ランサムウェア対策の新しい処方箋

進化がもたらした前進

仮想通貨の情報流出を巡る混乱が続きましたが、その根底には本来の目的であった送金や決済とは異質の投資対象として扱われたことがあります。もう1つは、既存の通貨とは別の仕組みで構築されたお金の存在に、行政と経済界の対応、人々の意識も、追いつかない点も挙げられるでしょう。 今や決済手段は様々に進化し、クレジットカードや電子マネーは一般に広く使われるようになりました。まだ新しいQRコードとスマートフォンを組み合わせた決済手段も中国では一般に使われるようになり、驚くことにホームレスがお金をもらう手段としても使われていると聞きます。今後は仮想通貨も投資だけではなく決済手段として一般に使われる世の中になるのでしょうか。 技術の世界では、大きな括りでは同じ領域にあっても、革新的な進歩が起きた例は多々あります。たとえば、電話が基盤だった通信分野で起きたインターネットによる変化、表示の世界ではブラウン管に対し液晶がもたらした変化。既存のテクノロジーとは異質の発想が、その領域を大きく変えてきました。

情報セキュリティ分野にも変化が

通貨や通信に限らず、「情報セキュリティ」にフォーカスしても進化は起きているようです。今回は、進化の視点からマルウェア対策やランサムウェア対策のトレンドを採り上げてみます。 ここ数年、マルウェア対策の考え方と技術が変わってきました。その背景として、従来の方法では対処できなくなってきたことがあります。たとえば、ソフトウェアメーカーなどが発表する「マルウェアの検知率=97%」といったデータを見かけることがあるかと思います。 しかし、その多くは過去に見つかったウイルスなどのマルウェアが対象で、“発見直後のマルウェア”、“新種のウイルス”に対する検知率はあまり見ません。PCソフトの評価サイトなどが、新型ウイルスの検知率に関する情報を出すこともありますが、メーカーの公表値よりは低い数値を示すケースが多いようです。

攻撃者との攻防

新しいマルウェアの検知が難しい理由は、従来から使われて来た手法が壁に当たっていることです。アンチウイルスソフトに搭載されている「シグネチャ方式」は、既知のマルウェアのパターンを調べ、パターンファイルを入手してコンピュータに搭載し、受信したデータと照らし合わせて悪意あるプログラムを検知するものです。

この方式は、当然ながら、パターンファイルがなければ、マルウェアの判定はできません。一度、出回って検体が確保できているウイルスも、ビット列の一部を変えるだけで、容易に“亜種”が生成でき、シグネチャ方式の検問はすり抜けてしまいます。

search-bug.jpg

静から動へ

近年の技術として、“ふるまい検知”と呼ばれる方法があります。セキュリティソフトのメーカーによって少しずつ定義は異なりますが、一般的にはシグネチャ方式のようなウイルスの特徴といった静的な情報ではなく、プログラムの動き、ふるまい(ビヘイビア)を、動的に検証する技術を示します。

ふるまい検知の手法の1つとしてコンピュータの内部に「サンドボックス=“砂場”」と呼ぶ仮想的な動作領域を作り、そこでプログラムを動かして判定する方法があります。プログラムの形式だけでなく動作まで検証することで、シグネチャ方式に比べると、新種のマルウェアとその亜種に対する防御力は高まりました。

ふるまい検知にも限界が?

ふるまい検知によって、マルウェアの検知率は上がりましたが、現在はふるまい検知のような動的な検証も回避し検出することが難しいマルウェアが出現しています。
検出にサンドボックスが使われるようになると、進化したマルウェアは動作環境が仮想的な記憶領域かどうかを調べ、“怪しい”と判断すると、ファイルの毀損などの動作を控える機能を備えてしまいました。

もちろん、仮想的な記憶領域であることを隠すなど、“サンドボックス回避機能”を持つランサムウェアへの対応策は講じられています。しかし、今のところ攻撃側の“次の一手”に対する特効薬はなく、いたちごっこは無くなりません。

マルウェア対策に変化のきざし

最近のマルウェア対策では、パターン照合やふるまい検査といった現有の技術にはない発想も出てきています。たとえば、マルウェア自体を調べるのではなく、攻撃者が毀損しようとしているシステムの状況を監視して、不審な動きがあればリアルタイムでブロック。あるいは、ウイルスのビットパターンや特徴には依存せず、正当なプログラムの動きを学習して作った精巧な“通路” を置き、ここを通過できないすべてのプロセスは保留するといった手法です。

最近は、「EDR(Endpoint Detection Response)」という言葉も使われるようになってきました。“攻撃プログラムの侵入を100%阻止することは困難”という前提に立ち、入口での侵入防止対策に加えて、すり抜けてきた脅威をいち早く検知し、影響を最小限に抑えるためのシステムや技術の総称です。EDRも既存の発想とは異なる形と言えそうです。

87685644_xl.jpg

進化の起点の1つはAI

パターンマッチング方式を第一世代、ふるまい検知を第二世代とするなら、現在は第三世代が始まりつつあるようです。第三世代の特徴は、マルウェアの静的な特徴を示すシグネチャを使わず、また、ふるまいを検知するわけでもなく、マルウェアの特徴を機械学習によりAIに学習させることで、既知・未知を問わずマルウェアを遮断するということです。

技術的なバックグラウンドとしては、クラウド上のビッグデータを収集・分析することで情報量や分析精度が高まったこと、AIによる機械学習の手法を、情報セキュリティ分野でも生かせるようになった点などが挙げられるでしょう。具体的な成果としては、ランサムウェアによるファイル毀損の動作を学習させておき、正常なファイル操作と異常なファイル操作を区別し、怪しいと判断したマルウェアの動きをブロックして検疫するといった対処が挙げられます。

“AI”や“機械学習”は、情報セキュリティ分野でも注目のキーワードです。セキュリティベンダーによって、様々な解釈とアプローチがあります。特に話題としてまだ鮮度が高いAIは玉石混淆ですので、サービスや製品が持つ技術力を冷静に見極めたいものです。

ランサムウェア対策は新局面へ

警視庁(サイバー犯罪対策プロジェクト)が2月6日に発表した「不正アクセス行為対策等の実態調査」によると、2017年に被害を受けた組織の中で、「ランサムウェア」による損害は、2位の「ホームページの改ざん」(11.7%)の2倍にあたる23.4%。IPA(情報処理推進機構)が1月に公開した「情報セキュリティ 10大脅威 2018」では、“ランサムウェアによる被害”は組織のカテゴリでも個人のカテゴリでも2位と、昨年に引き続き非常に高い脅威ランクとなっています。

年々巧妙化するランサムウェアの脅威に対して、従来からの手法では通用しなくなってきていることを世界中のセキュリティ専門家が気づいています。2018年以降は、既存のアーキテクチャの延長ではなく、発想と手法を変え進化したランサムウェア対策ソリューションが広まっていくはずです。

ランサムウェア対策ソフト「AppCheck」はその先駆けの1つと言えるでしょう。

ダウンロードが予防の始まりです
無料ダウンロード実施中