毎日数十万もの新種や亜種が新たに出現するマルウエア。従来手法では検知しにくかった攻撃を人工知能(AI)で見破る製品・サービスが続々と登場している。危険度が高く優先対応が必要な攻撃をAIが自動で選び出すため、セキュリティ担当者の負担を減らせるメリットもある。機械学習技術により、社員の不審な行動も察知できる。
AIの活用が最も進んでいるセキュリティ対策分野の1つは、PCにインストールして使うウイルス対策ソフトだ。日本でシェアが高いトレンドマイクロの「ウイルスバスター」の場合、「古くは2006年からスパムメールや不正なURLの判定に機械学習を使ってきた」(大田原忠雄法人製品マーケティング部部長)。
従来手法は「初犯」を見逃す
改めてセキュリティ分野でのAI活用が活発になってきた理由は新種や亜種のマルウエアが毎日数十万種も登場するようになったからである。マルウエアの特徴を「指紋」のように集めて照合する、従来のパターンマッチングによる検知手法は限界が来ている。
大田原部長は「パターンマッチングは前科のある犯人を捕まえやすいが、指紋や顔が分からない初犯は捕まえにくい」と例える。競合の米シマンテックの元幹部は2014年にパターンマッチングの限界を指摘、「ウイルス対策ソフトは死んだ」と表現した。
トレンドマイクロは2017年から企業向けウイルス対策ソフト「ウイルスバスター コーポレートエディションXG」で、既存の検知技術に機械学習技術を併用して初犯のマルウエアを検知する「XGen技術」を搭載した。2段階で検知し、最初に使うのは既存技術だ。
具体的にはマルウエアの侵入時や実行前に、ダウンロード先のWebサイトの不審度合いやWebブラウザーの脆弱性を悪用するスクリプトかをパターンマッチングでチェックする。これで既知の脅威を防ぎ、次に機械学習技術を使って、未知の脅威を含む怪しいファイルを検知する。2段階目はファイルの実行前と実行時に検査する。
実行前にチェックするのはマルウエアのソースコードだ。機械学習エンジンには事前にマルウエアでよく見られる記述内容の特性を学習させている。「パターンマッチングのように中身が完全に一致しなくても、不正なプログラムを検知できる」(大田原部長)。ここでは「ランサムウエアの確率が70%」といった具合に、マルウエアの種類や脅威の度合いを見極める。
エンジンはマルウエアが実行された後の振る舞いも学習済みだ。例えば「自分自身の証跡を消す」「攻撃者が操る外部のC&C(指令)サーバーと通信する」といったものだ。
ファイル実行時はその挙動がこうした振る舞いをなぞっていないかを検出する。「何かのファイルをコピーしてレジストリーを変更するなど個別に見ると問題なくても、いくつかの行動を組み合わせるとマルウエアとの類似性を判定できることもある」(同)。既存技術を併用し続けるのは「全ての判定をAI任せにすると誤検知や過検知が多くなる」(同)ためだという。
