- 2025/05/08
- サイバー攻撃
AI時代に突入した今、サイバーセキュリティの未来にどう備えるか
Post by : Greg Day
Dr Solomonでアンチウイルスの仕事を始めた頃、Alan Solomon氏はハードディスクのデータ復旧からアンチウイルスに移行した経緯を話してくれました。
彼は数学者で、破損したデータを修復するためのアルゴリズムを書いていました。数カ月後、彼が別のドライブを修復していたところ、同じ論理的な破損に気づき、それを検知する新しいアルゴリズムを書きました。ここで重要な点は、従来のアンチウイルスは常にパターンマッチングを基本としていた点です。
つまり、各攻撃に固有の特徴をコードから探し出し、それを検知、ブロック、復旧するためのアルゴリズムを作成します。これらは一般的にシグネチャと呼ばれます。彼が、『シグネチャがウイルスの問題を解決した』と語っていたのを鮮明に覚えています。
ポリモーフィズム、メタモーフィズム、ファイルレス攻撃、メモリ上でリアルタイムにコンパイルされる攻撃、さらにはAIが生成する攻撃であれサイバーセキュリティの世界では、こうした「猫とネズミのゲーム」が終わることはありません。多くのエンドポイントプロテクションソリューションは、今もシグネチャを活用して攻撃を検知し、保護し、復旧を行っています。しかし、現在のセキュリティ対策はシグネチャのみに頼るのではなく、複数の検知手法を組み合わせることで、より高度な防御を実現しています。
シグネチャベースの検知を回避しようとした最初の試みが、ポリモーフィズムでした。侵害されたシステムごとに動的に暗号化・復号化される攻撃で、これにより、復号化ローダーが特定され、暗号化された攻撃に対して従来のシグネチャ検知を使用できるようになりました。
しかし、攻撃が脆弱性を利用してアクセスするようになったことで、真の振る舞いベースの検知が一般的になりました。当時、典型的なバッファオーバーフローのエクスプロイトが使われており、業界はエクスプロイトのシグネチャを作り続けるよりも、プロセスが要求した以上のメモリが使用されている(つまりオーバーフローしている)という挙動を基に検知する方が正確であることに気づきました。これにより、一意的な識別なしでも、長期間の保護が可能となりました。
同時に、エンドポイントベンダーにとって静かな戦いが起きています。検知データベースにシグネチャを追加すればするほど、そのサイズは大きくなり、何億もの攻撃が存在する現在では、検知シグネチャのサイズが360kのフロッピーディスク1枚だった時代から、数百メガバイトへと膨れ上がりました。
そして、リアルタイムで検知するためには、メモリにロードしなければならなくなりました。このように、コンピューティング能力とメモリ容量の継続的な増大と、従来のシグネチャが機能するために必要とするリソースとの間で、静かで絶え間ない戦いが続いています。アンチウイルスがコンピューティング能力に与える影響については、常に絶妙なバランスが求められてきました。
これに対処し、防止策の展開をスピードアップするために、検知手法の重要な転換の1つが、クライアント上で複数の基本的な振る舞い検知手法を使用して疑わしいものを特定し、疑わしいファイルとトリガーとなる振る舞いを、より多くのコンピューティング能力が利用できるクラウドに送信することでした。
コンピューティング能力の高いクラウドに送信し、エミュレーションツールを実行することで、既知の攻撃の手法やテクニックを使用しているかを検証し、既存の攻撃ファミリーにより適切にマッピングすることでした。McAfee GTI、Symantec GIN、Palo Alto Wildfireなどのブランドを問わず、クラウドは振る舞い検知技術を統合し、新たな攻撃検知を検証する中核となりました。
今日の言葉で言えば、これらは機械学習に基づく検知技術ということになるでしょう。そして、より広い意味での生成AIが世界を席巻している今、私のキャリアを振り返ると、次の疑問が突きつけられます。
シグネチャ検知はもはや防衛の最前線ではないのか?
シグネチャから振る舞いベースの検知へ移行する際、もう1つの変化が起こりました。攻撃に名前を付けられることで、攻撃情報ツールを使って従来の攻撃を調査し、その攻撃がどのような動きをするのかを理解し、復旧のために何が必要かを特定することが可能でした。
しかし、振る舞いベースの検知では攻撃に名前を付ける能力が失われることが多く、さらに、攻撃の量と多様性が膨大になったことで、名前を付けて影響を特定するという業界のアプローチは、長らく失われた戦いとなっていました。このような状況の中、EDRがより効果的な方法として登場しました。シグネチャ検知が「攻撃によって何が起こるべきか」を示していたのに対し、EDRは「実際に何が起こったか」を明確に把握することができます。
生成AIの進化を見ると、Googleの生成AI「PaLM 2」は、デバイス内からクラウドまで拡張可能なさまざまなサイズのバージョンを提供しています。また、サイバーセキュリティを理解するためのトレーニングも行われています。クラウドが利用可能なら、振る舞いベースの検知にクラウドを活用するのは理にかなっています。しかし、今日の現実では、さまざまな理由から、クラウドが時々または常に使用できないケースが多すぎます。
このような場合、AIベースの振る舞い検知がシグネチャよりも優れた機能を発揮できるという転換点に到達したのでしょうか?
クラウドへの接続が制限されている、あるいは存在しない場合、答えは「イエス」となるでしょう。
この10年間で、私がこの業界の古参者になったように感じるのは、攻撃者が使用するテクニックや戦術が長い間ほとんど変わっていないと、ますます頻繁に実感するようになったからです。同時に、サイバーセキュリティ業界は、こうした戦術やテクニックを分類する能力を向上させており、その結果、振る舞いベースの検知アルゴリズムを構築するためのタグ付け可能なトレーニングデータが充実し、AIの活用が加速しています。
まとめ
今日のエンドポイント保護は、シグネチャデータベースに基づく単純なアンチウイルスから進化して久しく、多層的な検知機能を持つものが増えています。特に、機械学習技術を活用し、エンドポイント保護(EPP)と検知・対応機能(EDR)を組み合わせたソリューションが主流となっています。
しかし、多くのソリューションの基盤には、レガシーベースのシグネチャエンジンが依然として存在し、多くのベンダーが同じOEMシグネチャベースのエンジンを使用しています。30年以上にわたり、私たちを守ってきたこの技術を完全に手放すのは難しいものの、シグネチャの並行処理や、エンドポイントシステムに生じるオーバーヘッドに長年苦労してきたのも事実です。
今日、攻撃者はMLベースのツールや高度な自動化を活用し、個々の攻撃がよりユニークなものになっています。そのため、シグネチャベースの検知の価値が限られてきているという現実があります。今日の攻撃対策は、その戦いであります。
- 規模: 1日あたり数万件の攻撃が発生するようになったとき、数年前からこれを追跡するのをやめた。
- 時間:侵入後のみ識別できるのではなく、攻撃による侵害を防ぐ能力(よくleft of bang(侵入の左)またはright of bang(侵入の右)と呼ばれる)。
このような要因に焦点を当てると、振る舞いベースの検知のほうが侵入前の検知に適していることは明らかです。そして、振る舞いベースの検知手法の規模と範囲は拡大し続けています。現在の重要な転換点は、新しい検知方法と、振る舞いベースの検知の結果をより有意義で実用的なものにするための決定的な相関関係の両方において、AIがどのように役立つかという点にあります。
クラウドは無限のコンピューティング能力を提供しますが、一方で、生成AIの小型化競争が進んでおり、サイバーセキュリティベンダーが攻撃の検知・予防・対応にこのような技術をどのように活用するかについても、同様の変化が起こっています。
サイバーリーズンの製品
サイバーリーズンが提供するNGAV製品「Cybereason NGAV」、「Cybereason Endpoint Prevention」は、「シグネチャベース検知」「機械学習による静的バイナリ解析」「ファイルレスマルウェアブロック」「振る舞いベースのドキュメント保護」「エクスプロイト保護」「亜種実行防止」「振る舞いベースのファイル実行防止」「アンチランサムウェア」という8層の防御機能を備えることで高度な攻撃を阻止できるようになっています。
これらの対策を潜り抜けて内部に侵入してきた高度な脅威に対しては、EDR製品「Cybereason EDR」が独自の相関解析処理と機械学習機能を駆使して攻撃の全体像をあぶり出し、適切に対処することを可能にします。また国内シェアNo.1のEDRをベースにして、IT環境全体のログを解析し、サイバー攻撃の全体像を可視化し、攻撃を阻止するCybereason XDRやモバイルセキュリティ製品のCybereason MTDも提供しています。
加えて、自社内でEDRを運用するのが難しいお客さまに対しては、MDRサービス「Cybereason MDR(Managed Detection and Response)」と呼ばれる監視代行のマネージドサービスも提供しています。
進化するランサムウェアの動向と感染手法 〜エンドポイントにとどまらない、サイバーリーズンによる最新のランサムウェア対策とは〜
不安定な国際情勢は世界規模でのサイバー攻撃の増加を加速させ、日本においても高度な技術を用いたランサムウェア攻撃によって企業や社会インフラが事業停止に追い込まれるなど甚大な影響を及ぼしています。
この背景には、昨今のDXの推進に伴って攻撃対象領域(アタックサーフェス)が拡大し、従来型の境界防御だけでは対策することが難しくなっていることがあります。
本資料では、ランサムウェア攻撃の背景から最新の脅威、具体的な対策を共有し、日本の企業・組織が取り組んでおくべきランサムウェア対策のポイントを考察します。
https://www.cybereason.co.jp/product-documents/white-paper/12674/
