« 今日から一年生 | Main | 「セバスチャン」のチャンスですよ »
ウィルス対策ソフトの能力検査が楽しくてしょうがない OKAMURA です。
オフィスで使っている virusscan 10.0 と持ち歩いている PowerBook に入っている Virex 7.2 と自宅に置いてある PowerBook に入っている Virex 7.5.1 と偶然にも同じ DAT ファイル(ウィルス定義ファイル)を使ったものを持っているので、同じ DAT ファイルで同じウィルスたちを検査してみました。
Intego の NetBarrier X 10.1.5 (ちょっと古め) と Symantec の NAV 7.0.2 (かなり古い) は箸にも棒にも引っ掛かりませんでした。
僕が大切に保存してある迷惑メールには所謂 spam メールだけでなくウィルス(トロイの木馬とか色々ありますが、一括してウィルスと呼ぶことにします)を含んだメールも結構あります。合わせて 1500 通近くあるので、ただの画像が添付されているのか危険なプログラムが添付されているのか一つ一つ手でチェックするのは面倒なので分類していません。というのも HTML メールで画像付きだとその画像が添付されているマークが Thunderbird では表示されなかったりするので一つ一つソースを見ないといけないからです。1500 通も迷惑メールにそんなことしてられません。
そこで思い付いたのが保管場所になっている自宅の IMAP サーバのディスクからメールファイルをぶっこ抜いてきて検査することでした。その IMAP サーバではメールは一つ一つ別のファイルになっていて、メールの内容そのものが保存されています。所謂 eml ファイルです。
ウィルスはメールで運ばれてくるものだけではありませんが、偽装された実行ファイルを自動で実行してしまうきもいブラウザも使っていないし、ファイヤーウォールも自宅では三重に施してあるし、僕が不振なファイルを受け取るのはメールからだけです。だからウィルスのサンプルとしては偏りがありますが、持っていないのだからしょうがありません。わざわざ貰うものでもありませんし。
ただの spam メールもウィルスを含んだメールも全て tar でアーカイブ(仮に spams.tar.gz とします)しておいてから次のことをします。
今回使用したのは全て自分が管理しているもののみで、最新のウィルス定義ファイルに更新できるものだけです。アップデートサービスを継続をしていない/できないものは対象外です。その結果次のソフトになりました。
| OS | ベンダ | ソフト名 | バージョン | ウィルス定義ファイル |
|---|---|---|---|---|
| Mac OS X 10.4.6 | Intego | VirusBarrier X | 10.1.5 | 2006/04/01 |
| Mac OS X 10.4.6 | McAfee | VirusScan for Macintosh (Virex) | 7.2 | 4739(060412) |
| Mac OS X 10.2.8 | McAfee | VirusScan for Macintosh (Virex) | 7.5.1 | 4739(060412) |
| Mac OS X 10.4.6 | Symantec | Norton AntiVirus for Macintosh | 7.0.2 | 06.4.1 |
| Windows XP SP2 | McAfee | virusscan | 10.0 | 4739 |
今は virusscan の DAT ファイルは 4740 が最新ですが、ちょうどこの検査をしたときは Virex とバージョンが揃っていました。それでやる気になりました。
Virex と virusscan の結果を総合すると次のウィルスが対象になっています。
| McaFee による検出名 | 数 |
|---|---|
| 合計 | 101 |
| Exploit-MIME.gen.c | 46 |
| W32/Bagle.gen | 1 |
| W32/Bugbear.69916@MM | 2 |
| W32/Mabutu.a@MM!zip | 1 |
| W32/Netsky.ab@MM | 1 |
| W32/Netsky.d@MM | 1 |
| W32/Netsky.p@MM | 1 |
| W32/Swen@MM | 48 |
他のウィルス対策ソフトも合わせるともう少し増えるかもしれません。
それぞれのソフトの検出率と駆除率は次のようになりました。ここでいう駆除は自動的な駆除です。
| OS | ベンダ | ソフト名 | バージョン | ウィルス定義ファイル | 検出率 | 駆除率 |
|---|---|---|---|---|---|---|
| Mac OS X 10.4.6 | Intego | VirusBarrier X | 10.1.5 | 2006/04/01 | 0.0% | 0.0% |
| Mac OS X 10.4.6 | McAfee | VirusScan for Macintosh (Virex) | 7.2 | 4739(060412) | 46.5% | 0.0% |
| Mac OS X 10.2.8 | McAfee | VirusScan for Macintosh (Virex) | 7.5.1 | 4739(060412) | 47.5% | 47.5% |
| Mac OS X 10.4.6 | Symantec | Norton AntiVirus for Macintosh | 7.0.2 | 06.4.1 | 0.0% | 0.0% |
| Windows XP SP2 | McAfee | virusscan | 10.0 | 4739 | 99.0% | 0.0% |
Virex 7.5.1 は spams.tar.gz を置いただけで検出していました。設定により USB メモリーも繋いだだけで検査するようになりますし、防御タイミングとしてはかなり優秀です。一方で virusscan 10.0 は USB メモリーは自動的に検査するようには設定できません。また spams.tar.gz も展開しないと自動的には検出できませんでした。更に、Virex 7.5.1 は検出したもの全てを駆除していますが virusscan 10.0 は一つ一つ手動で駆除していないとなりませんでした。
この結果で注目すべきところは二つです。
McAfee の製品は同じウィルス定義ファイルで Virex 7.2、Virex 7.5.1、virusscan 10.0 と三つあります。ウィルス定義ファイルが同じなのですからデータとしては同じ情報を持っているのですが、それにも関わらず検出率に差が出ています。これはエントリ「Re: デュアルブートと必須ソフト」の「ウィルス対策ソフトの選択基準」で述べた本体の能力が高いこと
の証左でもあります。
このエントリで強調したいのはここです。つまりウィルス定義のアップデートをしているだけではなく本体のアップデートもしておかないと安心できないということがわかります。全くお金がかかって困りものです。
更に一つの製品だけでは安心できないことも示唆しています。実際に Virex 7.5.1 で検出できて virusscan 10.0 で検出できなかったウィルスがあります。同じ会社の製品でもそういうのがあるのですから他社製品となるともっとあるでしょう。
エントリ「Re: デュアルブートと必須ソフト」の「寸評」で VirusBarrier X 10.1.5 が Windows をターゲットとしたウィルスを全く検出できないのではないかと疑っていましたが、この結果を見るとほぼそうであると言えるのではないでしょうか。
2006年4月14日の Re: デュアルブートと必須ソフト から引用僕が持っているバージョンは二つくらい古いバージョンですが、購入してから一年経っていません。したがって現役版です。現役版で全く検知できなかったので VirusBarrier は Windows をターゲットとしたものを全く検知できないのではないかと思っています。
Windows など自分が使っている Mac OS X 以外の OS とのファイル交換がある人は、このような製品だけを使うのは考えものです。
かく言う僕自身も持ち歩いている PowerBook で使っているソフトだけでは他の OS に対して十分な安全度は確保できていないことがわかりました。Virex の最新版がどの程度 Windows をターゲットとしたウィルスに対応しているかも気になりますが、Windows 用に使用している virusscan 10.0 とウィルス定義ファイルも同じなので、McAfee がサポートしていないものは Mac OS X でも Windows でも検出できないことになります。
ですから Norton AntiVirus for Macintosh とか Sophos Anti-Virus for Mac OS X など McAfee 以外から選ぼうと思っています。Norton AntiVirus for Macintosh の説明には Mac ウイルスのみでなく Windows ウイルスも防御し、ウイルスが Windows ユーザに拡散するのを防ぎます。
とありますが、Sophos Anti-Virus for Mac OS X には同様の記述が見付けられませんでした。どうしようかなあ。
Sophos Anti-Virus for Mac OS X の説明にも次の記述がありました。KHOO さん が教えてくださいました。
2006年4月14日の ソフォス製品 - Sophos Anti-Virus for Mac OS X - エンドポイントセキュリティの管理 から引用統合されたクロスプラットフォームウイルス検出機能によって、Mac OS X コンピュータにある Windows ウイルスも検出・駆除できます。