LANSCOPE サイバープロテクション ブログ
セキュリティ
進化したAIアンチウイルス、深層学習でセキュリティは次のステージに
目次
2021年2月にMOTEXは米国のサイバーセキュリティ企業であるDeep Instinct社(以下ディープインスティンクト)とパートナー契約締結を発表し、提供する外部脅威対策ソリューション「Cyber Protection Managed Service(以下 CPMS)」のラインアップの一つとして販売を開始しました。深層学習を活用することでAIアンチウイルスはどのように進化したのか、詳しくみていきましょう。
高度化が進むサイバー脅威
昨今のサイバー攻撃は増加そして高度化の一途を辿っています。昨年一年間世界で確認されたマルウェアの数は前年との比較で3.5倍以上に増加、日本でも猛威を振るった「Emotet」に限れば、実に4000%も増えています※。
※出典元:Deep Instinct 2020 サイバー脅威レポート
また米国を中心に、企業内のシステムに侵入した上で、ランサムウェアを使ってデータを人質に脅迫するタイプのサイバー攻撃も増えており、業務停止や情報漏えい被害に発展したケースも少なくありません。米国最大の石油パイプライン企業が攻撃により一時的な操業停止に追い込まれ、最終的に身代金を支払った事件は記憶に新しいところです。また攻撃手口も巧妙化しており、過去にメールを送受信した相手になりすまし、添付ファイルでウイルスを送りつけるといった手口が次々登場。更にマルウェア本体(ペイロード)を伴わず、パワーシェルや既存ツールを活用して感染する手法も増えており、従来のアンチウイルス製品だけでは攻撃を防ぎきることはますます難しくなっているのが現状です。
このような脅威に対して、「脅威は既に組織内に侵入している」という前提に立ち、被害を最小化する視点でEDRと呼ばれる製品が登場し、国内でも導入や導入を検討する企業が増えてきています。また機械学習を使ったアンチウイルス機能を搭載する製品も増えてきており、予測モデルによって未知のマルウェアを検知する手法も広がってきました。しかしながら、このような次世代型製品を導入したり、検討するお客様からは不安や不満の声も聞こえてきています。
次世代型製品に対する不安と不満
まず一つ目は攻撃の最初に使われるドキュメントファイルへの対応です。従来のアンチウイルスはシグネチャというアプローチでこれらのファイルに対応していましたが、機械学習の製品はこれらのファイルのスキャンに対応しておらず、またEDRはあくまで侵入された後での検知と対処にフォーカスしているため、攻撃初期のファイルに対してはこれまで通りアンチウイルスに頼らざるを得ないという点があります。
二つ目は過検知の問題です。とりわけEDRのアプローチではデバイス上の振る舞いやイベントによって脅威を検知する手法を取っているため、どうしても誤検知や過検知が起きやすくなります。
そして、三つ目はコストです。次世代型製品はどうしても価格が従来のアンチウイルスより高価な上に、先に述べた理由により従来型アンチウイルスと併用(追加導入)するケースが多く、コストの負担が大きくなります。また過検知などへの対応も含めた管理者や運用チームの負担が増えることもコスト増の要因となってしまいます。
EPPとEDRによる防御を1台で提供するDeep Instinct
そんな中でいま注目を集めているのが深層学習を活用した新しいセキュリティソフトウェアを提供するDeep Instinctです。Deep Instinctは深層学習を活用することで、従来の機械学習よりも精度が高いモデルをさまざまなファイルやプラットフォーム向けに提供しており、AIの予測モデルを使ってワードやPDFなどのドキュメントファイルのスキャンが可能となっているほか、AndroidやChromeOS※などのモバイル環境にも対応しています。さらにEDRが提供している、振る舞い分析や脅威ハンティング、封じ込めなどの侵入を前提とした対策機能も一台のエンドポイントで提供している新しいタイプのエンドポイント製品です。
※ChromeOSについて、エムオーテックスでは今後正式対応予定です
深層学習によるメリット
深層学習は機械学習の一種ですが、AIの世界で大きなブレイクスルーを引き起こした画期的な技術と言われています。深層学習ではAIのシステム自体が学習対象となるデータのどの特徴を基に学習するかを決定するため、人間の専門家による特徴抽出処理を必要としないというメリットがあります。これによって、従来の機械学習のアプローチに比べて、非常に高精度のモデルを作成できるようになったほか、様々な対象に対して学習やモデル生成を行うなどの拡張性が向上しています。現在画像認識や自然言語処理、自動運転など、AIが活用される分野が広がっていますが、深層学習を元にしたアプローチが主流となっています。
多くの予防の実績、多層防御でセキュリティを大幅に強化
Deep Instinctは実際に世の中で話題となった高度なマルウェアを予測によって防御しています。例えば昨年話題となった新種のEmotetやSNAKE、RagnaLockerをはじめ、他にもIcedID、DarkSide、REvilといった次世代型製品でも検知が難しかった脅威についても1年以上前のモデルで防御をしています。
モデルによる防御は、攻撃初期で使われるドキュメントファイルや本体ペイロードのPEファイルだけでなく、Powershellにもモデル対応しているため、攻撃者が攻撃ステージ毎で使う複数のファイルやスクリプトを広くスキャンできるほか、仮にモデルによる検知がすり抜けた場合でも、悪性の高いPowershellやシェルコードの実行、認証情報窃盗などを振る舞い検知で防御します。また、万が一それらを抜けて侵入されてしまった場合でも、端末上のイベントから疑わしい活動を自動的に検知できる脅威ハンティング機能を搭載しているため、一台でEPPとEDRを組み合わせた以上の多層防御を実現できるという特徴があります。
さらに進化したAIアンチウイルスで、エンドポイントの外部脅威対策をアップグレードしてみませんか。是非CPMS powered by Deep Instinctの無料体験をご利用ください。
進化したAIアンチウイルス
「CPMS powered by Deep Instinct」を無料体験
関連記事
