ESET TECHNOLOGY

ESETのテクノロジー | ESETのソリューションに搭載されているテクノロジーについて解説

新種のマルウェアに迅速に対応する 全世界的な検体収集システム「Live Grid」

この記事をシェア

1日あたり数万から数十万が新たに登場しているとされるマルウェア。この脅威に迅速に対処するため、セキュリティベンダーでは、マルウェアの検体をいかに早く収集、解析するかが大きな課題となっている。検体をいち早く入手できれば、それに対する有効な手段を講じられる。例えば、最新のウイルス定義データベースの提供もそのひとつだ。

Live Gridとは?

ESET社がセキュリティ対策製品で採用しているのが、世界中からマルウェアの疑いのあるソフトウェアやプログラムのファイルを集めて解析し、必要に応じて検体まで収集する「Live Grid(早期警告システム)」だ。ESET製品では、以前から「ThreatSense.Net」と呼ばれるインターネットを活用した検体収集システムが採用されていたが、バージョン5(2012年)から、より機能を強化したLive Gridが搭載されている。今回はそのLive Gridについて解説する。

世界中のパソコン上では、誰もが知る有名なパッケージソフトから、独自に開発されたソフトウェアまで、数多くのプログラムが稼働している。ユーザーが作成するデータファイルも膨大だ。それらのファイル一つひとつを、瞬時に「これは安全なソフトウェア」、「これは安全なファイル」「これはマルウェア」と判別するのは、実は非常に難しい。大多数のファイルは「白黒つけられない」のが現実なのだ。

そこで活躍するのがLive Gridだ。同機能では、ESET製品のユーザーが、自らが使用しているソフトウェアやプログラムのファイルのうち、疑わしいものをメタデータ化してESET社に送信する。ESET社では、送られたファイルを解析し、新種のマルウェアの可能性があれば、その利用者に対し検体を送るように要請する。

図:Live Gridの仕組み

さて、Live Gridを通じて検体が送付されると、まずはESET社のアナライザーで自動的に解析される。このアナライザーは、ユーザーが個別に利用しているアンチウイルスソフトであるESET製品よりも、綿密に検体をチェックする機能を備え、その動作の詳細とシグネチャを作成する。

アナライザーでは、日々多数のファイルを自動処理しているが、そこで問題のあるファイルと判断されれば、さらにESET社のラボに送られて24時間体制でリサーチャー(研究者)が直接チェックする。数段階のチェックを経てマルウェアと判断されれば、ESET製品に反映されるわけだ。

Live Gridの特長は、世界中のESET製品のユーザーから検体を収集するだけでなく、利用するプログラムの傾向分析が可能な点だ。利用プログラムの最新動向を把握することで誤検出を減らし、マルウェア判定の精度を向上に役立てている。

対象となるのは協力ユーザーだけ。ヨーロッパではISPと連携して検体を収集

Live Gridの機能を使って疑わしいファイルをESET社に送信するかどうかは、ユーザーが自由に選択できるようになっている。個人向けのESET製品では、デフォルトでオンとなっており、疑わしいファイルが発見された場合に、ESET社に送信するかどうかのメッセージが表示され、利用者が許可すれば送ることができる。

一方、国内で提供されている法人向けESET製品では、標準では送信しない設定になっている。これは、業務で使用しているパソコンの内部にあるプログラムやファイルを外部に送信することに対し、情報漏洩などのリスク、システム管理上の問題を考慮してのことだ。

また送信されるメタデータにはプログラム本体は含まれず匿名化されており、ESET社ではその内容を見ることはない。また検体の送信に関しても別途許可を取るようになっている。

Live Gridには、実行中のプロセスや任意の実行ファイルに対し、リスク評価が行える便利な機能も用意されている。可能ならばLive Gridの利用をお勧めしたい。これらの設定は詳細設定にある「ツールメニュー」から行える。

図:詳細設定

ただし送信できる検体のファイルサイズに上限があるので、以前、ファイル共有ソフト上で拡散して問題になった「情報漏洩マルウェア」のように数GBといった極端に大きなマルウェアはLive Gridでは送信できない。必要ならばサポート窓口を通じてESET社に送ることになるだろう。 それを補うためESET社では、ヨーロッパを拠点とする複数のISPと協力し、ISPが受信したデータを解析し、怪しいファイルを自動収集する取り組みも行っている。これによってネットワーク上のマルウェアや、Live Gridでは収集できないほど容量が大きなマルウェアに対しても、エンドポイントに侵入する前段階での早期対応を可能としている。

Live Gridならではのメリットとは?

Live Gridのような自動収集システムを導入する動きはESET社以外にも広がっているが、ESET社の強みは、未知のマルウェアを検知するプロアクティブな検出機能を備えていることだ。より細かな分類(メタデータ化)が行えるほか、危険性の判断が難しいグレーなファイルも見逃さない。

また、世界中の利用者の協力によって、ESET製品を通じてリアルタイムに膨大なマルウェアのサンプルデータが集まり、「早期警告システム」として機能している。そしてESET社のラボを通じてマルウェア検出のアルゴリズムが強化され、マルウェアのパンデミックを防止している。

またアプリケーションの安全性を評価において重要な役割を果たしており、「誤検出リスク」の低減にひと役買っている。Live Gridとジェネリックシグネチャ、コード解析、エミュレーションといったプロアクティブな検出機能とあわせて総合的なマルウェア対策を実現しているのだ。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!