ESET TECHNOLOGY

ESETのテクノロジー | ESETのソリューションに搭載されているテクノロジーについて解説

マルウェアの進化を先読みする技術 「プロアクティブプロテクト」

この記事をシェア

エンドポイント向けのアンチウイルス製品の実用性を高める上で重要なものは何か? 高い検出率が求められるのは当然だが、それだけを追及していたら、パソコンのパフォーマンスを犠牲にしてしまう。いかに安全であっても、パソコンの性能が低下すれば、ITを使ったビジネスそのものに支障が出るだろう。「安全を保ちつつ、ビジネスを円滑に進める」ためには、高い検出率に加えて軽快な動作も必要になる。

リアクティブとプロアクティブを組み合わせた利点

ヒューリスティック「基礎編」 「技術編」でも詳しく解説しているが、あらためてマルウェアの解析手法について触れておく。

ウイルスやマルウェアの検出方法を大別すると、「既知のマルウェアを検出するリアクティブ(事後)な対策」と「未知のマルウェアも検出可能なプロアクティブ(事前)な対策」の2つに分けることができる。

リアクティブな検出方法を「事後的な対策」、プロアクティブを「事前の対策」と単純に理解してしまうと、事前に対策が取れるプロアクティブな検出方法のほうが優れているように思えるかもしれない。ところが、そう簡単ではない。どちらの検出方法にもメリットとデメリットがある。

例えば、リアクティブな検出方法であるシグネチャ解析の利点は、(ウイルス定義データベースに含まれる)既知のマルウェアを確実に見つけられる点だ。また検査もシンプルなので、パソコンの動作への影響も少ない。しかしマルウェアが急増した結果、ウイルス定義データベースが膨大になってきた。そのためにパソコンの動作への影響が大きくなる傾向にある。

一方、プロアクティブな検出方法の利点は、既知、未知を問わずマルウェアを検出できる点だ。ただし、プロアクティブに検出を実行する場合、その特徴、振る舞いからマルウェアの判断を行うので、単純にウイルス定義データベースと照合するシグネチャ方式に比べると、その動作は複雑になる。そのため、パソコンの負担はいくぶん大きくなってしまう。

ESET社では、1日あたり10万件以上のマルウェアのサンプルを捕捉し、これらサンプルをベースに研究しており、リアクティブとプロアクティブな検出方法をバランスよく組み合わせることで軽快なマルウェア検知を実現している。

つまりリアクティブとプロアクティブの技術を組み合わせ、「効率的なマルウェア検出」と「パソコンへの負荷軽減」を同時に実現しているわけだ。

未知のマルウェアに対応する3つの解析手法

ジェネリックシグネチャは、遺伝子工学的解析技術を用いて、「マルウェアと1対1で対応するハッシュ値(シグネチャ)」ではなく、「亜種に見られる特徴を分類・判断」する手法だ。ハッシュ値が一致しなくてもマルウェアのコア部分が同じ、または類似していればマルウェアと判断できるため、未知の亜種を検出できる。まさに「プロアクティブ」技術への最初の1歩ともいわれる技術だ。

さらにソースコードやスクリプトを解析してマルウェア・アルゴリズムを検出するコード解析(CODE ANALYSIS)がある。既知の悪性コードとの類似点を調べることで、マルウェアを検出可能だ。

またエミュレーション解析は、ファイルの振る舞いを動的に解析する技術。実環境に影響を与えない保護された環境でコードの振る舞いをモニタリングすることで脅威を見逃さない。エミュレーション解析は、サンドボックスなどさまざまな手法があるが、ESET製品では、CPUへの負荷、メモリー占有量を抑える独自の方式を採用するなど工夫が施されている。

リアクティブ方式、プロアクティブ方式の問題点

ジェネリックシグネチャは、ヒューリスティック機能における「性能の要」ともいえる。そこで、遺伝子工学的解析の特徴である、「誤検出を防ぎつつ検出率を高める」テクノロジーを掘り下げてみたい。

まずは遺伝子工学的解析の説明をする前に、あらためてリアクティブ方式とプロアクティブ方式のメリット・デメリットを整理しておこう。

リアクティブな検出方法は、一般的にシグネチャ方式に代表されるように、まず、実際に被害が確認されたものや危険な挙動が確認されたものをマルウェアとして、そのプログラムのハッシュ値やファイルの特徴などをデータベース化する。スキャンでそれと同じものが発見されたらアラートを表示したり、隔離・削除したりする方法である。

この方式は、誤検出が極めて少ないメリットがある半面、最大の欠点は、未知のウイルスやゼロデイ攻撃に対応できないことだ。

これに対して、プロアクティブ方式は、未知のマルウェアにも対応可能だが、コードパターンだけでは悪意のあるプログラムかどうかまでは判断できない。そのため、誤検出を防ぐための「検知レベルのチューニング」の難しさがある。

図:リアクティブ方式とプロアクティブ方式の比較

ハッシュ値だけが異なる大量の亜種も検出できる遺伝子工学的解析

近年の攻撃傾向として、新しいマルウェアの発見数もさることながら、その亜種が大量かつ短期間に発生する状況がある。攻撃者は、シグネチャ方式のアンチウイルス製品を回避するため、「コア部分を変えずハッシュ値だけが変わるような変更を加えた亜種」を大量に生成している。攻撃手法は既知のものでも、シグネチャが一致しないためアンチウイルス製品をすり抜けられるというわけだ。

アンチウイルスベンダーも、ウイルス定義データベースの更新頻度を最適化したり、クラウド化するなどの対応をしているが、リアクティブな対策の限界が叫ばれているのも事実である。そのため、現在はシグネチャ方式の対策からプロアクティブな対策にシフトしているが、既知のウイルスが消滅したわけではないので、シグネチャ方式が有効な場面も依然として多い。

ヒューリスティック機能の代表ともいえるジェネリックシグネチャは、既存のシグネチャ方式のメリットを生かしながら、亜種の攻撃にも対応できる技術である。これはマルウェアの亜種を含めた特徴や共通点を抽出し、その同じ特徴(=遺伝子)を持つものを「マルウェアファミリー」としてブロックする技術だ。ジェネリックシグネチャなら、前述のハッシュ値だけ変わるように生成された大量の亜種に対しても有効である。さらに、この解析手法では誤検出率も低く抑えられている。

図:一つのシグネチャで複数の進化型(亜種)を検出

このように、さまざまな種類のマルウェアに対し、複数のテクノロジーを用意して、効率よく、かつ効果的に検出していくのがESET製品の特長である。

複数の検出技術のバランスで「低い誤検出率」と「高い検出率」を両立

それでは、具体的にはどの技術でマルウェアが検出されているのだろうか。解析セキュリティ技術全般にいえることだが、どの技術も単体で万能というものはなく、守りたいリソースや防ぎたいリスクに対して、さまざまな対策を組み合わせることが重要だ。

ESET製品では、シグネチャ方式の良い面を残しつつ、これまで紹介したジェネリックシグネチャ、コード解析、エミュレーションといった新しい解析手法を連携させることで、高度化する攻撃に対応している。

そこで難しいのは、さまざまな解析手法を組み合わせつつ、軽快な動作を実現すること。解析機能を「いかにバランスよく機能させるか」にかかっている。

図:複数に解析技術を必要に応じてバランスよく組み合わせて解析

より確実にマルウェアを検出するには、あやしい立ち振る舞いを見逃さないよう、解析技術を駆使して、パソコン内部の挙動をさまざまな厳しい基準から監視しなければならない。

だからといって、検査する項目をただ闇雲に増やせば、どうなるだろうか。マルウェアを取り逃がす可能性は減るかもしれない。しかし、その代わりに、正規ソフトを「マルウェア」と誤って判断するリスクも増加し、解析処理も爆発的に増えてパソコンが重くなる。これでは本末転倒だ。

ユーザーの安全を守りつつも、パソコンのリソースを無駄にしない、さらに誤検出のリスクも軽減するには、解析技術をチューニングする「ノウハウ」が必須なのだ。こういった機能の実現にはおもにヒューリスティック機能が利用される。ESET社はこのヒューリスティック機能のリーダーとして20年以上も前から取り組んでいる強みがある。

例えば、怪しいファイルを見つけたとしよう。そうするとESETのエンジンでは単に特定パターンを検出するだけでなく、マルウェアと思われるプリミティブなパターンや動作に細かくポイントを付ける。

具体的には、このようなフローになる。
あるプログラムについて、「最初にレジストリを参照したので『+1』」、「次にインターネットにアクセスしたのでさらに『+2』」というようにだ。このポイントの総合評価が、一定の閾値(しきいち)を越えたかどうかでマルウェア判定を行っている。

図:マルウェアと判定するまでの流れ(例)

もちろん、安全が確認されている部分や、マルウェアでないという動作も確認して、ポイントを調整することで誤検出を防止する。またESET社では、「Live Grid」によって世界中から集められた正規ソフトの膨大なデータベースを保有しており、これら情報も誤検出防止にひと役買っていることはいうまでもない。

高い検出率と軽快な動作の両立は、ビジネスの円滑な推進に貢献する

先に述べたとおり、すべての解析技術を単純に実施していくだけでは、処理が重くなり、ビジネス環境に影響を及ぼす。そこで、ファイルごとに解析する項目や順番を動的に調節、変化させることで、無駄な処理を排除し、特徴のひとつである「軽快な動作」を手に入れている。

高い検出率と軽快な動作を両立させるのは、決して容易なことではない。しかしESET製品は、安全を保ちつつ、ユーザーがパソコンをストレスなく使えるように、その両立を実現しているのだ。それは、企業にとってビジネスの円滑な推進につながるだろう。

最後になるが、ESET製品の性能を客観的にご理解いただくため、アンチウイルス製品の第三者評価機関であるAV-Comparativesによる評価をいくつか紹介しておく。同機関では、メジャーなアンチウイルス製品について、検出率や誤検出について調べているほか、システムに与える影響など比較、評価している。

特にシステムの軽快さについては、2011年の年間評価でアプリの起動やファイルのダウンロードなど10の評価項目のうち、9項目で「very fast」との評価を得た。200点満点中、187.7点を叩きだし、他社18製品よりも高い成績を収め、三段階中もっとも高い評価「Advanced+」を獲得している。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!