古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

AIなら1日600件ずつ増加するランサムウェア WannaCryの亜種を判別可能!

ザテレビジョン のロゴ ザテレビジョン 2017/09/21
AIなら1日600件ずつ増加するランサムウェア WannaCryの亜種を判別可能! © KADOKAWA CORPORATION 提供 AIなら1日600件ずつ増加するランサムウェア WannaCryの亜種を判別可能!

人間ではなかなか気付けないランサムウェアの特徴。しかしAIなら亜種かどうか即判定できる。今回は、最新ウイルスバスター クラウドが導入したAI技術に迫る 人間ではなかなか気付けないランサムウェアの特徴。しかしAIなら亜種かどうか即判定できる。今回は、最新ウイルスバスター クラウドが導入したAI技術に迫る 「多層防御」と「AI技術」が特長の最新ウイルスバスター クラウド  最新のウイルスバスター クラウド最大の特長は、「侵入を防止・脅威を検出・データを保護」と、ユーザーがデータを利用する各レイヤーで最適化されたセキュリティ対策を行なうことでパソコンへの攻撃を食い止める「多層防御」。そして新たに導入された「AI技術」による未知の脅威への対応だ。 ※1 AI技術はWindowsのみの対応です。※2 全ての未知の脅威に対応するものではありません。  話題になったWannaCryの場合、1日ごとに平均約600の亜種が誕生し数ヵ月でそれが万単位にまで膨れ上がってしまったことを考えると、(亜種が猛威を振るう前に)パターンファイルを作りきれなかったり、定石から外れたアプローチの攻撃にさらされた際にも心強いセキュリティ対策製品であると言えるだろう。 そこで素朴な疑問「AIは何をしてるの?」  ところで、2つの特長のうち「AI技術」のほうはいったい何をしているのだろうか? 未知の脅威を見分けるというが、我々が最も見聞きする将棋や囲碁のAIプレイヤーは人間に負ける(ミスを犯す)こともある。とすれば、AIが未知の脅威と勘違いしてトンでもない誤検知を起こす恐れはないのだろうかと気になる読者も多いのでは。  そこで今回、最新ウイルスバスター クラウドのなかでAI技術が果たしている役割について、トレンドマイクロ株式会社のプロダクトマーケティングマネージャーである木野剛志氏に、お話を伺った。 採用理由は「急増する亜種に、より迅速に対応するため」  「サイバー犯罪者にとってランサムウェアはお金を取りやすい、儲かるビジネスなのです。ですから、なくなるどころか、どんどん増えていくのです」と、冒頭から想像するに恐ろしい現状を語る木野氏。実際、ランサムウェアを中心に亜種の増殖スピードは増しているという。  アンダーグラウンドで運営されているサイトには、各種情報を入力するだけで簡単にウイルスを作成できるサービスがあり、そうしたサイトを利用して亜種が次々に作り出されている。また、その手口も巧妙で、アプリのパッチに見せかけてインストールさせたり、Winsdowsだけでなく、macやAndroidにもその影響が広がっている。 上側の画像は、簡単にウイルスの亜種を作り出せるアングラサービス。下側の画像は、アプリのパッチ適用ツールに偽装するランサムウェア 上側の画像は、簡単にウイルスの亜種を作り出せるアングラサービス。下側の画像は、アプリのパッチ適用ツールに偽装するランサムウェア  木野氏は亜種が増える理由について、「一般的にセキュリティ対策製品のパターンファイルは、シグネチャでウイルスを検出しています。それが少しでも違うとパターンファイルが効かないので、パターンファイルをすり抜けるために亜種が作り続けられているのです」と語る。  この驚異的な亜種の増殖に対抗するため、従来のパターンファイル作成だけでなく、AI技術を利用した機械学習型スキャンを導入することで未知の脅威へ対抗することとなったわけだ。 ※ 全ての未知の脅威に対応するものではありません。 AI技術が真価を発揮する代表例が、急増するランサムウェア亜種への対応だ AI技術が真価を発揮する代表例が、急増するランサムウェア亜種への対応だ AIがランサムウェアを判別できるようになるまで  では、ウイルスバスター クラウドの新機能として搭載された「AI技術を導入した機械学習型スキャン」は、いったいどうやって判別方法を学ぶのだろうか。木野氏の説明によると、その学習は以下のような流れになっているという。まず膨大なデータから「特徴」を抽出し、それを「アルゴリズム」により「予測モデル」を作っていく。 画像のような順番で脅威を学習していく(出典:トレンドマイクロ) 画像のような順番で脅威を学習していく(出典:トレンドマイクロ)  「データ」は、トレンドマイクロ製品からのフィードバックをもとに脅威情報を収集・分析している「Trend Micro Smart Protection Network」を用いる。  「そのデータから特徴をどう抽出するかがポイントです。既存のパターンファイルがあるランサムウェアと新しい亜種を比較すると、部分的には同じ箇所もあれば違う箇所もあり、見た目やシグネチャでは違うプログラムのように見えます。しかし、どのようなコマンドが実行されたかをグラフにしたり、APIの稼働をビジュアル化すると、じつは似ていることがわかります」(木野氏)。実際に見せてもらったのが下記の図だ。 左と右のソースコードを比較すると、部分的に同じ箇所もあるが、全体的に見ると異なるファイルに見える。しかし……(出典:トレンドマイクロ) 左と右のソースコードを比較すると、部分的に同じ箇所もあるが、全体的に見ると異なるファイルに見える。しかし……(出典:トレンドマイクロ) 一見異なるように見える2つのソースコードだが、グラフ化することでじつは類似の特性を持つことが発見できた(出典:トレンドマイクロ) 一見異なるように見える2つのソースコードだが、グラフ化することでじつは類似の特性を持つことが発見できた(出典:トレンドマイクロ)  こうなってくると、もはや従来の対策方法だけでは亜種か否かを判別するのは難しいことが理解できると思う。 数百万の「イベント」をいくつかの「意図」にまで分類する  さらに「ふるまい」を抽出し、似ているかどうかも予測できる。「プログラムの中で様々なイベントが起きていますが、それをパターン化し、どういう意図を持っているかによってランサムウェアかどうかを抽出しています」(木野氏)。  プログラムのふるまいによる抽出では、統計的な手法を使って数百万というイベントを数千パターンに振り分け、そこからさらにいくつかの「インテンション=意図」にまで落とし込むのだという。  近頃は、画像認識に使われるAutoEncorderも利用しているとのこと。「AutoEncorderは、画像の特徴を絞り込んで似ているかどうかを判定します。これを応用して、ビジュアライズしたイベントからパターンを抽出しています。パターン化すると似ているかどうかが見えてくるので、どういった意図を持つイベントかを抽出していくことでランサムウェアか否かを認識します」(木野氏)。 プログラムの挙動などをビジュアライズした結果。じつは似た特徴を持っている(=亜種)ことがわかる。囲碁の盤面は打つごとに毎回変わるが、定石を打っている限り似たような形が浮かび上がるように、インテンション(意図)まで絞り込んでいくことで、そのファイルがランサムウェアの亜種かどうかを判別できる(出典:トレンドマイクロ) プログラムの挙動などをビジュアライズした結果。じつは似た特徴を持っている(=亜種)ことがわかる。囲碁の盤面は打つごとに毎回変わるが、定石を打っている限り似たような形が浮かび上がるように、インテンション(意図)まで絞り込んでいくことで、そのファイルがランサムウェアの亜種かどうかを判別できる(出典:トレンドマイクロ)  そうして抽出した特徴についてアルゴリズムで予測モデルを作っていくことになる。「未知のコンテンツが見つかった場合、そのファイル自体やふるまい、またそのコンテンツが侵入した経路によっても攻撃方法が違うので、それらの情報をもとに最適なモデルを選択、白か黒かを判定する仕組みになっている」(木野氏)のだが、ここで「誤検知の恐れはないのか?」という冒頭の疑問が頭をもたげてくる。 機械学習型スキャンの精度は「学習」で高めていく  安全なコンテンツを脅威とみなしたり、その逆があってはたまらない。そのため、判定の精度を上げる学習が重要となってくる。  この点について木野氏の解説によると、まず「特に危険度の高い脅威」と「脅威として検出してはいけないOSやOfficeファイルといった、安全なコンテンツ」を優先的に学習させるという。「最初にランサムウェアの検出率を高め、誤検知が許されない安全なファイルの誤検知率が低くなるようチューニングした上で、次により多くのデータを使って検知の精度を上げていきます」(木野氏)。 ランサムウェアの検出精度を高める学習方法(出典:トレンドマイクロ) ランサムウェアの検出精度を高める学習方法(出典:トレンドマイクロ)  しかし、すべてを完璧に検出できるというわけではない。「一般的に機械学習は誤検知が多いと言われています。人間ではないので、間違えて検出してしまうことがあります。そのため、元々持っている多層防御の中に、1つの機能としてAI技術を導入した機械学習型スキャンを組み込むことで、防御力を高めると同時に、誤検知を抑制しています。具体的には、すでに実績のある防御機能で脅威と安全なコンテンツを判定し、ふるいにかけた上で、判定ができないグレーなコンテンツだけを機械学習型スキャンにかける仕組みです」(木野氏)。  多層防御とは第1回でも紹介した、トレンドマイクロが提唱する防御アプローチ「XGen」に則ったもの。さまざまな機能を組み合わせて複数の壁を作ることで防御力を向上させている。AI技術を導入した機械学習型スキャンは画期的だが、それすらも機能の1つとして動かすことで、万が一、機械学習型スキャンをすり抜けた場合でも、別の機能がPCを保護する仕組みとなっている。 防御アプローチ「XGen」に則った多層防御の中身。AI技術を導入した機械学習型スキャンは「侵入を検知」する機能の1つ 防御アプローチ「XGen」に則った多層防御の中身。AI技術を導入した機械学習型スキャンは「侵入を検知」する機能の1つ  まずはWeb脅威対策や迷惑メール対策などによって「侵入を防ぐ」。既存の技術でパソコンに侵入する前に食い止めるわけだ。それをすり抜けて、PC内部に入ってきたときはパターンマッチングやふるまい検知、そしてAI技術を導入した機械学習型スキャンが行なわれる形になる。  既存の技術を使ってすでにふるいにかけた状態でコンテンツを機械学習型スキャンにかけるので、誤検知を減らすことができるという。  さらにそれをすり抜けたとしても、フォルダシールドなどの「データ保護」があるので、ランサムウェアのような大切なファイルを暗号化してしまうような脅威にも対処できるというわけだ。 ※3 フォルダシールド機能はWindows、mac対応です。 多層防御はランサムウェアに対して有効に機能する。赤い枠の部分が未知の脅威に対する機能だ(出典:トレンドマイクロ) 多層防御はランサムウェアに対して有効に機能する。赤い枠の部分が未知の脅威に対する機能だ(出典:トレンドマイクロ)  このように、AI技術を使った検知はあくまで多層防御の一部分。亜種が急増している状況で、「素早く新しい亜種に対応するための強化策」の1つなのだ。 機能が豊富になればなるほど気になる「PCへの負荷」は?  最新ウイルスバスター クラウドの特長である、AI技術を使った未知の脅威への防御方法は上記の通り。悪意ある攻撃が跋扈する昨今、特にランサムウェアへの対応については心強い限りだ。しかし読者のなかには、『高い防御力は、その代償としてパソコンに高負荷をかけるのでは?』と考える人もいるだろう。だがご安心を。  木野氏によると、PCの負荷を減らすためにいち早くクラウド対応にしたとのこと。「パターンファイルはクラウドとパソコンの両方に存在しますが、クラウド側により多くのパターンファイルがあり、パソコン側には20%程度しか置いていません。イメージ的には目次のようなインデックスファイルがパソコン側に置いてあるイメージです」という。重たくなる処理はクラウドに任せ、パソコンの負荷を軽くしているのだ。  そして発見された未知の脅威についても即クラウド(Trend Micro Smart Protection Network)にフィードバックされる。前述の通り、脅威と判定された場合には平均15分で対応し、パターンファイルがユーザーに提供され次第、機械学習型スキャンに届く前にはじかれるようになるという。 未知の脅威から大切なデータを守る最後の手段「フォルダシールド」。意外にもPCへの負荷は非常に低い 未知の脅威から大切なデータを守る最後の手段「フォルダシールド」。意外にもPCへの負荷は非常に低い  多層防御の場合、Web脅威対策や、メールマッチングなどで未然にはじくほうが処理を軽くできる。およそ80%程度はそちらで処理されるのだとか。実際、ウイルスバスター クラウドは、猛威をふるったランサムウェア「WannaCry」でさえパターンファイル配布前からブロックに成功していたというから驚きだ。  では、侵入されてしまった場合はどうか。じつは、保護対象のフォルダやドライブを守ってくれる「フォルダシールド」は非常に軽いのが特長なのだという。「フォルダシールドは正規のプログラムがアクセスしようとしているかどうかで判断するというシンプルな技術なので、PCのパフォーマンスには影響ありません」と木野氏。 負荷の低さは、読者の所持率が高いゲーミングパソコンにぴったり! そして最新ウイルスバスター クラウドには、ゲーム中などマシンの負荷が高くなった際に、不急なスキャンなどを抑制するサイレントモードも用意されている 負荷の低さは、読者の所持率が高いゲーミングパソコンにぴったり! そして最新ウイルスバスター クラウドには、ゲーム中などマシンの負荷が高くなった際に、不急なスキャンなどを抑制するサイレントモードも用意されている 新たな脅威は突然やってくる。そして既存の仕組みでは防ぎきれない  ここまで、最新ウイルスバスター クラウドについて「AI技術」を中心に話を伺ったが、その役割や学習方法を知ることで、その防御力の高さは理解できたのではないだろうか。今後は、XGenコンセプトをより強化していくとともに、機械学習型スキャン自体も洗練していくとのこと。  手厚いランサムウェア対策は家族の思い出が詰まったリビングPCはもちろん、パソコンの負荷を抑えたつくりからゲーミングパソコンにも適している。もはや既存の仕組みだけでは防ぎきれない脅威に対抗すべく「AI技術」でパワーアップを遂げたウイルスバスター クラウドは、脅威多き時代のファーストチョイスと言えるのでは。 ビジネスからゲーミングまで。大事なデータを守りたいならセキュリティ対策製品は必須でしょ! ダウンロード版・ウイルスバスター クラウド 1年版:販売価格5380円(税込)※・ウイルスバスター クラウド 3年版:販売価格1万2780円(税込)※ (※参考価格 トレンドマイクロ・オンラインショップ) ウイルスバスター クラウドの最新パッケージ ウイルスバスター クラウドの最新パッケージ ダウンロード版・ウイルスバスター クラウド + デジタルライフサポート プレミアム 1年版:販売価格7980円(税込)・ウイルスバスター クラウド + デジタルライフサポート プレミアム 3年版:販売価格1万8590円(税込) (※参考価格 トレンドマイクロ・オンラインショップ) ウイルスバスター クラウド + デジタルライフサポート プレミアムの最新パッケージ ウイルスバスター クラウド + デジタルライフサポート プレミアムの最新パッケージ ■関連サイト ウイルスバスター クラウド ウイルスバスター クラウド + デジタルライフサポートプレミアム トレンドマイクロ・オンラインショップ (提供:トレンドマイクロ株式会社)

AIなら1日600件ずつ増加するランサムウェア WannaCryの亜種を判別可能!

AIなら1日600件ずつ増加するランサムウェア WannaCryの亜種を判別可能!
© KADOKAWA CORPORATION 提供

ザテレビジョンの関連リンク

ザテレビジョン
ザテレビジョン
image beaconimage beaconimage beacon