FireEyeは2018年7月10日(米国時間)、「Malicious PowerShell Detection via Machine Learning ≪ Malicious PowerShell Detection via Machine Learning|FireEye Inc」において、同社で利用している悪意あるPowerShellコードを検出する技術を紹介した。
同社は、AI(人工知能)および機械学習を利用することで、検出が難しいとされるPowerShellを使ったサイバー攻撃用コードの検出を実現したという。
-
増加傾向を続けるPowerShellを使ったサイバー攻撃 - 資料: FireEye
-
攻撃に使われているPowerShellの利用例 - 資料: FireEye
マイクロソフトのコマンドライン シェルおよびスクリプト言語であるPowerShellは便利である反面、サイバー攻撃においても悪用される頻度が上がっている。PowerShellを利用すると、ファイルを使わずにオンラインからネットワーク上のコードを持ってきて実行するといったことが簡単に行え、従来のシグネチャベースでは検出が難しい攻撃を実施しやすいと考えられている。
FireEyeではこの部分にAIと機械学習を導入。悪意あるPowerShellコードとそうではないPowerShellコードをベースに学習モデルを構築し、悪意ある用途で実行されるPowerShellコードの検出を実現したと説明している。
同社はすでにこの技術を使って事前にマルウェアを発見することに成功しており、実際に効果を上げているとしている。
