ライフハッカー［日本版］

Photo by Daquella manera

アンチウイルスやアンチマルウェアアプリは、パソコンにとって不可欠な存在ですが、使い方が誰にとっても簡単なわけでは、決してありません（例えば、McAfee）。

これらのアプリが出してくる警告が毎回正しいわけではなく、多くの場合、危険のないところから危険を検知してきてしまいます。ウイルスが含まれているかどうかが分からない場合、どうやって確認するべきかを今回は取り上げて行きたいと思います。

読者の方から、ライフハッカーの記事に載っていたリンク経由でダウンロードしたものにウイルスが含まれていた、というメールを頻繁に頂きますが、米編集部ではダウンロードがクリーンであることは確認しているので、心配ないです、と返信しています（この分野に関してライフハッカーは今までほぼ無傷でやってきています。）では、ダウンロードしてきたファイルに本当にウイルスが含まれているかどうかはどのようにして判断するべきなのでしょうか？
　

■誤検知とは一体？

誤検知とは、ウイルススキャナーがウイルスを含まないファイルをウイルスとして認識してしまい、このファイルの隔離、削除を行おうとする場合です。最近起こったMcAfeeをアップデートするとXPがシャットダウンしてしまうという話も、この誤検知の代表例として挙げられるかと思います。

McAfeeからウイルス定義ファイルのアップデートがリリースされたのですが、このアップデートに含まれていた定義がこともあろうにWindows内のファイルを誤検知してしまい、Windowsが起動しなくなる、というものでした。この一例からも分かるようにアンチウイルスソフトというのは完璧ではありません。

ウイルススキャナーの一部は、通常の保護以外にヒューリスティック検知というディフェンス法を用い、コードの一部をスキャンし、それらの行動を予測することによって、過去に例のない新しい形態のマルウェアを検知を試みます。残念ながらこの方法は正確さに欠けるため、多くのファイルがウイルスとして誤検知されてしまうのです。

■VirusTotalを使って誤検知かどうかを確認

ダウンロードしたファイルにウイルスが含まれている可能性がある場合、そのファイルを開く前に「VirusTotal」というオンラインスキャンサービスにアップロードしてみて下さい。「VirusTotal」はアップロードされたファイルを40のアンチウイルスエンジンで同時にスキャンし、結果を表示してくれます。

『VirusTotal Uploader』を使うと、右クリックでファイルを簡単にアップロード出来るようになるのでかなり便利です。この小型ユティリティは常備しておくと重宝します。『VirusTotal Uploader』は選択したファイルをVirusTotalウェブサイトに直接アップロードしてくれるので、ウェブのアップロードフォームを経由せずに目的を果たすことが可能です。過去に同じファイルのスキャンをVirusTotalが行っている場合、ファイルハッシュ（ファイルのID、言ってみれば指紋のようなものです）からファイルを検索し、アップロードを待たずに結果を教えてくれることもあります。

40あるウイルススキャナーのうち、1つだけがファイルをウイルスとして検知した場合、これは誤検知だと判断して問題ないです。どこまでをウイルスとして検知するかはそれぞれのウイルススキャナーによって異なります。誤検知したウイルススキャナーは保守的なウイルス定義を使っている、と思って下さい。ここで注意して頂きたいのは「VirusTotal」はアンチウイルスアプリの代わりにはならない、ということ。アンチウイルスアプリは様々な攻撃や脅威に対してリアルタイムのプロテクションを提供してくれますが、「VirusTotal」は指定したファイルにウイルスが含まれるかどうかのみを教えてくれます。

■AutoHotkeyと保守的すぎるウイルススキャナー

AutoHotkeyスクリプト言語は多くのことがホットキーによって実行出来るようになるというライフハッカー編集部の大好物ですが、ライフハッカーコードプロジェクトを始め、ライフハッカーからリンクしている小型ユティリティの多くはAutoHotkeyで書かれています。または、スクリプトとコンパイルバージョンの両方が提供されています。

AutoHotkey言語はキーストロークやマウスの動きを監視するので、ヒューリスティックウイルススキャナーによって、キーロガーやトロイの木馬として誤検知されることがあります。これはトロイの木馬などがパスワードを盗む場合にWindows内部の同じ機能を使うことがあるからです。ダウンロードしてきたAutoHotkeyのファイルにウイルスが含まれている、ということを必ずしも意味しているわけではありません。

ライフハッカーからリンクさせているAutoHotkeyアプリの多くは提供されているソースコードなので、.ahkファイルを自分で開き、何が起こっているのかを見ることが出来ます。AutoHotkeyがインストールされている場合、提供されている実行可能なファイルではなく.ahkファイルを実行してみることが出来ます。

■開発者に直接聞いてみる

質問がある場合、直接開発者に聞いてみる、というのも有効な手です。米ライフハッカー編集部には誤検知されたAutoHotkeyアプリに関する質問メールが、かなり大量に届くことがあります。出来るだけ返信するように努めてはいるのですが、メールの処理に当てられる時間ももちろん限界があります。米編集部宛にメールして頂くのも問題ないのですが、開発者に直接メールしてみるとより迅速な回答が得られるケースも多々あります。

開発者が自分が開発したものに対して真剣であればあるほど、アンチウイルスソフトがどう反応しているのか、というのを知りたがるはずです。開発者の言葉を全て鵜呑みにする必要はありませんが、開発者とコンタクトを取るのが簡単な場合、彼らが作成したものは信頼出来るものである可能性は高いです。逆に自分が誰なのかが全く分からないようにしている開発者であれば、もしかして、という場合を想定しておく、いうのも必要なセキュリティ対策ではないかと思います。

■最終的には自分の判断

アンチウイルスソフトがファイルにウイルスが含まれている、と言って来た場合、それが誤検知であるかどうかの判断は、最終的には自分の判断になります。そのアプリケーションをインストールする必要が本当にあるのかどうかを今一度検討してみるチャンスです。必要な場合、「VirusTotal」でスキャンし、ダウンロード先が信頼できるソースかどうかをもう一度確かめて見て下さい。

ウイルスかどうかが微妙なケースもあるかと思いますが、可能なセキュリティ対策はしておきたいですよね。

他にもオススメの方法やツール、サイトなどがあればコメントで教えて下さい！

How-To Geek (原文／まいるす・ゑびす）
　

ESET Smart Security V4.0
10万本限定パック

Kaspersky Anti-Virus for Mac 2年版