マルウェアからの防御策には機械学習が必須

 2019.10.17  EDR実践ポータル

エンドポイントへのアンチウイルス対策やゲートウェイでの次世代ファイヤウォールなどの対策については多くの企業において取り組まれているセキュリティ対策の一つでしょう。しかし、その一方で昨今では未知のマルウェアが送りつけられるケースが多く、従来の技術的対策だけでは全て防ぎきることは難しいと言われています。これら未知のマルウェアについては、残念ながら一般的なアンチウイルスでは検知できません。

つまり、これらの検知・対策には、専用ソリューションの導入が必要になります。今回は一般的なマルウェアの説明とともに最新のマルウェア対策に関する情報をお届けします。

machine-learning-for-anti-malware

マルウェアとは?

マルウェア(Malware)とは、不正かつ危害を与える動作を行う目的で作成された悪意のあるソフトウェアの総称です。マルウェアにはいくつかの種類があり、その動作によって名称が違います。例えば、他のプログラムに寄生して、動作を妨げたり、有害な作用を及ぼしたりするプログラムであるウイルスは感染機能や自己拡散機能を有します。また、ワームはウイルスと同様ですが独立したファイルという違いがあります。それ以外にも、侵入先のコンピュータで秘密裏に悪意ある動作を行うトロイの木馬、感染したコンピュータの内部情報を外部に漏洩させるスパイウェア、攻撃者が侵入するためのネットワークを確保するバックドアなどで構成されます。

高度化するマルウェアの現状と課題

CrowdStrike Servicesのサイバーセキュリティ侵害調査報告書に、「コモディティマルウェアの使用が、壊滅的な攻撃の前兆である場合も多々ある」と書かれています。

CrowdStrike Intelligenceチームは、ここ1年間でマルウェアベースの攻撃が増加し、その分マルウェアを使用しないステルス攻撃が減少したことを2019年グローバル脅威レポートで報告しています。これは、良いニュースのように思えるかもしれませんが、詳しく見ると、厄介な状況であることがわかります。2018年のインシデントの40%は、従来型のアンチウイルス(AV)製品が悪意のあるソフトウェアを検知し損ねた結果発生しています。つまり、従来型のレガシーなAVソリューションに依存している企業は、マルウェアベースの脅威に対して非常に脆弱であることがわかります。

 

従来型のアンチウイルス(AV)製品をマルウェアがすり抜けてしまう理由

従来型のAV製品は、マルウェアを特定する際に、シグネチャーあるいはウイルス定義ファイルに深く依存しています。つまり、昨今のサイバー攻撃で利用されるマルウェアは、ウイルスソフトがウイルスを認識するためのパターンファイルを提供している既知のマルウェアだけでなく、パターンファイルが提供されていない全く新しい未知のマルウェアが攻撃に多く使われます。これら未知のマルウェアについては、残念ながら一般的なアンチウイルスでは検知できません。

つまり、マルウェアの新しい変種を検出し、次にそのシグネチャーを作成し、最後にエンドポイントにそのシグネチャーを配布するまでマルウェアを阻止することができないということになります。そのため、マルウェアが最初に使用されてから、それをブロックするためのシグネチャーが入手可能になるまでの間に、時間差ができてしまいます。そして、攻撃者は攻撃を開始し、後で使用するための認証情報や企業の貴重なデータを盗むのに十分な時間を得ることになります。

今日の攻撃者らは、標的とするシステム上にAVソリューションがインストールされていることを知っているため、アンチマルウェアの保護機能を回避しようと、常に新しい手口を生み出しています。既知のマルウェアを、一致するシグネチャーが存在しない「ゼロデイマルウェア」に作り替えるというやり方が簡単かつ一般的です。そのために、攻撃者はパッカーなどのツールを使用して、マルウェアの本質を絶えずに変更または難読化することで検知を回避します。av-test.orgによると、この作業は非常に簡単であるため、390,000もの膨大なマルウェアが毎日新たに出現しており、シグネチャーベースのテクノロジーでは手に負えない状態になっています。

優れたマルウェア防御策としての機械学習

このように新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、既知および未知の両方のマルウェアに対する効果的なツールとして、機械学習(ML)の真価が発揮されます。

機械学習にシグネチャーは不要であり、ファイルを実行してその挙動を観察する必要もありません。正しく設計された機械学習は、マルウェアに対する非常に効果的な対抗手段になり得ます。

エンドポイントの保護に適した機械学習の選定ポイント

もはや機械学習は、効果的なエンドポイントソリューションを実現するうえでの最低条件です。そのため、独自開発のエンジンであろうが、他のOEM製のエンジンであろうが、旧来のシグネチャーベースの技術に頼っている製品は、たとえ「次世代型」を名乗っていたとしても避けるべきでしょう。

機械学習エンジンの場所が重要

注意すべきもう1つの点は、機械学習エンジンが存在する場所です。機械学習への要望の高まりに対応すべく、ベンダーの大半が機械学習を採用していると宣伝しています。重要なのは、機械学習エンジンがどこに存在するかということです。機械学習がクラウド内だけにあるならば、エンドポイントはオフライン時に保護されなくなり、保護機能にさらなる抜け穴が生じます。機械学習エンジンはエンドポイント自体に搭載すべきであるという理由はここにあります。

機械学習がどのように学習するのかが重要

すべての機械学習モデルが同じように作られてはいないという点にも注意が必要です。学習機能が不十分な機械学習モデルでは、予測が不正確になったり誤検知が増えたりして、結果的に防御効果にも影響を与えますし、誤検知の内容確認や対応など運用の負荷も上がってしまいます。機械学習エンジンの有効性を把握するには、AV TESTAV-ComparativesSE Labsなどの第三者機関の評価を参照したり、テストを行ったりすることをお勧めします。ベンダー各社も自社の製品に対する第三者評価、テストの結果をウェブサイトで公開している様です。 

機械学習はセキュリティ対策の必須の時代

マルウェアに対する防御能力は、企業の全体的なセキュリティ戦略の有効性の指標となります。コモディティマルウェアに感染してしまう程度のシステムであれば、さらに高度な攻撃ではどうなってしまうのでしょう。機械学習は不可欠ですが、エンドポイントを保護するなら機械学習だけに頼るべきではありません。機械学習だけでなく、エクスプロイトの予防やふるまい分析などの補完的なテクノロジーを組み合わせた包括的なエンドポイントセキュリティソリューションを採用する必要があります。次世代AV、そしてEDRがどの様に侵入を検知するのかを理解し、攻撃にマルウェアが使用されているかどうかにかわらず、あらゆる手法に対しての検知、攻撃からの保護が可能になる選択をすべきでしょう。

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/defending-against-malware-with-machine-learning/

AV切替の手引き

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「アンチウィルス」の最新記事


マルウェアからの防御策には機械学習が必須
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング