ウイルス対策に関しては、牛とPCに対して群れ免疫が機能します

今年の悪意のある望ましくないソフトウェアに関する国際会議、別名MalCon 2015、ファニーラロンドレベスク博士 モントリオール工科大学の学生は、10億台のコンピューターでウイルス対策保護に関する膨大な量の情報を入手したときに得られる魅力的な結果を実証しました。 自然生態系の研究から引き出されたアプローチを使用して、彼女はウイルス対策エコシステム全体の健全性を測定するためのいくつかのメトリックを考案しました。

マイクロソフトの各更新プログラムの一部として実行される悪意のあるソフトウェアの削除ツール（MSRT）に気づいたかもしれません。 マイクロソフトのセキュリティチームが毎月選択する数十個の非常に一般的なマルウェアファミリを非常に具体的に探して排除します。 また、重要なテレメトリをマイクロソフトに送り返します。 Microsoft Malware Protection Center（MMPC）のディレクターであるDennis Batchelderによれば、この遠隔測定がMicrosoftがウイルス対策テストを必要としない理由です。 数年前のMalConでの基調講演で、彼はMSRTが収集した大量のデータについて詳しく説明し、研究でそのデータを使用するための提案を提出するように学者を招待しました。

百万と百万

とりわけ、MSRTは、マルウェアを検出したかどうか、インストールされているアンチウイルス（存在する場合）、アンチウイルスが正しく構成され動作しているかどうかを報告します。 LalondeLévesque氏は、Microsoftからの4か月のMSRTデータから始めました。 アンチウイルスのないマシンからエントリを削除した後、彼女はまだ10億近くのエントリがありました。 一部のユーザーはWindows UpdateまたはMSRTを実行しないことを選択したため、サンプルセットには一定の偏りがあります。 そのバイアスを克服するために、彼女はエントリのランダムな10％を選択しました。 それはまだ9000万を超えるサンプルです。

対象の母集団を選択して、システム全体の健全性を分析しました。 この分析では、自然生態系分析から派生した3つの領域、具体的には、アクティビティ、多様性、安定性に注目します。

ウイルス対策エコシステムでは、保護の程度はアクティビティを表します。 インストールされたウイルス対策は古くなっているか、オフになっているか、リアルタイム保護がスヌーズされている可能性があります。 LalondeLévesque氏は、4か月間で、適切に構成された最新のインストールの数が約87〜88％で推移していることを発見しました。

自然生態系の多様性は、単一の種が完全に優勢であることを意味します。 LalondeLévesque氏は、ウイルス対策エコシステムで100以上の異なるウイルス対策製品を調査し、高度な多様性を発見しました。 最大のインストールベースを持つ主要製品は、市場の18％以上を占めることはありませんでした。

安定性を調べるために、彼女は最初に4か月すべてでMSRTに応答したコンピューターにリストを絞り込みました。 彼女はウイルス対策のステータスの変化を見て、有望な結果を見つけました。 正常に機能し、最新のウイルス対策を実行していたコンピューターの約3％のみが安全性の低い状態に移行し、他の状態のコンピューターの多くは改善されました。

ただし、これは驚きです。 調査の過程で、コンピューターの3分の1が完全に別のウイルス対策に切り替えました。 一部の出席者は、新しいコンピューターでの無料のウイルス対策の期限切れに基づいて、結果が歪曲される可能性について推測しました。 理由が何であれ、それは大きな変化です。

最後の手順は、ウイルス対策がインストールされているにもかかわらず、どのレポートコンピューターがマルウェアに見舞われたかを調べることでした。 驚くことではないが、低いマルウェア感染率は、最新の動作中のウイルス対策と強く相関していた。 逆に、インストールされたウイルス対策またはウイルス対策ステータスの多くの変更を意味する低い安定率は、高い感染率と強く相関していました。

単一栽培と群れの免疫

次のステップでは、関係する126か国それぞれのデータを分析し、国全体のウイルス対策エコシステムの健全性を国全体の感染率と一致させました。 調査のこの部分では、LalondeLévesque女史はウイルス対策で保護されたコンピューターと保護されていないコンピューターの両方に注目しました。

一部の国では、1つの製品がすべてのシステムの大部分を保護しており、非常に多様な評価を示しています。 これらの国では、平均よりも高い感染率が日常的に示されていましたが、多様性の高い国では低い感染率でした。 彼女の完全なレポートには、この結果の統計的有意性をどのように検証したかが詳しく記載されています。 アンチウイルスエコシステムでは、人生と同様に、単一文化は健全ではありません。

最新の機能的ウイルス対策機能を備えたコンピューターの割合が高くなると、感染率が低くなることと強い相関関係があることは、驚くには当たりません。 そうでない場合、何か非常に、非常に間違っているでしょう。 キッカーは、同じ国にアンチウイルスのないコンピューターを見るとき、この同じ相関が成り立つということです。 ある種の群れの免疫がここで始まる可能性があるように見えるので、アンチウイルス保護を忘れた人でも、隣人を完全に装甲させることで利益を得ます。

次に、MSRT効果があります。 感染率の高い国では、多くのユーザーがウイルス対策製品を切り替えており、「解約」率も高くなっています。 MSRTがマルウェアを排除するという単純な事実により、ユーザーは既存の保護に不満を抱き、別のベンダーを選択したのでしょうか？ MSRTの使用を経験したことのないコンピューターが調査にないことを考えると、証明するのは難しいでしょう。

ワンワンビュー

LalondeLévesque女史は、この研究の結果に一定の限界があることを指摘するために苦労しました。 一つには、MSRTシステムに接続するコンピューターのみが含まれていました。 また、感染の結果は、マイクロソフトが毎月選択する広範なマルウェアファミリでのみ利用可能です。 さらに、発見された相関関係の説明は、単一培養と群れの免疫理論だけではありません。

マイクロソフトの膨大なデータコレクションは、資格のある研究者が使用できます。 他の人は、ラロンド・レベスク女史の研究を拡張したり、まったく異なる方向に出発したりするかもしれません。 彼らが何を思いつくか楽しみにしています。