水無月ばけらのえび日記

FFR yaraiを見てきた

公開: 2009年5月17日15時10分頃

「パターン不要の「ゼロデイ攻撃」対策ソフト、国内ベンチャーが初披露 (itpro.nikkeibp.co.jp)」。鵜飼さんのフォティーンフォティ技術研究所が「FFR yarai」というアンチウィルス製品を発表したということで。

のんきに「へぇ」などと思ったわけですが、よく考えたら、当のFFRから「情報セキュリらティEXPO」の招待状をいただいていたのでした。

ちょうどうまい具合に時間がとれたので、ゆりかもめに乗って見てきました。以下、聞いたりしたことをメモしておきます。私の理解が間違っていたらごめんなさい。

• 「自身をコピー」「キー操作を取得」などの振る舞いを検知する。他に具体的にどんな振る舞いを検知するのかは、公表していないとのこと。
• プログラムの振る舞いを記録しており、ウィルスとして検知すると、過去の動作に遡って削除できる。たとえば、あるマルウェアがレジストリを改変した後に自身をコピーする場合、レジストリ改変の時点では検知しないが、自身をコピーした時点で検知して、検知した時点でレジストリの改変も元に戻る。
• ホワイトリストを持っているので、誤検知するような場合はそこに登録すれば良い。
• 実はパターンファイルも持っていて、パターンによる検出もする。ただし、パターンファイルの自動更新機能は持たない。yarai自体のバージョンアップ時に更新されることはあり得る。バージョンアップは半年～一年に一度くらいか?
• 古いタイプのウィルス (Excelのマクロウィルスとか) には対応していない。パターン自動更新もないので、他社製品との併用がオススメ。いくつかの製品での動作を確認している (別途動作確認リストあり)。とはいえ、これ単独でも使えるものになっているとは考えている。
• 他社製品と併用すると動作が遅くなるのでは? という話については、よく分かりませんでした。まあ、早くなったりはしないでしょうが、PCの性能等に依存する部分が大きくて、あまり明言できないのかも。
• 基本的には法人向けの製品で、個人向けの販売はなし。1ライセンス9,000円が基本のお値段。個人向けの販売、他社製品へOEM提供などは今のところ無いとのことですが、営業レベルではそういう話も検討しているとか。

デモなど見せていただきましたが、アンチウィルスのデモって見てもよく分からないですね。Adobe Acrobatの脆弱性を突くPDFがブロックされるところを見せていただきましたが……まあ、ブロックはされますよね。しかし、そこから性能をうかがい知るのは難しいです。そもそも能動的に動くものではないので、デモでアピールすること自体難しいのかもしれません。

• 「FFR yaraiを見てきた」へのコメント (2件)

関連する話題: セキュリティ / yarai