ファイルの構造をAIで分析

Cylance Japan 最高技術責任者
乙部幸一朗 氏

AI(人工知能)を活用したマルウェア対策製品として注目を浴びているのが、Cylanceの「CylancePROTECT」だ。エムオーテックスがCylanceとOEM契約して、IT資産管理ソリューションの「LanScope Cat」でその機能を「プロテクトキャット Powered by Cylance」として提供していたり、デルがCylancePROTECTの技術を採用したデータ保護スイート製品「Dell Data Protection | Endpoint Security Suite Enterprise」をリリースしているなど、ベンダー側の注目度も高い。

その特長は何か。Cylance Japan 最高技術責任者の乙部幸一朗氏は、「CylancePROTECTは、ファイルの構造をAIによって分析して安全性を予測・判断します」と説明する。CylancePROTECTのAIが行っているのは「特徴表現学習」(ディープラーニング)だ。これは、AI自身が分析対象の特徴を見つけ出し、最終的に自ら概念を獲得する手法。

「例えばプログラムファイルのサイズやヘッダー、文字列、エントロピー(データのばらつき具合)などを分析して特徴点を抽出します。マルウェアは、簡単に解析されないようにコードが難読化されていたりするのですが、それがデータのばらつきにつながり、マルウェアの特徴となる可能性があるのですね。CylancePROTECTでは約10億の健全なファイルと不正なファイルを学習させてそれぞれの特徴を把握し、総合的な判断でマルウェアかどうかを判定できる計算モデルを導き出しています」(乙部氏)

ランサムウェアを動かす前に判断できる

CylancePROTECTは、ファイルの構造分析によってマルウェアかどうかを判断するため、ファイルを実行させないで検知できるのが強みである。「未知のマルウェアも動かさないで検知できます。ランサムウェアは動かしてしまうと暗号化が開始されてデータが戻せなくなってしまう可能性があります。その点、ファイルを動かさないでマルウェアかどうかを判定できるCylancePROTECTは安心です」と乙部氏は話す。

定義ファイルを使わないため動作が軽く、CPUの使用率は1?2%、メモリー消費量も40?60MB程度。インターネットに接続していなくても利用できる。マルウェアかどうかを判定する計算モデルは半年に一度アップデートされる。

CylancePROTECTに搭載されている具体的な機能は以下の四つだ。

・マルウェア実行防御
AIで脅威を予測しマルウェアを実行前に阻止

・メモリー保護
メモリーの悪用防御、脆弱性攻撃の防御など

・スクリプト制御
不正なパワーシェルとアクティブスクリプトの制御など

・アプリケーション制御
機器で利用する機能を限定して利用バイナリーを制御、不正なバイナリーの実行を阻止など

WindowsやMacに対応し、サーバー環境や仮想環境でも利用できるCylancePROTECTは、世界で既に900万台以上で稼働している。「既存のアンチウイルス製品とはアプローチが異なるため併用もできます」(乙部氏)

ライフサイクルで守る

マカフィー マーケティング本部
ソリューション・マーケティング部 部長
平野祐司 氏

ランサムウェアなどの脅威に対して、「ライフサイクルで守ることが重要です」と話すのは、インテル セキュリティ グループのマカフィー マーケティング本部 ソリューション・マーケティング部 部長 平野祐司氏だ。インテル セキュリティでは、セキュリティを三つのプロセス(Protect:防御、Detect:検知、Correct:復旧)からなる枠組みとして捉え、その仕組みを取り入れて自動化や改善を行い(Adapt:適応)、セキュリティ全般を効率化させることを提案している。

脅威を防御する仕組みの導入は大前提だが、企業や組織に対する攻撃が高度化・巧妙化する現状では、100%確実な防御は難しい。そこで、攻撃を受けてしまった場合でも、脅威の兆候や侵入を素早く検知して、被害を迅速に復旧できる体制が欠かせない。さらに、そのプロセスで得られた知見を組織全体にフィードバックして、状況の変化に適応させていくことが必要なのだ。

平野氏がランサムウェア対策のポイントとして具体的に挙げるのは、Webゲートウェイとエンドポイント対策。「まずは内部に入らせないようにネットワークの入口でブロックする必要があります」と平野氏は解説するが、危険なサイトへのアクセスやC&Cサーバーとの通信をブロックできる同社の「Webセキュリティ」製品を利用すれば、暗号化されたトラフィックを含むすべてのWebトラフィックの分析によってマルウェアを検出できる。「95%の脅威はブロックできます」(平野氏)

機械学習とアプリケーションの動的隔離

エンドポイントにおいては、「McAfee Endpoint Threat Protection」シリーズにおいて、ランサムウェアなどの未知の脅威への対策として、機械学習型の「Real Protect」と「アプリケーションの動的隔離(Dynamic Application Containment:DAC)」という機能が提供されている。

Real Protectは、怪しいファイルを実行前に静的情報で判断できることに加えて、実行後もそのふるまいについて、機械学習とクラウド上のエンジンを連携させた判断が可能だ。DACでは、マルウェアかどうか判断できないプログラムを隔離して検査する。プログラムは駆除されるわけではなく、システムに変更を加えるといった被害の可能性のある動作だけが制限され、Real Protectとの連携で不正なプログラムと判断されれば駆除、正規のプログラムであるとわかれば隔離が解除される。

より短時間で判定するためにサンドボックス解析を使うことも「McAfee Advanced Threat Defense」で可能だ。脅威情報を統合できる「McAfee Threat Intelligence Exchange」と組み合わせると、悪意のあるプログラムの解析結果が得られた場合、McAfee Threat Intelligence Exchangeのデータベースで共有されるため、同じ種類のマルウェアの侵入を即座にブロックできるようになる。

「PDCAというサイクルを前提に製品を連携させて、ランサムウェアなどの未知の脅威をブロックできるのが当社製品の魅力です」(平野氏)

　続きを読む　　Arcserve Japan、アクロニス、ベリタスが提案するバックアップ