ランサムウェアは減ったもののマイニングウイルスは増えた2018年
かつては小型キーボードを備えた独自のモバイルデバイスで広く知られたブラックベリー社だが、現在では独自のデバイス開発からは撤退しており、その代わりもともと定評のあったモバイルセキュリティ技術をコアに据えたセキュリティベンダーとして着実に業績を伸ばしている。
また、AI技術を活用したセキュリティ製品の開発・販売を手掛けるサイランス社を2018年11月に買収し、同社の技術および製品ポートフォリオを手に入れたことで、より一層セキュリティベンダーとしての存在感を強めている。
そんな同社は、顧客の環境で実際に確認されたマルウェアの傾向や攻撃手口のトレンドなどを紹介する「脅威レポート」を毎年公開している。乙部氏は、2018年の傾向を紹介した最新版である「2019 脅威レポート」の概要について、次のように説明する。
「マルウェアの全体数は『10%増』と微増傾向ですが、一時期猛威を振るったランサムウェアの感染企業数が26%減ったのとは対照的に、暗号通貨マイニングに感染した企業数は47%も増加しているのが特徴的です。ただランサムウェアは減ったとはいえ、ヘルスケアや製造業など一部の業界では依然として大きな被害が発生しており、業種・業態ごとに傾向に大きな差が表れています」
また同氏は、2018年に最も活動が活発だったマルウェアの1つとして、ランサムウェア「Gandcrab」を挙げる。Gandcrabはダークウェブにおいて、誰もが簡単にランサムウェアを作成できる「Ransomware as a Service」として提供されており、エクスプロイトキットを使って配布できることから多くの攻撃者によって利用された。
また1年間で5回ものバージョンアップを重ねたことで、セキュリティベンダーによる対応がなかなか追い付かないという特徴も持っていたが、最近サービス停止が発表され、今後はその数は減っていくことが予想されている。
一方、同じく2018年に活動が活発だったバンキングトロージャン「Emonet」は、「オンラインバンキングのID/パスワードを盗む」というバンキングトロージャン本体の目的以外にも、マルウェア配信やスパム配信、オンラインバンキング以外のパスワード窃取、メールメッセージの収集といった多様な目的にそれぞれ応じたモジュール機能を追加できるようになっており、2018年末から2019年頭にかけて日本国内でも多くの感染報告が寄せられた。
また、特定の企業や組織にターゲットを絞った高度な標的型攻撃、いわゆる「APT攻撃」に関しても、幾つかの新たな特徴が見られた。マルウェアの開発コストの削減と、侵入の足跡を残さないことを目的に、商用ツールや汎用ツール、オープンソースツールを利用した攻撃が増えてきた。今後は米中貿易摩擦の激化を背景に、中国の人民解放軍や国家安全部の関与が疑われるAPT攻撃がますます増えていくことも予想されるという。
進化を続けるマルウェアの検知に有効な「EDR」「AIアンチウイルス」
乙部氏によれば、近年のマルウェアはますます進化を遂げており、一部のものは検知が極めて困難になっているという。
「毎日30万以上の新種・亜種のマルウェアが生まれている今日、セキュリティベンダー側がこれらすべてに対応するシグネチャを人手で作成するのはどうしても限界があります。攻撃側はこのことを見越して、なるべく大量の亜種を生み出してセキュリティ製品を無効化することを狙っています。そもそもシグネチャベースのバイトマッチングはブラックリスト方式なので、完全に未知の攻撃を真っ先に受けた場合は防ぎようがありません」
また近年のマルウェアは、検知をくぐり抜けるためのさまざまな技術を実装して急速に進化を遂げているという。例えば、未知の攻撃を防ぐための有効な手段の1つにサンドボックスがあるが、近年ではマルウェアが「今自分がいる環境は本番環境なのか、それともサンドボックス環境なのか」を自ら判定し、もしサンドボックス環境だと判断した場合は攻撃を発動させずに検知を免れるという回避策を取るようになってきている。
こうした高度な手口に対処するために有効なセキュリティ技術として、同氏は「EDR(Endpoint Detection and Responce)」と「AIアンチウイルス」の2つを挙げる。
EDRは少し前から注目を集めているエンドポイントセキュリティ技術で、エンドポイント端末上のイベントを常時監視し、もし何らかの異常を検知した際は即座にアラートを上げて管理者に通知するというもの。アンチウイルスなどの防御策を突破し、内部への侵入を許してしまった脅威を検知する手段として極めて優れている一方で、その運用には一定のコツが必要になる。
一方のAIアンチウイルスは、AIに過去のマルウェアのファイルを学習させ、「そのファイルがマルウェアであるかどうか」を自動的に評価・スコアリングするAIモデルを構築するというもの。優れたモデルが構築できれば、それを使って「将来やってくる未知の攻撃」も評価できるようになるため、未知の攻撃の検知に極めて有効だとされている。
AIアンチウイルス製品「CylancePROTECT」の導入事例
ブラックベリーでも、旧サイランス社が保有していた製品および技術をベースにしたAIアンチウイルス製品「CylancePROTECT」を提供している。日本国内においては、複数のブラックベリーのパートナー企業より提供されているが、その1社であるエムオーテックスは国内でいち早く同製品を採用している。当時の事情について、丸山氏は次のように振り返る。
「まだサイランスの日本法人が設立される前から、弊社では米国本社に独自にアプローチしてCylancePROTECTを導入しています。当時、CSIRTを立ち上げたばかりだったのですが、弊社はもともと会社規模がさほど大きくなく、CSIRTのメンバーも全員が兼任だったため、少ないリソースで最大限の効果を発揮できるセキュリティソリューションを模索していました。そんな中、白羽の矢を立てたのが、AI技術を活用した高い検知力から自動化・省力化を実現できるCylancePROTECTだったのです」
まだ当時はAI技術がさほど一般的ではなく、その効果に当初は半信半疑だったものの、実際に製品のPoCを行ったところ極めて良好な結果を示したため、最終的に採用を決断したという。その後、ほかのセキュリティ製品をすり抜けてエンドポイントまで到達した脅威を、CylancePROTECTが水際で検知・駆除してくれた例が何度も見られたという。また代表的な49種類のマルウェアに対して、それらが発生する2年前のCylancePROTECTエンジンで検知できるかどうかを検証してみたところ、実に49種類中48種類が検知できたという。
現在エムオーテックスでは、もともと同社が開発・販売していた統合型エンドポイント管理製品「LanScope Cat」にCylancePROTECTの技術を組み込み、マルウェアの検知・隔離と侵入経路の追跡機能を実現したプロテクトキャットを提供している。プロテクトキャットの特長は次のとおりだ。
- 既知・未知のマルウェアを実行前に防御。5つのステップで流入の原因を調査し再発を防止
- 検知したマルウェアの詳細情報を確認。人工知能の分析結果と他社の判断情報の共有
- クライアント端末へのCPU負荷は平均0.3%。毎日のパターンファイル更新も必要なし
- インターネット非接続のLAN環境のマルウェア防御と検知状況の統合管理
- シグネチャ・振る舞い検知の先を行く。次世代マルウェア対策
丸山氏は、今後日本企業がサイバーセキュリティ対策を底上げしていく上で、CylancePROTECTのようなAIベースのソリューションは極めて有効ではないかと述べる。
「EDRのように高機能である一方で運用スキルも必要な製品は、自社で優秀なセキュリティ技術者を抱える欧米の企業には適していると思います。一方、弊社のようにサイバーセキュリティ対策に十分なリソースを確保できない企業にとっては、CylancePROTECTのようなAI技術を使った自動化・省力化ソリューションは今後必ずや重宝されるようになるのではと感じています」
