Kaspersky Labのデータ(英語)では、1日当り200,000以上の新種のマルウェアが出現しています。これは1秒当り2~3のマルウェアオブジェクトが現れているという計算になります。どんなに大量の分析を行ったとしても、従来の方法で処理していては、この雪崩のようなマルウェアに対処することはできません。そこでKaspersky Labは別のアプローチを開発しました。新しい人員をどんどん採用するのではなく、クラウドベースの処理センターを構築し、Kaspersky Security Network(KSN)というアンチウイルスネットワークを創り上げたのです。この強力なテクノロジーは、ネット上の新しい脅威をすばやく検知し、KSNに接続されたすべてのコンピューターを保護します。これにより大規模な感染を防ぎ、感染源をほんの数分でブロックすることができます。
Kaspersky Security Networkは重要なタスクを実行しています。利用者のコンピューター上で不審な活動がないか幅広くモニタリングし、そのデータをKaspersky Labのサーバーに即座に送信して(個人を特定するようなデータが送信されることはありません)、収集された情報を分析します。また、危険なファイルをブロックするか、逆に許可リストに追加するか、という決定を行います。このクラウドベースのサービスを利用するには、カスペルスキーの製品をインストールし、KSNへの参加に同意する必要があります。参加のメリットはすぐに得られます。KSNに接続されたすべてのコンピューターは、新しい脅威が最初に検知されてから1分と経たずに、その脅威に関する情報を受け取ることができます。
Kaspersky Security Networkの仕組み
- 不審な活動に関する情報が、製品利用者のコンピューターからKSNクラウドへ送信されます。収集されるのはファイルではなく、不審な活動についての情報だけです。たとえば、疑わしいタスクを実行しようとしているのはどのファイルなのか、このファイルのソースは何なのか、どのアプリケーションが立ち上げたのか、といった情報が送信されます。
- ファイルが悪意のあるものかどうかは、1つのコンピューターのデータだけ見ていては最終的な判断を下せないものです。しかし、アプリケーションのふるまいを複数のコンピューターで分析し、正規のアプリやファイルが無数に登録された巨大データベースと照合することができれば、状況は変わります。このデータとヒューリスティックを使用することで、KSNは不審なファイルについて予備的な判断を下します。
- ファイルが悪質なふるまいを見せている場合は、すぐに「緊急検知システム(UDS)」データベースに追加され、その情報がただちに全利用者に行き渡ります。問題ない場合、ファイルは許可リストに追加されます。
- 他の製品利用者がこの危険なファイルを起動してしまった場合、カスペルスキー製品がクラウドベースのUDSデータベースを使用してファイルをチェックし、即座にブロックします。
- カスペルスキーのエキスパートがファイルをチェックし、悪意のあるファイルとしてリストに追加します。すべてのファイルに脅威のレベルを設定し、関連する説明を従来の定義データベースに追加します。これには時間がかかる(最大で数時間)こともありますが、このファイルはすでにUDSデータベースに登録済みなので、追加されるまでの間もKSNに接続している製品利用者は保護されます。
- ブロックされた悪質ファイルの情報がデータベースで更新され、KSNに接続していない利用者も含め、すべてのエンドユーザーに配信されます。
このクラウドベースのソリューションの主な機能は、製品利用者とアンチウイルスシステムを双方向につなぐことです。従来の仕組みでは、新たに発生した脅威への対処に数時間を要します。まず当社のエキスパートが、新しい脅威が出現したことを知る必要があるのです。現代においては長すぎる時間であり、そこまで待ってはいられません。KSNを使用する場合は、新しい脅威に遭遇した最初のシステムがKaspersky Labにレポートし、分析に必要なデータを提供します。ちなみに、この技術は新しい脅威を検知するだけでなく、その配信元(主に悪質サイト)も発見してブロックします。
KSNには他にも役立つ機能があります。当社ではこれを「集合知」と呼んでいます。収集される情報を基に、すべてのファイルが短時間のうちにレピュテーションを付けられ(評価され)ます。カスペルスキー製品の利用者は、気になるファイルが広く使われていて他の人から信頼されているかどうか、確認することができるのす。そのファイルを開いてよいかどうか迷ったときの判断に役立つことでしょう。たとえば、OperaやFlash Playerなどは非常に人気の高いアプリです。なので、自分が「Flash update」というファイルを持っていて、そのダウンロード回数が数百万回ではなく数千回程度でしかない場合は、それが偽物であると確信を持って判断できるでしょう。