CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由
新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、効果的なツールとして、ML(機械学習)の真価が発揮されます。
国際
海外情報
また、CrowdStrike Intelligenceチームは、ここ1年間でマルウェアベースの攻撃が増加し、その分マルウェアを使用しないステルス攻撃が減少したことを2019年グローバル脅威レポートで報告しています。これは、良いニュースのように思えるかもしれませんが、詳しく見ると、厄介な状況であることがわかります。2018年のインシデントの40%は、従来型のアンチウイルス(AV)製品が悪意のあるソフトウェアを検知し損ねた結果発生しています。つまり、レガシーソリューションに依存している企業は、マルウェアベースの脅威に対して非常に脆弱であることがわかります。
従来型のAV製品をマルウェアがすり抜けてしまう理由
従来型のAV製品は、マルウェアを特定する際に、シグネチャーあるいはウイルス定義ファイルに深く依存しています。つまり、マルウェアの新しい変種を検出し、次にそのシグネチャーを作成し、最後にエンドポイントにそのシグネチャーを配布するまでマルウェアを阻止することができないということになります。そのため、マルウェアが最初に使用されてから、それをブロックするためのシグネチャーが入手可能になるまでの間に、時間差ができてしまいます。そして、攻撃者は攻撃を開始し、後で使用するための認証情報を盗むのに十分な時間を得ることになります。
今日の攻撃者らは、標的とするシステム上にAVソリューションがインストールされていることを知っているため、アンチマルウェアの保護機能を回避しようと、常に新しい手口を生み出しています。既知のマルウェアを、一致するシグネチャーが存在しない「ゼロデイマルウェア」に作り替えるというやり方が簡単かつ一般的です。そのために、攻撃者はパッカーなどのツールを使用して、マルウェアの本質を絶えずに変更または難読化することで検知を回避します。av-test.orgによると、この作業は非常に簡単であるため、390,000もの膨大なマルウェアが毎日新たに出現しており、シグネチャーベースのテクノロジーでは手に負えない状態になっています。
機械学習-さらに優れたマルウェア防御策
このように新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、既知および未知の両方のマルウェアに対する効果的なツールとして、ML(機械学習)の真価が発揮されます。
MLはファイルの属性のみに基づいて悪質な手口を理解して特定します。予備知識やシグネチャーは不要であり、ファイルを実行してその挙動を観察する必要もありません。正しく設計されたMLは、マルウェアに対する非常に効果的な対抗手段になり得ます。たとえば、CrowdStrike MLエンジンは、Shammon2、WannaCryおよびNotPetya をブロックできますが、そのための設定やアップデートは不要です。このMLエンジンは、独立系テスト機関で定期的にテストされ、99.5%の検出率を達成しています。
エンドポイントの保護に適したMLを見つける
もはや機械学習は、効果的なエンドポイントソリューションを実現するうえでの最低条件です。そのため、独自開発のエンジンを使用する場合でも、他のOEM製のエンジンを使用する場合でも、旧来のシグネチャーベースの技術のみに頼っている製品は、「次世代型」を名乗るAV製品であっても避けるべきでしょう。このような製品は、従来型のシグネチャーベースのエンジンと同等の不十分なマルウェア防御機能しか提供できません。
MLエンジンはどこにある?
注意すべきもう1つの点は、MLエンジンが存在する場所です。MLへの要望の高まりに対応すべく、ベンダーの大半が機械学習を採用していると宣伝しています。そこで重要なのは、MLエンジンがどこに存在するかということです。MLがクラウド内のみにあるならば、エンドポイントはオフライン時に保護されなくなり、保護機能にさらなる抜け穴が生じます。MLエンジンはエンドポイント自体に搭載すべきであるという理由はここにあります。
MLはどのように学習していくのか?
すべてのMLモデルが同じように作られてはいないという点にも注意が必要です。学習が不十分なMLモデルでは、予測が不正確になったり誤検知が増えたりして、結果的に防御効果が低下します。MLエンジンの有効性を把握するには、誤検知率を問い合わせたり、テストを行ったりすることをお勧めします。
MLはセキュリティ機能の有効性の指標である
マルウェアに対する防御能力は、企業の全体的なセキュリティ戦略の有効性の指標となります。コモディティマルウェアに感染してしまう程度のシステムであれば、さらに高度な攻撃ではどうなってしまうのでしょう。MLは不可欠ですが、エンドポイントを保護するならMLだけに頼るべきではありません。MLだけでなく、エクスプロイトの予防やふるまい分析などの補完的なテクノロジーを組み合わせた包括的なエンドポイントセキュリティソリューションを採用する必要があります。そうすれば、マルウェア使用の有無にかかわらず、あらゆる種類の攻撃から保護できるようになるでしょう。
追加のリソース
・CrowdStrikeの『AV切り替えの手引き』では、次世代型のアンチウイルス製品において機械学習が果たす役割を紹介しています。また、いかに簡単にセキュリティのグレードを引き上げることができるかについても確認することができます。
・当社のWebページで、次世代型AVソリューションCrowdStrike Falconの詳細についてご一読ください。
・CrowdStrike Falconの有効性は第三者組織によるテストおよび評価により証明されています。
・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をお試しいただけます
*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/defending-against-malware-with-machine-learning/
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際
クレムリンへ DDoS攻撃 露技術者 流刑
技術的なノウハウはそれほど必要ではない。ハクティビストが組織のネットワークにジャンクのトラフィックを殺到させるために使用できるオープンソースの DDoSツールは巷にあふれており、洗練されていなくとも比較的簡単に誰でも成功させることができる。
-
サイバー攻撃に便乗 勤務先脅迫 セキュリティアナリスト逮捕
警察や同僚、雇用主に隠れてライルスは会社に二次的に攻撃を仕掛ける。
-
今日もどこかで情報漏えい 第11回「2023年4月の情報漏えい」誤送信 三度あることは四度ある ほか
今日もどこかで情報漏えいは起きている。
-
ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」
「Smishsmash」とは、SMSを利用した2FAをバイパスする攻撃手法のこと。セキュリティの専門家でありハッカーでもあるトーマス・オロフソン氏、マイケル・ビストロム氏が命名した。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

OpenSSL の ASN.1 オブジェクト識別子変換に処理時間遅延の問題

セゾン情報システムズのデータ連携ソフト「DataSpider Servista」にハードコードされた暗号鍵の使用の脆弱性

OSSのノーコード・ローコード開発ツール「プリザンター」にXSSの脆弱性

みずほ信託銀行がフィッシングメールに注意喚起

Starlette にディレクトリトラバーサルの脆弱性

ESS REC Agent Server Edition for Linux 等にディレクトリトラバーサルの脆弱性
インシデント・事故 記事一覧へ

読者から神奈川新聞社に寄せられた情報を家族に漏えい、社内ルールに基づき厳正に対処

厚生労働省のサーバを経由し約10万件の迷惑メールを送信

UCCグループのネット通販「フーヅフリッジ」ウェブサイトが改ざん被害、注文情報のダウンロードも判明

送付を希望しない相手に通知文書を2度にわたり誤送付、「市からの補償」名目で私金を渡す不適切な事務も発覚

モンテディオ山形で誤送信、送信先リストを「宛先に追加」ではなく「メールに添付」

屋根に柏崎刈羽原子力発電所6号機に関する書類80枚載せ自家用車発進し紛失 ~ 市長「極めてむなしい。」
調査・レポート・白書・ガイドライン 記事一覧へ

ランサムウェア身代金 払い続けた世界の末路 ~ ウィズセキュアが犯罪のプロ化警鐘

中 露 北のサイバー攻撃主体を紹介、公安調査庁 サイバー脅威概況2023

ランサムウェア攻撃の 93%がバックアップストレージを標的に

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

「セキュリティは制限や制約ではなく変革を支えるもの」日経デジタル人材 新卒研修資料

AI は脅威インテリジェンスを生成できるか、NEC技術者検証
研修・セミナー・カンファレンス 記事一覧へ

NTTデータ先端技術が DMARC、BIMI 対応ウェビナー開催 ~ TwoFive 桐原氏講演

東京都が中小企業のセキュリティ対策支援 セミナーやワークショップ 専門家派遣

ヤバいデモで会場沸かす ~ SMS で 2FA 迂回する「Smishsmash」

テーマは「次の30年」 Interop Tokyo 2023、幕張メッセで 6/14-16 開催

サイバーセキュリティ対策のための統一基準 ガイドライン(案)に明記されたDMARC対応、その導入の実際~日本プルーフポイント講演レポート
