CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由
新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、効果的なツールとして、ML(機械学習)の真価が発揮されます。
国際
海外情報
また、CrowdStrike Intelligenceチームは、ここ1年間でマルウェアベースの攻撃が増加し、その分マルウェアを使用しないステルス攻撃が減少したことを2019年グローバル脅威レポートで報告しています。これは、良いニュースのように思えるかもしれませんが、詳しく見ると、厄介な状況であることがわかります。2018年のインシデントの40%は、従来型のアンチウイルス(AV)製品が悪意のあるソフトウェアを検知し損ねた結果発生しています。つまり、レガシーソリューションに依存している企業は、マルウェアベースの脅威に対して非常に脆弱であることがわかります。
従来型のAV製品をマルウェアがすり抜けてしまう理由
従来型のAV製品は、マルウェアを特定する際に、シグネチャーあるいはウイルス定義ファイルに深く依存しています。つまり、マルウェアの新しい変種を検出し、次にそのシグネチャーを作成し、最後にエンドポイントにそのシグネチャーを配布するまでマルウェアを阻止することができないということになります。そのため、マルウェアが最初に使用されてから、それをブロックするためのシグネチャーが入手可能になるまでの間に、時間差ができてしまいます。そして、攻撃者は攻撃を開始し、後で使用するための認証情報を盗むのに十分な時間を得ることになります。
今日の攻撃者らは、標的とするシステム上にAVソリューションがインストールされていることを知っているため、アンチマルウェアの保護機能を回避しようと、常に新しい手口を生み出しています。既知のマルウェアを、一致するシグネチャーが存在しない「ゼロデイマルウェア」に作り替えるというやり方が簡単かつ一般的です。そのために、攻撃者はパッカーなどのツールを使用して、マルウェアの本質を絶えずに変更または難読化することで検知を回避します。av-test.orgによると、この作業は非常に簡単であるため、390,000もの膨大なマルウェアが毎日新たに出現しており、シグネチャーベースのテクノロジーでは手に負えない状態になっています。
機械学習-さらに優れたマルウェア防御策
このように新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、既知および未知の両方のマルウェアに対する効果的なツールとして、ML(機械学習)の真価が発揮されます。
MLはファイルの属性のみに基づいて悪質な手口を理解して特定します。予備知識やシグネチャーは不要であり、ファイルを実行してその挙動を観察する必要もありません。正しく設計されたMLは、マルウェアに対する非常に効果的な対抗手段になり得ます。たとえば、CrowdStrike MLエンジンは、Shammon2、WannaCryおよびNotPetya をブロックできますが、そのための設定やアップデートは不要です。このMLエンジンは、独立系テスト機関で定期的にテストされ、99.5%の検出率を達成しています。
エンドポイントの保護に適したMLを見つける
もはや機械学習は、効果的なエンドポイントソリューションを実現するうえでの最低条件です。そのため、独自開発のエンジンを使用する場合でも、他のOEM製のエンジンを使用する場合でも、旧来のシグネチャーベースの技術のみに頼っている製品は、「次世代型」を名乗るAV製品であっても避けるべきでしょう。このような製品は、従来型のシグネチャーベースのエンジンと同等の不十分なマルウェア防御機能しか提供できません。
MLエンジンはどこにある?
注意すべきもう1つの点は、MLエンジンが存在する場所です。MLへの要望の高まりに対応すべく、ベンダーの大半が機械学習を採用していると宣伝しています。そこで重要なのは、MLエンジンがどこに存在するかということです。MLがクラウド内のみにあるならば、エンドポイントはオフライン時に保護されなくなり、保護機能にさらなる抜け穴が生じます。MLエンジンはエンドポイント自体に搭載すべきであるという理由はここにあります。
MLはどのように学習していくのか?
すべてのMLモデルが同じように作られてはいないという点にも注意が必要です。学習が不十分なMLモデルでは、予測が不正確になったり誤検知が増えたりして、結果的に防御効果が低下します。MLエンジンの有効性を把握するには、誤検知率を問い合わせたり、テストを行ったりすることをお勧めします。
MLはセキュリティ機能の有効性の指標である
マルウェアに対する防御能力は、企業の全体的なセキュリティ戦略の有効性の指標となります。コモディティマルウェアに感染してしまう程度のシステムであれば、さらに高度な攻撃ではどうなってしまうのでしょう。MLは不可欠ですが、エンドポイントを保護するならMLだけに頼るべきではありません。MLだけでなく、エクスプロイトの予防やふるまい分析などの補完的なテクノロジーを組み合わせた包括的なエンドポイントセキュリティソリューションを採用する必要があります。そうすれば、マルウェア使用の有無にかかわらず、あらゆる種類の攻撃から保護できるようになるでしょう。
追加のリソース
・CrowdStrikeの『AV切り替えの手引き』では、次世代型のアンチウイルス製品において機械学習が果たす役割を紹介しています。また、いかに簡単にセキュリティのグレードを引き上げることができるかについても確認することができます。
・当社のWebページで、次世代型AVソリューションCrowdStrike Falconの詳細についてご一読ください。
・CrowdStrike Falconの有効性は第三者組織によるテストおよび評価により証明されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をお試しいただけます
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/defending-against-malware-with-machine-learning/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威
ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)
何だね君はぁ!「ども!テレワークだと昼休みに弁当を食べながらアニメが見られて最高です。冬アニメの消化がとても捗ります!」
-
失言王フィリップ殿下のハッキング被害がテクノロジー業界にもたらしたもの
追悼記事
-
Office 365 のセキュリティ課題を整理する Gartner のフレームワークとは
企業ITのクラウド化により、Office製品もOfiece 365(O365)への移行が各社で進んでいる。セキュリティソリューションもクラウド対応が求められるが、データ保護という視点で、どのようなシステム運用が考えられるのだろうか。
-
北朝鮮の APT 引っかかってみた/Acer 社 ランサム 五千万ドル/データセンター火災影響が攻撃者に 他 [Scan PREMIUM Monthly Executive Summary]
中国では、3 月 5 日に第 13 期全国人民代表大会第 4 回会議(全人代)と全国政治協商会議(政協)が開催されました。これらの会議で提案および決定された内容は、サイバー領域における情勢へも影響するものです。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

ここが変だよ日本のセキュリティ 第 44 回 「どこも身近な問題ってどうよ ?! まだだ! まだ終わらんよ!!」(後編)

日立、Cosminexus運用管理機能における情報露出の脆弱性

「ぐるなび」アプリにアクセス制限不備の脆弱性

SaltStack Salt において wheel_async client での認証の実装不備により認証を回避して遠隔からのコード実行が可能となる脆弱性(Scan Tech Report)

Sensorweb製ScadaBRに任意のファイルをアップロードされる問題

意図しない「Trello」のボード「公開」設定、非公開への変更方法を案内
インシデント・事故 記事一覧へ

NEXCO西日本、車両制限令等違反車両に関する取締り計画のSNS流出を確認

白泉社Webサイトに不正アクセス、悪意あるサイトへ誘導する改ざん被害

立花エレテックを装った不審メールを確認、注意を呼びかけ

カプコンのランサムウェア感染、北米現地法人の緊急避難用の旧型VPN装置がサイバー攻撃の対象に

BTCボックスのメール配信システムに不正アクセス、詐欺メール送信の踏み台に

カステラ販売サイトに不正アクセス、1年分の決済情報が流出の可能性
調査・レポート・白書 記事一覧へ

IPA、欧米中露を中心に暗号に関わるセキュリティ政策をまとめた報告書を公開

「電子契約サービス導入状況の実態調査」公表、業務効率化やコスト削減で一定の効果

エフセキュア調査レポート、2020年末には15ものランサムウェアが盗んだ情報のリークをほのめかし脅迫

国土交通省、バリアフリー情報をオープンデータとして整備し公開

国土交通省「鉄道の混雑緩和に資する情報提供に関するガイドライン」策定

IDCの国内企業833社セキュリティ対策実態調査、被害の4割はランサムウェア感染
研修・セミナー・カンファレンス 記事一覧へ

セキュリティ・キャンプ全国大会2021、今年はオンラインで開催

SHIFT SECURITY「クラウド監視」テーマのオンラインセミナー、AWSやAzureの監視事例を紹介

Office 365 のセキュリティ課題を整理する Gartner のフレームワークとは

グローバル 5 カ国の専門家が登壇、マキナレコードが「Cyber Intelligence Summit 2021」オンライン開催

CrowdStrike、日本を取り巻くサイバー脅威について Interop Tokyo 2021 で基調講演

ゼットスケーラーとクラウドストライク共催オンラインセミナー、両社CTO基調講演
製品・サービス・業界動向 記事一覧へ

公正取引委員会、デジタルプラットフォーマー 問題行動専用「通報」窓口開設

NVIDIA、クラウドネイティブのサイバーセキュリティ フレームワーク「Morpheus」を発表

イエラエセキュリティ CSIRT支援室 第10回「IoTフォレンジック 入門 -IoTフォレンジックとは-」

フェイクニュース時代の正確な情報発信とは ~ Yahoo!ニュース トピックスが見出し文字数を最大14.5文字に変更

GSX、EC-Council公式トレーニングコースCEHv11リリース、杉浦隆幸氏と新井悠氏がゲストのイベントも開催
