振る舞い検知とは?機械学習を活用した未知の脅威への強力な対策

 振る舞い検知とは、パターンマッチングでは捕捉できない未知のマルウェアについて、その挙動などから悪意のあるプログラムを識別し、検知していく方法です。
 パターンマッチングではウィルスのパターンファイルをデータベース化しておき、それを検査対象のファイルと照合(マッチング)することでマルウェアを検出しますが、新しいマルウェアが増え続けている中、パターンファイルによる対策だけは未知のマルウェアの攻撃を防ぐことはできません。そこで、データベースにない未知のマルウェアを検知する方法として活用されているのが振る舞い検知です。

1. 振舞い検知とは

 パターンファイルによる検知は、指名手配をしていくような方法であるのに対して、振る舞い検知は挙動を見て犯人とみなすような方法です。つまりパターンファイルによる検知は、もともと犯人の顔写真がデータベース化されており、同じ顔を探して犯人を特定するやり方(この顔にピンときたら・・のやり方)で、振る舞い検知は怪しい服装や怪しい動きをしている人を監視し、職務質問して犯罪を事前に防ぐイメージです。
 簡単にいうとそのファイルやプログラムの特徴や挙動を見てウィルスっぽいかを判断するということです。
 闇市場でマルウェア作成ツールが取引されるなど亜種を大量生産できる背景もあり、新たなマルウェアは増え続ける一方です。これを防ぐために指名手配リストを作り続けても、作成が追いつかなかったり・作成しても間に合わなかったりします。そこで、怪しいファイルを、特徴や挙動を見て検出することができれば、指名手配リストにない悪意のあるプログラムをブロックすることができます。

2. ウィルスの検出方法

 ウィルスの検出方法としてはいくつか種類がありますが、大枠は以下のとおりになります。

2-1 パターンマッチング

 パターンファイルというウィルスの識別情報を記録したデータベースを持ち、パソコン内のファイルと照合して一致すればウィルスと判断する手法で、既知(登録済み)のウィルスを確実に検出できます。かつてのウィルス対策のソリューションはこの手法が主流でした。

2-2 ヒューリスティック

 ウィルスの挙動など特徴を登録しておき、侵入してきたウィルスを登録された特徴と比較して危険なものか否かを検知する方法です。これによりパターンマッチングでは検出できない未知のウィルスや従来のマルウェアの亜種の検知などが可能になります。

2-3 ビヘイビア

 検査対象を実行してその振る舞いを実際に確認することでリスクを判断する方法で、いわゆる「振る舞い検知」に該当するものです。
 4-2でご紹介しますが、マカフィーの対策ソフトではネットワーク型の製品やエンドポイント製品などで活用されています。

2-4 それぞれの手法の特徴

 パターンマッチングのメリットは誤検出の少なさです。ウィルス定義のデータベースとマッチングさせて一致したものをマルウェアと判定するため、確実性が高い手法です。しかし、未知のマルウェアは判定できないという側面があります。さらにマルウェアが増えればその分ウィルスのデータベース情報も増え続け、結果として総合するデータが増え端末への負荷も増大していきます。
 ヒューリスティックやビヘイビアは、怪しい(ウイルスっぽい)ということで検出するため、誤検知のリスクはゼロではないものの、新種のマルウェアの検出スピードはパターンマッチングに比べて劇的にアップします。

3. 機械学習の活用

 このように振る舞い検知では、そのマルウェアの挙動を見て、さらに新種が出てきたときはこのファミリーに近い動きをしているものを検知していくことにより、怪しいファイルの侵入を防ぐことができます。また、近年では機械学習の技術がセキュリティでも活用が進んでおり、マルウェアの検出スピードの改善や検出率を向上させるために、ウィルス対策ソフトでも機械学習(マシンラーニング)を利用する例が増えています。
 マカフィーでも、動的エンドポイント脅威対策の1つとして、エンドポイントで強力な機械学習とアプリケーション隔離ツールを使用しており、プロセスの挙動を追跡し、未知の脅威を数秒で検出することができます。

4. 統合的なセキュリティ対策

4-1 基本的な対策は怠らない

 振る舞い検知のような検知技術があるからと言ってパターンマッチングによる対策が不要という訳ではありません。攻撃を封じ込めるには、定義ファイルを作成し、それを用いて端末をスキャンし、見つかったマルウェアをクリーンナップ(除去)するというプロセスが必要ですので、ウィルス対策ソフトの導入など基本的な対策は行いましょう。

4-2 振る舞い検知のソリューション

 マカフィーでは、ビヘイビア分析による振る舞い検知などの技術をネットワーク型製品では「McAfee Network Security Platform(NSP)」や「McAfee Web Gateway(MWG)」、エンドポイント製品では「McAfee Host Intrusion Prevention(HIP)」に実装して提供しています。
 また、McAfee Endpoint Securityでは、シグネチャやブラックリスト/ホワイトリストに基づく検出、振る舞い検知といった技術に加え、機械学習型マルウェア対策の「Real Protect」と、アプリケーションの動作を制限してシステムへの悪影響を防ぐ「Dynamic Application Containment(DAC)」があります。

著者:マカフィー株式会社 マーケティング本部

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速