マルウェアが激増、人材は不足……セキュリティ業界で「AI×機械学習」が注目される背景

0

2020年08月06日 07:12  ITmedia NEWS

  • チェックする
  • つぶやく
  • 日記を書く

ITmedia NEWS

写真昨今のサイバー攻撃の手法(出典:パロアルトネットワークス)
昨今のサイバー攻撃の手法(出典:パロアルトネットワークス)

 サイバー攻撃と、それに対する防御はいたちごっこと言われます。最近ではAIや機械学習といった領域にまたがる形で攻防が繰り広げられているようです。



【その他の画像】



 この数年間、主要なセキュリティベンダーのソリューションが、次々とAIやML対応をうたうようになりました。大きな理由は、サイバー攻撃の量とスピード、特に未知のマルウェアの登場する速度が大幅に高まっており、自動化しなければ間に合わないからです。



 パロアルトネットワークスの林薫氏は、このほど開いた記者説明会で「今や1年間で1億2000万件ものユニークなマルウェアファイルを検知し、データベースに登録するようになっている。5年前、10年前はその数分の1で足りていたが、今はそれが爆発的に増え、1秒間に3〜4個のペースで新しいマルウェアが増えている計算になる」と解説しました。



 林氏によると、かつてサイバー攻撃に使われるマルウェアは、サイバー犯罪者自身が開発したり、ダークウェブ上のマーケットなどで仕入れたりしたものを、そのまま不特定多数にばらまく場合がほとんどでした。



 しかし「攻撃者はそれでは効率が悪いことに気付き、マルウェアを“未知化”する作業を始めるようになった。仕入れたマルウェアをそのまま使うのではなく、それぞれ異なるファイルに見せかけることによって、単純なパターンマッチングからの検出を逃れるようにしている」といいます。



●攻撃の手法は多様化するが、セキュリティ人材は不足



 既存のアンチウイルス製品の多くは、既知のマルウェアプログラムの特徴的なパターンをまとめた「シグネチャ」(あるいは定義ファイル、パターンファイル)と照合して疑わしいファイルの検出を図る、パターンマッチング方式を採用してきました。この方式ならば、既にいったん世の中に出回った「既知」のマルウェアを効率的に検知できます。



 ですが、攻撃者はその検出をかいくぐるため、マルウェアをコピーしてそのまま使うのではなく、少しだけ改変を加えたり、圧縮や難読化を行う「パッカー」と呼ばれるソフトウェアの種類を変えたりして、「未知のマルウェア化」をしているというわけです。



 ただでさえ、他のさまざまな業務に追われ、十分な教育やトレーニングが行えないことから、セキュリティ人材は人手不足が指摘されています。そんな状況下で、専門家が努力しても間に合わないスピードで増加している脅威を捕獲、分析し、ブロックするためのポリシーを作成するのは難しいです。何らかの形で自動化し、精度を高めていかなければ間に合いません。そこにAIやMLを活用する余地があります。



●広がるAI/MLの適用領域



 筆者が知る限り、初めて大々的にAI/MLを駆使したセキュリティ対策をアピールして市場に印象づけたのは、米BlackBerryの傘下にある米Cylanceです。2010年ごろからサイバー攻撃、特に未知のマルウェアを用いた標的型攻撃が増加し、パターンマッチング方式に基づくアンチウイルス製品の限界が指摘されるようになりました。その解決策として「AI/MLでマルウェアの特徴を学習することで、シグネチャがまだ作成されていない未知のマルウェアも検知できる」というのが同社の説明でした。



 Cylanceの製品は、PCなどエンドポイントを保護するものでしたが、AI/MLの活用はその後、他のセキュリティ製品にも広がっていきました。それ以前から、スパムメール検出や振る舞い検知など、広義のAI/ML技術はさまざまな領域で適用されていましたが、Cylanceはその活用法をあらためて定義し直したともいえます。



 異常なもの、不審なものを学習して検知すると同時に、平常時の挙動を学習してそこからの逸脱を検知する仕組みの有用性は、この10年間で業界全体に認知されました。今のセキュリティ業界では、以下のような幅広い領域でAI/MLが活用されています。



・エンドポイント保護(未知のマルウェアの検出)



・振る舞い検知



・認証時の異常検知(普段と異なる場所、時間やタイピングの癖などの把握によるなりすまし検知)



・ファイアウォールやWAFのチューニング



・SIEM、ログ解析と可視化



・IoTデバイスの可視化



・DDoSの検知



・スパムメール、フィッシングメールの検出



・悪意あるサイト、フィッシングサイトの検出



・ソフトウェアに含まれる脆弱性の検出



●当面はトレンドであり続ける



 また昨今は、ベンダー内でMLの新しい使われ方も出てきています。攻撃者が利用する手法やツール、IoCと呼ばれるマルウェアのハッシュ値、通信先のIPアドレス、URLなどの情報を収集、分析して「脅威インテリジェンス」を構築するのは有効な手段です。その解析時にノイズを排除し、有意な関係性を見いだすためにもMLが活用されているそうです。



 こうしたことからAI/MLは、20年に入ってからもセキュリティベンダーの中で重要なトピックであり続け、3月にはフォーティネットジャパンがAIを活用したセキュリティアプライアンス「FortiAI」を発表しています。また、パロアルトネットワークスは7月、MLに基づくインラインマルウェア防御機能を備えた次世代ファイアウォールプラットフォームの最新版「PAN-OS 10.0」を発表しました。



 ガートナーが19年11月に発表した「戦略的テクノロジ・トレンドのトップ10 2020年版」よると、「AIのセキュリティ」(AIを活用したセキュリティ対策の強化)は、今年注目すべきトレンドの一つになっています。セキュリティにおけるAI/ML活用は、しばらくは業界のトレンドであり続けるでしょう。



●AIをターゲットにした攻撃も?



 ただ、攻撃と防御のいたちごっこの例に漏れず、AI/MLがセキュリティ対策に組み込まれていることを見越した新たな攻撃の可能性も指摘されています。他のテクノロジーと同様、AI/MLも万能ではないのです。



 「今のところ、AIをターゲットにした攻撃によって問題が起きた事例は耳にしていないが、この先、AIによる検知を回避したり、嫌がらせのようなことをしてMLのすり抜けや誤作動を起こさせるテクニックは一般的になっていくだろう」と林氏は予測し、その可能性を織り込んで研究を続けていくことが重要だと述べています。


    あなたにおすすめ

    ランキングIT・インターネット

    前日のランキングへ

    ニュース設定