Microsoftは27日(以下すべて現地時間)、クラウド上の仮想マシンに展開している「ボットネット」を、Azure Security Centerと機械学習を用いた検出が可能になったと公式ブログで発表した。同社によれば新たなモデルは95%の正確さで、結果レポートは一般的なマルウェア対策よりも43%の更迭を実現可能にするという。

ボットネットとは、サイバー攻撃を行う際に踏み台に使うPCなどを含めた一連のネットワークを指す。感染したPCや仮想マシンはダイナミックDNSに接続してC&C(Command and Control)サーバーと連携し、指令者(ボットマスター)からの命令に従って攻撃を仕掛ける。

ボットネットの概要(公式ブログより抜粋)

歴史的にC&Cサーバーには静的IPアドレスが割り当てられていたが、昨今はSNSなど多様な手法を用いているため、既存の対策方法が通用しなくなっていた。Microsoftは各仮想マシンから約50TB/日にも及ぶDNSクエリとレスポンスデータを収集し、ボットネットの可能性が高いIPアドレスや、既存のC&Cサーバーで使われたIPアドレスやドメインを含む脅威インテリジェンスフィードを付与して分析を行っている。さらに最適な結果を得るため、機械学習によるモデル化を行うことで、問題のDNSクエリログと一致した特定の日付に仮想マシンがボットネットに参加している可能性があることを判断するという。

さらにレアドメインであることを示す"希少性"、ドメイン生成アルゴリズムに基づいて登録から日の浅いドメインであることを示す"若さ"、ボットネットだけが多用するDNSクエリを発行している"ボットネット特有"といった情報を元に点数を付けて検出を行う。

スコアリングシステムの計算式(公式ブログより抜粋)

2016年6月上旬から1週間のデータを用いて機械学習の訓練を行い、翌月に検証した結果は両者の条件を満たしたボットネットに参加中の仮想マシン数は411台だったという。Microsoftはさらなる調査が必要だと前置きしながらも、DNSログを用いたボットネット検出用機械学習モデルが、ボットネットに参加している仮想マシンを識別し、Microsoft Azure仮想マシンがマルウェアに感染するリスクを低減させると述べている。

両者の検出方法から導き出された、ボットネット参加中の可能性が高い仮想マシン数

阿久津良和(Cactus)