般的に高い検知機能を備え、サポートを受けられるといったメリットもある。

　Norton製品の場合、プログラムのマルウェア判定に関しては、シグネチャベースのスキャンに加えて、挙動ベースのSONAR、そして2009年から導入されたレピュテーション技術のInsightと、多層的にチェックする仕組みになっている。

　ただ、ここ数年はレピュテーション技術が盛り上がりを見せる一方で、SONARのようなビヘイビア技術はいまひとつ注目されていないような印象を受ける。

　ビヘイビア技術を簡単に説明すると、プログラムのふるまいをチェックして、怪しそうな挙動が多ければマルウェアと判断するものだ。例えば、警官が泥棒を捕まえる際に指名手配書とつきあわせて判断するのがシグネチャだとすれば、（指名手配書にはないが）怪しそうな行動をしていると捕まえるのがビヘイビア技術、と言うことができる。最新のSONAR 4では700の挙動チェックポイントを設けているという。

　SONARはOnline Networkという名前がついているが、インターネット接続のないスタンドアロンでも動作する。SONARは、シマンテックが2005年に買収したWholeSecurityという企業の技術がベースになっており、最初のSONARが登場したのは2007年のこと。それから2009年にSONAR 2が登場し、これ以降は毎年バージョンアップを重ねてきた。2011年秋に投入予定のNorton Internet Security 2012（以下、NIS2012）でも、最新版のSONAR 4が組み込まれる予定だ。それではSONAR 4で実装される新機能を見ていこう。

●新機能1、「専門家が作ったふるまいシグネチャが使えるようになる」

　ペレイラ氏によると、SONAR 4には3つの新機能が組み込まれる。第1の新機能が「シグネチャベースのビヘイビアチェック」だ。

　ここ数年、マルウェアの数は爆発的に増大しているが、マルウェアをいちから作るのは労力がかかるので「真に新しいマルウェア」はそれほど増えていないという（マルウェアを難読化するための暗号鍵が違うだけで根本は同じ）。

　その一方で、新種のマルウェアのように見えるが、実はUIを少々書き換えただけの亜種というものも存在する。「偽セキュリティソフト」（Fake AV）がその典型例だ。よくあるのが、インストールした記憶のない体験版アンチウイルスソフトが「ありもしない脅威」を発見し、「削除したいなら体験版でなく有料版を！」と費用支払いのためにクレジットカード番号を要求するというもの。このような「やっていることは大体同じマルウェア」の対抗策に、マルウェア解析者がふるまいベースのシグネチャを作成することができる、というのが今回の新機能になる。

　従来のSONARも人工知能ベースの自動シグネチャがあったが、確実にマルウェアを判定できるのかと言われると少々疑問だった。しかし、マルウェアとして前例のある「○○のようなふるまい」を専門家が解析し、その行動パターンのシグネチャを作ることによって、ビヘイビア技術でありながらより確実性の高い検知が可能になるという。また、個々のプログラムを細かく解析しなくても、ふるまいでシグネチャを作成することが可能なので、対応が早くなるというメリットもある。従来のシグネチャ検出手法はプログラムベースでの解析に基づいたものだが、シグネチャをプログラムベースではなく挙動ベースでも作成できるというのがSONAR 4の最大の魅力といえるだろう。なお、シグネチャをまとめたパターンファイルはLive Updateで随時更新される。

●新機能2、「ポリシーロックダウン」

　新機能の2番目はビヘイビアに基づくポリシーロックダウン（機能制限）だ。これによって有用なプロセス（本来問題のないプログラムにぜい弱性があったり、有用なDLLに寄生するマルウェアソフト）に対して、プログラムの削除・検疫をせず、機能の一部を止めることで対処する。

　例えば、Adobe ReaderやMS Office、一太郎などの一般的なアプリケーションに、特定のデータを読ませることでぜい弱性を引き出すシチュエーションを考えてみよう。最近、一太郎にバッファオーバーフローのぜい弱性が発見されたが、こうしたぜい弱性がある場合、細工を施したデータのファイルを開かせることで、任意のプログラムを実行してしまう可能性がある。このときSONARは、異常動作の原因はデータに埋め込まれているもかかわらず、アプリケーションそのものの問題として判断してしまう。

　しかし、このようなアプリケーションソフトやOS必須のDLLに寄生しているマルウェアを削除・検疫するのはやや問題がある（OS必須のDLLを削除すると、起動すらできなくなる可能性がある）。そこでSONAR 4では、アプリケーションの一部の動作を阻止することで、被害を最小限に抑えることができるようになった。ふるまいベースの判断なので、未知の問題点、いわゆるゼロデイ攻撃にも有用に働くとしており、ユーザーにはポップアップで警告するという。

●新機能3、「不正DLLのふるまい検知」

　もう1つ、SONAR 4ではDLLで動作するマルウェアの検知も可能になったという。従来のSONARはプロセス単位でマルウェアかどうかを判断していたため、こうしたケースには対応できなかった。例えば、IEのBHO（Browser Helper Object）としてマルウェアが埋め込まれた場合、SONAR 3までは検知できなかったが、SONAR 4ではこのようなDLLのふるまいの検知ができるようになっている。

　最後に、ビヘイビア技術で問題となる誤検知についても触れておこう。ビヘイビア技術は未知のマルウェアも発見できる半面、誤検知（偽陽性）も無視できない。初代SONARのプレスリリースでは、偽陽性が0.0004％とうたってはいるが、現実問題としてビヘイビアの誤検知が問題になるケースもある。

　また、コンシューマー向けのNorton製品はともかく、企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection」では、最新版（SEP12）になってSONARとInsightが組み込まれた。となると、社内利用のソフトウェアでSONARが偽陽性を出す可能性も考えられる。ということで「SONAR 4は過去のバージョンと比較して偽陽性に対してどれだけ改善されたのか」を聞いてみた。

　これに対してペレイラ氏は、「SONARの偽陽性検知に関しては当時と状況が違うので単純比較はできない」と直接の回答を避けた一方で、「SEP12に関しては（仮に業務アプリケーションがSONARに反応しても）企業内管理者がホワイトリスト化することでチェックを逃れることができる」と説明。企業管理者なら対処可能であり、さらに「Level3のコード署名があれば、Symantec側でも対処可能」と、ソフトウェア企業に関しては偽陽性に対応可能であると回答してくれた（ちなみに、NIS2012のSONARの設定は「常時／確実性が高い場合のみ／確認」と、以前の「オン／オフ」から設定範囲が広がっている）。以前のように、SONARを有効にするとあやしい挙動をするプログラムが問答無用で検疫されてしまうわけではなさそうだ。

【小林哲雄，ITmedia】


【関連記事】
「Fatal System Error」著者に聞く：インターネットのすばらしく恐ろしい話
その義援金はどこへ行く？：震災に便乗したネット犯罪をシマンテックが解説
PCセキュリティの先へ：「ネットにつながるあらゆるデバイスの安全を」――シマンテックのコンシューマー事業戦略