古くはアンチウイルスソフト「 NOD32 」など、国内のセキュリティ専門家の間でも支持を集める ESET 社製品。ESET はスロバキアを代表するセキュリティ企業として、その製品やサービスをグローバルで提供する一方で、欧州セキュリティブロガーアワードで 2018 年ベスト企業ブログ賞を受賞した「 WeLiveSecurity 」など、積極的にその研究成果の情報発信を行い、積極的に業界と社会に貢献を行う。
WeLiveSecurity(英語)
https://www.welivesecurity.com/
ESET JAPAN セキュリティブログ(WeLiveSecurity翻訳記事他 日本独自記事掲載)
https://www.eset.com/jp/blog/
ESET の CTO はユーライ・マルホ氏。セキュリティ業界では 16 年のキャリアがある。CTO になる前は ESET の CRO を務めていたが、現在、その任はローマン・コバチ氏が受け継いでいる。コバチ氏はマルウェアリサーチャーとして ESET に入社し 10 年以上のキャリアを持つ。
マルホ氏は CTO として製品全体の技術の統括と、ESET のリサーチ技術を広く一般に周知してもらうことが主なミッションとなっている。コバチ氏は、その中でコアテクノロジーの開発、R&D 部分を担当しているという。
AVAR は、今回の開催で 22 回目となる。20 年以上前にスタートしたセキュリティカンファレンスだが、これと同等の歴史を持つカンファレンスはイギリスの VB( Virus BULLETIN )しかない。AVAR の開催は年 1 回。各国のメンバー企業が持ち回りで開催する。日本での開催は 2009 年の京都に次いで10 年ぶりとなる。
―― ESET が AVAR 2019 大阪の主催となった背景や理由はなんでしょうか。
マルホ氏:AVAR の目的として、専門家同士の情報共有、最新技術や自分の研究についての意見交換や議論があります。ESET は 2014 年のシドニー大会も主催しているのですが、マルウェアの情報や研究開発の意見交換し、研究成果をコミュニティへ還元すること最も重要な目的です。
AVAR のように各国を巡るカンファレンスは、開催国の現地法人の協力が不可欠です。シドニーのときもそうでしたが、イーセットジャパン株式会社が設立されて 1 年ちょっとなる 2019 年大会で主催企業になることで、日本の専門家や一般の人にマルウェアの動向を知っていただき、セキュリティに対する意識を高めてもらうよい機会だとも思っています。
――日本のセキュリティコミュニティやエンドユーザーに対して、伝えたい情報や具体的なメッセージはありますか。
マルホ氏:今回の AVAR のテーマは「ハッカー対ホワイトハッカー:報復そして攻撃の帰属まで( Hacker versus counter-hacker : From retribution to attribution )」です。我々は、捕捉しきれないほどの攻撃オペレーションに対峙しなければなりません。見えにくい攻撃の背景と、その深層部分の解析を行うためのカンファレンスという訳です。現在の攻撃は、単純な犯罪組織によるものだけでなく、国が関与することも増えていると言われています。個々のマルウェアや攻撃の分析だけでは、その全体像や、攻撃者の本当の目的がわかりづらくなっています。
一般の方たちには、特定の攻撃やマルウェアの技術というより、まず脅威があらゆるところに点在しているということを伝えたいと思っています。
また、専門家やリサーチャーの方には、各国で問題になっている攻撃キャンペーンやマルウェアについて、攻撃グループや背景など、より詳しい情報についての情報共有を進めてほしいと思っています。
―― ESET としては、そのような攻撃をどう検知し、分析を行っているのでしょうか。
コバチ氏:具体的な攻撃やマルウェアを検知するためには、まず膨大なデータを分析する作業が必要です。さまざまなデータから、被害や攻撃につながりそうな疑わしい動き、ふるまいを見つけ出します。マルウェア本体の情報だけでなく、膨大なデータ解析が基本となります。
解析には、分野ごとのスペシャリストが ESET にいます。Android プラットフォームの専門家、APT や高度な攻撃の専門家、一般的なバンキングマルウェアの専門家もいます。このようなリサーチャーは世界中の拠点に配置されています。
解析された情報、検知された攻撃は、必要に応じて外部に発表したり、コミュニティへの情報共有を行います。同時に発見された脅威、技術情報は、新しい製品の対策技術にも生かされます。
――解析の元である膨大なデータはどうやって集めていますか。
コバチ氏:ダークウェブやディープウェブ、ハニーポットのようなセンサー、製品からの情報、すべてを組み合わせています。製品からのデータ解析は、ユーザー環境から攻撃やマルウェアとして認識されたもののみを使っています。
データ解析で重要なのはバックエンドプロセスです。たとえば、マルウェアファミリーの動き、ふるまい、C2 サーバーとの通信、ディープウェブでの活動の分析などです。マルウェアの深い部分の動きを知ることで、ファミリーのふるまいや攻撃の予知、予想が可能になります。
マルホ氏:現在、クラウド上のサーバーでさまざまな情報を収集、解析する方法は一般的ですが、カスタマーベースのデータをマルウェア解析に応用する方法は、2005 年に ESET が最初に始めたものです。当時の市場はとても慎重で、クラウドで情報を収集管理することに非常にナイーブでしたが、15 年後にこれほどクラウドが全盛になるとは当時まったく予想していませんでした。
市場やユーザーの動向は常に変化していくものです。技術への理解、使い方も同様です。市場ニーズの変化を読むことは大変ですが、これはサイバー攻撃にもいえることで、そのような変化にどう対応していくかも我々に求められていると思います。
―― ESET は技術寄りの「 R&D 企業」というイメージがあります。ESET にとって R&D とは、戦略上どのような位置づけにあるのでしょうか。
マルホ氏:R&D はすべての次元にかかわるものだと思っています。解析で得られた情報を外部に発信する、コミュニティで共有するというのも目的のひとつですが、製品開発や機能改善にも欠かせません。
攻撃者はもっとも攻撃しやすいところから攻めてきます。その場所はネットワークだったりハードディスクだったりメモリだったり、USB だったり。時代ごとに新しい攻撃スポットも発見されます。防御側はそれに対して防御レイヤをひとつずつ増やしていくことになります。
こうしたナレッジの積み重ねが、まったく新しい製品や技術につながることもあります。たとえば「 Enterprise Detector 」という EDR 製品はこのような活動と知見によって生まれた製品です。新しい攻撃に対する防御は、単に新しい技術を適用すればいいというわけではありません。新しい攻撃というのは、ある日突然発生するように見えますが、10 年単位のトレンドを含めた解析を進めると、ある攻撃が別の攻撃の派生によるもの、何者かの意図によって生じている活動の断片であることは珍しくありません。
サイバー攻撃対策は、技術と技術の闘いと思われがちですが、我々は最終的には技術を媒介した人と人との闘いだと考えています。
――最後に ESET の強みや良さをお二人に一言ずつお願いします。
コバチ氏:さまざまな分野の専門家がいて、同僚に恵まれた会社ということに尽きます。
マルホ氏:自分は CTO でもありますが、売上目標に過度に縛られることもなく、会社が買収されるような心配もないため、現在でも研究調査活動が普通にできることですね。エンドユーザーであれセキュリティアナリストであれ「人々のセキュリティを助ける」ことが創設者の理念でした。創業者は利益のためではなく研究のために会社を興しています。そのスピリッツが ESETの DNA( Gene )となって、過去 30 年それを受け継いでいきました。おそらく次の 30 年も変わらないでしょう。
――ありがとうございました。
イーセットジャパン株式会社カントリーマネージャー 黒田宏也氏、
ESET 社 CTO ローマン・コバチ氏
WeLiveSecurity(英語)
https://www.welivesecurity.com/
ESET JAPAN セキュリティブログ
https://www.eset.com/jp/blog/
![ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21964.jpg)
