進化した“アンチウイルス”の形 ~攻撃者との“開発競争”の前線で~

 2019.09.06  EDR実践ポータル

一昔前であればPCにアンチウイルスソフトを入れていれば大丈夫という判断で正しかったかもしれません。しかし、コンピュータウイルス自体も進化・変化を遂げており情報を保護するものとそれを攻撃するものとのせめぎ合いが益々加速しています。今回は昨今のアンチウイルス事情とともに次世代アンチウイルスの必要性やその考え方や機能などについてご紹介します。

antivirus

アンチウイルスは攻防の最前線

不正アクセスによる機密情報の搾取や、Webサイトの改ざんといった犯罪が鎮静化する兆しは見えませんが、被害を受けた企業や団体から開示される情報を見る限り、その多くは平均的なセキュリティ対策は講じていたと思われます。

中には、サーバソフトの脆弱性が数カ月も放置されていたり、ウイルス対策ソフトの更新が滞っていたり、専任の管理者が欠員のままといった、無防備と言わざるを得ないケースも散見しますが、その業界が定めるセキュリティ基準に準拠し、従業員の教育を実践していても、被害を受けた企業は少なくありません。

その要因としては、攻撃側の手法が先鋭化、巧妙化し、既存の対策では防ぎきれなくなった点が挙げられます。もちろん、この事態に対峙するセキュリティ企業や研究機関は、被害を少しでも減らすために技術を研いており、いま現在も熾烈な“開発競争”が続いています。

せめぎ合いの実態を俯瞰しやすい領域は、アンチウイルス、ウイルス対策です。今回はこの分野の動きを追いながら、情報システムの安全性をより強化する方法を考えてみましょう。

 

“1~3%”の穴は大きな入り口

アンチウイルスは、不審な通信を遮断するファイアウォールと共に、セキュリティ対策では古典的な技術ですが、サイバー犯罪の先鋭化と多様化に呼応し、その機能は年々進化してきました。まずここ数年の攻撃の動向を見ると、ウイルスの急増が挙げられます。

ウイルスは亜種を含めると、世界中で1日に数十万種が生成されていると推測できますが、一度流布したプログラムを改変するのは簡単です。無料の制作ツールも出回っていて、亜種の生成には特別なスキルは必要としません。

アンチウイルスの技術は、既知のウイルスのパターンと合致するファイルを検出する「シグネチャ方式」が用いられてきましたが、97~99%の有効率をアピールするシステムでガードしても、亜種や新種を駆使する攻撃者にとっては、1~3%の隙は大きな穴になるのです。

 

アンチウイルスの“基礎体力”

シグネチャ方式だけでは機能不足は明白になってきたため、アンチウイルスとして出荷される製品やサービスは、パターンマッチングに加えて、「ヒューリスティック」と呼ぶ手法を採り入れるようになりました。

ヒューリスティック(heuristic)は、“発見を助ける”“試行錯誤的”などの意味がある形容詞で、セキュリティの分野では、シグネチャを用いない検出方法を示します。明示的なビットパターンから判断するのではなく、ウイルスの特徴を抽出しておいて、それに該当するプログラムやコードを“クロ”と見なすわけです。

判断基準とする“特徴”は、各社のノウハウが集まるところですが、過去に出現したウイルスとの類似性、ファイル構造、コードの記述形式などが要素になります。

 

  “パターンマッチング+ヒューリスティック” ⇒ アンチウイルス

 

依然として多い既知のウイルスをブロックするパターンマッチングとヒューリスティック、ここまでが既存のアンチウイルスに備わるもっともベーシックな機能と言えます。

 

ファイルレスマルウェアの洗礼

現在は、機能を強化した“次世代アンチウイルス”のジャンルも確立しつつあります。

登場の背景はここでも攻撃の先鋭化で、典型的な手口が「ファイルレスマルウェア」。この攻撃は、ウイルスのようなファイルの体裁はとりません。例えば、Windowsにもともと備わっている「PowerShell」や、コマンドプロンプトのようなアプリケーション、オペレーションの機能を悪用して、システムに侵入します。

PowerShellは正規の業務でも普通に使われます。監視システムから見ると、正規か悪意かの判別は難しく、攻撃を認識できたとしても時間を要してしまい、被害が拡大するという課題を抱えることになったのです。

関連記事:マルウェアからの防御策には機械学習が必須

“次世代アンチウイルス”の必要条件は?

“次世代アンチウイルス”は、ファイルレスマルウェアのような新しい手口にも対処する技術を備えたシステムです。“次世代”に明確な定義はなく、セキュリティ企業によって捉え方やアプローチは違いますが、共通する要素、最低限必要な機能は、「振る舞い検知」と「機械学習」の二つと見ていいでしょう。

振る舞い検知は、前述したパターンマッチングを行わない、ヒューリスティックに含まれる手法で、プログラムの特徴(静的)に加え、その挙動(動的)を観察して、“クロ”と判断したコードの動作を阻止する技術です。

機械学習は、ぼう大なデータを高速処理し、自動的に知識を集積していくAI(人工知能)の学習方法の一つ。ウイルスが持つパターンや特徴、ファイルレスマルウェアの動きなどを、人間には不可能な速度で学習し、攻撃の兆候を検出するといった用途に生かされています。

機械学習を採り入れることで、パターンマッチングやヒューリスティックの精度は格段に向上し、蓄積した知識から攻撃プログラムの動作を予測する機能も研かれ、未知の攻撃に対する耐性を高めることもできるのです。

 

  “パターンマッチング+ヒューリスティック”   ⇒ アンチウイルス

         ⇩

  静的・動的(振る舞い検知) ⇒  次世代アンチウイルス

         AI(機械学習)

 

次世代テクノロジーも過信はしない

現在のアンチウイルスは、パターンマッチングに加えて、振る舞い検知や機械学習を採り入れ、精度を上げた製品・サービスが主流ですが、“次世代型”のカテゴリーにあっても、新しい技術の特性を生かしきれていないシステムが多いことは否めません。

例えば、振る舞い検知で動的に分析するとしても、リソースに制限があるオンプレミスのインフラでは、高精度の解析は難しいはずです。巧妙なウイルスやファイルレスの攻撃は、数秒程度の検証では見極めが難しいことが多く、一定時間いろいろな条件下で、挙動を繰り返しチェックする必要があるからです。

攻撃プログラムのパターンや挙動、さらにエンドポイント(サーバ、クライアントPCなどの構成機器)の動きに関するデータの絶対量が不足しては、機械学習の機能を十分に引き出すことはできません。新しい手法・技術の特性を生かすには、十分なシステムリソースを備えた“クラウドネイティブ”のバックボーンが必要条件と言えます。

 

もう一つのキーワードは「エンドポイント監視」

次世代アンチウイルスの領域で、ヒューリスティックやAIと共に軸となる機能は、ネットワーク内のすべてのエンドポイントの動きを見張る「エンドポイント監視」。具体的な手法の一つとして、近年「IOA(Indicators Of Attack)」に注目が集まってきました。簡単に言うと、エンドポイントからセキュリティ被害につながる“攻撃の痕跡”を検出する技術です。

従来の手法は、ウイルスのパターンや攻撃者のIPアドレスなど、“侵害の痕跡”「IOC(Indicators Of Compromise)」を調べることが柱でしたが、痕跡を検出できた時点で侵害が進んでいる可能性も高いため、IOCだけでは十分な防御はできません。ここをカバーするのがIOAです。

IOAを一般社会の犯罪に当てはめてみましょう。

宝石店を狙う窃盗団は、まず周辺道路の把握、ワイヤーカッターやドライバーなど七つ道具の準備、セキュリティシステムのチェック、そして裏口の確認など、入念に下準備をするはずです。そして狙った日時に侵入してショーケースのロックを外し、宝石をバッグに入れて裏口から立ち去る。

一連の行動はすべて“攻撃の痕跡”ですが、個々の挙動は必ずしも窃盗と直結するものではありません。事前に裏口を確かめる行為も、ガスや水道の保守作業を装えば、怪しまれることはないでしょう。さまざまな動きが“特定の組合せ”で“線”で結ばれたとき、犯罪が成り立つわけです。

もし防御する側に、窃盗の手口に関する十分な情報と、行動の組合せから犯行を予測できる分析力が備わっていれば、事前にガードを強化することはできそうです。情報セキュリティにも同様のことが言えます。

 

IOAでリスクの予測と被害の軽減を

侵入に成功した攻撃プログラムに共通する挙動は、システム構成の偵察、アカウント情報の複写、権限設定の変更、自らの行動履歴の抹消などが挙げられます。これらの行動は、単独では必ずしも侵害に直結するものではなく、OSやアプリケーションに備わる正規の機能が使われると、通常の監視体制ではなかなか気づくことはできません。

しかし、個々の要素の組合せから犯意を検出するアルゴリズムが備わっていれば、そして侵害と結びつける証左となる十分なデータの蓄積があれば、攻撃の兆候と判断して行動を阻止。被害を最小限に止めることができるのです。

“侵害の痕跡”ではなく“攻撃の痕跡”を注視。IOCが車のバックミラーを見ながら、トラブルを認識して手を打つ方法とすれば、IOAはフロントの視界に目を凝らし、リスクの兆候を見つけて被害を避けるためのメソッドと言えます。

 

テクノロジーをシームレスに連動

IOCだけでなくIOAを有効に機能させ、システムの安全を維持していくには、何が必要でしょうか? まずエンドポイントの動きをリアルタイムで収集、分析するための演算能力を備えたクラウドのバックボーンです。大量のデータを一定期間、保持する大容量ストレージ、そして攻撃の兆候を、分析・可視化して伝えるためのシステムも欠かせません。

もう一つ、ポイントを挙げるとすれば、ワールドワイドのレベルで脅威に関する最新情報を収集・配信する「脅威インテリジェンス」との連動です。毎日毎時、大量のウイルスや新手の攻撃手法が現れる環境と対峙するには、脅威情報のデータベースと逐次やり取りできる機能も不可欠です。

“エンドポイントに対する攻撃の痕跡を、動的、リアルタイムで捉え、危険な行動を阻止”。これが次世代アンチウイルスに求められる機能のエッセンスと言えます。先鋭化、巧妙化する攻撃と向き合うには、クラウド・コンピューティング、AI、脅威インテリジェンスなど、最新のテクノロジーをシームレスに連携する体制が欠かせないのです。

これからの“次世代アンチウイルス”に求められる機能

  “パターンマッチング+ヒューリスティック”   ⇒ アンチウイルス

      ⇩

   静的・動的(振る舞い検知)

      AI(機械学習)        ⇒  次世代アンチウイルス

                +

      エンドポイントプロテクションの要素技術と連動

脅威ハンティングの最前線

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「アンチウィルス」の最新記事


進化した“アンチウイルス”の形 ~攻撃者との“開発競争”の前線で~
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング