サイバーの脅威からコンピュータを保護するセキュリティソフトには、極めて堅牢かつ安全であることが求められるだろうが、実際はどうか。ドイツのセキュリティ製品評価機関のAV-TESTが、個人向け19製品および企業向け13製品の安全性に関する調査結果を公開した。
調査では、製品プログラムにおけるアドレス空間配置ランダム化(Address Space Layout Randomization=ASLR)とデータ実行防止(Data Execution Prevention=DEP)の適用状況、適切な証明書の利用状況、製品配布サイト(個人向けが対象)におけるHTTPSの導入状況を調べた。
まずASLRとDEPについては、個人向けの8製品、企業向けの8製品が100%適用しており、企業向けでは13製品中12製品が90%以上だった。個人向けでは19製品中14製品が90%以上だったが、これら以外の5製品における適用率は36.3~88.5%とバラツキがみられた。
AV-TESTによると、2014年の調査で100%適用していたのは2社しかなく、平均では20%未満だった。この結果がベンダーに大きな影響を与えたといい、2015年の調査では95%以上に急増して大幅な改善が図られ、今回の調査でさらに進展したと主張している。なお、一部のベンダーがASLRとDEPとは異なる保護技術を適用しているため、この調査結果では100%にならないとも付け加えた。
適切な証明書の利用状況は、個人向けでは8社が全て有効な証明書を利用し、これ以外のベンダーでは署名されていないか、無効な証明書がいくつかのプログラムで使用されていた。企業向けでは1社の製品で256の実行プログラムの16%に無効な証明書が使用されていた以外は、総じて個人向け製品よりも適切な証明書が使用される傾向にあった。
配布サイトでHTTPSを導入しているのは19製品中6製品しかなく、13製品は通信が暗号化されないHTTPページで配布されていた。HTTPのみでは「中間者攻撃」を仕掛けられる危険性が高く、ウェブブラウザでも警告メッセージが表示されることからAV-TESTは、「メーカーは自社の配布サイトに安全なプロトコルを採用すべき」と指摘する。
AV-TESTは、これらの調査結果でBitdefender、ESET、Kaspersky Labが安全なセキュリティソフトを提供しているとし、3社以外も「少しの努力によって製品をより完璧なものにしていける。これはメーカーにとっても異論がないはず。今後の調査で再評価したい」と締めくくっている。
製品別のウイルス検出率などを調べる評価機関が製品自体の安全性を検証した
