創業30年、独自のセキュリティ遺伝子を継承するESET社 - CTO / CROインタビュー | ScanNetSecurity
2021.05.08(土)

創業30年、独自のセキュリティ遺伝子を継承するESET社 - CTO / CROインタビュー

2019 年 11 月、大阪でアジアパシフィックのセキュリティリサーチャーが集う国際カンファレンス「 AVAR 」が開催された。カンファレンスをホストする ESET の CTO および CRO に、AVAR 参加の意義と ESET における R&D についてインタビューすることができた。

脆弱性と脅威 脅威動向
ESET社 CTO ユーライ・マルホ氏
ESET社 CTO ユーライ・マルホ氏 全 3 枚 拡大写真
 2019 年 11 月、大阪でアジアパシフィックのセキュリティリサーチャーが集う国際カンファレンス「 AVAR( Association of Anti-Virus Asia Researchers )」が開催された。カンファレンスをホストする ESET の CTO および CRO( Chief Research Officer )に、AVAR 参加の意義と ESET における R&D についてインタビューすることができた。

 古くはアンチウイルスソフト「 NOD32 」など、国内のセキュリティ専門家の間でも支持を集める ESET 社製品。ESET はスロバキアを代表するセキュリティ企業として、その製品やサービスをグローバルで提供する一方で、欧州セキュリティブロガーアワードで 2018 年ベスト企業ブログ賞を受賞した「 WeLiveSecurity 」など、積極的にその研究成果の情報発信を行い、積極的に業界と社会に貢献を行う。

WeLiveSecurity(英語)
https://www.welivesecurity.com/


ESET JAPAN セキュリティブログ(WeLiveSecurity翻訳記事他 日本独自記事掲載)
https://www.eset.com/jp/blog/



 ESET の CTO はユーライ・マルホ氏。セキュリティ業界では 16 年のキャリアがある。CTO になる前は ESET の CRO を務めていたが、現在、その任はローマン・コバチ氏が受け継いでいる。コバチ氏はマルウェアリサーチャーとして ESET に入社し 10 年以上のキャリアを持つ。

 マルホ氏は CTO として製品全体の技術の統括と、ESET のリサーチ技術を広く一般に周知してもらうことが主なミッションとなっている。コバチ氏は、その中でコアテクノロジーの開発、R&D 部分を担当しているという。

 AVAR は、今回の開催で 22 回目となる。20 年以上前にスタートしたセキュリティカンファレンスだが、これと同等の歴史を持つカンファレンスはイギリスの VB( Virus BULLETIN )しかない。AVAR の開催は年 1 回。各国のメンバー企業が持ち回りで開催する。日本での開催は 2009 年の京都に次いで10 年ぶりとなる。

ESET社CTO ユーライ・マルホ氏
ESET 社 CTO ユーライ・マルホ氏


ESET社CTO ローマン・コバチ氏
ESET 社 CTO ローマン・コバチ氏


―― ESET が AVAR 2019 大阪の主催となった背景や理由はなんでしょうか。

マルホ氏:AVAR の目的として、専門家同士の情報共有、最新技術や自分の研究についての意見交換や議論があります。ESET は 2014 年のシドニー大会も主催しているのですが、マルウェアの情報や研究開発の意見交換し、研究成果をコミュニティへ還元すること最も重要な目的です。

 AVAR のように各国を巡るカンファレンスは、開催国の現地法人の協力が不可欠です。シドニーのときもそうでしたが、イーセットジャパン株式会社が設立されて 1 年ちょっとなる 2019 年大会で主催企業になることで、日本の専門家や一般の人にマルウェアの動向を知っていただき、セキュリティに対する意識を高めてもらうよい機会だとも思っています。

――日本のセキュリティコミュニティやエンドユーザーに対して、伝えたい情報や具体的なメッセージはありますか。

マルホ氏:今回の AVAR のテーマは「ハッカー対ホワイトハッカー:報復そして攻撃の帰属まで( Hacker versus counter-hacker : From retribution to attribution )」です。我々は、捕捉しきれないほどの攻撃オペレーションに対峙しなければなりません。見えにくい攻撃の背景と、その深層部分の解析を行うためのカンファレンスという訳です。現在の攻撃は、単純な犯罪組織によるものだけでなく、国が関与することも増えていると言われています。個々のマルウェアや攻撃の分析だけでは、その全体像や、攻撃者の本当の目的がわかりづらくなっています。

 一般の方たちには、特定の攻撃やマルウェアの技術というより、まず脅威があらゆるところに点在しているということを伝えたいと思っています。

 また、専門家やリサーチャーの方には、各国で問題になっている攻撃キャンペーンやマルウェアについて、攻撃グループや背景など、より詳しい情報についての情報共有を進めてほしいと思っています。

―― ESET としては、そのような攻撃をどう検知し、分析を行っているのでしょうか。

コバチ氏:具体的な攻撃やマルウェアを検知するためには、まず膨大なデータを分析する作業が必要です。さまざまなデータから、被害や攻撃につながりそうな疑わしい動き、ふるまいを見つけ出します。マルウェア本体の情報だけでなく、膨大なデータ解析が基本となります。

 解析には、分野ごとのスペシャリストが ESET にいます。Android プラットフォームの専門家、APT や高度な攻撃の専門家、一般的なバンキングマルウェアの専門家もいます。このようなリサーチャーは世界中の拠点に配置されています。

 解析された情報、検知された攻撃は、必要に応じて外部に発表したり、コミュニティへの情報共有を行います。同時に発見された脅威、技術情報は、新しい製品の対策技術にも生かされます。

――解析の元である膨大なデータはどうやって集めていますか。

コバチ氏:ダークウェブやディープウェブ、ハニーポットのようなセンサー、製品からの情報、すべてを組み合わせています。製品からのデータ解析は、ユーザー環境から攻撃やマルウェアとして認識されたもののみを使っています。

 データ解析で重要なのはバックエンドプロセスです。たとえば、マルウェアファミリーの動き、ふるまい、C2 サーバーとの通信、ディープウェブでの活動の分析などです。マルウェアの深い部分の動きを知ることで、ファミリーのふるまいや攻撃の予知、予想が可能になります。

マルホ氏:現在、クラウド上のサーバーでさまざまな情報を収集、解析する方法は一般的ですが、カスタマーベースのデータをマルウェア解析に応用する方法は、2005 年に ESET が最初に始めたものです。当時の市場はとても慎重で、クラウドで情報を収集管理することに非常にナイーブでしたが、15 年後にこれほどクラウドが全盛になるとは当時まったく予想していませんでした。

 市場やユーザーの動向は常に変化していくものです。技術への理解、使い方も同様です。市場ニーズの変化を読むことは大変ですが、これはサイバー攻撃にもいえることで、そのような変化にどう対応していくかも我々に求められていると思います。

―― ESET は技術寄りの「 R&D 企業」というイメージがあります。ESET にとって R&D とは、戦略上どのような位置づけにあるのでしょうか。

マルホ氏:R&D はすべての次元にかかわるものだと思っています。解析で得られた情報を外部に発信する、コミュニティで共有するというのも目的のひとつですが、製品開発や機能改善にも欠かせません。

 攻撃者はもっとも攻撃しやすいところから攻めてきます。その場所はネットワークだったりハードディスクだったりメモリだったり、USB だったり。時代ごとに新しい攻撃スポットも発見されます。防御側はそれに対して防御レイヤをひとつずつ増やしていくことになります。

 こうしたナレッジの積み重ねが、まったく新しい製品や技術につながることもあります。たとえば「 Enterprise Detector 」という EDR 製品はこのような活動と知見によって生まれた製品です。新しい攻撃に対する防御は、単に新しい技術を適用すればいいというわけではありません。新しい攻撃というのは、ある日突然発生するように見えますが、10 年単位のトレンドを含めた解析を進めると、ある攻撃が別の攻撃の派生によるもの、何者かの意図によって生じている活動の断片であることは珍しくありません。

 サイバー攻撃対策は、技術と技術の闘いと思われがちですが、我々は最終的には技術を媒介した人と人との闘いだと考えています。

――最後に ESET の強みや良さをお二人に一言ずつお願いします。

コバチ氏:さまざまな分野の専門家がいて、同僚に恵まれた会社ということに尽きます。

マルホ氏:自分は CTO でもありますが、売上目標に過度に縛られることもなく、会社が買収されるような心配もないため、現在でも研究調査活動が普通にできることですね。エンドユーザーであれセキュリティアナリストであれ「人々のセキュリティを助ける」ことが創設者の理念でした。創業者は利益のためではなく研究のために会社を興しています。そのスピリッツが ESETの DNA( Gene )となって、過去 30 年それを受け継いでいきました。おそらく次の 30 年も変わらないでしょう。

――ありがとうございました。

右からESET社CTO ユーライ・マルホ氏、イーセットジャパン株式会社カントリーマネージャー黒田宏也氏、ESET社CTO ローマン・コバチ氏
右から ESET 社 CTO ユーライ・マルホ氏、
イーセットジャパン株式会社カントリーマネージャー 黒田宏也氏、
ESET 社 CTO ローマン・コバチ氏

WeLiveSecurity(英語)
https://www.welivesecurity.com/


ESET JAPAN セキュリティブログ
https://www.eset.com/jp/blog/

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. ヤフオク! 落札者情報が取得可能、API 仕様不備

    ヤフオク! 落札者情報が取得可能、API 仕様不備

  2. 実在するドメイン「gmai.com」、タイプミスによる誤送信ふたたび報告される

    実在するドメイン「gmai.com」、タイプミスによる誤送信ふたたび報告される

  3. 千葉大学医学部附属病院職員が宅配便騙るスミッシング被害、個人PCに保存した患者個人情報が閲覧可能に

    千葉大学医学部附属病院職員が宅配便騙るスミッシング被害、個人PCに保存した患者個人情報が閲覧可能に

  4. Salesforce 設定不備、子育て応援アプリに不正アクセス試行133回

    Salesforce 設定不備、子育て応援アプリに不正アクセス試行133回

  5. 教員の個人スマホに宅急便騙るスミッシング、クラウドサービスのID パスワード窃取

    教員の個人スマホに宅急便騙るスミッシング、クラウドサービスのID パスワード窃取

  6. Pontaポイントシステム障害、auやリクルートIDにも影響

    Pontaポイントシステム障害、auやリクルートIDにも影響

  7. gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

    gmai.com ドメインは実在、タイプミス誤送信 法人情報流出(新潟県)

  8. 佐賀県 聖火リレーランナーの生年月日、メディア開示はOKだがWeb掲載はNG

    佐賀県 聖火リレーランナーの生年月日、メディア開示はOKだがWeb掲載はNG

  9. ワクチン接種予約システムに不具合、解析ツール用いれば個人情報閲覧可能

    ワクチン接種予約システムに不具合、解析ツール用いれば個人情報閲覧可能

  10. 富士経済系調査会社にサイバー攻撃、システム障害で納品にも支障

    富士経済系調査会社にサイバー攻撃、システム障害で納品にも支障

ランキングをもっと見る