はじめに... 1 灰色の陰 : 変化する脅威概況... 2 攻撃者の新たなビジネスモデル... 2 検出回避と検出技術の激しい攻防... 3 灰色の範囲に対する多層のエンドポイント対策... 4 多層防御における各レイヤの理解... 5 パターンベースの検出... 6 パターンベース以外の検出..

Transcription

1 成熟した技術と新しい AI( 人工知能 ) 技術のブレンドによるセキュリティアプローチ 提供 : トレンドマイクロ株式会社

2 はじめに... 1 灰色の陰 : 変化する脅威概況... 2 攻撃者の新たなビジネスモデル... 2 検出回避と検出技術の激しい攻防... 3 灰色の範囲に対する多層のエンドポイント対策... 4 多層防御における各レイヤの理解... 5 パターンベースの検出... 6 パターンベース以外の検出... 6 アプリケーションコントロール / ホワイトリスト... 9 機械学習がもたらす新たなセキュリティインテリジェンス...10 高度な機械学習型検索とともに進化するセキュリティ...10 マルウェアの DNA を用いた ゼロデイ攻撃 対策...12 強固な防御力を実現する機械学習の今後は?...14 多層防御の取り組みが発揮する真価...14 コストを抑え 検出の正確性を高める...14 素早いセキュリティ対応を実現するインテリジェンスの共有...15 セキュリティ分野をリードするトレンドマイクロ...17 まとめ...18

3 はじめに 2014 年に暗号化ランサムウェアの脅威が増加し セキュリティ分野の状況は劇的に変化しました この新たなタイプのマルウェアは 単に攻撃者に金銭をもたらすビジネスモデルを提供しただけでなく 次世代 と呼ばれる多くのセキュリティ技術の導入にも拍車をかけました しかし こうした技術がマルウェアと闘うための有効な新機能を実現したにもかかわらず 依然としてすべての脅威を止める万能なセキュリティ対策 つまり特効薬は存在しません 最大限に防御力を高めるためには 高度な対策技術の融合が求められます 本資料では 最新の脅威に対する複数の対策技術の長所と短所について詳細に解説するとともに なぜ法人組織では多層防御 1 の取り組みが行われるべきなのかについて概要をご紹介します この取り組みは 成熟した技術と新しい AI( 人工知能 ) 技術のブレンドによるセキュリティアプローチ XGen の中で具現化されており そこでは世界中から集められる脅威情報と世代を超えた対策技術を組み合わせることで 最新の脅威に対応しています 1 複数のセキュリティ対策製品の導入 または複数のセキュリティ技術の融合によって多段に防御の 層 を作る対策 1

4 灰色の陰 : 変化する脅威概況 以前のセキュリティは白黒がはっきりしていました そのため 従来はウイルス対策のパターンや Web フィルタリングで既知の脅威を防ぐためのブラックリスト型の手法が対策の大部分を占めていました しかし IT 環境がより高度化していくにつれて あらゆる規模 業種の企業が直面する脅威もまた巧妙化しています 企業の社員による私用デバイスの利用やクラウド型ファイル共有サービスの業務活用の普及によって 企業ではクラウド移行が増え モバイルデバイスの利用数も増加しています そのため 攻撃対象となる可能性がある領域は オンプレミスのインフラを超えて拡大しています しかし そうした攻撃対象領域の拡大以上に懸念すべきは サイバー攻撃をビジネスとして見ている攻撃者が持つ 仕事 に対する考え方です 攻撃者は 多くの法人組織が適所に設置しているセキュリティ対策をすり抜け 回避する技術にかなりの額を投資しています 攻撃者の新たなビジネスモデル 近年 セキュリティベンダはマルウェア業界の抜本的な変化を目の当たりにしてきました 特に 2013 年に登場した暗号化型ランサムウェア CryptoLocker は復号に必要な情報をクラウド上に保持する手法で新たな暗号化型ランサムウェアの攻撃手法を確立させるとともに サイバー攻撃者のビジネスモデルを劇的に変化させました 暗号化型ランサムウェアとは? 暗号化型ランサムウェアは 被害者のデータを窃取することが目的でない点で従来のマルウェアとは異なります 実際には 被害者の PC からデータを窃取する代わりに ランサムウェアは PC のロック 暗号化等の手口を用いて被害者が PC 内のデータにアクセスできない状態にします 身代金が支払われた場合 サイバー攻撃者からデータにアクセスするために必要な復号鍵が提供されます 身代金が期限内に支払われない場合 金額が上昇するケースがあります また ランサムウェアは 暗号化ファイルの削除やデータを公開することも可能だと考えられます 重要なデータを失う恐怖によって 多くの被害者が身代金を支払っています 特に日々データを活用して業務を行っている企業はランサムウェアに感染した場合に大きな被害につながりやすいと言えます ランサムウェア感染によって医療業務に影響が及んだ病院が身代金を支払った事例が複数報道されています トレンドマイクロでは こうした身代金を支払うことを推奨していません ランサムウェアに感染した米国の病院が身代金を支払ったにもかかわらず データが復旧しなかった事例 2 からも 身代金を支払ってデータが確実に復旧する保証はありません 2 2

5 暗号化型ランサムウェアは一般的にエクスプロイトキット ソーシャルエンジニアリング攻撃 スパムメー ルによって拡散されます サイバー攻撃者がマルウェアを感染させ 金銭を得る手口として 以下のようなものが考えられます スパムメールの送信 DDoS 攻撃の実行 ビットコインマイニングなどの不正活動を目的とした感染サーバの貸出しオンライン銀行詐欺ツールのような被害者からの直接的な金銭の窃取被害者のデータや知的財産の窃取被害者の PC 内のファイルなどを人質にした身代金の要求 各手口によってサイバー攻撃者のコストとリスク そして潜在的な利益は異なります 例えば 感染サーバで構成するボットネットの維持や管理には多くのインフラが必要になりますが スパムボットや DDoS 攻撃請負サービスに支払われる金額は一般的に高額ではありません 個人の銀行口座から直接金銭を窃取する手口は 潜在的に高い利益につながる可能性がある一方で 窃取した金銭の資金洗浄にマネーミュールといった複雑なシステムが必要になります さらには 多くの銀行が不審なトランザクションの検出と不審なトランザクションを処理前に食い止める包括的なシステムを持っているため そうした点からも簡単に大きな利益を上げることが難しくなってきていると言えるでしょう また 知的財産の窃取については サイバー攻撃者はまず窃取したデータの価値を把握しなければなりません そして その上で 買い手を見つけることになるため 結果的に販売プロセスが長期的になります これらと比較しても PC やファイルを人質に身代金を要求する手口であれば サイバー攻撃者にとって手早く 1 感染あたりの利益が高額 ( 身代金の相場は $500 から $1000 の間です ) で さらにはビットコインで利益を得ることができます ビットコインによる支払いでは サイバー攻撃者は Bitcoin scrambler を用いて匿名性が確保でき トランザクションの追跡を逃れることができます 検出回避と検出技術の激しい攻防 サイバー攻撃者は ランサムウェアの手口に投資することで 手早く高額な収益が得られるため その資金を新たな検出回避の技術に再び投資することができます つまり サイバー攻撃者は手に入れた利益を使って 回避機能をさらに強化できるのです 多くのサイバー攻撃者は もはや無料 ( またはとても安価 ) のボットネットに頼って攻撃を仕掛けてきません そうしたボットネットに代わって 乗っ取ったインフラや購入した正規インフラを通じて攻撃の通信を仕掛けてきます 例えば ブラックリストに登録されていないデータセンターや ISP です 過去には スパムメールのリンクが直接被害者をアンチスパムで捕まりそうな怪しいウェブサイトに誘導していました 3

6 が 近年ではサイバー攻撃者は正規の Web サーバを乗っ取り 被害者のブラウザを不正な Web サイトにリダイレクトします また ソーシャルエンジニアリングの手口も増加しています この手口は 見た目や雰囲気を銀行 政府機関または一般企業に模倣した偽の Web ページを使用し 人々を騙して機微な情報を窃取します さらには セキュリティソリューションによる検出を回避するため CAPTCHA または 曖昧な JavaScript を用いています その他 ポリモーフィック型マルウェアでハッシュファクトリーというマルウェアに新たなコードを定期的に挿入 ( 通常 挿入されるコードは影響のない命令コードや任意の API) し様々な亜種のファイルが作られる方法も懸念すべきでしょう これは定期的にマルウェアのファイルの特徴を自動的に変更する手口で Cerber 3 のケースでは マルウェアのハッシュが 15 秒毎に変更されていました このような手法によって 現実的に従来の統計的なパターンベースの検出方法で対応することが困 難になってきました その他にも 暗号化型ランサムウェアの主なロジックの箇所を 複数の命令に分割する新たな技術がパターンベースの検出を回避するために用いられています 一連の命令は マルウェアのバイナリ全体に渡って散在していますが 無条件飛越し 4 によって一つにつながるようになっています また 短いコードと長い文字列を含んでいるパックされたマルウェアも存在します このマルウェアはデータを解凍または復号し その後実行される新たなコードを展開します 展開された新たなコードは再びパックされ 実際に実行される不正なコードを生成するために自身を復号します 正規 Web サービスの悪用や 簡単に検出を回避するマルウェアの作製によって サイバー攻撃者は従来 IT セキュリティで当然と考えられていた認識に強烈な影響を与えました 普段は既知で安全と判断されていたシステムやアプリケーションが 突然安全とは言えなくなったのです 黒と白がはっきり分かれていた境界が曖昧になり その結果 対策がずっと困難である灰色の範囲が増加しました 灰色の範囲に対する多層のエンドポイント対策 拡大する灰色の範囲の脅威に対して 近年セキュリティベンダは 次世代 と呼ばれる対策技術を強化させてきました 例えば サンドボックス機能 振る舞い検知や脆弱性対策などです こうした技術によって新たなセキュリティ機能が融合されてきたことに伴い 企業にとっては 次世代の対策技術のいずれか一つだけでは 全ての脅威を防ぐことができないことを認識することが重要です 3 Cerber ransomware morphing every 15 seconds. SecurityWeek, June Available from 4 プログラミング言語における命令語の一種 ( 無条件に指定された番地へ飛び越す命令語 ) 4

7 この点については ガートナー社の 2016 マジッククアドラント内で これまでの歴史から 一つのアプローチ ( 防御機能 ) ですべてのタイプのマルウェア攻撃に対応できないことは明らかです 組織や対策ベンダには適応性と戦略性を持ったマルウェア対策が求められます と記載されています 5 最も高確率で不正なものを検出するために 多層防御では複数の異なるセキュリティ技術が同時に機能し 互いに補完し合います もし法人組織が 自組織に求められるセキュリティに対して 一つまたは二つの対策技術に頼っているとします その場合 そうした対策技術のほころびから脅威がすり抜け 被害を受ける可能性が極めて高くなるでしょう 多層防御における各レイヤの理解 防御と検出の技術は常に進化して続けており 脅威が高度化するにつれて それらに対する新たな対策方法が絶えず登場しています ( 当然ですが そのうえで新たな対策技術の検出を回避する新たな手口がでてきます ) 例えば パターンベースの検出方法は 過去にファイルレピュテーション機能が取り入れられ 高いパフォーマンスで何十億という既知の脅威を一掃しました しかし より高度な未知の脅威に直面した場合 それだけでは不十分です 今日に見られる高度なセキュリティ技術の強化が必要です 図 1: エンドポイントセキュリティ技術の進化 5 However, history has clearly shown that no single approach [capability] will be successful for thwarting all types of malware attacks. Organizations and solution providers have to use an adaptive and strategic approach to malware protection.(*) (*)Source : Gartner 2016 Magic Quadrant for Endpoint Protection Platforms, February 1, 2016, Peter Firstbrook, Eric Ouellet Disclaimer : ガートナーは ガートナー リサーチの発行物に掲載された特定のベンダー 製品またはサービスを推奨するもので はありません また 最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません ガートナー リサーチの発行物は ガートナー リサーチの見解を表したものであり 事実を表現したものではありません ガー トナーは 明示または黙示を問わず 本リサーチの商品性や特定目的への適合性を含め 一切の保証を行うものではあり ません 5

8 近年の高度な技術を含むエンドポイント向けのすべてのセキュリティ技術には 長所と短所が存在するため 多層防御の取り組みが非常に重要になります 万が一 不正なファイルがセキュリティ対策の一つのレイヤを通過した場合 ( 例えば 攻撃の裏にある Web サーバがブラックリストに登録されていなかった場合 ) でも その脅威は複数の防御レイヤが持つセキュリティ機能によって補完されます 多層防御の各レイヤは防御と検出それぞれ異なった方法を用いています それでは どのような対策技術が多層のエンドポイント対策プラットフォームの一部となるべきなのでしょうか? パターンベースの検出 従来のブラックリスト型のパターンベースによるウイルス対策は 誤検出が少なく 既知の脅威に対する高い防御力を発揮します ( また 既知のマルウェアに対するパターンマッチングの照会プロセスは より高度な振る舞い検知技術と比べ CPU 負荷はずっと小さいものとなっています ) しかし 暗号化型ランサムウェアの新たな亜種が毎分出現しているため 単独で動く場合のパターンベースの検出方法の有効性は弱まってきています パターンベースの検出方法が企業に真の価値を提供するためには 他のセキュリティ技術と幅広く補完し合う必要があります 以下を含むパターンベースの検出方法は 多層防御の取り組みの一つに採用されています ファイルレピュテーション 6 と Web レピュテーション 7 既知の不正なパターンとマッチしたファイルの実行をブロックしたり 既知の不正なパターンとマッチした URL Web サイトへのアクセスをブロックします しかし 未知の脅威 ( ポリモーフィック型マルウェアやパックされたマルウェア ) や正規の ISP やデータセンターから送られてくる攻撃に対する防御には課題があります C&C( コマンド & コントロール ) 通信のブロック既知の C&C サーバに接続を試みるエンドポイントの通信を検査し その通信を遮断する パターンベース以外の検出 この技術は 正確なファイルのパターン情報がなくともマルウェアを防ぐことができます パターンの代わりに ファイルの特徴や振る舞いを基に判断します 以下のような技術が 多層防御の取り組みの中に含まれています 亜種対策亜種対策は 以前検出したマルウェアの断片情報と検出アルゴリズムを用いて 難読化されたマルウェア ポリモーフィック型のマルウェア 亜種のマルウェアを検出します Census 技術

9 ファイルの普及度と成熟度 ( つまり ある期間でファイルが確認された頻度 ) から 悪質なファイルである可能性が決まります 過去に一度も確認されていないファイルは より不審なファイルと見なされます この技術は マルウェアのハッシュファクトリーの手口に対して効果を発揮することが証明されています ホワイトリストチェックエンドポイントにおける誤検出を減らすため 既知で安全だと判断されたファイルの情報が格納されたデータベースを用いて 全ファイルをチェックします ( 一例として トレンドマイクロが安全だと判断したソフトウェアのホワイトリストには およそ 10 億個の既知の安全なファイルの情報が含まれています ) 振る舞い検知この技術は パックされていないようなものを検査し それが OS アプリケーション スクリプトと関わる動きの中で 不審 または通常と異なる振る舞いがないかを検知します 振る舞い検知には次のような複数のタイプがあります スクリプト対策ファイルがエンドポイントで実行される間 不正なコードやスクリプトをチェックします ( 例えば Office のマクロ機能 PDF 内のスクリプト パワーシェルスクリプトです ) インジェクション対策プログラムライブラリのような適切でないインジェクションコードのプロセスをブロックします 挙動監視ロードされ 実行されているものを検査し それが他のプロセスと関わる動きの中で 不審 または通常と異なる振る舞いがないかを検知します ランサムウェア対策未知のプロセスによる急速なファイルの暗号化 難読化を検知します その後 そうしたプロセスを終了させ 暗号化されたファイルを復旧します メモリ検査メモリ内の実行中プロセスを評価し メモリ内に展開されたマルウェア ( または マルウェアと判断される一部 ) をスキャンします これによって パッカーツールによる古い既知のマルウェア種の単純な難読化ができなくなります ブラウザエクスプロイト対策 Web ページのエクスプロイトコード ( 例えば Java や Flash のエクスプロイトです ) の対策として エミュレーションとアルゴリズム検知技術を用います 長所 パターンベースのブラックリストを通過した脅威を検知することができる 既知の安全と判断されたアプリケーション内の不正なドキュメントの振る舞いを検知する 短所 誤検知が多いと考えられており ( 特にホワイトリストとファイルレピュテーション技術との組合せがない場合 ) 結果として 他の対策方法よりも IT 管理者の負担が大きくなる このた 7

10 ( 例えば PDF ファイル ) マルウェアがエンドポイントに到達する前に ネットワーク内を分析し検知できる可能性がある め 法人組織によっては エンドポイント対策のプラットフォームでこの機能を無効にしなければいけない場合がある 他の対策方法よりも CPU 負荷が高い場合がある 脆弱性攻撃対策数十万の不正なファイルが存在している一方で ユーザのシステムへの攻撃に利用される脆弱性攻撃はそれほど沢山あるわけではありません 不正なファイルそのものをブロックすることに注力するよりも 不正なファイルに感染するきっかけとなる特定のアプリケーションや OS 関連の脆弱性に対する攻撃を防ぐほうが簡単なことがあります また 脆弱性対策として知られているものには以下のようなものが含まれています ホスト型ファイアウォールステートフルインスペクションとネットワークウイルススキャン 8 を用いて ネットワーク内のエンドポイントを守ります 脆弱性攻撃対策機能脆弱性攻撃に関連した 通常と異なる振る舞いを行うプログラムを監視し ユーザがブラウザでアクセスしようと試みる Web ページ上のエクスプロイトコードを検出するために複数のヒューリスティック分析技術を用います 侵入防御仮想パッチを提供するホスト型の侵入防御ルールを用いて 幅広く利用されているアプリケーションと OS の既知の脆弱性に対するエクスプロイト攻撃をブロックします 横展開検出サーバ ワークステーションや PC に渡った横展開 ( または拡散 ) といった不正な活動を検出 ブロックするため エンドポイント製品にネットワークトラフィックの IDS/IPS パターンを用います 長所 OS やアプリケーションにおける既知の脆弱性を狙う未知の脅威をブロックできる OS やアプリケーションの修正パッチの提供が遅れている場合 または提供されない場合 ( 例えば レガシー OS) に有効である 法人組織のネットワーク内に拡散するマルウェ 短所 アプリケーションや OS の脆弱性を攻撃しないマルウェアはブロックすることができない 侵入防御は アプリケーションや OS の脆弱性のゼロデイ攻撃に対して 一般的に効果が少ない 8 ネットワークを流れるパケットを見て不正なコードがないかをチェックする技術 8

11 アの不正な活動や試みを検出することができ る アプリケーションコントロール / ホワイトリスト この技術は 安全だと判断されていないアプリケーションやダイナミックリンクライブラリ (DLL) の実行やインストールをブロックします これによって 企業内で使用されるアプリケーションを基本的にコントロールできます この戦略はとても有効であると同時に いくつかの法人組織では ユーザが利用できるアプリケーションをホワイトリストで許可されたものだけに限定させる目的で用いられます こうしたプロセスを管理することが求められるため アプリケーションコントロールは 一般的にサーバやアプリケーションの変更が頻繁にない専用マシンに用いられます しかし 最近はユーザフレンドリーとなっており 自動化されたルールとポリシーによって 管理者が定める条件を満たしたユーザは新しいアプリケーションを柔軟にインストールできます こうした機能強化に伴い アプリケーションコントロールは動的なユーザ環境 ( 例えば 一般的な PC のセットアップ ) で大きな価値を発揮します 長所 マルウェアを識別する必要がない 代わりに未知のアプリケーションをブロックする ベンダがクラウドでホワイトリストを提供できる 止めるものが明確に決まっている システムのロックダウンに活用できる 適切なアプリケーションの利用 カテゴリーベースのアプリケーション除外等といったコーポレートポリシーの適用に役立つ 短所 実行形式の動作はブロックするが 他の不正な動作や脆弱性攻撃は見逃してしまう ( それらが別の実行形式を起動しない限り ) 製品によっては 組織内でホワイトリストの定義が必要となり ホワイトリスト作成に時間を要する 各ベンダから提供されるホワイトリストは 網羅性の点で異なる可能性がある 製品によっては 不正なアプリケーションの定義が ( アプリケーションの特徴というよりも ) ベンダの品質に依存しており コードサイニング証明書を用いた攻撃に対して脆弱である フォレンジックエンドポイントでの検出と対応 (EDR) としても知られていますが システムレベルの動きを詳細に記録し 報告する技術です この技術によって 攻撃の本質と影響範囲を迅速に分析することができます 収集された情報によって どのようにして感染が企業のシステム内に広がったのかという点で実態を把握することができ データ損失の範囲を明確にすることができます それら全ては その後の検出力 防御力の改善に利用されます しかし これらは既に攻撃が発生した後に導入さ 9

12 れるリアクティブな技術にすぎません つまり 一般的にそれ自体で任意のマルウェアをブロックする ことはできません さらに IT 管理者が効果的に分析し アクションを起こすためには 高いレベル のスキルとトレーニングが必要になります 機械学習がもたらす新たなセキュリティインテリジェンス 機械学習は最新かつ興味深い最先端のセキュリティ技術です 既知の安全なファイルと不正なファイルそれぞれの属性と特徴を常に分析することで 機械学習アルゴリズムが最新脅威に対応できるよう検出エンジンを強化し 新たな未知の脅威を効果的にブロックします 複数のセキュリティベンダが 時代の先頭を切る革新的な技術として機械学習を誇大に広告しています ( また しばしば機械学習の技術を競合他社との差別化要因に挙げています ) が これは新しい概念ではありません スパム対策エンジンの強化に初めて機械学習が取り入れられた 2005 年以来 多くのベンダがその技術を活用しています それ以降 この技術は継続して進化を遂げ その活用範囲はスパムメールの検出から URL レピュテーションとカテゴリー化 不正なソーシャルメディアアカウントの検出にまで及び 今ではマルウェアの検出と対策技術に用いられています それでは なぜ機械学習がいまスポットライトを浴びているのでしょうか それは遡ること 2014 年に暗号化型ランサムウェアが増加したことに関係しています それ以前は 企業はマルウェアの 検出失敗 よりも ビジネスに大きく影響する 誤検出 を懸念していました なぜなら IT 管理者が ( 潜在的に高い損失を生む可能性があるビジネスの中断につながるような ) 誤検出の原因特定と分析を行うには 膨大な時間と労力を要するため 多くの企業ではある特定のマルウェアの検出件数については単に許容するという方法を取っていました 機械学習は誤検出率が高いと評価 ( ある範囲においては未だに誤検出率は高い ) されていたため セキュリティベンダはこの技術の活用に保守的でした その後 マルウェアに感染した PC を他の目的に利用するのではなく 感染した PC の所有者から直接金銭を簡単かつ手早く脅し取ることができることにサイバー攻撃者が気付き セキュリティに対する従来の考え方が反転しました つまり マルウェアの検出失敗が 突然 誤検出よりもずっと大きいビジネスの中断を引き起こすことになったのです 企業の重要なビジネスデータが危険にさらされることにともない 企業は安全第一で対策していくことを決めたのです 高度な機械学習型検索とともに進化するセキュリティ 近年 機械学習は エンドポイント サーバ ゲートウェイに渡ったファイルベースの脅威検出に注力し 改善されてきました 特定の振る舞いやファイルのパターンを見つけるというよりはむしろ このタイプの機械学習は ファイルの本質的な特徴を DNA として抽出し その後 数学的なアルゴリズムを利用しファイルが不正かどうかを決定 / 予測します 不審なファイルが 既知の不正なファイルが持つある特徴 または複数の特徴を含んでいる場合 機械学習のアルゴリズムに基づき不正な可能性がパーセンテージで表されます 10

13 こうしたアルゴリズムは 既知の安全なファイルと不正なファイルのデータから学習し 強化されていきます 機械学習のアルゴリズムが処理するデータが増えるほど アルゴリズムによる予測の正確性が増します これは特にゼロデイ攻撃を処理するときに有効です ( いずれセキュリティベンダ間の真の競争的差別化は 信頼性 適時性 既知の安全なファイルと不正なファイル量によって決定される機械学習のアルゴリズムをいかに強化できるかということになるでしょう ) より堅牢なマルウェア対策の提供には 高度な機械学習型検索として知られている新たな技術が用いられます これは ファイルの実行前と実行中の双方でファイルの特徴を抽出し 分析する技術です 単に統計的なファイルのスナップショットに基づいて不正かどうかが決定されるわけではなく 高度な機械学習型検索は実行中のみ明らかになる不正なファイルの特徴も検出することができます 高度な機械学習型検索の先頭を走るトレンドマイクロ トレンドマイクロは ファイルの実行前と実行中の双方を分析する高度な機械学習型検索を自社の取り組みに導入した最初のセキュリティベンダです この取り組みの中では 誤検出を改善するため 各レイヤで Census 技術とホワイトリストチェック ( 約 10 億個の安全なファイルのデータベースを基にチェックします ) のようなノイズキャンセル技術を活用しています 高度な機械学習型検索を実現するため トレンドマイクロのアルゴリズムは 正確性の高い検出機能だけを採用しています これによって 他のベンダに共通するパフォーマンスへの影響や高い誤検出率をなくします こうしたアルゴリズムは トレンドマイクロの Trend Micro Smart Protection Network によって収集されたデータによって強化されます Trend Micro Smart Protection Network は 世界規模のネットワークに設置された数億個のセンサーを利用し 一日あたり数テラバイトの脅威データを分析しています 高度な機械学習型検索の中核である この二段式のプロセスによって 検出の正確性を高めることができます 事前実行フェーズでは 機械学習はマルウェアの実行前に その活動をブロックすることができます しかし このフェーズでの検出を逃れるため マルウェアにパッカーまたは自己解凍圧縮技術のような難読化方法が用いられている場合 次のステップで高度な機械学習型検索による検出が可能です 実行中にマルウェアはその真の目的を明らかにします そして 実行中にマルウェアが示す振る舞いによって より正確なセキュリティ機能の検査が実施できます ( マルウェアにとっては 実行中の検出回避はかなり困難であるものの そのプロセスが終了させられる間に法人組織のシステムやデバイスに部分的でもダメージを引き起こすことができます ) 11

14 Census 技術とホワイトリストチェックのようなノイズキャンセル技術との融合によって 高度な機械学習型 検索の効果はさらに高まります ノイズキャンセルによって 誤検出を大幅に減少させることができます ( 同 様に IT 管理者が懸念するような 誤検出によって起きる副次的な問題を避けることができます ) 長所 従来のパターンベースのブラックリストを通り抜ける未知の実行形式のマルウェア対策に有効 実行中の振る舞いの特徴を機械学習で分析できる サンドボックス機能を回避する試みを検出できる 短所 他の対策方法よりも CPU 負荷が高い 一般的にスクリプトとマクロの検出が弱い ( 例えば Word の文書ファイルに含まれる場合 ) Census 技術 ホワイトリストチェックといった別レイヤのエンドポイントセキュリティと組合せない場合 誤検出率が高くなる ベンダによって事前実行型の機械学習が用いられる場合 実行中の振る舞いの特徴を検出できない マルウェアの DNA を用いた ゼロデイ攻撃 9 対策 高度な機械学習型検索は ファイルのパターンがマッチしないときでさえも未知のファイルの DNA( 例えば ファイルの基本的な特徴と特性 ) と既知の暗号化型ランサムウェアの DNA を比較し 効果的に分析することができます ハッシュファクトリー攻撃によって暗号化型ランサムウェアが改変される場合でも 例えば 以下の緑色のボックスで描かれた箇所のように 新たな亜種であっても特徴的なコードの要素が既知の不正なファイルのコード内の要素と非常に類似しています しかし 赤色のボックスのようにコード内の他のもの全てが異なっている場合 ファイルレピュテーションまたは亜種対策といった典型的な方法では 検出できない可能性があります 9 検出未対応のマルウェアによる攻撃 12

15 図 2: マルウェアの新たな亜種と既知の亜種の間に見られる局所的なコードの類似 しかし ファイル全体に渡って 数千 ( または 数万 ) に及ぶ様々な特徴を抽出し 分析することによって 高度な機械学習型検索は暗号化型ランサムウェアの既知のファイルに類似する点を複数見つけることができます こうしたマルウェアの特徴 いわゆる DNA の類似点を見つけることで 機械学習アルゴリズムは 未知のファイルが暗号化型ランサムウェアであることを明確に判断することができます 高度な機械学習型検索がマルウェアの DNA の一部の特徴を抽出し 観察する方法はいくつか存在します そのうちの一つが次の命令コードとインポートテーブルを用いる方法です 図 3: マルウェアの新たな亜種と未知の亜種の間の DNA 類似点 13

16 強固な防御力を実現する機械学習の今後は? 機械学習技術は ファイルの特徴を細かく見てみることで ファイルの特徴の細かい分析と脅威情報を関連付ける徹底したファイル分析によって 未知の脅威を高い正確性で予測することができます しかし これによって 今後マルウェア対策の検討が不要になるというわけではありません 複数のベンダの主張とは異なり これを最後にきっぱりとマルウェアが終焉するわけではありません ここまで議論されてきた他のセキュリティ技術と同様に 機械学習にも長所と短所があります まず初めに 機械学習が効果的かつ有効に活用されるためには 膨大なデータと処理能力 そして それらに関連するバックエンドのインフラを必要とします さらに より多くのベンダが機械学習技術を採用し プロモーションするにつれて サイバー攻撃者は間違いなく検出回避を目的としたマルウェアの変化を行っていきます (10 年以上前に 機械学習を打ち負かすため スパムメールで見られたような変化です ) 既存の機械学習ソリューションによる検出を回避するため マルウェアにはおそらく正規のパッキングツール 自己解凍型圧縮ファイルやインストーラが活用され さらにはマルウェア自体が別のプログラム言語やフォーマットで作成されるようになるでしょう 新たなインテリジェンスがエンドポイントセキュリティにもたらされたことで 機械学習は今日のマルウェアとの闘いにおいて高い価値を持つツールとなりました しかし サイバー攻撃者が仕掛けてくる新たな攻撃を防ぐためには 多層防御の取り組みの一部である包括的なホワイトリストチェック マルウェアファミリのパターンの活用 その他高度な検出技術によるバックアップ対策が必要です 多層防御の取り組みが発揮する真価 多層防御の取り組みでは 機械学習を含む全ての対策技術が鍵となります 全ての対策技術が互いの長所を活かしながら 協力して機能し それぞれの短所を補い合うことで 高いセキュリティを実現します コストを抑え 検出の正確性を高める セキュリティにおける多層防御の取り組みが採用される主な理由は 最終的に暗号化型ランサムウェアを含む脅威の検出率が極めて高くなるためです パターンベースの検出技術や振る舞い検知技術をすり抜けるマルウェアに対しても 高度な機械学習型検索が不正なファイルを多層防御の下層部分で検出します さらに 多層防御によって 誤検出は減少し システムのパフォーマンスが向上します 機械学習技術は PC の負荷と誤検出が増加すると考えられていますが 機械学習のチェックを受ける未知のファイルの数がずっと少なくなるため 法人組織の IT システムやリソースに対する負荷は軽減されます 14

17 図 4: 多層防御を用いた効果的なセキュリティ対策 素早いセキュリティ対応を実現するインテリジェンスの共有 サイバー攻撃を受ける前 受けている間 受けた後のすべてにおいて 法人組織はリスクを管理する立場にいなければいけません これには 多層防御の取り組みだけでなく より効果的なエンドポイントセキュリティ対策が求められ 企業ネットワーク内で脅威インテリジェンスを共有し 常に互いが情報交換できるような技術が必要です こうした技術によって 新たな脅威に対応するための時間を短縮することができます トレンドマイクロでは このようなアーキテクチャを Connected Threat Defense と呼んでおり 脅威の検出と対応 脅威への対策のライフサイクルを実現します 15

18 図 5: トレンドマイクロ Connected Threat Defense のフレームワーク 法人組織は 侵入を試みてくる脅威を可能な限り防御しなければなりません それにはまず 自組織が直面している潜在的な脅威を正しく理解することから始まります 法人組織は 組織全体のエンドポイント アプリケーション サーバの棚卸を行い それらの脆弱性を評価分析するべきです さらには 脆弱性と攻撃について理解を深める必要があります そうした知見によって ファイルレピュテーション 暗号化 Web フィルタリング 侵入防御 ホスト型ファイアウォールなどの幅広いセキュリティ機能を プロアクティブなエンドポイント対策として導入することができます こうした技術で大半の脅威を防ぐことができますが いくつかの高度な脅威は必ず対策をすり抜けてきます 法人組織には すり抜けてくる脅威に対して 振る舞い検知 高度な機械学習型検索 アプリケーションコントロールや横展開の検出といった この資料内で議論されてきたような対策技術による検出が必要です また 検出した脅威に対して 迅速かつ自動的に対応する技術も重要です 可能であれば セキュリティ対策のアップデートはリアルタイムで自動的に実施され 対策が強化されるべきです 最終的には 法人組織は リスクと攻撃の影響を評価 分析しながら 自組織の環境とセキュリティ技術に意識を向けなければなりません 16

19 セキュリティ分野をリードするトレンドマイクロ 28 年にわたる経験から 多層防御の取り組みにおいて トレンドマイクロは実績あるリーダーと言えるでしょう トレンドマイクロは すべての法人組織に対して あらゆるユーザアクティビティとエンドポイントに渡るセキュリティ強化を目的とした 複数の対策技術を提供してきました 成熟した技術と新しい AI( 人工知能 ) 技術のブレンドによるセキュリティアプローチ XGen は 正しいタイミングで常に正しい技術が用いられるよう パターンベースの検出技術 振る舞い検知技術 高度な機械学習型検索を含む世代を超えた脅威対策技術を融合して提供しています 28 年にわたるイノベーション実績トレンドマイクロは 機械学習 パターンベースの検出技術 振る舞い検知技術を統合し 多層防御及び以下の取り組みを早期に導入した主要ベンダの一つです 内部ネットワーク監視 サンドボックス機能を用いて エンドポイント メール Web ゲートウェイが連携する Connected Threat Defense の提供 Amazon Web Services Microsoft Azure Cloud 環境に対する統合セキュリティの提供 VMware 仮想環境における統合セキュリティの提供 クラウド基盤からの脅威インテリジェンスの提供 より効果的かつ正確性の高いマルウェア検出を可能にするため XGen によるエンドポイントセキュリティは 世界規模のクラウド型技術基盤である Trend Micro Smart Protection Network を採用しています トレンドマイクロは 世界中で次々に収集される安全なファイルと不正なファイルのデータを利用し 機械学習アルゴリズムを強化しています 様々なセキュリティレイヤ間で自動的に脅威インテリジェンスが共有されることによって 新たな暗号化型ランサムウェアや未知の脅威 ( ゼロデイ攻撃を含む ) を検出できるようになり Connected Threat Defense を通じて XGen によるエンドポイントセキュリティは常にこれからの攻撃に対応することができます Trend Micro Smart Protection Network は以下で構成されています 全てのランサムウェア 未知の脅威に対応するものではありません より多くの脅威情報を集めるために世界規模のネットワーク内に設置された数億個のセンサー ファイル IP URL モバイルアプリ OS の脆弱性などのデータを含んでおり 日々 16 億個の脅威クエリが存在します 一日あたり数テラバイトのデータを分析する世界規模の脅威インテリジェンス 毎日 50 万個の新たな固有の脅威を見つけるために 既知の安全なファイル約 10 億個のデータベースを利用しています 17

20 一日あたり 2 億 5000 万個の脅威を防ぎ リスクを最小化するプロアクティブなクラウド型 対策です また トレンドマイクロは エンドポイントとゲートウェイ等に対して オンプレミスまたはクラウド環境で利用可能な統合コンソール / ダッシュボードを提供します こうした集中統合型の監視では ユーザ中心の脅威に対する時間軸とフォレンジックツールによって 脅威の調査が容易になります また 多層防御の各レイヤを越えたインテリジェンスの共有 脅威情報の集約とデータ保護に関するポリシー管理機能 セキュリティマネジメントの統合 複数の攻撃ベクトルを狙ってくる高度な脅威を防ぐための複数レイヤにまたがる分析によって 法人組織のセキュリティとコンプライアンスが改善されます まとめ 暗号化型ランサムウェアはセキュリティ分野に大きな影響を与え 結果的に機械学習のような高度な対策技術が発展しました しかし こうした最新の対策技術でさえも脅威を全て防ぐことはできません セキュリティ業界における 28 年にわたる経験に基づき トレンドマイクロは 全ての法人組織に対してセキュリティにおける多層防御の取り組みを強く推奨します 次世代と呼ばれる技術を単独で利用するのではなく より堅牢な多層防御の取り組みを選択するべきです 無数のパターンを持つパターンベースのセキュリティ技術とパターンベース以外のセキュリティ技術が脅威インテリジェンスを共有し 協力しながら機能する多層防御のアプローチが 正確性のある検出力と高い防御力につながります 18

21 TREND MICRO 本書に関する著作権は トレンドマイクロ株式会社へ独占的に帰属します トレンドマイクロ株式会社が書面により事前に承諾している場合を除き 形態および手段を問わず本書またはその一部を複製することは禁じられています 本書の作成にあたっては細心の注意を払っていますが 本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします 本書およびその記述内容は予告なしに変更される場合があります TREND MICRO Connected Threat Defense および Trend Micro Smart Protection Network は トレンドマイクロ株式会社の登録商標です 本書に記載されている各社の社名 製品名 およびサービス名は 各社の商標または登録商標です 東京都渋谷区代々木 新宿マインズタワー大代表 TEL: FAX: Trend Micro Incorporated. All Rights Reserved. 19