The Antivirus Dead Canary Sketch by James Wright 2016年12月13日 より
Googleの上級セキュリティエンジニアであるDarren Bilbyは、アンチウィルス(AV)を評して、「炭鉱に連れて行くカナリアみたいなもの」と表現した
数学者のAlan Turingは、マルウェアが世に出るはるか前の1936年に、AVが成立しない問題であることを証明している
Bromium Hardware Task Isolationは、停止性問題の解決に依存していないので役に立つ
Googleの上級エンジニアであるDarren Bilbyは最近、ニュージーランドでのカンファレンスでアンチウィルスを評して、「意味のない形式主義的な実務」 と表現しました。
彼はまた、こうも言っています。アンチウィルスは何らかの役に立ってはいるが、「実際には炭鉱に連れて行くカナリア程度のものだ。それより始末が悪い。死んだカナリアのまわりに集まって、『ありがたいことだ、こいつが毒ガスを全部吸ってくれた』と言っているようなものだからね。」
“これがカナリアじゃなく、オウムと解ってはいるが、ともあれ、どう反論できるんだ?“
検出は役に立たない
Darren Bilbyは全く正しいことを言っています。 悲しいことに、実は私たちは、マルウェア(または現在の言葉でいうとコンピュータ)が世に出るずっと前から、AVが実現不可能な問題であると解っていたのです。
遡って1936年、伝説的な数学者であるAlan Turingは、あるアルゴリズムは、一般的なプログラムや入力データの説明からは、そのプログラムが動作を終えるかずっと実行し続けるのかは予測できないことを証明し、これは停止性問題として知られています。
なかなか厄介なこの証明は、AVの世界に対する大きな暗示も含んでいるのです。というのも、とあるプログラムの良し悪しを予測できないことも示しているためで、ゆえに概念としてのAVは無用なものであり、どのように輝かしい新たな検出機能も、決して信頼できるものではないということになるからです。
Darren Bilbyは続けます。「もちろん、侵入検知システムのようなものにある程度時間を費やす必要はあるだろう。業界がそういう計画だと決めてしまったのだから。でも、ほんとうに純粋に役に立つものについて作業することに時間を割いてもらいたい。」
Hardware Task Isolationは、検出に頼らない
これがそもそも、Bromiumが設立された理由です。5年前、Bromiumの創立者たちは、検知が役に立たないことを受け入れました。Alan Turingがそれを証明済なわけですから。私たちは代わりに、まさにDarren Bilbyが求めていることをすることを決意し、実際に役立つことに時間を割り当てたのです。それがHardware Task Isolationです。
当社の隔離手法は停止性問題の解決に期待をかけるのではなく、マシンの外部で作られたものはすべて信頼できないものであり、おそらく何らかの悪さをされても、その全てを検知することは不可能であるという仮定を立てています。だから当社では、ハードウェアレベルでの隔離機構を使い、Word文書やIEブラウザのタブのような、それぞれのユーザタスクを小さな仮想マシンの中で実行しているのです。
この点で、もしマルウェアが実行されたら、それは仮想マシンに感染しますが、ユーザのホストPCには及ばず、ホストPCはきれい なままです。ユーザのタスクが終了し、文書やブラウザのタブを閉じれば、すべてのVM — その中にある有害なマルウェアも含め— は永久に破棄されます。実に賢いと言えるのは、本来のユーザの操作をほとんど変えず、こうした作業を全て実現できることです。想像してみてください。暗号化マルウェアへの対策が、ユーザ危害を及ぼそうとしたその有害な文書を閉じるだけで行えるのですから、PCの再イメージや消失データの復旧の労力と比べたら、どれほど簡単なことなのかを。
本当の保護を実現するためのセキュリティ手法
他のセキュリティベンダーと同様、私たちも停止性問題を解決することはできません。しかし他のベンダーと違い、私たちは数学的証 明が真実であることを認め、他の手法を模索したため、実際に役に立つことを成し遂げられたのです。 それが仮想化です。
ニュージーランドでDarren Bilbyのプレゼンテーションに参加していたか、その後の記事でそれを見て、「役に立たないとわかっているものに投資することをやめなければ」という彼の言葉に賛同している方は、どうか私たちにご連絡ください。私たちは、もう死んだカナリアをお見せしないと約束します。