未知の脅威はシグネチャ判定を待ってくれない――Cylanceのアプローチ（3/4 ページ）

[谷崎朋子，キーマンズネット]

未来に作成されるマルウェアを予見できるCylanceのロジック

　では、実際同社の製品はどれくらいのパフォーマンスを出せるのか。それを実証するため、同社は2012年からあるイベントを開催している。「Unbelievable Tour」だ。

　このイベントは「48時間以内に確認された新種および亜種のマルウェアを計200個近く用意、CylancePROTECTおよび他社ベンダー製品で検知率や偽陽性を検証する」デモを行うというもの。ツアーと銘打つ通り、米国では75拠点で実施されている。実は、日本でも2016年8月、エムオーテックスと共催で東京、名古屋、大阪で開催されている。

　さて、このツアーの検証結果は、「Cylanceが99％の検知率だったのに対して、他社製品は50％を下回るものが多かったという。

　シグネチャベースのセキュリティ対策製品では、一般的に、マルウェアが報告されてからシグネチャの作成を開始する。このため、適用までには短くて1〜2日、長ければ1週間近く時間がかかる。そこからシグネチャが全ユーザーに適用されるまでには、さらに1週間ほどの時間が必要だ。

　「他社製品が公開している独立テスト機関のレポートを見ると、検知率は100％と記載されているが、それはシグネチャ適用後にテストを実施しているからだ」（乙部氏）

　だが、本来は攻撃者が「最初にマルウェアを送り込んできた瞬間」に検知、排除できなければ意味がない。シグネチャ作成が不要なCylanceであればそれが可能と乙部氏は強調する。

Cylanceと他社との検知の違い

　むしろ、Cylanceではマルウェアが作成される前に開発された数理モデルのバージョンでも検知可能という。

　例えば、2015年にRSAのリサーチャーが発見したGlassRatマルウェアについて、亜種含む10個の検体を入手してテストしたところ、CylancePROTECTは9個を検知している。

　「残り1個は、マルウェア本体をダウンロードするスクリプトだった。現状では機械学習の対象はバイナリファイルのみ。このため、PowerShellスクリプトは対象外。だが、不正なスクリプトや危険なVBAマクロなどを制御する『スクリプト制御機能』が搭載されているため、スクリプトが動作しても、マルウェアをダウンロードした瞬間に検知してブロックできた」（乙部氏）

　このとき、検知に役立った数理モデルは1年以上前に開発したものだったという。