CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由 | ScanNetSecurity
2024.04.20(土)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由

新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、効果的なツールとして、ML(機械学習)の真価が発揮されます。

国際 海外情報
 CrowdStrike のチーフサイエンティストであるDr. Sven Krasserは、「機械学習(ML)は現代の脅威に対する防衛の最前線である」と主張しています。これは2年ほど前に彼が言った言葉ですが、今ではさらに真実味を増しています。CrowdStrike Servicesのサイバーセキュリティ侵害調査報告書にも、「コモディティマルウェアの使用が、壊滅的な攻撃の前兆である場合も多々ある」と書かれています。

 また、CrowdStrike Intelligenceチームは、ここ1年間でマルウェアベースの攻撃が増加し、その分マルウェアを使用しないステルス攻撃が減少したことを2019年グローバル脅威レポートで報告しています。これは、良いニュースのように思えるかもしれませんが、詳しく見ると、厄介な状況であることがわかります。2018年のインシデントの40%は、従来型のアンチウイルス(AV)製品が悪意のあるソフトウェアを検知し損ねた結果発生しています。つまり、レガシーソリューションに依存している企業は、マルウェアベースの脅威に対して非常に脆弱であることがわかります。

従来型のAV製品をマルウェアがすり抜けてしまう理由

 従来型のAV製品は、マルウェアを特定する際に、シグネチャーあるいはウイルス定義ファイルに深く依存しています。つまり、マルウェアの新しい変種を検出し、次にそのシグネチャーを作成し、最後にエンドポイントにそのシグネチャーを配布するまでマルウェアを阻止することができないということになります。そのため、マルウェアが最初に使用されてから、それをブロックするためのシグネチャーが入手可能になるまでの間に、時間差ができてしまいます。そして、攻撃者は攻撃を開始し、後で使用するための認証情報を盗むのに十分な時間を得ることになります。

 今日の攻撃者らは、標的とするシステム上にAVソリューションがインストールされていることを知っているため、アンチマルウェアの保護機能を回避しようと、常に新しい手口を生み出しています。既知のマルウェアを、一致するシグネチャーが存在しない「ゼロデイマルウェア」に作り替えるというやり方が簡単かつ一般的です。そのために、攻撃者はパッカーなどのツールを使用して、マルウェアの本質を絶えずに変更または難読化することで検知を回避します。av-test.orgによると、この作業は非常に簡単であるため、390,000もの膨大なマルウェアが毎日新たに出現しており、シグネチャーベースのテクノロジーでは手に負えない状態になっています。

機械学習-さらに優れたマルウェア防御策

 このように新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、既知および未知の両方のマルウェアに対する効果的なツールとして、ML(機械学習)の真価が発揮されます。

 MLはファイルの属性のみに基づいて悪質な手口を理解して特定します。予備知識やシグネチャーは不要であり、ファイルを実行してその挙動を観察する必要もありません。正しく設計されたMLは、マルウェアに対する非常に効果的な対抗手段になり得ます。たとえば、CrowdStrike MLエンジンは、Shammon2WannaCryおよびNotPetya をブロックできますが、そのための設定やアップデートは不要です。このMLエンジンは、独立系テスト機関で定期的にテストされ、99.5%の検出率を達成しています。

エンドポイントの保護に適したMLを見つける

 もはや機械学習は、効果的なエンドポイントソリューションを実現するうえでの最低条件です。そのため、独自開発のエンジンを使用する場合でも、他のOEM製のエンジンを使用する場合でも、旧来のシグネチャーベースの技術のみに頼っている製品は、「次世代型」を名乗るAV製品であっても避けるべきでしょう。このような製品は、従来型のシグネチャーベースのエンジンと同等の不十分なマルウェア防御機能しか提供できません。

MLエンジンはどこにある?

 注意すべきもう1つの点は、MLエンジンが存在する場所です。MLへの要望の高まりに対応すべく、ベンダーの大半が機械学習を採用していると宣伝しています。そこで重要なのは、MLエンジンがどこに存在するかということです。MLがクラウド内のみにあるならば、エンドポイントはオフライン時に保護されなくなり、保護機能にさらなる抜け穴が生じます。MLエンジンはエンドポイント自体に搭載すべきであるという理由はここにあります。

MLはどのように学習していくのか?

 すべてのMLモデルが同じように作られてはいないという点にも注意が必要です。学習が不十分なMLモデルでは、予測が不正確になったり誤検知が増えたりして、結果的に防御効果が低下します。MLエンジンの有効性を把握するには、誤検知率を問い合わせたり、テストを行ったりすることをお勧めします。

MLはセキュリティ機能の有効性の指標である

 マルウェアに対する防御能力は、企業の全体的なセキュリティ戦略の有効性の指標となります。コモディティマルウェアに感染してしまう程度のシステムであれば、さらに高度な攻撃ではどうなってしまうのでしょう。MLは不可欠ですが、エンドポイントを保護するならMLだけに頼るべきではありません。MLだけでなく、エクスプロイトの予防やふるまい分析などの補完的なテクノロジーを組み合わせた包括的なエンドポイントセキュリティソリューションを採用する必要があります。そうすれば、マルウェア使用の有無にかかわらず、あらゆる種類の攻撃から保護できるようになるでしょう。

追加のリソース

CrowdStrikeの『AV切り替えの手引き』では、次世代型のアンチウイルス製品において機械学習が果たす役割を紹介しています。また、いかに簡単にセキュリティのグレードを引き上げることができるかについても確認することができます。

当社のWebページで、次世代型AVソリューションCrowdStrike Falconの詳細についてご一読ください。

・CrowdStrike Falconの有効性は第三者組織によるテストおよび評価により証明されています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をお試しいただけます

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/defending-against-malware-with-machine-learning/
《Jackie Castelli(CrowdStrike)》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性 画像

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性
Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ 画像

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ
Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理 画像

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理
Windows DNS の脆弱性情報が公開 画像

Windows DNS の脆弱性情報が公開
バッファロー製無線 LAN ルータに複数の脆弱性 画像

バッファロー製無線 LAN ルータに複数の脆弱性
Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性 画像

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信 画像

東京高速道路のメールアカウントを不正利用、大量のメールを送信
組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に 画像

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に
インフォマート 公式 Facebook ページに不正ログイン 画像

インフォマート 公式 Facebook ページに不正ログイン
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず 画像

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し 画像

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性 画像

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向 画像

セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査 画像

被害額オレオレ詐欺の3倍 時間かけ信頼醸成「SNS型投資詐欺」~トビラシステムズ独自調査
プルーフポイント、マルウェア配布する YouTube チャンネル特定 画像

プルーフポイント、マルウェア配布する YouTube チャンネル特定
IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査 画像

IT部門か全員かそれとも政府か ~ サイバー攻撃から守る責任は誰にある? KnowBe4 調査
初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応 画像

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応
復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査 画像

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ~ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性 画像

ガートナー クラウドクッキング教室 ~ CCoE 構築の重要性
Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催 画像

Reject 運用のポイント他 ~ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催
韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催 画像

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ~ SECON & eGISEC 2024 開催
エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催 画像

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催
中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝 画像

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート 画像

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応 画像

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応
セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン 画像

セキュリティ診断会社と開発会社が業務提携 ~ SHIFT SECURITY とフォージビジョン
賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位 画像

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位
警察庁、サイバー事案通報の統一窓口を設置 画像

警察庁、サイバー事案通報の統一窓口を設置
脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応 画像

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応
ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供 画像

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×