カスペルスキーは、「カスペルスキー サイバーセキュリティフォーラム」と題したプレスセミナーを2018年10月開催した。今回のテーマは、最近のマルウェアの脅威状況などの分析に加え、日々の研究活動から生まれる解析のテクニックや高度な機械学習を活用した検知の仕組みを紹介する内容であった。
透明性の公開も重要な企業行動の1つ
最初に登壇したのは、代表取締役社長の川合林太郎氏である。
-
図1 代表取締役社長・川合林太郎氏
まずは、今回のプレスセミナー開催の挨拶が行われた。メインの登壇者となるヴャチェスラフ・ザコルザフスキー氏の紹介した。ザコルザフスキー氏は、まさにマルウェアの解析を行い、製品側でどういうロジックを組むかといったことを行うチームの責任者であると紹介した。また、今回のプレスセミナーでは、どういう仕組みでマルウェアを検知するかについても紹介したいと語った。この点は、2017年から取り組んでいるトランスペアレンシーイニシアティブへの寄与にもなると述べていた。どのようにデータを収集し、どう再利用しているのか、ユーザーに開示していくことで、最終的に安心して製品を使ってもらえる環境を整備したいとのことだ。
最近の脅威動向
川合氏の紹介を受けて、登壇したのがヴャチェスラフ・ザコルザフスキー氏である。
-
図2 ヴャチェスラフ・ザコルザフスキー氏
カスペルスキーLabでは、AMRは図3のような位置付けとなる。
-
図3 アンチマルウェアリサーチ(AMR)の位置付け
総勢85人のアナリストにより構成され、日々、マルウェアの分析を行っている。
-
図4 VirusLab:後ろで手を上げているのがCEOのユージン氏である
KSN(カスペルスキーセキュリティネットワーク)に蓄積されたビッグデータからの統計情報の紹介や日本で頻発しているデマウイルスを紹介した。
-
図5 デマウイルス
偽ウイルス警告とも呼ばれる。嘘のウイルス感染を報告し、駆除のため送金してもなんの効果もないというものだ。次は、Googleを装った検索結果を表示している。
-
図6 Googleを似せた検索ページ
下の画面では、「NW」という本来ないロゴや文字がある。また、最近の企業を狙ったランサムウェア事例も紹介された。
-
図7 最近のランサムウェア事例
また、IoT機器を狙った脅威として、MicrosoftのHoloLensを悪用したマイナーが紹介された。
-
図8 HoloLensを悪用したマイナー
マイニングも最近、急増している脅威である。さらにIoT機器を悪用することで、拡散を続けている。
多層型の機械学習
さて、今回、もっとも注目された内容であるが、カスペルスキーでは、どうやってマルウェアを防いでいるのか具体的な仕組みが紹介された。カスペルスキーでは、多層防御を実装する。同時に、多層型の機械学習が行われる(図8)。
-
図9 多層型機械学習
ここで赤く「ML」とあるのが、機械学習である。クラウド・ローカル、実行前・実行後のそれぞれで、機械学習が行われる。機械学習の基本は、図9のようになる。
-
図10 機械学習の原則
良性と悪性の両方の実行ファイルを学習させ、不明(新しい)実行ファイルの良し悪しを判定する。最初のアプローチは、決定木を使う。不明な実行ファイルから、特徴を抽出する。
-
図11 決定木アンサンブル
これを作成したモデルを使い判定する。この例では2つの要素であるが、いずれも悪性であれば、マルウェアと判定する。カスペルスキーでは、約1000の決定木のモデルが構築されている。そして、それぞれのモデルには数百の条件が設定されている。次のアプローチは、局所性鋭敏型ハッシュである。
-
図12 局所性鋭敏型ハッシュ
従来の方法では、似たようなファイルでも、まったく異なるハッシュ値となる。局所性鋭敏型ハッシュでは、ファイルの特徴的な部分をハッシュ化することで、より正確に類似性が比較可能になる。特に、特定のハッシュのベクトルを使うことで、複数の不正なファイルを検知することが可能となる。最後に、振る舞いモデルを紹介した。
-
図13 振る舞いモデル
ある意味、従来の分析に近い点もある。しかし、ここでは、これ以上分解できないイベントまで分解する。そして、この数理モデルを学習させ、さまざまなイベントやパラメータの組合せを検出していく。この仕組みを使ったデモが行われた。
-
図14 振る舞いモデルによる検知
中央が実行されているのがプロセスで、右のグラフで、悪意である可能性を示す。このスコアが高いほど、マルウェアとして検知されやすくなる。
紙数の関係で、セミナーの一部しか紹介できなかった。しかし、カスペルスキーでは、どうやって、実際に防御しているのか、実に興味深かった。こういった情報はあまりオープンになることは少ない。貴重な内容といえるだろう。