このページの本文へ移動

マカフィーセキュリティニュース

AI・機械学習で「進化するセキュリティ」

マルウェアを発見する仕組みとは?

パソコンでのメールやウェブサイトの閲覧にとどまらず、スマートフォンアプリ、スマートスピーカーといったIoTデバイスまで、生活のあらゆるシーンでインターネットにつながる社会になっています。たくさんのメリットがある一方で、インターネットを使ううえではサイバー犯罪から身を守る必要があるのも事実。コンピュータウイルスなどのマルウェアは、年々種類も数も増え続けており、感染させようとする手段もいっそう巧妙化しています。誰もが「自分は大丈夫」と言い切れない状況なのです。
そんなマルウェアを、セキュリティソフトがどのように検知しているのかご存じでしょうか。今回は、その基本的な仕組みとこれからについてご紹介します。

1マルウェアのサンプルデータから“犯人”を照合!

日本で初めてのISP(インターネットサービスプロバイダ)がサービス開始したのが1992年。気が付けば国内だけでも、インターネットは25年を越える歴史を持っていることになります。特に1990年代後半からは、新しい情報発信メディアとして急速な発展を続けてきました。

インターネットの歴史はそのまま、新しいメディアを悪用したサイバー犯罪者、そして彼らが生み出すマルウェアとの戦いの歴史でした。メールに添付されて届きシステムに悪さをする古典的なマルウェアから、「トロイの木馬」、近年流行したランサムウェアといった多種多様なマルウェアがつくりだされてきたのです。そしてマルウェアは、時間が経ったからといってなくなるものではありません。今もなお広大なインターネットの世界に散らばって、どこかで感染のチャンスをうかがっているのです。

サイバー犯罪者はさらなる悪事を働こうと、新たな手口を探ってすらいます。インターネットの歴史が長くなるほど、マルウェアの数は増える一方ということになります。

セキュリティソフトは長年にわたり、マルウェアを素早く検知し駆除することを主要な機能としてきました。その基本的な考え方としては、既知のマルウェアのデータを蓄積して、パターンを分析し、パソコン内の脅威を予測、検出、駆除する、というパターンマッチングの手法が挙げられます。いわば犯人の「人相書き」を照合していって、「犯人」を発見する方法です。危険度の高いパターンと合致したものを検出するブラックリスト方式のほか、逆に「安全」と認められたファイルやソフトだけ使用を認めるホワイトリスト方式があります。

長らくマルウェア対策は、このパターンマッチング――世界中で発見されたマルウェアのサンプルを収集し、パターンファイルを作成、照らし合わせる――を中心に行われてきました。この方法であれば、適切にパソコンやデバイスをスキャンしている限り、既知の脅威を確実に食い止められるのは大きな利点といえます。

セキュリティソフトがどれだけたくさんの脅威から守れるのかは、パターンマッチングの仕組み上、いかに素早く・大量の「人相書き」を集められるかにかかっています。そこで多くのセキュリティソフト会社は、世界中にラボを設け、マルウェア情報の収集・分析に努めてきました。

「人相書き」がある限り「犯人」を突き止められるパターンマッチングは、少なくとも既知のマルウェアへの対応には、今後も有効性がある手法であり続けるでしょう。とはいえ近年では、技術の進化とともに、サイバー犯罪者がマルウェアを生み出す技術やスピードも進歩しています。

マルウェアからガードする側であるセキュリティソフトも、最新技術を導入。大量の「人相書き」をダウンロードするのではなく、クラウド上のパターンファイルを参照することでパソコンの負担を減らしつつより高度なスキャンを可能にしたり、疑わしいファイルを隔離して分析する「サンドボックス」といった技術を導入したりしています。

とはいえ次々と生まれる最新タイプを、セキュリティソフト会社もまた次々に捕捉していくという、いたちごっこの状況がいつまでも続いているのが現状です。

2機械学習で、未知の脅威を予測する

今やマルウェアを巡るセキュリティは、攻撃側も防御側もいっそう高度な“開発競争”となっているといえます。2017年はランサムウェア「WannaCry」の世界的な流行が発生。強力な感染力に加え、未知のセキュリティホールを突くゼロデイ攻撃との組み合わせも相まって、最初の発見からパターンファイルが提供されるまでのわずかな期間に、一気に広まってしまいました。

現在の技術トレンドとして、業界を越えて話題になっている「AI」「機械学習(マシンラーニング)」があります。膨大なデータ(ビッグデータ)を最新コンピュータで高速処理し、人間には不可能な速度で自動的に学習させる技術です。マルウェア検知においても、この機械学習が大きな役割を担おうとしています。過去に蓄積されたマルウェアのデータを機械学習させ、特有のパターンや「ふるまい」を見つけ出すことで、未知のマルウェアを発見できるのです。

未知のマルウェアをも予測する機械学習、そして既知のマルウェアをあぶり出すパターンマッチング。2つを組み合わせることで、インターネット創始以来、最新の脅威まで対応することが可能になるでしょう。

例えばマカフィーが最新製品で導入した「リアルプロテクト」は、クラウドを基盤としたスキャンエンジンで、マルウェアがパソコンやデバイスに入り込もうとすると、まずはデバイス上に保存されたパターンファイルと照合して検出。そこをすり抜けたとしてもクラウド上で、マカフィーが集めた最新マルウェアのサンプルや、機械学習で導き出したパターンと照らして駆除が可能になっています。

リアルプロテクトはデバイスの使用感を損ねずにスキャンできるのも特徴です。セキュリティ製品の第三者評価を行っているオーストリアの非営利団体AV-Comparativesによるテストで、インストール時やウェブブラウズ時など8つのシーンでシステムインパクトを調査されましたが、マカフィーは21社中で総合2位と高く評価されました。

もしかすると日進月歩の社会の中で、サイバー犯罪者も機械学習を活用して新しいマルウェアの開発にいそしんでいるかもしれません。マカフィーはそんな“開発競争”についても想定しながら、世界中の皆さまのデジタルライフを守ることを目指しています。

Twitterで最新の更新情報やおすすめQ&A、アドバイスをお届けしています。