Deep Instinctはこのほど、オンライン説明会を開催し、同社の脅威リサーチチームがまとめた2021年上半期の脅威情勢レポートからと、マルウェアを中心とした脅威の動向とそれに対する見解を説明した。

特徴はディープラーニング(深層学習)の活用

Deep Instinctは2015年イスラエルで創業したセキュリティベンダーで、脅威を予測して感染を予防することにフォーカスし、サイバーセキュリティに(深層学習)を活用している点を特徴としている。

サイバー脅威からエンドポイントを保護する製品として、社名と同じ名称の「Deep Instinct」を提供している。Deep Instinctは、ディープラーニングを用いて既知および未知のマルウェアを検出し、予測アルゴリズムを作成している。今や、セキュリティ製品においてAIを活用することは当たり前となりつつあるが、Deep Instinctは何が違うのだろうか。

米国Deep Instinct バイスプレジデント APJ事業開発担当 乙部幸一朗氏は、「AIでも、機械学習は学習やモデル作成において、人の手に依存するが、深層学習は人手による特徴抽出が不要だ。競合のAIはほとんどが機械学習だ。深層学習はデータがあれば、モデルを作ることができ、精度が高い。個人的には、拡張性が高い点が最大のポイントと思っている」と語った。モデルの精度が高いということは、高い検知率と低い誤検知率をもたらす。

  • 米国Deep Instinct バイスプレジデント APJ事業開発担当 乙部幸一朗氏

さらに、乙部氏は「ニューラルネットワークを独自で開発している点もわれわれの強み。他社は、GoogleやFacebookなどが開発したAIのフレームワークを使っている。われわれは、サイバーセキュリティの世界の特化したフレームワークを開発した」とも語っていた。

  • Deep Instinctの深層学習を活用した学習と予測

2021年上期はランサムウェアの活動が活発

乙部氏は、サイバー脅威の全体的な動向として、「組織に対するインパクトが大きく、大きく衰弱させるような攻撃」が増えている一方、滞留時間は短くなっていることを指摘した。滞留時間が短いということは、検出の難易度が上がることになる。

また、多段階・多目的攻撃のプラットフォームとなるようなマルウェアキャンペーンが増えているとともに、国家レベルの活動も数と規模が増大しているという。コロナ禍でリモートワークが増えたことにより、サイバー攻撃の機会が増えていると言われているが、乙部氏もその点に言及した。リモートワークの拡大により、攻撃面が広がるともに分散し、防御がより難しくなっている。

サイバー脅威の中心ともいえるマルウェアだが、2019年の同時期と比べると、800%も増加しており、2021年前半だけでも244%増加しているという。マルウェアの種類・分布は過去18カ月間で大きな変化はないとのことだ。

最も多かったマルウェアは「STOP (Djvu)」で、全体の6割を占めている。「STOP (Djvu)」は、データを暗号化するランサムウェアの一種で、攻撃者はデータの復号を引き換えに身代金を要求する。次に多かったのが、「Sodin/REvil」だ。これは、ランサムウェア攻撃を容易にするパッケージ「Ransomware-as-a-Service」であり、二重恐喝の手法を用いている。

ランサムウェアの被害を受けた際、身代金を支払うべきではないという意見があるが、実際には多くの企業や組織が身代金を支払っている。その理由について、乙部氏は「ランサムウェアによる被害を自社で対応すると、50億円から60億円かかるとも言われている。それなら、要求額として10億円支払ったほうが回復が速く、コストもかからない」と説明した。

  • 最近の大規模なランサムウェア事案と被害額

そして、乙部氏は2021年上半期全体のポイントとして、以下を挙げた。

  • 新型コロナウイルスに乗じたサイバー攻撃
  • Emotetの消滅
  • 二重恐喝– 1度の感染で2つの恐怖
  • 政府と民間企業の協力体制
  • 敵対学習の進歩

乙部氏は、「さまざまなセキュリティベンダーが脅威レポートを発表しているが、敵対学習に触れているベンダーは少ない。例えば、攻撃者がAIの識別モデルを悪用して標識に偽のステッカーを加えたら、自動運転者がご認識して、事故を起こしてしまう可能性がある。敵対学習は今後、注視が必要な分野」と語っていた。