サイバー犯罪者は、セキュリティ対策ソフトに対抗して攻撃を成功させるために常に新しい戦略を探求しています。ハッシュ値を変化させるポリモーフィズムやパッキング等の技術を採用するマルウェアの増加によって、従来のようなクライアント側(エンドポイント)におけるシグネチャベースの検出では対処しきれなくなってきています。また、強力な難読化やアンチサンドボックス技術によって動的および静的な解析は制限を受けています。新しく確認される脅威は増加の一途を辿っており、世界中のユーザを守るためにより高速な検出システムが必要とされています。
トレンドマイクロはこのような要望に応えるために、クロスジェネレーション(XGen)セキュリティアプローチにより、既存のさまざまな高度なセキュリティ技術に加え、次世代の AI 技術のひとつである高度な機械学習型検索を活用するソリューションを提供しています。今回はこのトレンドマイクロのアプローチの中でも特に機械学習型検索を活用して、現在の静的および動的解析が直面している技術的な制約を克服し、過去に検出されていない新しい脅威をリアルタイムで検出することを可能にする取り組みを紹介します
このシステムは、ノード(頂点)とエッジ(辺)で連結関係を表すグラフ理論に基いた推論と機械学習を組み合わせ、短時間でダウンロード URL やソフトウェアが不正なものであるか分類します。
図 1:検出手法の概略
このシステムに保護された各エンドポイントは、新しいソフトウェアのダウンロードを特定する「Download Identification Agent(ダウンロード識別エージェント、DIA)」を実行します。DIA は、ダウンロード時に「Malware Download Detection system(マルウェアダウンロード検出システム、MDD)」と呼ばれる分類システムにコンテキスト情報を送信し、一時的にファイルを隔離することで分類結果が出るまでの間はファイルにアクセスできないようにします。この時、ダウンロードを実行した PC の情報やエンドポイント設定のようなコンテキスト情報が MDD に送信されますが、ダウンロードするファイル自体は送信されません。
図 2:アノテーション付きダウンロードグラフの例
このような手法は、ダウンロードするファイルの内容や URL へのアクセス結果を利用しません。そのため、短時間で大量の新しい脅威を分類することが可能です。また、オペレーティングシステム(OS)に依存せずどのようなプラットフォームでも動作するため、スマートフォンや「モノのインターネット(Internet of Things、IoT)」機器のような比較的新しい種類のエンドポイントで確認された脅威にも対処することができます。
簡単に説明すると、このシステムは PC、ダウンロードファイル、ダウンロード URL という 3 種類のノードを持つ 3 部グラフでダウンロードイベントを表現します。図 2 のように、初めて確認されたダウンロードファイルを新しいノードとして記述した確率モデルを利用し、当該ファイルが不正である確率を計算します。
エンドポイントから収集された新しいダウンロードイベント情報は新しいノードとしてグラフに追加されます。図 3 のように、隣接ノードから受け取った情報をもとに計算された確率スコアが伝播され、分類に利用されます。
図 3:レピュテーションスコアの伝播
この分類システムは計算したスコアをどのように使用するのでしょうか。例えば、過去にマルウェアの実行が確認されているエンドポイントからのダウンロードイベントはレピュテーションが低くなります。同様に、既知の不正な URL からのダウンロードイベントもレピュテーションは低くなります。このようなレピュテーションスコアに基づき、分類システムは類似したファイルをブロックします。
反対に、レピュテーションスコアが高くなるのはどのような場合でしょうか。数年間にわたって感染が確認されていない信頼できるドメインやエンドポイントのレピュテーションスコアは高くなります。例えば、利用可能な更新プログラムがすべて適用され、適切に設定されている端末などがこれに該当します。新しい脅威の検出を可能にするために、レピュテーションスコアは繰り返し隣接ノードに伝播されます。
■結論
現代の新しい脅威やマルウェアは、セキュリティ業界にとって対処すべき課題となっており、従来の技術では検出できていなかった脅威を検出可能にする優れた技術が求められています。トレンドマイクロは、そのような課題に対処するために常に解決方法や技術の向上を探求しています。
本記事で解説したように、ダウンロードするソフトウェアやダウンロード URL の収集および解析を必要としない検出技術もそのような取り組みの 1 つです。この技術は、ファイルや URL を個別に解析する必要のある従来の技術とは対照的です。
この新しい検出技術は、マルウェアかどうかを YesまたはNo で判定する代わりに、人工知能のアルゴリズムを利用した確率モデルによってレピュテーションスコアを計算します。これにより、世界中から収集した数百万台のエンドポイント情報に基づいた自律的なマルウェア検出が可能になります。
OS に依存しないため、PC のような従来のエンドポイントだけでなく、モバイル端末や、スマートテレビ、冷暖房空調設備といった IoT 機器にも対応することができます。
本記事で解説した取り組みは「11th ACM on Asia Conference on Computer and Communications Security」で発表され、米国特許番号「14/988, 430」で現在特許申請中です。機械学習に関するその他の取り組みについてはこちらを参照してください。
参考記事:
- 「Detecting New Threats via Contextual Information and Reputation」
by Marco Balduzzi (Senior Threat Researcher)
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)