カスペルスキーがプレスセミナー開催 - マルウェア解析からみる脅威トレンドと検知の仕組み

カスペルスキーがプレスセミナー開催 - マルウェア解析からみる脅威トレンドと検知の仕組み

  • マイナビニュース
  • 更新日:2018/10/12
No image

カスペルスキーは、「カスペルスキー サイバーセキュリティフォーラム」と題したプレスセミナーを2018年10月開催した。今回のテーマは、最近のマルウェアの脅威状況などの分析に加え、日々の研究活動から生まれる解析のテクニックや高度な機械学習を活用した検知の仕組みを紹介する内容であった。

○透明性の公開も重要な企業行動の1つ

最初に登壇したのは、代表取締役社長の川合林太郎氏である。

まずは、今回のプレスセミナー開催の挨拶が行われた。メインの登壇者となるヴャチェスラフ・ザコルザフスキー氏の紹介した。ザコルザフスキー氏は、まさにマルウェアの解析を行い、製品側でどういうロジックを組むかといったことを行うチームの責任者であると紹介した。また、今回のプレスセミナーでは、どういう仕組みでマルウェアを検知するかについても紹介したいと語った。この点は、2017年から取り組んでいるトランスペアレンシーイニシアティブへの寄与にもなると述べていた。どのようにデータを収集し、どう再利用しているのか、ユーザーに開示していくことで、最終的に安心して製品を使ってもらえる環境を整備したいとのことだ。

○最近の脅威動向

川合氏の紹介を受けて、登壇したのがヴャチェスラフ・ザコルザフスキー氏である。

カスペルスキーLabでは、AMRは図3のような位置付けとなる。

総勢85人のアナリストにより構成され、日々、マルウェアの分析を行っている。

KSN(カスペルスキーセキュリティネットワーク)に蓄積されたビッグデータからの統計情報の紹介や日本で頻発しているデマウイルスを紹介した。

偽ウイルス警告とも呼ばれる。嘘のウイルス感染を報告し、駆除のため送金してもなんの効果もないというものだ。次は、Googleを装った検索結果を表示している。

下の画面では、「NW」という本来ないロゴや文字がある。また、最近の企業を狙ったランサムウェア事例も紹介された。

また、IoT機器を狙った脅威として、MicrosoftのHoloLensを悪用したマイナーが紹介された。

マイニングも最近、急増している脅威である。さらにIoT機器を悪用することで、拡散を続けている。

○多層型の機械学習

さて、今回、もっとも注目された内容であるが、カスペルスキーでは、どうやってマルウェアを防いでいるのか具体的な仕組みが紹介された。カスペルスキーでは、多層防御を実装する。同時に、多層型の機械学習が行われる(図8)。

ここで赤く「ML」とあるのが、機械学習である。クラウド・ローカル、実行前・実行後のそれぞれで、機械学習が行われる。機械学習の基本は、図9のようになる。

良性と悪性の両方の実行ファイルを学習させ、不明(新しい)実行ファイルの良し悪しを判定する。最初のアプローチは、決定木を使う。不明な実行ファイルから、特徴を抽出する。

これを作成したモデルを使い判定する。この例では2つの要素であるが、いずれも悪性であれば、マルウェアと判定する。カスペルスキーでは、約1000の決定木のモデルが構築されている。そして、それぞれのモデルには数百の条件が設定されている。次のアプローチは、局所性鋭敏型ハッシュである。

従来の方法では、似たようなファイルでも、まったく異なるハッシュ値となる。局所性鋭敏型ハッシュでは、ファイルの特徴的な部分をハッシュ化することで、より正確に類似性が比較可能になる。特に、特定のハッシュのベクトルを使うことで、複数の不正なファイルを検知することが可能となる。最後に、振る舞いモデルを紹介した。

ある意味、従来の分析に近い点もある。しかし、ここでは、これ以上分解できないイベントまで分解する。そして、この数理モデルを学習させ、さまざまなイベントやパラメータの組合せを検出していく。この仕組みを使ったデモが行われた。

中央が実行されているのがプロセスで、右のグラフで、悪意である可能性を示す。このスコアが高いほど、マルウェアとして検知されやすくなる。

紙数の関係で、セミナーの一部しか紹介できなかった。しかし、カスペルスキーでは、どうやって、実際に防御しているのか、実に興味深かった。こういった情報はあまりオープンになることは少ない。貴重な内容といえるだろう。

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

IT総合カテゴリの人気記事

グノシーで話題の記事を読もう!
異世界ソ連のFPS『Atomic Heart』設定の一端が垣間見える動画「Soviet Television at Facility 3826」公開
ドンキで発売開始した3980円のスマートウォッチ『アクティブギア ライフロガー』を買ってみた!
Core i9-9980XEはスゴイの?詳細スペックから検討する第9世代Coreと次期Core Xの価値
ドコモ、名刺サイズの「カードケータイ」発表
動画で振り返る、本日発表されたGoogle新製品まとめ。48秒でワクワクを味わう!
  • このエントリーをはてなブックマークに追加