マルウェアの75％は1企業でしか発見されない。驚異的増加にディープラーニング－ SOPHOS Partner Summit 2017

先日都内にて開催された「SOPHOS Partner Summit 2017」。英Sophos本社CEOのKris氏、ソフォス代表取締役の中西氏らによる基調講演の他(前回レポート)、今やソフォスのセキュリティソリューションの中核を成すAIをどのように活用しているのかや、ランサムウェアによる被害を防ぐために最新事例を交えた講義、基調講演でも注力していく製品のひとつとしてピックアップされた次世代ファイヤーウォール「XG Firewall」の詳細を掘り下げた3つのテクニカルセッションが開催された。

テクニカルセッションの会場には非常に多くの来場者が詰め掛け、みな真剣な表情で最新の情報を吸収していた

基調講演後に行われた「サイバーセキュリティにおけるAI（ディープラーニング）の探求」と題されたセッションには、数多くの来場者が詰め掛けソフォスがセキュリティ製品にどのようにしてAIを利活用しているのかに対する興味の高さを伺わせた。

まず冒頭で、人工知能のなかでもディープラーニングについて講演があった。ゲームをプレイしていくことでルールを学んだりどうすれば効率よくクリアすることができるかなど、ゼロから習得していくものや、リアルタイムでの画像認識処理、そしてディープラーニングを用いることでこの世に実在しないセレブリティの顔を作り出すニューラルネットワークの事例などが紹介された。

ゲームをゼロからプレイしルールを学びクリアへ近づいていくものや、数多ある顔写真から実際には存在しないセレブの顔の創造を可能とするディープラーニング

こうした技術を応用し、ソフォスではディープラーニングを用いて悪意あるURLの検出等に活かしており、講演ではそのデモ映像が公開。人間業では為し得ない速度で判定を行っていた。そして、ソフォスでは2018年にディープラーニングによる悪意のあるWebコンテンツの検出、不正な挙動の検出の開発に注力し、今後ディープラーニングを用いた不正な電子メールの検出やAndroidマルウェアの検出が行えるよう随時取り組みを進めていくという。その際、気を配るのは巧妙に偽装・カモフラージュされた悪意あるモノを検出できるAIであることだという。

写真左は悪意あるURLの検出デモ。写真右は今後ソフォスがディープラーニングに対してどのように取り組み、どの分野で活かそうとしているのかがまとめられたもの

続いては「ランサムウェアの防止　最近の攻撃の詳細」と題されたセッションで、今ソフォスが把握しているランサムウェアの概況やその手口、被害を未然に防ぐための方法などが語られた。

テクニカルセッション「ランサムウェアの防止　最近の攻撃の詳細」会場よりひとコマ

最近のマルウェアのトレンドとして、約75％はひとつの企業でしか発見されていないなど、個別・特定の企業や人をターゲットにしたものが増加しているという。1度限り利用され、未知のマルウェアが驚くべき速度で増加しており、新たな時代へ突入したという。新時代に突入した悪意ある者たちの攻撃から身を守るには、旧態依然としたセキュリティソフトでは対処できない。攻撃者と同様に、新たな時代のセキュリティソリューション「Sophos Intercept X」を用いることで、悪意ある者たちからの脅威を防ぐことが可能になると力強く語った。

過去に例を見ない未知の脅威に対しては、ディープラーニングを用いて挙動モデルを構築。シグネチャレスのエクスプロイト防止や悪意ある攻撃と正規の動作の識別等をユーザーやパフォーマンスに影響を与える事なく行うことができるという。また、昨今話題になったランサムウェアに対しても、挙動・振る舞いから脅威を検出する、万が一のケースにおいても暗号化やブート攻撃を防止する、影響を受けたファイルを自動で復旧することが可能とのこと。

AIを用いたIntercept Xであれば未知の脅威にも対応可能と太鼓判。攻撃者の手法も多様化し、不特定多数を狙ったものからピンポイントで釣り上げるスピアフィッシングのようなものまで脅威は拡大している。その大多数に利用されるのがエクスプロイトだという

また、今後の悪意ある者たちの攻撃手法の予測として、ランサムウェアに加えエクストーション（強要・強請り）ウェアという新たな脅威の増加するのではないかと語った。

エクストーション、被害者を“強請る”という攻撃だが、EU一般データ保護規則（GDPR）の違反罰金額は最大で2000万ユーロと非常に高額だ。例えば、セキュリティ対策に不備があり企業がユーザーから預かっていた個人情報が盗み出されてしまった。その証拠を当局に密告されたくなければ金を払えと企業を強請るのだという。攻撃を受け個人情報が流出し社会的にも経済的にも制裁を受ける、あるいは攻撃者の言いなりとなり金を支払う。いずれにしても企業にとって非常に大きな痛手になるのは間違いないだろう。悪意ある者に屈するのではなく、十分なセキュリティ体制を構築し対抗していく必要がある。

「私的な意見ではあるが」との前置きのあと語られた、ランサムウェアの次にやってくる脅威として挙げられたエクストーションウェア。企業の弱みを握り強請りを行うという手法は、ランサムウェア以上に対処が難しいものになるだろう

そして最後のセッションでは「ネットワークの連携をXG Firewallで実現」と題され、XG Firewallの3つの新機能やXG Firewallが持つ柔軟な展開オプションについて語られた。

最終テクニカルセッション「ネットワークの連携をXG Firewallで実現」会場より

新しいアプライアンスとしてローンチしているXGシリーズのパフォーマンス向上には、最新のCPU及びSSDの採用により従来比10～20％の向上を実現。また、独自のバイパスポートにより、ダウンタイムを発生させないインライン展開用のフェイルオープンブリッジを実現するなど柔軟さを兼ね備えている。さらに、Synchronized App ControlやSophos Central、ソフォス独自のSecurity Heartbeatなど、他の製品にはないソフォスだけのユニークさについて説明がなされた。

XG Firewallのポイントやユニークさが解説されたスライド

また、XG Firewallの柔軟な導入方法とそれに伴った3つの販売シナリオが披露され興味を惹いていた。ファイヤーウォールの置き換えの提案、独自に実用性を追求する企業へ導入を提案する場合、Intercept Xの膨大なインストールベースを対象とするクロスセルの場合の3つのシナリオが例示され、ブリッジモードでのインライン展開やTAPモードによる展開でSynchronized Securityの可視性を得ながらエンドポイントのセキュリティを強化するといった、XG Firewallの持つ柔軟な展開オプションとそこから得られるそのメリットが語られた。