CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由 | ScanNetSecurity
2024.03.29(金)

CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由

新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、効果的なツールとして、ML(機械学習)の真価が発揮されます。

国際 海外情報
CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由
CrowdStrike Blog:機械学習がマルウェアに対する重要な防御策である理由 全 1 枚 拡大写真
 CrowdStrike のチーフサイエンティストであるDr. Sven Krasserは、「機械学習(ML)は現代の脅威に対する防衛の最前線である」と主張しています。これは2年ほど前に彼が言った言葉ですが、今ではさらに真実味を増しています。CrowdStrike Servicesのサイバーセキュリティ侵害調査報告書にも、「コモディティマルウェアの使用が、壊滅的な攻撃の前兆である場合も多々ある」と書かれています。

 また、CrowdStrike Intelligenceチームは、ここ1年間でマルウェアベースの攻撃が増加し、その分マルウェアを使用しないステルス攻撃が減少したことを2019年グローバル脅威レポートで報告しています。これは、良いニュースのように思えるかもしれませんが、詳しく見ると、厄介な状況であることがわかります。2018年のインシデントの40%は、従来型のアンチウイルス(AV)製品が悪意のあるソフトウェアを検知し損ねた結果発生しています。つまり、レガシーソリューションに依存している企業は、マルウェアベースの脅威に対して非常に脆弱であることがわかります。

従来型のAV製品をマルウェアがすり抜けてしまう理由

 従来型のAV製品は、マルウェアを特定する際に、シグネチャーあるいはウイルス定義ファイルに深く依存しています。つまり、マルウェアの新しい変種を検出し、次にそのシグネチャーを作成し、最後にエンドポイントにそのシグネチャーを配布するまでマルウェアを阻止することができないということになります。そのため、マルウェアが最初に使用されてから、それをブロックするためのシグネチャーが入手可能になるまでの間に、時間差ができてしまいます。そして、攻撃者は攻撃を開始し、後で使用するための認証情報を盗むのに十分な時間を得ることになります。

 今日の攻撃者らは、標的とするシステム上にAVソリューションがインストールされていることを知っているため、アンチマルウェアの保護機能を回避しようと、常に新しい手口を生み出しています。既知のマルウェアを、一致するシグネチャーが存在しない「ゼロデイマルウェア」に作り替えるというやり方が簡単かつ一般的です。そのために、攻撃者はパッカーなどのツールを使用して、マルウェアの本質を絶えずに変更または難読化することで検知を回避します。av-test.orgによると、この作業は非常に簡単であるため、390,000もの膨大なマルウェアが毎日新たに出現しており、シグネチャーベースのテクノロジーでは手に負えない状態になっています。

機械学習-さらに優れたマルウェア防御策

 このように新しいマルウェアが日々大増産されているため、AVソリューションは、既知のマルウェアに対する優れた検知能力だけでなく、未知のゼロデイマルウェアの防御機能も備えなければなりません。このような場合に、既知および未知の両方のマルウェアに対する効果的なツールとして、ML(機械学習)の真価が発揮されます。

 MLはファイルの属性のみに基づいて悪質な手口を理解して特定します。予備知識やシグネチャーは不要であり、ファイルを実行してその挙動を観察する必要もありません。正しく設計されたMLは、マルウェアに対する非常に効果的な対抗手段になり得ます。たとえば、CrowdStrike MLエンジンは、Shammon2WannaCryおよびNotPetya をブロックできますが、そのための設定やアップデートは不要です。このMLエンジンは、独立系テスト機関で定期的にテストされ、99.5%の検出率を達成しています。

エンドポイントの保護に適したMLを見つける

 もはや機械学習は、効果的なエンドポイントソリューションを実現するうえでの最低条件です。そのため、独自開発のエンジンを使用する場合でも、他のOEM製のエンジンを使用する場合でも、旧来のシグネチャーベースの技術のみに頼っている製品は、「次世代型」を名乗るAV製品であっても避けるべきでしょう。このような製品は、従来型のシグネチャーベースのエンジンと同等の不十分なマルウェア防御機能しか提供できません。

MLエンジンはどこにある?

 注意すべきもう1つの点は、MLエンジンが存在する場所です。MLへの要望の高まりに対応すべく、ベンダーの大半が機械学習を採用していると宣伝しています。そこで重要なのは、MLエンジンがどこに存在するかということです。MLがクラウド内のみにあるならば、エンドポイントはオフライン時に保護されなくなり、保護機能にさらなる抜け穴が生じます。MLエンジンはエンドポイント自体に搭載すべきであるという理由はここにあります。

MLはどのように学習していくのか?

 すべてのMLモデルが同じように作られてはいないという点にも注意が必要です。学習が不十分なMLモデルでは、予測が不正確になったり誤検知が増えたりして、結果的に防御効果が低下します。MLエンジンの有効性を把握するには、誤検知率を問い合わせたり、テストを行ったりすることをお勧めします。

MLはセキュリティ機能の有効性の指標である

 マルウェアに対する防御能力は、企業の全体的なセキュリティ戦略の有効性の指標となります。コモディティマルウェアに感染してしまう程度のシステムであれば、さらに高度な攻撃ではどうなってしまうのでしょう。MLは不可欠ですが、エンドポイントを保護するならMLだけに頼るべきではありません。MLだけでなく、エクスプロイトの予防やふるまい分析などの補完的なテクノロジーを組み合わせた包括的なエンドポイントセキュリティソリューションを採用する必要があります。そうすれば、マルウェア使用の有無にかかわらず、あらゆる種類の攻撃から保護できるようになるでしょう。

追加のリソース

CrowdStrikeの『AV切り替えの手引き』では、次世代型のアンチウイルス製品において機械学習が果たす役割を紹介しています。また、いかに簡単にセキュリティのグレードを引き上げることができるかについても確認することができます。

当社のWebページで、次世代型AVソリューションCrowdStrike Falconの詳細についてご一読ください。

・CrowdStrike Falconの有効性は第三者組織によるテストおよび評価により証明されています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をお試しいただけます

*原文はCrowdStrike Blog サイト掲載 :https://www.crowdstrike.com/blog/defending-against-malware-with-machine-learning/

《Jackie Castelli(CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る