CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由
新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、効果的なツールとして、ML(機械学習)の真価が発揮されます。
国際
海外情報
また、CrowdStrike Intelligenceチームは、ここ1年間でマルウェアベースの攻撃が増加し、その分マルウェアを使用しないステルス攻撃が減少したことを2019年グローバル脅威レポートで報告しています。これは、良いニュースのように思えるかもしれませんが、詳しく見ると、厄介な状況であることがわかります。2018年のインシデントの40%は、従来型のアンチウイルス(AV)製品が悪意のあるソフトウェアを検知し損ねた結果発生しています。つまり、レガシーソリューションに依存している企業は、マルウェアベースの脅威に対して非常に脆弱であることがわかります。
従来型のAV製品をマルウェアがすり抜けてしまう理由
従来型のAV製品は、マルウェアを特定する際に、シグネチャーあるいはウイルス定義ファイルに深く依存しています。つまり、マルウェアの新しい変種を検出し、次にそのシグネチャーを作成し、最後にエンドポイントにそのシグネチャーを配布するまでマルウェアを阻止することができないということになります。そのため、マルウェアが最初に使用されてから、それをブロックするためのシグネチャーが入手可能になるまでの間に、時間差ができてしまいます。そして、攻撃者は攻撃を開始し、後で使用するための認証情報を盗むのに十分な時間を得ることになります。
今日の攻撃者らは、標的とするシステム上にAVソリューションがインストールされていることを知っているため、アンチマルウェアの保護機能を回避しようと、常に新しい手口を生み出しています。既知のマルウェアを、一致するシグネチャーが存在しない「ゼロデイマルウェア」に作り替えるというやり方が簡単かつ一般的です。そのために、攻撃者はパッカーなどのツールを使用して、マルウェアの本質を絶えずに変更または難読化することで検知を回避します。av-test.orgによると、この作業は非常に簡単であるため、390,000もの膨大なマルウェアが毎日新たに出現しており、シグネチャーベースのテクノロジーでは手に負えない状態になっています。
機械学習-さらに優れたマルウェア防御策
このように新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、既知および未知の両方のマルウェアに対する効果的なツールとして、ML(機械学習)の真価が発揮されます。
MLはファイルの属性のみに基づいて悪質な手口を理解して特定します。予備知識やシグネチャーは不要であり、ファイルを実行してその挙動を観察する必要もありません。正しく設計されたMLは、マルウェアに対する非常に効果的な対抗手段になり得ます。たとえば、CrowdStrike MLエンジンは、Shammon2、WannaCryおよびNotPetya をブロックできますが、そのための設定やアップデートは不要です。このMLエンジンは、独立系テスト機関で定期的にテストされ、99.5%の検出率を達成しています。
エンドポイントの保護に適したMLを見つける
もはや機械学習は、効果的なエンドポイントソリューションを実現するうえでの最低条件です。そのため、独自開発のエンジンを使用する場合でも、他のOEM製のエンジンを使用する場合でも、旧来のシグネチャーベースの技術のみに頼っている製品は、「次世代型」を名乗るAV製品であっても避けるべきでしょう。このような製品は、従来型のシグネチャーベースのエンジンと同等の不十分なマルウェア防御機能しか提供できません。
MLエンジンはどこにある?
注意すべきもう1つの点は、MLエンジンが存在する場所です。MLへの要望の高まりに対応すべく、ベンダーの大半が機械学習を採用していると宣伝しています。そこで重要なのは、MLエンジンがどこに存在するかということです。MLがクラウド内のみにあるならば、エンドポイントはオフライン時に保護されなくなり、保護機能にさらなる抜け穴が生じます。MLエンジンはエンドポイント自体に搭載すべきであるという理由はここにあります。
MLはどのように学習していくのか?
すべてのMLモデルが同じように作られてはいないという点にも注意が必要です。学習が不十分なMLモデルでは、予測が不正確になったり誤検知が増えたりして、結果的に防御効果が低下します。MLエンジンの有効性を把握するには、誤検知率を問い合わせたり、テストを行ったりすることをお勧めします。
MLはセキュリティ機能の有効性の指標である
マルウェアに対する防御能力は、企業の全体的なセキュリティ戦略の有効性の指標となります。コモディティマルウェアに感染してしまう程度のシステムであれば、さらに高度な攻撃ではどうなってしまうのでしょう。MLは不可欠ですが、エンドポイントを保護するならMLだけに頼るべきではありません。MLだけでなく、エクスプロイトの予防やふるまい分析などの補完的なテクノロジーを組み合わせた包括的なエンドポイントセキュリティソリューションを採用する必要があります。そうすれば、マルウェア使用の有無にかかわらず、あらゆる種類の攻撃から保護できるようになるでしょう。
追加のリソース
・CrowdStrikeの『AV切り替えの手引き』では、次世代型のアンチウイルス製品において機械学習が果たす役割を紹介しています。また、いかに簡単にセキュリティのグレードを引き上げることができるかについても確認することができます。
・当社のWebページで、次世代型AVソリューションCrowdStrike Falconの詳細についてご一読ください。
・CrowdStrike Falconの有効性は第三者組織によるテストおよび評価により証明されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をお試しいただけます
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/defending-against-malware-with-machine-learning/
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
Microsoft Windows に、サービス起動時に操作するファイルの検証不備に起因する、任意のファイルの書き換えが可能となる脆弱性が、報告されています。
-
汚染された Tor ブラウザ、狙われるダークウェブ利用者
ダークウェブへの入り口ともいえるTorブラウザ。オニオンルーターという追跡を困難にするしくみを利用したブラウザで、ブラック、ホワイトを問わずハッカー御用達ブラウザといってよい。そのTorが悪人によって汚染されていたらどうなるのか?
-
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
Farsight SecurityのCEO ポール・ビクシー氏が、DNS over HTTPS(DoH)について講演した。DoHは、いくつかのブラウザで実装が進み、試験運用などがスタートしているが、DNSの権威であるビクシー氏はどう考えているのだろうか。
-
サイント岩井博樹の 2019 年全体総括 ほか [Scan PREMIUM Monthly Executive Summary]
2019 年は全体的なサイバー攻撃傾向として、サプライチェーンや取引先を通じたサイバー攻撃事案が多く確認されました。包括的なサイバーセキュリティ対策が世界的に求められていますが、その責任範囲を示すものが無い上、現実的な対応にも限界が見られました。
ソース・関連リンク
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Microsoft Windows の AppXSvc において設定ファイルの操作時のハードリンク検証不備により任意のファイルが上書き可能となる脆弱性(Scan Tech Report)
「パスワードマネージャー」に情報漏えいの2つの脆弱性(トレンドマイクロ、JVN)
OracleがJavaをアップデート、ライセンス変更にも注意(IPA、JPCERT/CC)
マイクロソフトが1月のセキュリティ情報を公開、早急に適用を(IPA、JPCERT/CC)
Intelが複数の製品に対するアップデートを公開(JVN)
複数のCDNに、サイト閲覧者に攻撃が行われる脆弱性(JVN)
インシデント・事故 記事一覧へ
「修正通知書」の送付先を誤り法人情報が漏えい、大和高田市を大和郡山市に(大阪市)
Google form設定誤りで「note pro」関連情報が他の取引企業から閲覧可能に(ピースオブケイク)
第三者からの不正アクセスで個人情報と企業情報が外部流出した可能性(三菱電機)
メールアカウントへの不正アクセスで迷惑メール送信の踏み台に(東京企画)
「象印でショッピング」への個人情報流出、顧客への偽装メールを確認(象印マホービン)
県立高等学校で第三者の個人情報を誤って開示(新潟県)
調査・レポート・白書 記事一覧へ
ディープフェイク、偽旗攻撃、ランサムウェア--2020年サイバー脅威予測(カスペルスキー)
「改ざんサイト」は2019年8月から急増、検索結果から誘導(デジタルアーツ)
セキュリティソフトに「防御率の高さ」と「動きの軽快さ」の改善を期待(NTTコム オンライン)
企業のメールセキュリティは改善傾向、特に送信元ドメイン認証で顕著(デージーネット)
ドイツBSIの産業用制御システムのセキュリティ10大脅威を翻訳して提供(IPA)
日本セキュリティ監査協会が選ぶ2020セキュリティ10大トレンド(JASA)
研修・セミナー・カンファレンス 記事一覧へ
インターネット安全利用の基礎を学ぶ無料セミナー(fjコンサルティング)
汚染された Tor ブラウザ、狙われるダークウェブ利用者
「自分たちの方が顧客に付加価値を提供できる」PCI DSS 準拠のための脆弱性スキャンとペネトレーションテスト内製化を実現 ~ スマート・ツー株式会社
DNS over HTTPS はインターネットの良心を破壊するか? ポール・ビクシー講演
「子供とネットについて考える!」をテーマにネット安全安心全国推進フォーラムを開催(文部科学省)
子どものネット依存に悩む家族が相談し交流(KENZAN)
製品・サービス・業界動向 記事一覧へ
クラウド環境でもオンプレミスと同じ監視を「Deep Security」で実現(NTTデータ先端技術)
機械学習とAIで工場IoTの可視化と異常の予兆検知、対応策を提示(ネットワンパートナーズ)
脆弱性情報を自動収集、リスク情報をレポートするサービスのβ版(エイチ・シー・ネットワークス)
コネクテッドカーのセキュリティで協業、年内にソリューション展開予定(富士通、Upstream Security)
BAシステムへのサイバーフィジカルセキュリティ対策に向けた実証実験開始(パナソニック、東京建物)
トレンドマイクロの制御システム向けセキュリティ製品を販売(TED)
おしらせ 記事一覧へ
ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019
![[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像](/imgs/std_m/28068.jpg)
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
![[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像](/imgs/std_m/27120.jpg)
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
