クラウドからユーザーを守る。Kaspersky Security Network

2013年8月29日

Kaspersky Labのデータ(英語)では、1日当り200,000以上の新種のマルウェアが出現しています。これは1秒当り2~3のマルウェアオブジェクトが現れているという計算になります。どんなに大量の分析を行ったとしても、従来の方法で処理していては、この雪崩のようなマルウェアに対処することはできません。そこでKaspersky Labは別のアプローチを開発しました。新しい人員をどんどん採用するのではなく、クラウドベースの処理センターを構築し、Kaspersky Security NetworkKSNというアンチウイルスネットワークを創り上げたのです。この強力なテクノロジーは、ネット上の新しい脅威をすばやく検知し、KSNに接続されたすべてのコンピューターを保護します。これにより大規模な感染を防ぎ、感染源をほんの数分でブロックすることができます。

KSNクラウド-title

Kaspersky Security Networkは重要なタスクを実行しています。利用者のコンピューター上で不審な活動がないか幅広くモニタリングし、そのデータをKaspersky Labのサーバーに即座に送信して(機密データが送信されることはありません)、収集された情報を分析します。また、危険なファイルをブロックするか、逆にホワイトリストに追加するか、という決定を行います。このクラウドベースのサービスを利用するには、カスペルスキーの製品をインストールし、KSNへの参加に同意する必要があります。参加のメリットはすぐに得られます。KSNに接続されたすべてのコンピューターは、新しい脅威が最初に検知されてから1分と経たずに、その脅威に関する情報を受け取ることができるのです。

Kaspersky Security Networkの仕組み

  • 不審な活動に関する情報が、製品利用者のコンピューターからKSNクラウドに送信されます。収集されるのはファイルではなく、不審な活動についての情報だけです。たとえば、疑わしいタスクを実行しようとしているのはどのファイルなのか、このファイルのソースは何なのか、どのアプリケーションが立ち上げたのか、といった情報が送信されます。
  • ファイルが悪意のあるものかどうかは、1つのコンピューターのデータだけ見ていては最終的な判断を下せないものです。しかし、アプリケーションのふるまいを複数のコンピューターで分析し、正規のアプリやファイルが無数に登録された巨大データベースと照合することができれば、状況は変わります。このデータとヒューリスティックを使用することで、KSNは不審なファイルについて予備的な判断を下します。
  • ファイルが悪質なふるまいを見せている場合は、すぐに「緊急検知システム(UDS)」データベースに追加され、その情報がただちに全ユーザーに行き渡ります。問題ない場合、ファイルはホワイトリストに追加されます。
  • 他の製品利用者がこの危険なファイルを起動してしまった場合、カスペルスキー製品がクラウドベースのUDSデータベースを使用してファイルをチェックし、即座にブロックします。
  • カスペルスキーのエキスパートがファイルをチェックし、悪意のあるファイルとしてリストに追加します。すべてのファイルに脅威のレベルを設定し、関連する説明を従来のアンチウイルスデータベースに追加します。これには時間がかかる(最大で数時間)こともありますが、その間もKSNに接続しているユーザーは保護されます。このファイルはすでにUDSデータベースに登録されているからです。
  • ブロックされた悪質ファイルの情報がデータベースで更新され、KSNに接続していない利用者も含め、すべてのエンドユーザーに配信されます。
脅威を最初に検知してから1分と経たずに、KSNに接続されたすべてのコンピューターがその脅威から保護されます。

このクラウドベースのアンチウイルスソリューションの主な機能は、ユーザーとアンチウイルスシステムを双方向につなぐことです。従来の仕組みでは、新たに発生した脅威への対処に数時間を要します。まずカスペルスキーのエキスパートが、新しい脅威が出現したことを知る必要があるのです。現代においてはあまりに長い時間であり、そこまで待つことはできません。KSNを使用する場合は、新しい脅威に遭遇した最初のシステムがKaspersky Labにレポートし、分析に必要なデータを提供します。ちなみに、この技術は新しい脅威を検知するだけでなく、その配信元(主に悪質サイト)も発見してブロックします。

KSNには他にも役立つ機能があります。私たちはこれを「集合知」と呼んでいます。収集される情報を基に、すべてのファイルが短時間のうちにレピュテーションを付けられ(評価され)ます。カスペルスキー製品のユーザーは、ファイルが広く使われていて他の人から信頼されているかどうか、確認できるというわけです。そのファイルを開いてよいかどうか迷ったときの判断に役立つことでしょう。たとえば、OperaやFlash Playerなどは非常に人気の高いアプリです。なので、自分が「Flash update」というファイルを持っていて、そのダウンロード回数が数百万回ではなく数千回程度でしかない場合は、それが偽物であると確信を持って判断できるでしょう。