進化を続けるマルウェアの検知に有効な「EDR」「AIアンチウイルス」
乙部氏によれば、近年のマルウェアはますます進化を遂げており、一部のものは検知が極めて困難になっているという。
「毎日30万以上の新種・亜種のマルウェアが生まれている今日、セキュリティベンダー側がこれらすべてに対応するシグネチャを人手で作成するのはどうしても限界があります。攻撃側はこのことを見越して、なるべく大量の亜種を生み出してセキュリティ製品を無効化することを狙っています。そもそもシグネチャベースのバイトマッチングはブラックリスト方式なので、完全に未知の攻撃を真っ先に受けた場合は防ぎようがありません」
また近年のマルウェアは、検知をくぐり抜けるためのさまざまな技術を実装して急速に進化を遂げているという。例えば、未知の攻撃を防ぐための有効な手段の1つにサンドボックスがあるが、近年ではマルウェアが「今自分がいる環境は本番環境なのか、それともサンドボックス環境なのか」を自ら判定し、もしサンドボックス環境だと判断した場合は攻撃を発動させずに検知を免れるという回避策を取るようになってきている。
こうした高度な手口に対処するために有効なセキュリティ技術として、同氏は「EDR(Endpoint Detection and Responce)」と「AIアンチウイルス」の2つを挙げる。
EDRは少し前から注目を集めているエンドポイントセキュリティ技術で、エンドポイント端末上のイベントを常時監視し、もし何らかの異常を検知した際は即座にアラートを上げて管理者に通知するというもの。アンチウイルスなどの防御策を突破し、内部への侵入を許してしまった脅威を検知する手段として極めて優れている一方で、その運用には一定のコツが必要になる。
一方のAIアンチウイルスは、AIに過去のマルウェアのファイルを学習させ、「そのファイルがマルウェアであるかどうか」を自動的に評価・スコアリングするAIモデルを構築するというもの。優れたモデルが構築できれば、それを使って「将来やってくる未知の攻撃」も評価できるようになるため、未知の攻撃の検知に極めて有効だとされている。
