アンチウイルスは45%の検知率!? AIを活用した予測防御とは

2019年6月28日に開催されたマイナビニュース スペシャルセミナー「本音で対談!! 最新の脅威動向とセキュリティ対策」。

セキュリティベンダーが自らの製品やサービスを紹介したあと、複数のセキュリティリサーチャーが第三者の視点で、その製品やサービスを深掘りして疑問をぶつけるという、ユニークなスタイルのセミナーとなった。リサーチャーからの厳しい突っ込みや、ベンダー側の見事な切り返しに、会場から歓声や笑いが起こるなど、一般的なセミナーと比べるとかなり異質な空気感の中で開催された。

本記事では、いくつか開催されたセッションの中から、BlackBerry Japanおよびエムオーテックスによる「なぜアンチウィルスは死んだのか?」と題したセッションの模様をお伝えする。

もはやアンチウイルスはマルウェア対策にならない

セッションの冒頭でBlackBerry Japan の乙部幸一朗氏は、2014年にSymantecの上級副社長を務めるブライアン・ダイ氏が発言し大きな話題を呼んだ「アンチウイルスソフトは死んだ」という言葉を紹介した。

当時、アンチウイルスソフトが検知できる攻撃は、全体の45%にすぎなかった。つまり攻撃の半数以上は駆除どころか検知すらできないのが実態だったのだ。2014年当時と比べると、当然ながら現在はマルウェアの種類も数も大幅に増加している。あえて過激な言い方をすると、残念ながらもはやアンチウイルスソフトは「入れないよりはマシ」程度の存在でしかない。

大量に生み出されるマルウェアに対抗するための切り札とは

従来型アンチウイルスソフトの仕組みは、シグネチャと呼ばれるマルウェアのパターンを照らし合わせて検出するというものだ。その中には、ファイル内の特定のバイト列を検出する「バイトマッチング」、コードの静的データや構造（ハッシュ、署名、APIコールなど）で検知する「ヒューリスティック」、端末上で疑わしい活動（ファイル、プロセス、レジストリへのアクセスなど）がないかを監視する「振る舞いベース」がある。だが、これらの技術を駆使しても、毎日35万以上も生み出されるマルウェア全てに対処するのは現実問題として不可能だ。

このような課題に対して、BlackBerry Japanが提供する回答が「AI/機械学習」の活用である。

「今後は、攻撃する側がAIを使ってくる可能性も十分にあり得ます。攻撃者が使うAIが互いに切磋琢磨し、多種多様な攻撃を仕掛けてくる。そうなると、守る側もAIで対抗するしか手はありません」（乙部氏）

BlackBerry Japan が提供するソリューション「CylancePROTECT」は、AI/機械学習を活用した予測防御でマルウェアによる攻撃を防ぐ。なお、米国の調査機関であるNSS Labsが2018年4月に公表した次世代エンドポイントセキュリティのテスト結果によると、CylancePROTECTは99%を越える高い検知率を達成したとのことだ。

• AI/機械学習による予測防御の仕組み

AIを活用したCylancePROTECTの導入効果

セッションの後半に登壇したのは、CylancePROTECTの販売パートナーであると同時に、自らも同ソリューションのユーザーであるエムオーテックス 丸山悠介氏だ。

エムオーテックスは国内で唯一のOEMパートナーとして、CylancePROTECTを「プロテクトキャット」として提供している。

「国内でもっとも早くCylancePROTECTを導入したユーザー」を自認する同社だが、CylancePROTECTの概要を最初に聞いたときの丸山氏は「正直、怪しい……」と感想を抱いたという。しかし情報収集を続けていくうちに「ひょっとしたら本当にすごいのではないか?」と考えるようになり、実際に検証したところ「CylancePROTECT」が圧倒的な検知率を叩き出したため、導入を決意した。

導入後はCylancePROTECTが水際で被害を食い止めた事例が数件発生し、その効果を実感できたとのことだ。

「理想的なセキュリティツールは、専門的な知識を持たなくてもひとつ上のレベルの運用が実現されるべきです。機械学習という技術を用いたCylancePROTECTは、それを満たしてくれるツールであると考えています」（丸山氏）

• プロテクトキャットの管理コンソール。マルウェアなどの脅威が見つかった場合、どの端末にどのような経路で流入したのかを検知することができ、マルウェア流入の再発防止が可能

セキュリティリサーチャーが問う! CylancePROTECTの真実

それではセッション後に行われた、CylancePROTECTをめぐる座談会の模様を紹介しよう。先ほど講演を行った乙部幸一朗氏と丸山悠介氏に加え、セキュリティリサーチャーのセキュリティインコ piyokango氏とソフトバンク・テクノロジー 辻伸弘氏が登壇した。

• 座談会の様子。左はセキュリティリサーチャーのソフトバンク・テクノロジー 辻伸弘氏

辻氏「CylancePROTECTの検知率は99%とのことですが、抜けてしまう1%にはどんなものがありますか? 見逃しですか? 過検知ですか?」

丸山氏「過検知の事例でいえば、私たちの製品が引っかかったことがありました（笑）。あと、チャットソフトなどはアップデートのたびに一部ファイルが検知されてしまいます」

乙部氏「リモートアクセスのように、バックドアに近いコード構造を持ったツールなどは、どうしても検知されやすくなります。それと、確かに99%という検知率は響きは良いですけど実際には1,000攻撃されれば10抜けてしまうことを意味します。しかし、その前段階でもいろいろと防御しており、従業員教育や訓練もして、最後の砦として99％防いでくれるということなので、少なくとも検知率45%のアンチウイルスソフトよりは安心感が高いと考えています。理論上、機械学習は時間を追うごとに精度が高まるので、使い続けてもらえれば、より安心感を持っていただけるツールとなるはずです」

piyokango氏「過検知もしくは検知できなかった場合、どのように対応しましたか?」

丸山氏「過検知については、機械学習の仕組みとして似たようなコードの特徴があるアプリケーションは検知されるものだと割り切り、業務に影響が出ない場合は隔離のまま放置しています」

乙部氏「検知できたかできなかったか、その原因については、結局人が後付けで分析して対処するしかありません。業務上使っているツールが検知されたとして、そのツールを止めるのか、それとも許可するのかは、ポリシー次第ですね」

辻氏「最近は、AIを活用した製品の話をよく聞きます。ただ、個人的にこのような製品を使いこなすのはかなり大変で、いろいろな対応をしたうえで、最後に導入する製品というイメージがあるのですが、導入前に何か準備したことはありますか?」

丸山氏「まずは、機械学習について理解を深めるために、全社向けに勉強会を開きました。過検知についても、導入後にいろいろと言われるのが嫌だったので、従来型アンチウィルスソフトとの仕組みの違い、過検知の可能性はあってもそれ以上のセキュリティ強化のメリットがある、そういう認識を共有するようにしました」

辻氏「ちなみに導入した今、満足していますか? ここが困ったとか。それと今後やってみたいことがあれば教えてください」

丸山氏「導入して困ったことはあまりないです。ただ、セキュリティはどこまでやっても終わりが見えないので、何処までやれば良いのか? という悩みが常につきまといます。今考えているのは、BlackBerry Japanさんが侵害調査サービスを始めたので、それを試してみようかと。万が一、侵害された形跡が見つかったらと思うと怖い部分もありますが、まずはアセスメントしないと次のステップに進む判断が出来ません。きっと大丈夫だと信じて、それを確かめようと思っています（笑）」

辻氏「ぜひ、結果が出たらどこかのセミナーで紹介してください!」

[PR]提供：BlackBerry Japan、エムオーテックス