はじめに... 1 灰色の陰 : 変化する脅威概況... 2 攻撃者の新たなビジネスモデル... 2 検出回避と検出技術の激しい攻防... 3 灰色の範囲に対する多層のエンドポイント対策... 4 多層防御における各レイヤの理解... 5 パターンベースの検出... 6 パターンベース以外の検出..

セキュリティに特効薬はない

成熟した技術と新しい AI（人工知能）

技術のブレンドによるセキュリティアプローチ

提供：

はじめに ... 1 灰色の陰：変化する脅威概況 ... 2 攻撃者の新たなビジネスモデル ... 2 検出回避と検出技術の激しい攻防 ... 3 灰色の範囲に対する多層のエンドポイント対策 ... 4 多層防御における各レイヤの理解 ... 5 パターンベースの検出 ... 6 パターンベース以外の検出 ... 6 アプリケーションコントロール／ホワイトリスト ... 9 機械学習がもたらす新たなセキュリティインテリジェンス ...10 高度な機械学習型検索とともに進化するセキュリティ ...10 マルウェアの DNA を用いた「ゼロデイ攻撃」対策 ...12 強固な防御力を実現する機械学習の今後は？ ...14 多層防御の取り組みが発揮する真価 ...14 コストを抑え、検出の正確性を高める ...14 素早いセキュリティ対応を実現するインテリジェンスの共有 ...15 セキュリティ分野をリードするトレンドマイクロ ...17 まとめ ...18

1 セキュリティに特効薬はない

はじめに

2014 年に暗号化ランサムウェアの脅威が増加し、セキュリティ分野の状況は劇的に変化しました。この 新たなタイプのマルウェアは、単に攻撃者に金銭をもたらすビジネスモデルを提供しただけでなく、”次世代” と呼ばれる多くのセキュリティ技術の導入にも拍車をかけました。しかし、こうした技術がマルウェアと闘うため の有効な新機能を実現したにもかかわらず、依然としてすべての脅威を止める万能なセキュリティ対策、つ まり特効薬は存在しません。最大限に防御力を高めるためには、高度な対策技術の融合が求められま す。 本資料では、最新の脅威に対する複数の対策技術の長所と短所について詳細に解説するとともに、な ぜ法人組織では多層防御1_{の取り組みが行われるべきなのかについて概要をご紹介します。この取り組み} は、成熟した技術と新しい AI（人工知能）技術のブレンドによるセキュリティアプローチ「XGen」の中で 具現化されており、そこでは世界中から集められる脅威情報と世代を超えた対策技術を組み合わせるこ とで、最新の脅威に対応しています。 1 _{複数のセキュリティ対策製品の導入、または複数のセキュリティ技術の融合によって多段に防御の”層”を作る対策}

2 セキュリティに特効薬はない

灰色の陰：変化する脅威概況

以前のセキュリティは白黒がはっきりしていました。そのため、従来はウイルス対策のパターンや Web フィルタリングで既知の脅威を防ぐためのブラックリスト型の手法が対策の大部分を占めていました。 しかし、IT 環境がより高度化していくにつれて、あらゆる規模・業種の企業が直面する脅威もまた巧 妙化しています。企業の社員による私用デバイスの利用やクラウド型ファイル共有サービスの業務活 用の普及によって、企業ではクラウド移行が増え、モバイルデバイスの利用数も増加しています。 そのため、攻撃対象となる可能性がある領域は、オンプレミスのインフラを超えて拡大しています。しか し、そうした攻撃対象領域の拡大以上に懸念すべきは、サイバー攻撃をビジネスとして見ている攻撃 者が持つ、“仕事”に対する考え方です。攻撃者は、多くの法人組織が適所に設置しているセキュリ ティ対策をすり抜け、回避する技術にかなりの額を投資しています。

攻撃者の新たなビジネスモデル

近年、セキュリティベンダはマルウェア業界の抜本的な変化を目の当たりにしてきました。特に、2013 年に登場した暗号化型ランサムウェア「CryptoLocker」は復号に必要な情報をクラウド上に保持す る手法で新たな暗号化型ランサムウェアの攻撃手法を確立させるとともに、サイバー攻撃者のビジネ スモデルを劇的に変化させました。 暗号化型ランサムウェアとは？ 暗号化型ランサムウェアは、被害者のデータを窃取することが目的でない点で従来のマルウェアとは異 なります。実際には、被害者の PC からデータを窃取する代わりに、ランサムウェアは PC のロック、暗 号化等の手口を用いて被害者が PC 内のデータにアクセスできない状態にします。身代金が支払わ れた場合、サイバー攻撃者からデータにアクセスするために必要な復号鍵が提供されます。身代金が 期限内に支払われない場合、金額が上昇するケースがあります。また、ランサムウェアは、暗号化ファ イルの削除やデータを公開することも可能だと考えられます。 重要なデータを失う恐怖によって、多くの被害者が身代金を支払っています。特に日々データを活用 して業務を行っている企業はランサムウェアに感染した場合に大きな被害につながりやすいと言えま す。ランサムウェア感染によって医療業務に影響が及んだ病院が身代金を支払った事例が複数報道 されています。トレンドマイクロでは、こうした身代金を支払うことを推奨していません。ランサムウェアに 感染した米国の病院が身代金を支払ったにもかかわらず、データが復旧しなかった事例2_{からも、身} 代金を支払ってデータが確実に復旧する保証はありません。 2 _{https://www.extremetech.com/extreme/229162-hospital-pays-ransomware-but-doesnt-get-files-decrypted}

3 セキュリティに特効薬はない 暗号化型ランサムウェアは一般的にエクスプロイトキット、ソーシャルエンジニアリング攻撃、スパムメー ルによって拡散されます。 サイバー攻撃者がマルウェアを感染させ、金銭を得る手口として、以下のようなものが考えられます。  スパムメールの送信、DDoS 攻撃の実行、ビットコインマイニングなどの不正活動を目的 とした感染サーバの貸出し  オンライン銀行詐欺ツールのような被害者からの直接的な金銭の窃取  被害者のデータや知的財産の窃取  被害者の PC 内のファイルなどを人質にした身代金の要求 各手口によってサイバー攻撃者のコストとリスク、そして潜在的な利益は異なります。例えば、感染サ ーバで構成するボットネットの維持や管理には多くのインフラが必要になりますが、スパムボットや DDoS 攻撃請負サービスに支払われる金額は一般的に高額ではありません。個人の銀行口座から 直接金銭を窃取する手口は、潜在的に高い利益につながる可能性がある一方で、窃取した金銭 の資金洗浄にマネーミュールといった複雑なシステムが必要になります。さらには、多くの銀行が不審 なトランザクションの検出と不審なトランザクションを処理前に食い止める包括的なシステムを持ってい るため、そうした点からも簡単に大きな利益を上げることが難しくなってきていると言えるでしょう。また、 知的財産の窃取については、サイバー攻撃者はまず窃取したデータの価値を把握しなければなりま せん。そして、その上で、買い手を見つけることになるため、結果的に販売プロセスが長期的になりま す。 これらと比較しても、PC やファイルを人質に身代金を要求する手口であれば、サイバー攻撃者にとっ て手早く、１感染あたりの利益が高額（身代金の相場は$500 から$1000 の間です）で、さらに はビットコインで利益を得ることができます。ビットコインによる支払いでは、サイバー攻撃者は 「Bitcoin scrambler」を用いて匿名性が確保でき、トランザクションの追跡を逃れることができます。

検出回避と検出技術の激しい攻防

サイバー攻撃者は、ランサムウェアの手口に投資することで、手早く高額な収益が得られるため、その 資金を新たな検出回避の技術に再び投資することができます。つまり、サイバー攻撃者は手に入れ た利益を使って、回避機能をさらに強化できるのです。 多くのサイバー攻撃者は、もはや無料（またはとても安価）のボットネットに頼って攻撃を仕掛けてき ません。そうしたボットネットに代わって、乗っ取ったインフラや購入した正規インフラを通じて攻撃の通 信を仕掛けてきます。例えば、ブラックリストに登録されていないデータセンターや ISP です。過去には、 スパムメールのリンクが直接被害者をアンチスパムで捕まりそうな怪しいウェブサイトに誘導していました

4 セキュリティに特効薬はない が、近年ではサイバー攻撃者は正規の Web サーバを乗っ取り、被害者のブラウザを不正な Web サイトにリダイレクトします。 また、ソーシャルエンジニアリングの手口も増加しています。この手口は、見た目や雰囲気を銀行、政 府機関または一般企業に模倣した偽の Web ページを使用し、人々を騙して機微な情報を窃取し ます。さらには、セキュリティソリューションによる検出を回避するため、CAPTCHA または、曖昧な JavaScript を用いています。 その他、ポリモーフィック型マルウェアでハッシュファクトリーというマルウェアに新たなコードを定期的に挿 入（通常、挿入されるコードは影響のない命令コードや任意の API）し様々な亜種のファイルが作 られる方法も懸念すべきでしょう。これは定期的にマルウェアのファイルの特徴を自動的に変更する手 口で、「Cerber3_{」のケースでは、マルウェアのハッシュが 15 秒毎に変更されていました。} このような手法によって、現実的に従来の統計的なパターンベースの検出方法で対応することが困 難になってきました。 その他にも、暗号化型ランサムウェアの主なロジックの箇所を、複数の命令に分割する新たな技術が パターンベースの検出を回避するために用いられています。一連の命令は、マルウェアのバイナリ全体 に渡って散在していますが、無条件飛越し4_{によって一つにつながるようになっています。また、短いコー} ドと長い文字列を含んでいるパックされたマルウェアも存在します。このマルウェアはデータを解凍または 復号し、その後実行される新たなコードを展開します。展開された新たなコードは再びパックされ、実 際に実行される不正なコードを生成するために自身を復号します。 正規 Web サービスの悪用や、簡単に検出を回避するマルウェアの作製によって、サイバー攻撃者は 従来 IT セキュリティで当然と考えられていた認識に強烈な影響を与えました。普段は既知で安全と 判断されていたシステムやアプリケーションが、突然安全とは言えなくなったのです。黒と白がはっきり分 かれていた境界が曖昧になり、その結果、対策がずっと困難である灰色の範囲が増加しました。

灰色の範囲に対する多層のエンドポイント対策

拡大する灰色の範囲の脅威に対して、近年セキュリティベンダは“次世代”と呼ばれる対策技術を強 化させてきました。例えば、サンドボックス機能、振る舞い検知や脆弱性対策などです。こうした技術 によって新たなセキュリティ機能が融合されてきたことに伴い、企業にとっては、次世代の対策技術の いずれか一つだけでは、全ての脅威を防ぐことができないことを認識することが重要です。

3 _{“Cerber ransomware morphing every 15 seconds.” SecurityWeek, June 2016. Available from}

http://www.securityweek.com/cerber-ransomware-morphing-every-15-seconds.

5 セキュリティに特効薬はない この点については、ガートナー社の 2016 マジッククアドラント内で、「これまでの歴史から、一つのアプ ローチ（防御機能）ですべてのタイプのマルウェア攻撃に対応できないことは明らかです。組織や対 策ベンダには適応性と戦略性を持ったマルウェア対策が求められます。」と記載されています5_。最も高 確率で不正なものを検出するために、多層防御では複数の異なるセキュリティ技術が同時に機能し、 互いに補完し合います。もし法人組織が、自組織に求められるセキュリティに対して、一つまたは二つ の対策技術に頼っているとします。その場合、そうした対策技術のほころびから脅威がすり抜け、被害 を受ける可能性が極めて高くなるでしょう。

多層防御における各レイヤの理解

防御と検出の技術は常に進化して続けており、脅威が高度化するにつれて、それらに対する新たな対策 方法が絶えず登場しています。（当然ですが、そのうえで新たな対策技術の検出を回避する新たな手口 がでてきます）例えば、パターンベースの検出方法は、過去にファイルレピュテーション機能が取り入れられ、 高いパフォーマンスで何十億という既知の脅威を一掃しました。しかし、より高度な未知の脅威に直面した 場合、それだけでは不十分です。今日に見られる高度なセキュリティ技術の強化が必要です。 図１：エンドポイントセキュリティ技術の進化

5 _{However, history has clearly shown that no single approach [capability] will be successful for thwarting all types of malware} attacks. Organizations and solution providers have to use an adaptive and strategic approach to malware protection.(*)

(*)Source : Gartner 2016 Magic Quadrant for Endpoint Protection Platforms, February 1, 2016, Peter Firstbrook, Eric Ouellet Disclaimer : ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するもので はありませ ん。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するように助言するものではありません。 ガートナ ー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガー トナーは、 明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではあり ません。

6 セキュリティに特効薬はない 近年の高度な技術を含むエンドポイント向けのすべてのセキュリティ技術には、長所と短所が存在するた め、多層防御の取り組みが非常に重要になります。万が一、不正なファイルがセキュリティ対策の一つのレ イヤを通過した場合（例えば、攻撃の裏にある Web サーバがブラックリストに登録されていなかった場合） でも、その脅威は複数の防御レイヤが持つセキュリティ機能によって補完されます。多層防御の各レイヤは 防御と検出それぞれ異なった方法を用いています。 それでは、どのような対策技術が多層のエンドポイント対策プラットフォームの一部となるべきなのでしょう か？

パターンベースの検出

従来のブラックリスト型のパターンベースによるウイルス対策は、誤検出が少なく、既知の脅威に対する高 い防御力を発揮します（また、既知のマルウェアに対するパターンマッチングの照会プロセスは、より高度な 振る舞い検知技術と比べ CPU 負荷はずっと小さいものとなっています）。しかし、暗号化型ランサムウェ アの新たな亜種が毎分出現しているため、単独で動く場合のパターンベースの検出方法の有効性は弱ま ってきています。パターンベースの検出方法が企業に真の価値を提供するためには、他のセキュリティ技術 と幅広く補完し合う必要があります。 以下を含むパターンベースの検出方法は、多層防御の取り組みの一つに採用されています。  ファイルレピュテーション6と Web レピュテーション7 既知の不正なパターンとマッチしたファイルの実行をブロックしたり、既知の不正なパターンとマッチし た URL、Web サイトへのアクセスをブロックします。しかし、未知の脅威（ポリモーフィック型マルウ ェアやパックされたマルウェア）や正規の ISP やデータセンターから送られてくる攻撃に対する防御 には課題があります。  C&C（コマンド＆コントロール）通信のブロック 既知の C&C サーバに接続を試みるエンドポイントの通信を検査し、その通信を遮断する。

パターンベース以外の検出

この技術は、正確なファイルのパターン情報がなくともマルウェアを防ぐことができます。パターンの代わりに、 ファイルの特徴や振る舞いを基に判断します。以下のような技術が、多層防御の取り組みの中に含まれて います。  亜種対策 亜種対策は、以前検出したマルウェアの断片情報と検出アルゴリズムを用いて、難読化されたマ ルウェア、ポリモーフィック型のマルウェア、亜種のマルウェアを検出します。  Census 技術 6 _{http://www.trendmicro.co.jp/jp/why-trendmicro/spn/features/file/index.html} 7 _{http://www.trendmicro.co.jp/jp/why-trendmicro/spn/features/web/}

7 セキュリティに特効薬はない  ファイルの普及度と成熟度（つまり、ある期間でファイルが確認された頻度）から、悪質なファイル である可能性が決まります。過去に一度も確認されていないファイルは、より不審なファイルと見な されます。この技術は、マルウェアのハッシュファクトリーの手口に対して効果を発揮することが証明 されています。ホワイトリストチェック エンドポイントにおける誤検出を減らすため、既知で安全だと判断されたファイルの情報が格納さ れたデータベースを用いて、全ファイルをチェックします。（一例として、トレンドマイクロが安全だと判 断したソフトウェアのホワイトリストには、およそ 10 億個の既知の安全なファイルの情報が含まれて います。）  振る舞い検知 この技術は、パックされていないようなものを検査し、それが OS、アプリケーション、スクリプトと関わ る動きの中で、不審、または通常と異なる振る舞いがないかを検知します。 振る舞い検知には次のような複数のタイプがあります。  スクリプト対策 ファイルがエンドポイントで実行される間、不正なコードやスクリプトをチェックします（例えば、 Office のマクロ機能、PDF 内のスクリプト、パワーシェルスクリプトです）。  インジェクション対策 プログラムライブラリのような適切でないインジェクションコードのプロセスをブロックします。  挙動監視 ロードされ、実行されているものを検査し、それが他のプロセスと関わる動きの中で、不審、 または通常と異なる振る舞いがないかを検知します。  ランサムウェア対策 未知のプロセスによる急速なファイルの暗号化、難読化を検知します。その後、そうしたプロ セスを終了させ、暗号化されたファイルを復旧します。  メモリ検査 メモリ内の実行中プロセスを評価し、メモリ内に展開されたマルウェア（または、マルウェアと 判断される一部）をスキャンします。これによって、パッカーツールによる古い既知のマルウェ ア種の単純な難読化ができなくなります。  ブラウザエクスプロイト対策

Web ページのエクスプロイトコード（例えば、Java や Flash のエクスプロイトです）の対策 として、エミュレーションとアルゴリズム検知技術を用います。 長所 短所  パターンベースのブラックリストを通過した脅威 を検知することができる  既知の安全と判断されたアプリケーション内の 不正なドキュメントの 振る舞いを検知する  誤検知が多いと考えられており（特にホワイト リストとファイルレピュテーション技術との組合せ がない場合）、結果として、他の対策方法よ りも IT 管理者の負担が大きくなる。このた

8 セキュリティに特効薬はない （例えば、PDF ファイル）  マルウェアがエンドポイントに到達する前に、ネ ットワーク内を分析し検知できる可能性があ る め、法人組織によっては、エンドポイント対策 のプラットフォームでこの機能を無効にしなけれ ばいけない場合がある  他の対策方法よりも CPU 負荷が高い場合 がある  脆弱性攻撃対策 数十万の不正なファイルが存在している一方で、ユーザのシステムへの攻撃に利用される脆弱性 攻撃はそれほど沢山あるわけではありません。不正なファイルそのものをブロックすることに注力する よりも、不正なファイルに感染するきっかけとなる特定のアプリケーションや OS 関連の脆弱性に対 する攻撃を防ぐほうが簡単なことがあります。また、脆弱性対策として知られているものには以下の ようなものが含まれています。  ホスト型ファイアウォール ステートフルインスペクションとネットワークウイルススキャン8_{を用いて、ネットワーク内のエンドポ} イントを守ります。  脆弱性攻撃対策機能 脆弱性攻撃に関連した、通常と異なる振る舞いを行うプログラムを監視し、ユーザがブラウ ザでアクセスしようと試みる Web ページ上のエクスプロイトコードを検出するために複数のヒ ューリスティック分析技術を用います。  侵入防御 仮想パッチを提供するホスト型の侵入防御ルールを用いて、幅広く利用されているアプリケ ーションと OS の既知の脆弱性に対するエクスプロイト攻撃をブロックします。  横展開検出 サーバ、ワークステーションや PC に渡った横展開（または拡散）といった不正な活動を検 出・ブロックするため、エンドポイント製品にネットワークトラフィックの IDS／IPS パターンを用 います。 長所 短所  OS やアプリケーションにおける既知の脆弱性 を狙う未知の脅威をブロックできる  OS やアプリケーションの修正パッチの提供が 遅れている場合、または提供されない場合 （例えば、レガシーOS）に有効である  法人組織のネットワーク内に拡散するマルウェ  アプリケーションや OS の脆弱性を攻撃しない マルウェアはブロックすることができない  侵入防御は、アプリケーションや OS の脆弱 性のゼロデイ攻撃に対して、一般的に効果が 少ない 8 _{ネットワークを流れるパケットを見て不正なコードがないかをチェックする技術}

9 セキュリティに特効薬はない アの不正な活動や試みを検出することができ る

アプリケーションコントロール／ホワイトリスト

この技術は、安全だと判断されていないアプリケーションやダイナミックリンクライブラリ（DLL）の実行 やインストールをブロックします。これによって、企業内で使用されるアプリケーションを基本的にコントロ ールできます。この戦略はとても有効であると同時に、いくつかの法人組織では、ユーザが利用できる アプリケーションをホワイトリストで許可されたものだけに限定させる目的で用いられます。 こうしたプロセスを管理することが求められるため、アプリケーションコントロールは、一般的にサーバやアプリ ケーションの変更が頻繁にない専用マシンに用いられます。しかし、最近はユーザフレンドリーとなっており、 自動化されたルールとポリシーによって、管理者が定める条件を満たしたユーザは新しいアプリケーションを 柔軟にインストールできます。こうした機能強化に伴い、アプリケーションコントロールは動的なユーザ環境 （例えば、一般的な PC のセットアップ）で大きな価値を発揮します。 長所 短所  マルウェアを識別する必要がない。代わりに未 知のアプリケーションをブロックする  ベンダがクラウドでホワイトリストを提供できる  止めるものが明確に決まっている  システムのロックダウンに活用できる  適切なアプリケーションの利用、カテゴリーベー スのアプリケーション除外等といったコーポレー トポリシーの適用に役立つ  実行形式の動作はブロックするが、他の不正 な動作や脆弱性攻撃は見逃してしまう（そ れらが別の実行形式を起動しない限り）  製品によっては、組織内でホワイトリストの定 義が必要となり、ホワイトリスト作成に時間を 要する  各ベンダから提供されるホワイトリストは、網羅 性の点で異なる可能性がある  製品によっては、不正なアプリケーションの定 義が、（アプリケーションの特徴というよりも） ベンダの品質に依存しており、コードサイニング 証明書を用いた攻撃に対して脆弱である  フォレンジック エンドポイントでの検出と対応（EDR）としても知られていますが、システムレベルの動きを詳細に 記録し、報告する技術です。この技術によって、攻撃の本質と影響範囲を迅速に分析することが できます。収集された情報によって、どのようにして感染が企業のシステム内に広がったのかという 点で実態を把握することができ、データ損失の範囲を明確にすることができます。それら全ては、そ の後の検出力、防御力の改善に利用されます。しかし、これらは既に攻撃が発生した後に導入さ

10 セキュリティに特効薬はない れるリアクティブな技術にすぎません。つまり、一般的にそれ自体で任意のマルウェアをブロックする ことはできません。さらに、IT 管理者が効果的に分析し、アクションを起こすためには、高いレベル のスキルとトレーニングが必要になります。

機械学習がもたらす新たなセキュリティインテリジェンス

機械学習は最新かつ興味深い最先端のセキュリティ技術です。既知の安全なファイルと不正なファイルそ れぞれの属性と特徴を常に分析することで、機械学習アルゴリズムが最新脅威に対応できるよう検出エン ジンを強化し、新たな未知の脅威を効果的にブロックします。 複数のセキュリティベンダが、時代の先頭を切る革新的な技術として機械学習を誇大に広告しています （また、しばしば機械学習の技術を競合他社との差別化要因に挙げています）が、これは新しい概念で はありません。スパム対策エンジンの強化に初めて機械学習が取り入れられた 2005 年以来、多くのベン ダがその技術を活用しています。それ以降、この技術は継続して進化を遂げ、その活用範囲はスパムメー ルの検出から URL レピュテーションとカテゴリー化、不正なソーシャルメディアアカウントの検出にまで及び、 今ではマルウェアの検出と対策技術に用いられています。 それでは、なぜ機械学習がいまスポットライトを浴びているのでしょうか。それは遡ること 2014 年に暗号化 型ランサムウェアが増加したことに関係しています。それ以前は、企業はマルウェアの「検出失敗」よりも、ビ ジネスに大きく影響する「誤検出」を懸念していました。 なぜなら、IT 管理者が（潜在的に高い損失を生む可能性があるビジネスの中断につながるような）誤 検出の原因特定と分析を行うには、膨大な時間と労力を要するため、多くの企業ではある特定のマルウ ェアの検出件数については単に許容するという方法を取っていました。機械学習は誤検出率が高いと評 価（ある範囲においては未だに誤検出率は高い）されていたため、セキュリティベンダはこの技術の活用 に保守的でした。 その後、マルウェアに感染した PC を他の目的に利用するのではなく、感染した PC の所有者から直接金 銭を簡単かつ手早く脅し取ることができることにサイバー攻撃者が気付き、セキュリティに対する従来の考 え方が反転しました。つまり、マルウェアの検出失敗が、突然、誤検出よりもずっと大きいビジネスの中断を 引き起こすことになったのです。企業の重要なビジネスデータが危険にさらされることにともない、企業は安 全第一で対策していくことを決めたのです。

高度な機械学習型検索とともに進化するセキュリティ

近年、機械学習は、エンドポイント、サーバ、ゲートウェイに渡ったファイルベースの脅威検出に注力し、改 善されてきました。特定の振る舞いやファイルのパターンを見つけるというよりはむしろ、このタイプの機械学 習は、ファイルの本質的な特徴を“DNA”として抽出し、その後、数学的なアルゴリズムを利用しファイルが 不正かどうかを決定／予測します。不審なファイルが、既知の不正なファイルが持つある特徴、または複数 の特徴を含んでいる場合、機械学習のアルゴリズムに基づき不正な可能性がパーセンテージで表されます。

11 セキュリティに特効薬はない こうしたアルゴリズムは、既知の安全なファイルと不正なファイルのデータから学習し、強化されていきます。 機械学習のアルゴリズムが処理するデータが増えるほど、アルゴリズムによる予測の正確性が増します。こ れは特にゼロデイ攻撃を処理するときに有効です（いずれセキュリティベンダ間の真の競争的差別化は、 信頼性、適時性、既知の安全なファイルと不正なファイル量によって決定される機械学習のアルゴリズム をいかに強化できるかということになるでしょう）。 より堅牢なマルウェア対策の提供には、高度な機械学習型検索として知られている新たな技術が用いら れます。これは、ファイルの実行前と実行中の双方でファイルの特徴を抽出し、分析する技術です。単に 統計的なファイルのスナップショットに基づいて不正かどうかが決定されるわけではなく、高度な機械学習型 検索は実行中のみ明らかになる不正なファイルの特徴も検出することができます。 高度な機械学習型検索の先頭を走るトレンドマイクロ トレンドマイクロは、ファイルの実行前と実行中の双方を分析する高度な機械学習型検索を自社の 取り組みに導入した最初のセキュリティベンダです。この取り組みの中では、誤検出を改善するため、 各レイヤで Census 技術とホワイトリストチェック（約 10 億個の安全なファイルのデータベースを基 にチェックします）のようなノイズキャンセル技術を活用しています。 高度な機械学習型検索を実現するため、トレンドマイクロのアルゴリズムは、正確性の高い検出機 能だけを採用しています。これによって、他のベンダに共通するパフォーマンスへの影響や高い誤検出 率をなくします。

こうしたアルゴリズムは、トレンドマイクロの Trend Micro Smart Protection Network によって 収集されたデータによって強化されます。Trend Micro Smart Protection Network は、世界 規模のネットワークに設置された数億個のセンサーを利用し、一日あたり数テラバイトの脅威データを 分析しています。 高度な機械学習型検索の中核である、この二段式のプロセスによって、検出の正確性を高めることがで きます。事前実行フェーズでは、機械学習はマルウェアの実行前に、その活動をブロックすることができます。 しかし、このフェーズでの検出を逃れるため、マルウェアにパッカーまたは自己解凍圧縮技術のような難読 化方法が用いられている場合、次のステップで高度な機械学習型検索による検出が可能です。実行中 にマルウェアはその真の目的を明らかにします。そして、実行中にマルウェアが示す振る舞いによって、より正 確なセキュリティ機能の検査が実施できます（マルウェアにとっては、実行中の検出回避はかなり困難であ るものの、そのプロセスが終了させられる間に法人組織のシステムやデバイスに部分的でもダメージを引き 起こすことができます）。

12 セキュリティに特効薬はない Census 技術とホワイトリストチェックのようなノイズキャンセル技術との融合によって、高度な機械学習型 検索の効果はさらに高まります。ノイズキャンセルによって、誤検出を大幅に減少させることができます（同 様に、IT 管理者が懸念するような、誤検出によって起きる副次的な問題を避けることができます）。 長所 短所  従来のパターンベースのブラックリストを通り抜 ける未知の実行形式のマルウェア対策に有効  実行中の振る舞いの特徴を機械学習で分 析できる  サンドボックス機能を回避する試みを検出で きる  他の対策方法よりも CPU 負荷が高い  一般的にスクリプトとマクロの検出が弱い（例 えば、Word の文書ファイルに含まれる場 合）  Census 技術、ホワイトリストチェックといった 別レイヤのエンドポイントセキュリティと組合せ ない場合、誤検出率が高くなる  ベンダによって事前実行型の機械学習が用い られる場合、実行中の振る舞いの特徴を検 出できない

マルウェアの DNA を用いた「ゼロデイ攻撃

9

_」対策

高度な機械学習型検索は、ファイルのパターンがマッチしないときでさえも未知のファイルの DNA（例えば、 ファイルの基本的な特徴と特性）と既知の暗号化型ランサムウェアの DNA を比較し、効果的に分析す ることができます。 ハッシュファクトリー攻撃によって暗号化型ランサムウェアが改変される場合でも、例えば、以下の緑色のボ ックスで描かれた箇所のように、新たな亜種であっても特徴的なコードの要素が既知の不正なファイルのコ ード内の要素と非常に類似しています。しかし、赤色のボックスのようにコード内の他のもの全てが異なって いる場合、ファイルレピュテーションまたは亜種対策といった典型的な方法では、検出できない可能性があ ります。 9 _{検出未対応のマルウェアによる攻撃}

13 セキュリティに特効薬はない 図２：マルウェアの新たな亜種と既知の亜種の間に見られる局所的なコードの類似 しかし、ファイル全体に渡って、数千（または、数万）に及ぶ様々な特徴を抽出し、分析することによって、 高度な機械学習型検索は暗号化型ランサムウェアの既知のファイルに類似する点を複数見つけることが できます。こうしたマルウェアの特徴、いわゆる DNA の類似点を見つけることで、機械学習アルゴリズムは、 未知のファイルが暗号化型ランサムウェアであることを明確に判断することができます。 高度な機械学習型検索がマルウェアの DNA の一部の特徴を抽出し、観察する方法はいくつか存在しま す。そのうちの一つが次の命令コードとインポートテーブルを用いる方法です。 図３：マルウェアの新たな亜種と未知の亜種の間の DNA 類似点

14 セキュリティに特効薬はない

強固な防御力を実現する機械学習の今後は？

機械学習技術は、ファイルの特徴を細かく見てみることで、ファイルの特徴の細かい分析と脅威情報を関 連付ける徹底したファイル分析によって、未知の脅威を高い正確性で予測することができます。 しかし、これによって、今後マルウェア対策の検討が不要になるというわけではありません。複数のベンダの 主張とは異なり、これを最後にきっぱりとマルウェアが終焉するわけではありません。ここまで議論されてきた 他のセキュリティ技術と同様に、機械学習にも長所と短所があります。 まず初めに、機械学習が効果的かつ有効に活用されるためには、膨大なデータと処理能力、そして、それ らに関連するバックエンドのインフラを必要とします。さらに、より多くのベンダが機械学習技術を採用し、プ ロモーションするにつれて、サイバー攻撃者は間違いなく検出回避を目的としたマルウェアの変化を行ってい きます（10 年以上前に、機械学習を打ち負かすため、スパムメールで見られたような変化です）。 既存の機械学習ソリューションによる検出を回避するため、マルウェアにはおそらく正規のパッキングツール、 自己解凍型圧縮ファイルやインストーラが活用され、さらにはマルウェア自体が別のプログラム言語やフォー マットで作成されるようになるでしょう。 新たなインテリジェンスがエンドポイントセキュリティにもたらされたことで、機械学習は今日のマルウェアとの 闘いにおいて高い価値を持つツールとなりました。しかし、サイバー攻撃者が仕掛けてくる新たな攻撃を防 ぐためには、多層防御の取り組みの一部である包括的なホワイトリストチェック、マルウェアファミリのパターン の活用、その他高度な検出技術によるバックアップ対策が必要です。

多層防御の取り組みが発揮する真価

多層防御の取り組みでは、機械学習を含む全ての対策技術が鍵となります。全ての対策技術が互いの 長所を活かしながら、協力して機能し、それぞれの短所を補い合うことで、高いセキュリティを実現します。

コストを抑え、検出の正確性を高める

セキュリティにおける多層防御の取り組みが採用される主な理由は、最終的に暗号化型ランサムウェアを 含む脅威の検出率が極めて高くなるためです。パターンベースの検出技術や振る舞い検知技術をすり抜 けるマルウェアに対しても、高度な機械学習型検索が不正なファイルを多層防御の下層部分で検出しま す。 さらに、多層防御によって、誤検出は減少し、システムのパフォーマンスが向上します。機械学習技術は、 PC の負荷と誤検出が増加すると考えられていますが、機械学習のチェックを受ける未知のファイルの数が ずっと少なくなるため、法人組織の IT システムやリソースに対する負荷は軽減されます。

15 セキュリティに特効薬はない 図 4：多層防御を用いた効果的なセキュリティ対策

素早いセキュリティ対応を実現するインテリジェンスの共有

サイバー攻撃を受ける前、受けている間、受けた後のすべてにおいて、法人組織はリスクを管理する立場 にいなければいけません。これには、多層防御の取り組みだけでなく、より効果的なエンドポイントセキュリテ ィ対策が求められ、企業ネットワーク内で脅威インテリジェンスを共有し、常に互いが情報交換できるよう な技術が必要です。こうした技術によって、新たな脅威に対応するための時間を短縮することができます。 トレンドマイクロでは、このようなアーキテクチャを「Connected Threat Defense」と呼んでおり、脅威の 検出と対応、脅威への対策のライフサイクルを実現します。

16 セキュリティに特効薬はない

図５：トレンドマイクロ 「Connected Threat Defense」の フレームワーク

法人組織は、侵入を試みてくる脅威を可能な限り防御しなければなりません。それにはまず、自組織が 直面している潜在的な脅威を正しく理解することから始まります。法人組織は、組織全体のエンドポイン ト、アプリケーション、サーバの棚卸を行い、それらの脆弱性を評価分析するべきです。さらには、脆弱性と 攻撃について理解を深める必要があります。そうした知見によって、ファイルレピュテーション、暗号化、 Web フィルタリング、侵入防御、ホスト型ファイアウォールなどの幅広いセキュリティ機能を、プロアクティブな エンドポイント対策として導入することができます。 こうした技術で大半の脅威を防ぐことができますが、いくつかの高度な脅威は必ず対策をすり抜けてきます。 法人組織には、すり抜けてくる脅威に対して、振る舞い検知、高度な機械学習型検索、アプリケーション コントロールや横展開の検出といった、この資料内で議論されてきたような対策技術による検出が必要で す。 また、検出した脅威に対して、迅速かつ自動的に対応する技術も重要です。可能であれば、セキュリティ 対策のアップデートはリアルタイムで自動的に実施され、対策が強化されるべきです。 最終的には、法人組織は、リスクと攻撃の影響を評価・分析しながら、自組織の環境とセキュリティ技術 に意識を向けなければなりません。

17 セキュリティに特効薬はない

セキュリティ分野をリードするトレンドマイクロ

28 年にわたる経験から、多層防御の取り組みにおいて、トレンドマイクロは実績あるリーダーと言えるでし ょう。トレンドマイクロは、すべての法人組織に対して、あらゆるユーザアクティビティとエンドポイントに渡るセ キュリティ強化を目的とした、複数の対策技術を提供してきました。成熟した技術と新しい AI（人工知 能）技術のブレンドによるセキュリティアプローチ「XGen」は、正しいタイミングで常に正しい技術が用いら れるよう、パターンベースの検出技術、振る舞い検知技術、高度な機械学習型検索を含む世代を超え た脅威対策技術を融合して提供しています。 28 年にわたるイノベーション実績 トレンドマイクロは、機械学習、パターンベースの検出技術、振る舞い検知技術を統合し、多層防 御及び以下の取り組みを早期に導入した主要ベンダの一つです。  内部ネットワーク監視、サンドボックス機能を用いて、エンドポイント、メール、Web ゲー トウェイが連携する Connected Threat Defense の提供

 Amazon Web Services、Microsoft Azure Cloud 環境に対する統合セキュリテ ィの提供

 VMware 仮想環境における統合セキュリティの提供  クラウド基盤からの脅威インテリジェンスの提供

より効果的かつ正確性の高いマルウェア検出を可能にするため、「XGen」によるエンドポイントセキュリティ は、世界規模のクラウド型技術基盤である Trend Micro Smart Protection Network を採用して います。トレンドマイクロは、世界中で次々に収集される安全なファイルと不正なファイルのデータを利用し、 機械学習アルゴリズムを強化しています。様々なセキュリティレイヤ間で自動的に脅威インテリジェンスが共 有されることによって、新たな暗号化型ランサムウェアや未知の脅威※_{（ゼロデイ攻撃を含む）を検出でき}

るようになり、Connected Threat Defense を通じて「XGen」によるエンドポイントセキュリティは常にこ れからの攻撃に対応することができます。Trend Micro Smart Protection Network は以下で構成 されています。 ※全てのランサムウェア、未知の脅威に対応するものではありません。  より多くの脅威情報を集めるために世界規模のネットワーク内に設置された数億個のセンサ ー。ファイル、IP、URL、モバイルアプリ、OS の脆弱性などのデータを含んでおり、日々16 億個の脅威クエリが存在します。  一日あたり数テラバイトのデータを分析する世界規模の脅威インテリジェンス。毎日 50 万 個の新たな固有の脅威を見つけるために、既知の安全なファイル約 10 億個のデータベー スを利用しています。

18 セキュリティに特効薬はない  一日あたり 2 億 5000 万個の脅威を防ぎ、リスクを最小化するプロアクティブなクラウド型 対策です。 また、トレンドマイクロは、エンドポイントとゲートウェイ等に対して、オンプレミスまたはクラウド環境で利用可 能な統合コンソール／ダッシュボードを提供します。こうした集中統合型の監視では、ユーザ中心の脅威 に対する時間軸とフォレンジックツールによって、脅威の調査が容易になります。また、多層防御の各レイヤ を越えたインテリジェンスの共有、脅威情報の集約とデータ保護に関するポリシー管理機能、セキュリティマ ネジメントの統合、複数の攻撃ベクトルを狙ってくる高度な脅威を防ぐための複数レイヤにまたがる分析に よって、法人組織のセキュリティとコンプライアンスが改善されます。

まとめ

暗号化型ランサムウェアはセキュリティ分野に大きな影響を与え、結果的に機械学習のような高度な対 策技術が発展しました。しかし、こうした最新の対策技術でさえも脅威を全て防ぐことはできません。 セキュリティ業界における 28 年にわたる経験に基づき、トレンドマイクロは、全ての法人組織に対してセキ ュリティにおける多層防御の取り組みを強く推奨します。次世代と呼ばれる技術を単独で利用するのでは なく、より堅牢な多層防御の取り組みを選択するべきです。無数のパターンを持つパターンベースのセキュ リティ技術とパターンベース以外のセキュリティ技術が脅威インテリジェンスを共有し、協力しながら機能する 多層防御のアプローチが、正確性のある検出力と高い防御力につながります。

19 セキュリティに特効薬はない TREND MICRO 本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。 トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書ま たはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払っていますが、 本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本 書およびその記述内容は予告なしに変更される場合があります。

TREND MICRO、Connected Threat Defense、および Trend Micro Smart Protection Network は、トレンドマイクロ株式会社の登録商標です。 本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。 〒151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワー 大代表 TEL：03-5334-3600 FAX：03-5334-4008 http://www.trendmicro.co.jp