メールやアプリに添付されたファイル形式のマルウェアは、多くのウイルス対策セキュリティソフト等で感染防止や駆除ができるが、最近の高度化されたものは、Windows標準で動作する「PowerShell」を使い、リモートで操作してネットワークやパソコンの情報を盗んだり、乗っ取るなど、手口が巧妙化している。
サイバーリーズン・ジャパンは次世代のセキュリティシステム「Cybereason Complete Endpoint Protection」(CCEP)を発表した。これはAIを駆使して巧妙化する脅威からもネットワークを保護するとともに、万が一、脅威の被害を受けたときには、駆除やブロックするとともに、タイムライン型のログを表示して感染や乗っ取りの経緯や被害状況等を見やすく表示する機能を持つ。
記者説明会を開催 〜次世代セキュリティのしくみ
サイバーリーズン・ジャパンはAI(人工知能)を活用したサイバー攻撃対策プラットフォーム「Cybereason」を日本市場向けに提供している会社。同社はこの新製品の発表に伴い、ソフトバンク本社内で記者向けの製品説明会を開催した。CCEPは2018年2月下旬以降に代理店を通じて販売する。価格体系は発表されず、代理店への問い合わせを促した。
同社の説明を要約するとこういうことだ。
ファイルによる感染を阻止
従来、メール添付やアプリケーションに潜んで感染するマルウェアはシグネチャ型が多く知られ、それらはファイルや行動のパターンを識別することで比較的検知もしやすい。
ゼロデイアタックをAIで阻止
とはいえ、新しいマルウェアの誕生とその対策はイタチゴッコになっていて、新しいマルウェア(未知のマルウェア)が誕生してすぐ、対策されるまでの間のいわゆる「ゼロデイアタック」での感染や侵入の被害もありうる。この場合は未知のウイルスの発見が重要になるので、既知のウイルスを機械学習し、未知のウイルスを検知するアルゴリズムを導入。
発見しづらいPowerShellの悪用
また、最近はメール添付などのファイルを使わない感染や侵入も増加している。最も多く、かつ深刻なのはWindows標準で動作する拡張可能なコマンドラインインターフェース「PowerShell」を使ったものだ。PowerShellはもともと一般に使われているものなので、監視システムからみればそれが正規に使われているのか、悪用されているのかを判断しずらい点が課題だった。
サイバーリーズンはそこにも機械学習をしたAI技術を活用し、PowerShellが実行されている内容を解析して、それが悪用されようとしているかどうかを判断、悪用されていると判断した場合は悪意のあるペイロードの実行を阻止するしくみだ。
■機械学習による検知機能 (AI技術を活用)
高度な機械学習アルゴリズムにより、未知の脅威に対して最高の検知率と最も低い誤検知率を維持する。
■ランサムウエアの検知機能
ユニークなおとりのテクニックとエンドポイントにおける振る舞い分析で、重要なファイルが暗号化される前に、未知のランサムウエアやファイルレス攻撃、MBRベースのランサムウエアなどを検知してブロック。
■PowerShellを利用した攻撃のブロック機能 (AI技術を活用)
ファイルレスマルウエアによる攻撃や、PowershellなどのOSの正規ツールを利用した攻撃を、プロアクティブにブロック。
■既知のマルウエアの効率的な検知機能
ウイルス定義ファイルを利用して、既知のマルウエアを確実に、効率的に検知。
ウイルス検知、侵入検知、報告機能のデモ
サイバーリーズン・ジャパン株式会社 セールスエンジニア課 シニア・コンサルタントの増田(そうた)幸美氏により、報道関係者向けにデモが行われたので、デモの全編を動画で紹介しよう。
興味がある人には参考になるはずだ。
こうした4重構造の防御システムを導入することによって「攻撃者よりも優位に」立てるとしている。
ABOUT THE AUTHOR /
神崎 洋治神崎洋治(こうざきようじ) TRISEC International,Inc.代表 「Pepperの衝撃! パーソナルロボットが変える社会とビジネス」(日経BP社)や「人工知能がよ~くわかる本」(秀和システム)の著者。 デジタルカメラ、ロボット、AI、インターネット、セキュリティなどに詳しいテクニカルライター兼コンサルタント。教員免許所有。PC周辺機器メーカーで商品企画、広告、販促、イベント等の責任者を担当。インターネット黎明期に独立してシリコンバレーに渡米。アスキー特派員として海外のベンチャー企業や新製品、各種イベントを取材。日経パソコンや日経ベストPC、月刊アスキー等で連載を執筆したほか、新聞等にも数多く寄稿。IT関連の著書多数(アマゾンの著者ページ)。