TOP > FAQ> アプリケーションについて

Windows 11/10ではセキュリティソフトは不要と聞きました

Windows 11/10 Homeのセキュリティ機能は、良く知られたセキュリティソフトより強固ですが、昨今の悪意ある者達による脅威は、別の悪意ある手法に移っています。OSが強固なセキュリティ機能を実装してきたいま、脆弱性を突いた攻撃、ブラウザーのみでの詐欺、そして国家が関与したスパイウェアが増加しています。これら新たな脅威には、Windows標準のものや良く知られた従来のセキュリティソフトは、完全には対応していません。

Windows 標準搭載品は、NIST CMMC レベル3(標準)の中でも上位
Windows 11/10では、クラウド上でAI監査を行う強力な次世代エンドポイント保護機能を標準で搭載しています。
Microsoft Defenderは、過去の知見を基にマルウェアを判断し、防御するブラックリスト方式 (NIST CMMCレベル3(標準))です。マルウェアやランサムウェア(身代金要求型ウイルス)には、一般的なセキュリティソフト以上の強固な保護能力を有しています。高い保護性能は、マイクロソフトのクラウド基盤、検体収集力、マルウェア知見およびAI技術によるところが大きく貢献しています。このため、市販されているクラウド監査型でない方式を採用している良く知られたセキュリティソフトよりも強固な守りが実現できています。このため「Windowsでは市販セキュリティソフトは買うな」という誤解が生まれています。脅威がなくなった訳ではなく、別段階に移っているのです。

AV-TEST,AV-Comparativesなどの評価機関は20年評価手法を変更しておらず昨今の脅威を表していません
「Windows標準のものが強くなった」理由として、AV-TEST, AV-Comparativesの試験結果を示す方がいらっしゃいます。まず試験対象の製品は欧州で販売されている商品で、セキュリティエンジンを含め日本市場と異なる製品もあり、同一製品として日本の方へ紹介することは間違っています。

またこれら評価機関による毎月の定期試験は20年以上評価手法を変更しておらず、ブウラザー内でのみの脅威や脆弱性によるものなど、最近の現状に則した脅威の変化に対応した評価を行っていません。これら評価機関にて不定期に実施される、随意試験は実態に則したものとして実施されており、そちらを注視するべきですが、日本ではそれらの一般公開されているレポートを注意深く読んでいる人が殆どおらず、正しい情報は伝わっていません。

世界中のセキュリティ関係者により10数年前から実態と乖離しているとの声があがっていますが、いまだに定期試験方法は変更されていません。これは自動車の時代に馬車の評価手法を継続しているような感じです。これら評価機関は馬車会社の働きかけにより、それらにお墨付きを与えるために設立された経緯があるためです。(これは本産業に限ったことではありせん)

Windows 11/10では、強固な次世代エンドポイント保護機能が標準搭載されているため、無償や一般的なセキュリティソフトを導入するとウイルスに感染しやすくなることがあります。
例えば、マルウェア感染プラットフォームとして知られるEMOTETは、良く知られた存在ですが、これに感染した実績のあるセキュリティソフトは、EMOTETによる影響を出していないWindows標準版よりも弱いと言えます。判断指標のひとつとして、「シグネチャーを手作業で更新」する必要があるセキュリティ製品は、旧来型の製品でWindows標準搭載のものよりも弱い傾向にあります。

Windows 11/10 Pro版は、更に様々な感染緩和施策が追加実装されており、より強固なものになっています。Edgeをサンドボックスモードである「Windows Defender Application Guard」を利用することで更に強固となります。

Windows 11/10 では、Microsoft 365のオプションとして有償提供される「Microsoft Defender for Endpoint」により、WindowsだけでなくmacOS、iPhone、Androidにも対応し、パソコンでは EDR機能も提供されます。EDRでは、スパイウェアによる情報漏洩を追跡することが可能です。(国家が関与した情報搾取は、刑事司法の範囲外となるためインターポールでは対応しません。)

しかし、OSが強固なセキュリティ機能を実装してきた今、悪意ある者たちは、著名なアプリケーションのセキュリティホールを突いた攻撃、ブラウザーのみでの詐欺、そして国家が関与した高度なスパイウェアで攻撃を行っています。これら昨今主流である新たな脅威には、過去の知見を基にしたブラックリスト方式のセキュリティソフトは、完全に対応しておらず、3割以上の新種マルウェアを検知できていません(※)。EDR/XDRも過去の知見に基づいて防御するため、新種マルウェアの活動を防御することはできません。(※2017年当時。現在は更に悪化)

Windows 標準搭載品は、次世代エンドポイント保護の中では上位レベルだが、昨今の新たな脅威には未対応
Windows標準のセキュリティ機能は、基本的に過去のマルウェア情報を基にしているブラックリスト+ヒューリスティック(振舞)保護方式です。
人類が新しいウイルスに遭遇した場合、感染してしまうのと同様に、新種であるものには感染を許してしまいます。また、アプリケーションのもつセキュリティホールには対処できず、悪さを許してしまいます。この基準のものは、アメリカ合衆国商務省が定めるセキュリティ認証において、NIST CMMC レベル3(標準)と定めている製品群になります。この標準レベルは、過去の検体がない新種マルウェアに対しては、防御することができません。そして、現在年間3億件以上報告される異なるハッシュを持つマルウェアのうち、9割は一度しか利用されない、新種マルウェアなのです。EMOTETでロードされるdllも毎回異なるハッシュを有しています。

脆弱性を抱えるアプリケーションは、一般的なセキュリティソフトの対象外
「脆弱性情報」という言葉を、一般の方でも数年前から良く耳にすることも増えたのではないでしょうか。しかしその脅威について真剣に考えている人は、残念ながら少ないのが現状とも言えます。脆弱性というセキュリティホールを抱えるアプリケーションの利用注意喚起は、CMMC レベル3(標準)の範囲外であるため、セキュリティに問題を抱えたアプリケーションの利用が可能です。利用者は気がつかないまま利用し続けます。悪意ある者は、スクリプトなどを駆使してこのセキュリティホールを通じ、パソコンから情報を盗み出したり、暗号化し身代金を要求する等の悪意を働きます。最近では、DLLインジェクションという有用なソフトウェアのサブプログラムの改変版を使用ことで、セキュリティソフトによる検知を回避し、悪事を働かせるのがマルウェア作成者達の間で流行しています。

脆弱性情報が国際的に共有される仕組みが構築された為、この情報を悪意ある者が機器への侵入を試みるための『情報プラットフォーム』として悪用し、脆弱性情報の公表と同時にセキュリティパッチが当てられる前に、悪意ある者が乱用するケースが激増するようになりました。また、米国Zerodium社のように、まだ公開されていない脆弱性情報を発見者から高額で買い取る企業も、世界各地に存在しています。

悪意ある者は、そのセキュリティホールを突いてパソコン内から情報を取得して外部送信したり、パソコンそのものを破壊します。これらは、Microsoft Defenderも含め、CMMCレベル3である一般的なセキュリティソフトの対応外です。

例えば、メディアプレーヤーで有名なVLC media playerの脆弱性を悪用したCicada(中国政府の関与が疑われている組織)によるサイバー攻撃が知られています。【詳細】現在、家電量販店などで見かけるセキュリティソフトで「VLC」を危険なソフトとして認定している製品はありません。

国家や社会インフラを守る感染しないセキュリティ製品の必要性
2021年 5月 12日、バイデン大統領は、こうしたアプリケーションの脆弱性を突いてサイバー攻撃を国家が仕掛けてくることに応じるべく、国家サイバーセキュリティの向上に関する大統領令(EO 14028)を発表し、ゼロトラスト・アーキテクチャ(ZTA)、エンドポイントでの検知及び対応(EDR)、データの暗号化並びに多要素認証の更なる迅速な普及推進をCISAおよびFedRAMPに求めました。

バイデン大統領令によるアメリカ政府によるゼロトラスト・アーキテクチャ(ZTA)の設計は、日本のJISに相当するNISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)として、協力企業により策定が現在進められています。ドラフト版は、ほぼ完成し一般公開されています。PC Matic, Inc.は、その策定協力企業の一社で政府調達認証 FedRAMPを取得しています。

脆弱性にも対処するプロアクティブセキュリティ製品。CMMC レベル5(最高)
ブラックリストが対処療法的に過去の知見を基に対応していくことに対し、ホワイトリストは安全と確認されているもののみ利用可能とした、予防処置的な仕組みです。プロアクティブ・セキュリティとも呼ばれます。OSから実行可能バイナリー、各種スクリプトやバッチによる実行など、すべての機能を標準設定で剥奪しているため、マルウェアであってもプログラムの一種であるため活動することができません。脆弱性に強いのがプロアクティブ方式の特長です。

PC Maticは、アメリカ国防総省のセキュリティ認証であるNIST CMMC レベル5(最高)に準拠した基準で監査・分類し、政府機関によるセキュリティ認証に適応するため、グレーゾーンも含めた厳格な判断基準を採用しています。新種も含めてこれらスパイウェアも完全に防御しています。深刻な脆弱性を抱えるものは起動を保留し、悪意ある者に悪用されやすい著名アプリケーションは最新版へ強制自動更新を行い、安全を担保しています。この脆弱性対策機能はセキュリティ製品としては珍しいかもしれません。

ゼロトラスト・アプリケーション・ホワイトリスティング方式は、膨大な検体データを基に、元FBIサイバー捜査官も在籍するマルウェア分析官により科学捜査(デジタル・フォレンジック)を実施し、善・悪・保留(脆弱等)へ3分類する仕組みです。善良と判断したプログラムのみ起動許可する仕組みで、PC Matic開発元のPC Matic, Incが一部特許取得済です。

ホームページを閲覧するだけで危険になる、テクニカルサポート詐欺やWebスキミング等の悪質なスクリプトの増加
ホームページを閲覧するだけで、警告音がして「ウイルスに感染しました」と至急電話を促す画面が表示されたり、仮想通貨をマイニングするなど、ブラウザーを通じた様々な悪質行為が散見されるようになりました。しかしこれらは、Windows標準では防止されませんし、一般的なセキュリティソフトでも対象外となっています。

また、正規のECサイトがハッキングされクレジットカード情報などをスキミング行為を行うよ「Webスキミング」なども流行しています。これらは、ブラウザー内で完結するため、パソコンに常駐するセキュリティソフトでは対処できません。
このためPC Maticでは、Chrome, Edge, Firefoxへブラウザ拡張機能を別途提供し、これら悪質なものを非表示や防御しています。ブラウザー拡張機能でブラウザー内の脅威に対応したセキュリティ機能を提供する製品は、市場では珍しいかもしれません。最近ではこのような新たな脅威が急増しています。

ネット上の無償セキュリティソフトの利用は危険
インターネット上で無償提供されてるセキュリティソフトの多くは、昨今の難読化されたマルウェアへの対処力が弱く、Windows 7時代からエンジンの機能があまり更新されていない製品が大半です。Windows 11/10利用者が導入するとセキュリティ保護レベルが大きく低下するため、導入は絶対に行ってはいけません。EMOTET感染や身代金型ウイルスへの感染は、このような古いソフトで引き起こされています。EMOTETは2014年に発見されたものの未だに感染するのは、セキュリティエンジンが新たな脅威に対応していない証拠です。

古いOSを利用している人は市販セキュリティソフトが必須
Windows 8.1/8/7や、それ以前のOSを利用している人は、これらOSをサポート対象としているサードパーティ製の有償の最新エンドポイント保護を導入しなければ、セキュリティ上のリスクが非常に高い状態にあります。残念ながらマイクロソフトから無償の強固なセキュリティ機能は、これら古いOSでは無償提供されていません。

【まとめ】
Windows 11/10標準のセキュリティ機能は、個人向け市販セキュリティソフトと同等かそれ以上の性能ですが、 「セキュリティホール(脆弱性)対策」、「スパイウェア」や「ブラウザーを通じての様々な新たな脅威」は対象外となっています。これらの新しい脅威にも対応したNIST CMMC Level 5(最高)に準拠した新方式の PC Matic をお勧めします。 日本唯一の同盟国であるアメリカ製でアメリカ合衆国政府 調達認証済のプロアクティブ方式を法人版は勿論、個人版にもこれらを実装している珍しい製品です。

様々なマルウェアの解説

AV-TESTによるランサムウェア試験結果

2021年12月1日に独AV-TEST GmbHが消費者向けセキュリティソフトを対象に、10のランサムウェア攻撃シナリオで防御能力を測定し結果を発表しました。本試験はMITRE ATT&CKに準拠し、実態に則した内容で実施される随意試験です。

試験に参加したランサムウェア対策に自信のある9つのセキュリティソフトのうち、5つの製品が完全に防御しました。PC MaticとWindows 11/10標準搭載のWindows defenderは、試験に用いられた異なる10の攻撃シナリオ全てを完全防御しました。

MITRE ATT&CKに準拠した10回の攻撃シナリオしかないため、完全な試験とは言えませんが、Windows 11/10の場合は市販セキュリティソフトをインストールすることで、ランサムウェア感染リスクが高まる可能性があるということを意味しています。

試験に参加したものの、芳しくなかったスコアであった製品は参加していなかったことになっています。

アフィリエイトを用いたサイバープロパガンダにご注意ください
インターネット上で「Windows標準のセキュリティソフトで十分?」と検索すると、様々な市販セキュリティソフトが紹介さるサイトがたくさん現れます。AV-TESTやAV-Comparativesの定期試験結果が利用されることがあります。これらの定期試験は、20年前からもぐら叩き性能(CMMC Level 3)のための試験方式から変更されていないため、最近の脅威実態に則しておらず、全員1等賞を獲得できるように調整されているため、セキュリティエンジンの性能評価を全く表してしていません。またアフィリエイト報酬を得られないため、意図してWindows defenderの結果を掲載していません。PC Maticも偽情報乱造に加担しないため、厳しい広告規制ガイドラインのある、米国広告業界基準にてアフィリエイトを実施しています。

リンク先をマウスオーバーすると真偽が判ります
また紹介サイトで、市販セキュリティソフトの文字にリンクが貼られていますが、マウスオーバーするとアフィリエイト「a8.net」「valuecommerce」へのリンクが大半です。これらは紹介に応じて報酬が得られる仕組みであり、紹介者は報酬の多いものから順に推奨やランクを付ける傾向がみてとれます。アフィリエイト記事に関しては「広告」「アンバサダー」などをページ中に表記することが、国際的な自主ルールとなっており、日本ではWOMマーケティング協議会が定めています。無記載は、ステルスマーケティングという手法になります。

現在日本でも、消費者庁によりアフィリエイト広告に対するガイドライン策定を有識者委員会形式にて進めており、虚偽情報による刑罰も含めた法制化を欧米各国と足並みを揃える形で行う計画のようです。

また国家が資金源となり、アフィリエイト報酬なども活用したサイバープロパガンダが日本を始め世界各国で確認されていますが、自衛隊の各サイバー部隊は現時点ではサイバープロパガンダへの対処は行っておらず、国民の良識に委ねられています。

戻る