ESET TECHNOLOGY

ESETのテクノロジー | ESETのソリューションに搭載されているテクノロジーについて解説

ヒューリスティック「技術編」 高い検出率と軽快な動作を両立させるヒューリスティック機能の仕組み

この記事をシェア

急激に拡大するサイバー空間の未知の脅威。それらを検出し、対処するために、ヒューリスティック機能はどのような機能を提供しているのか。技術編では、高い検出率と軽快な動作を両立させる機能について解説する。

さまざまな検出技術を組み合わせたESETのヒューリスティックエンジン

ヒューリスティック「基礎編」では、未知や亜種のマルウェアに強いヒューリスティック機能について紹介したが、実際にどのようなことを行なっているのだろうか? 技術編では、ヒューリスティック機能をいち早く開発し、約20年にわたり活用してきたESET製品が、どのような方法でマルウェアと検出しているのかを解説しよう。

簡単にいえばESET製品は、ウイルス定義データベースとヒューリスティック機能を使い、両者の長所を活かす手法で、高い検出率と軽快な動作を実現している。

 ESETのヒューリスティック技術の特長は高度な独自検出システムにある。これは、マルウェアのシグネチャ(ウイルス定義データベース)とヒューリスティック機能、アドバンストヒューリスティック機能で構成される。

ヒューリスティックが持つ3つのチェック機能

アドバンストヒューリスティックは、「静的解析(プログラムコード解析)」、「動的解析(エミュレータ)」、「遺伝子工学的解析(ジェネリックシグネチャ)」によって高い検出率を実現する機能で、この機能によってより詳細な分析を実行し、悪意のある振る舞いの特性を識別し、未知の脅威にも対処できるようになる。ウイルス定義データベースを基盤とした従来型の対策とは異なる特長を備えている。

図:ヒューリスティックエンジンの3つのチェック機能/静的解析・動的解析・遺伝子工学的解析

(1) プログラムコードをチェックする静的解析

プログラムをコードベースで解析するのが静的解析だ。不正行為を働くマルウェアには、プログラムコードに一定の命令が含まれているなど特徴があることに着目。そうした特徴が検証対象となるファイルに含まれていないか調べる。プログラムを実行する前にひと通り検索するだけなのでチェック時間が短いのがメリットだ。

一方プログラムファイルに含まれているデータ(プログラムとしては動作しない)をマルウェアと判断してしまい誤検出となる弱点もある。そのような問題を回避するため、単純に検出するのではなく、悪意のありそうなコードをカウントしておき、閾値を超えた場合にマルウェアとして判断するといった工夫を盛り込んである。さらに、すでに安全性が確認されているプログラムは除外するといった方法で誤検出率を下げている。

(2) エミュレータによる動的解析

静的解析とは異なり、エミュレータによってプログラムを実際に動作させた際の挙動を分析し、マルウェアを検出するしくみ。そのため、未知のプログラムであっても悪意のある挙動を見せる場合はマルウェアと判定、検出できる。

動的解析には、ESETの場合はエミュレータを採用することでリソースの消費を抑え、軽快な動作を実現した。またエミュレータのため、仮想環境で動作を停止するマルウェアにも対応できる。

(3) 類似性から亜種を検出する遺伝子工学的解析

いわゆる亜種を検出する仕組み。マルウェアは、一連の亜種を含めて「マルウェアファミリー」と表現されるが、こうしたファミリーの特徴(遺伝子)を見つけて検出する。「シグネチャ」といっても、1対1で対応する従来のシグネチャ技術と異なり、ひとつのシグネチャで多数の亜種を検出することができる。

図:ヒューリスティックエンジンの3つのチェック機能/静的解析・動的解析・遺伝子工学的解析

パソコンの軽快さだけでなく、ネットワーク負荷も軽いESETのヒューリスティック

ESETでは、従来型のウイルス定義データベースを用いる手法は、主に流通量の多い既知のマルウェアを対象にしている。一方、ヒューリスティック機能は、未知のマルウェアに対応するが、既知のマルウェアも高確率で検知できる。これら技術をバランス良く活用し、ウイルス定義データベースのサイズもコンパクトに抑えている。

軽量な「ウイルス定義データベース」は企業のパソコン環境に大きなメリットがある。例えばパソコンのメモリー負荷も軽く、やや低スペックのパソコンでも軽快に動作し、ウイルスチェックに掛かる時間も短い。また「ウイルス定義データベース更新」とそれに伴う「ネットワーク帯域の負荷」が軽減化される。つまり、ユーザーから見れば、「パソコンの動作が軽い」「ネットワークが重くならない」という利点につながる。

余談になるが、ESET製品のウイルス定義データベースの作りは、もともとサイズを抑えている。それだけでなく14世代までの差分アップデートに対応しているので、休み明けにパソコンを起動する際でも、差分アップデートだけを取得して適用されるのでネットワーク帯域を圧迫しにくい。さらにESETの場合、プログラム自体のノウハウの蓄積によってエンジンのチューニングが進んでおり、軽快なエンジンになっているのも見逃せない。

情報共有の仕組みもあるが…企業利用では注意が必要

各アンチウイルスベンダーは増大する脅威に対抗するために、マルウェアの疑いが高く、かつベンダーが取得していない検体を得るために、情報登録の仕組みが用意されている。ESETではかつて「ThreatSense.Net」が提供されており、現在はより発展した「Live Grid」という仕組みが使われている。

「Live Grid」を有効にしておけば、マルウェアであると疑われるファイルを検出すると事前承諾の上でESETへ匿名で送信する。また検出した統計情報を匿名で提供し、ウイルス検出の精度向上に協力したり、実行中のプロセスや任意の実行ファイルのリスクレベルを表示したりすることも可能だ。

図:Live Gridの仕組み

企業で利用している場合は、匿名とはいえ統計情報やファイルを外部へ提供することに抵抗を感じることもあるだろう。ESETの企業向け製品はLive Grid機能が標準では無効となっており、必要に応じて有効にしなければこれらの情報提供はない。安全性をより向上させようと思うならば、必要な指導を行ったうえでLive Gridを有効にし、検体提出を管理サーバー経由で行うとよいだろう。

ところで、海外製ソフトはリリース直後に不具合がそれなりに見つかることがある。しかしESETに関しては、日本代理店であるキヤノンITソリューションズが日本国内のパソコン環境にあった検証作業を実施し、ESETに対して情報提供を行っているため、日本版のリリース直後でもトラブルが少ない。

また、ESETの企業向け製品は、高い検出率と軽快な動作に定評があり、すでに民間企業をはじめ官公庁や教育機関などをあわせて187,000社以上に導入されている実績もある。企業におけるエンドポイントのセキュリティ対策の選択肢の1つとして、高い検出率のヒューリスティック機能を搭載したESET製品を検討してみていただきたい。

ウイルス対策ソフトの「クラウド版」に弱点はないのか?

膨大に膨らんだウイルス定義データベースを減らす方法として、主に2つの方法が取られている。ひとつは複数の亜種をまとめてひとつのシグネチャで対処する方法で、「ジェネリックシグネチャー」と呼ぶベンダーもある。

もう一つが「クラウド化」だ。これは膨大に膨らんだウイルス定義データベースをクライアントパソコン側にすべては置かず、重要な部分だけをユーザーが使う端末にダウンロードし、古いマルウェアや重要でなくなったマルウェア、あるいはまさに判定されたばかりの新種に関してはハッシュ値をインターネット経由で問い合わせることで対処する。これによって配布するウイルス定義データベースのサイズを劇的に減らし、ダウンロードやメモリーの負荷を下げるなどメリットがある。

ただし、このやり方には、懸念点もある。クラウド、つまりインターネットにつながっていないパソコンではシグネチャを参照できないのだ。現在、マルウェアはネットワークからダウンロードし、実行させることで感染するものが多いので、インターネットからダウンロードする際には基本的にアンチウイルスベンダーとの通信が可能だ。また、MS-DOS時代のマルウェアを検出しなくなったとしても、Windows環境で実行できないなら問題ないといってよいだろう。

しかしUSBメモリー経由で感染するマルウェアなど、ネットワーク接続のない環境下で感染を広げるマルウェアがある。またダウンロード時は、マルウェアと判定されておらず、起動時にオフラインでチェックできない場合など、すり抜けてしまうリスクもある。

なおマルウェアの中にはアンチウイルス製品ベンダーやマイクロソフトなどのアップデートサーバーに接続できないように設定を変更するものもあるので覚えておこう。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!