攻撃者は既存のウイルス対策を免れるために、攻撃ごとに新たにマルウェアを作成して使用します。このような攻撃から利用者を保護するために、新種や亜種のマルウェアのような未知脅威を効果的に検出する手法の必要性が高まっています。トレンドマイクロは、ファイル間の類似性を効率良く比較することが可能なハッシュアルゴリズム「Trend Micro Locality Sensitive Hashing (TLSH)」と機械学習を用い、インターネット上で収集した仮想通貨発掘マルウェアの検体をグループ化(クラスタリング)することにより、類似したマルウェアや修正が加えられたマルウェアでも検出可能とする対策技術を開発しました。この TLSH の実装はオープンソースのプロジェクトとして公開されています。一般に、マルウェアは SHA 256 等のハッシュ関数で算出した値に基づいて識別しますが、少しでもデータが異なるとまったく異なる値が算出されるため、マルウェアの類似度を判断することは困難です。しかし、TLSH で算出したハッシュ値や挙動等を用いたマルウェアのクラスタリングにより、SHA 256 等で計算されるハッシュ値が異なっていても、類似したマルウェアや修正が加えられたマルウェアを検出することが可能になります。
続きを読むサイバー犯罪者は、セキュリティ対策ソフトに対抗して攻撃を成功させるために常に新しい戦略を探求しています。ハッシュ値を変化させるポリモーフィズムやパッキング等の技術を採用するマルウェアの増加によって、従来のようなクライアント側(エンドポイント)におけるシグネチャベースの検出では対処しきれなくなってきています。また、強力な難読化やアンチサンドボックス技術によって動的および静的な解析は制限を受けています。新しく確認される脅威は増加の一途を辿っており、世界中のユーザを守るためにより高速な検出システムが必要とされています。
トレンドマイクロはこのような要望に応えるために、クロスジェネレーション(XGen)セキュリティアプローチにより、既存のさまざまな高度なセキュリティ技術に加え、次世代の AI 技術のひとつである高度な機械学習型検索を活用するソリューションを提供しています。今回はこのトレンドマイクロのアプローチの中でも特に機械学習型検索を活用して、現在の静的および動的解析が直面している技術的な制約を克服し、過去に検出されていない新しい脅威をリアルタイムで検出することを可能にする取り組みを紹介します
このシステムは、ノード(頂点)とエッジ(辺)で連結関係を表すグラフ理論に基いた推論と機械学習を組み合わせ、短時間でダウンロード URL やソフトウェアが不正なものであるか分類します。
図 1:検出手法の概略
