Tweet

ESETのCEOに聞く標的型攻撃対策

レピュテーションと振る舞い検知を強化した「ESET」新版

2011/11/17

　スロバキアに本拠を置くセキュリティ企業、ESETのCEOを務めるリチャード・マルコ氏が、個人向けセキュリティ対策ソフトの新バージョン「ESET Smart Security V5.0」および「ESET NOD32アンチウイルス V5.0」のリリースに合わせて来日した。

　ESET NOD32アンチウイルスはウイルス／スパイウェア対策機能を、ESET Smart Securityはそれらに加え、迷惑メール対策やパーソナルファイアウォール機能を追加したセキュリティソフトウェアだ。国内では、キヤノンITソリューションズを通じて、12月15日から販売を開始する。

　新バージョンでは、これまで「ESET ThreatSense.Net」という名称で提供してきたレピュテーション機能を強化し、新たに「ESET Live Grid」として提供する。疑わしいファイルに関する情報に加え、ユーザーが利用しているアプリケーションに関する統計情報も加味し、ファイルがクリーンか、それとも悪意あるものかを評価する仕組みだ。「人工知能技術を活用し、ユーザーの統計情報と組み合わせることで正確な評価を可能にする」（マルコ氏）という。

振る舞い検知をいっそう強化

ESET CEO リチャード・マルコ氏

　マルコ氏は、最近国内でも被害が顕在化している「標的型攻撃」について、「狙った特定の標的向けに作成され、企業や組織の情報を盗み出そうとする。数は少なくても、非常に危険性の高いものだ」と述べた。

　同氏は近年のマルウェアは、大きく2つのグループに分けられるという。1つは、次々と大量に登場する「ボットネット型」。そしてもう1つが標的型攻撃だ。

　「ボットネット型のマルウェアの種類は非常に多く、次々登場してくる。シグネチャ（定義ファイル）を作成する伝統的なアプローチでは対処が困難だ。これらを検出するには、もっと効率的な方法が必要になる。ESETは何年も前から、ヒューリスティック技術によるジェネリック検出に取り組んできたが、これにクラウドコンピューティングを活用したファイルレピュテーションを組み合わせることで、正確に判断を下せるようにする」（マルコ氏）。

　標的型攻撃に対してもこうした対策は一部有効だが、うまく検出できない場合もあるとマルコ氏。「標的型攻撃は、既存のアンチウイルスソリューションによる検出をすり抜けるように細工を施してくる。このためESETでも、クラウドを利用したレピュテーションに加え、新しい仕組みを開発している」（同氏）。

　これは、既存のビヘイビア（振る舞い）検出技術をさらに強化するものだ。アプリケーションの振る舞いをより細かな単位で監視し、相関分析を加えることで、正しいパターンか、それとも脆弱性を悪用するコードかを判断するという。

　V5.0ではその成果をHIPS（Host-Based Intrusion Prevention System、ホスト型侵入防止システム）として実装しており、特定のファイルやレジストリに対し変更を加えようとする動きを検出すると、その前に警告する仕組みとした。「OSやシステム、アプリケーションの動きをモニタリングして学習し、通常とは異なる振る舞いがあってもその影響を受けないようにする。セキュリティレイヤをもう1つ追加するようなものだ」（マルコ氏）。

　とはいうものの、「100％完全な技術的ソリューションなどというものは存在しない」と同氏。脆弱性を狙う攻撃からシステムを保護するために、OSやアプリケーションのアップデートといった基本的な対策を実行するとともに、「業界全体でセキュリティの重要性やマルウェアの振る舞いについて、教育・啓発していくことが必要だ」と述べた。ESETでは、米国でマルウェア対策に関する教育用ツールを提供しており、これを他の国にも広げていくことを検討しているという。