ESET首脳がかたるマルウェア検出の極意：Maker's voice

新規マルウェアの急増ぶりは、ウイルス対策ソフトベンダーの大きな課題になっている。検出精度と信頼性のバランスをどう取るか――ESETのCEOとマルウェア解析の総責任者に話を聞いた。

[ITmedia]

　ウイルス対策ソフトベンダーが定期的に発表するマルウェア関連のレポートをみると、新たに発見されるマルウェア数の急増ぶりが目立つ。こうした状況はベンダーにとって大きな課題になり、無数の新規マルウェアを迅速に検出できるようにしつつ、一方では誤検出などのエラーを回避しなければならない。ESETの最高経営責任者（CEO）のリチャード・マルコ氏とウイルスラボ総責任者のユライ・マルホ氏にマルウェア対策への取り組みを聞いた。

　ESETはマルコ氏らによって1992年に設立され、スロヴァキアに本拠を置く企業。国内ではキヤノンITソリューションズ（CITS）が総販売元となって2003年から製品を販売する。当初はPCのヘビーユーザーなどから支持されていたが、近年は一般の個人ユーザーや法人ユーザーの間でも採用が広がっているという。マルコ氏はスキャンエンジンの開発など2010年末まで最高技術者を務めており、2011年1月から現職。マルホ氏はマルウェア解析のほか、製品開発の要職も務める。

ESETのリチャード・マルコCEO（左）とウイルスラボ総責任者のユライ・マルホ氏

　上述の背景から現在のウイルス対策ソフトには、新規マルウェアへの対応期間が遅いとの指摘がある。ウイルス対策ソフトの定義ファイルは、ベンダーが不正プログラムのサンプルを受け取って解析を完了してから作成され、その後にユーザーへ配信される。マルウェアの数が多ければ、定義ファイルの作成や配信にも時間がかかってしまう。

　ESETではマルウェアの検出に、定義ファイルと「ヒューリスティック」技術を併用する仕組みを長く採用する。「ヒューリスティック」技術は不審なファイルやリンク、プログラムの挙動などからマルウェアであるかを検知する。定義ファイルよりも早いタイミングでマルウェアを検出できるメリットがあるものの、誤検出のリスクも伴う。また近年は、さらに早いタイミングでマルウェアを検出できるよう、インターネット経由でベンダーのデータベースに照会する「レピュテーション技術」の採用も広がる。

　マルウェア検出の現状についてマルコ氏は、「無数のサンプルを効率的に解析できるよう自動化しているベンダーが少なくない。当社でも導入してはいるが、自動化に依存すれば誤検出が増え、ユーザーのコンピュータに問題を引き起こす。検出精度を高めるにはやはり担当者のスキルが問われる」と話す。

　マルウェアの急増からベンダーでは人材確保が急務になっている。マルホ氏によれば、ベンダーによっては数カ月の研修を経てマルウェア解析の業務に当たるところがあるものの、同社では最低でも2年間の訓練を経なければ業務を担当できない。「人材育成は製品の品質を高めるためにも不可欠だ。誤検知が起きればユーザーの信頼を失う」（マルホ氏）という。製品でのレピュテーション技術の採用も他社より後発だったが、「品質を満たすベストプラクティスの確立を最優先にしている」と語る。

　製品販売でも品質を重視し、特に日本向けの最新バージョンは、海外より1カ月程度リリースを遅らせている。「日本のユーザーは品質に強くこだわる。新機能の信頼性などをCITSと徹底的に検証してから出荷する」（ESET ASIA 事業開発ディレクターの稲田清崇氏）。

　ユーザーサポートはCITSが窓口となり、ESETと連携して対応に当たる。以前には日本のユーザー企業内でマクロウイルスが大規模感染を引き起こし、CITSの要請を受けたESETのラボが駆除ツールを数時間で提供したこともあるという。

　マルコ氏は、「こうした信頼や品質を実現するうえでパートナーの存在は非常に大きい」と話している。