未知の脅威はシグネチャ判定を待ってくれない――Cylanceのアプローチ（3/4 ページ）

AI技術はある種のブームのように注目されているが、その実装の違いを意識したことはあるか。過去の実績を学ぶモデルと自律的に学習するモデルではどんな違いがあるのか。

[谷崎朋子，キーマンズネット]

未来に作成されるマルウェアを予見できるCylanceのロジック

　では、実際同社の製品はどれくらいのパフォーマンスを出せるのか。それを実証するため、同社は2012年からあるイベントを開催している。「Unbelievable Tour」だ。

　このイベントは「48時間以内に確認された新種および亜種のマルウェアを計200個近く用意、CylancePROTECTおよび他社ベンダー製品で検知率や偽陽性を検証する」デモを行うというもの。ツアーと銘打つ通り、米国では75拠点で実施されている。実は、日本でも2016年8月、エムオーテックスと共催で東京、名古屋、大阪で開催されている。

　さて、このツアーの検証結果は、「Cylanceが99％の検知率だったのに対して、他社製品は50％を下回るものが多かったという。

　シグネチャベースのセキュリティ対策製品では、一般的に、マルウェアが報告されてからシグネチャの作成を開始する。このため、適用までには短くて1〜2日、長ければ1週間近く時間がかかる。そこからシグネチャが全ユーザーに適用されるまでには、さらに1週間ほどの時間が必要だ。

　「他社製品が公開している独立テスト機関のレポートを見ると、検知率は100％と記載されているが、それはシグネチャ適用後にテストを実施しているからだ」（乙部氏）

　だが、本来は攻撃者が「最初にマルウェアを送り込んできた瞬間」に検知、排除できなければ意味がない。シグネチャ作成が不要なCylanceであればそれが可能と乙部氏は強調する。

Cylanceと他社との検知の違い

　むしろ、Cylanceではマルウェアが作成される前に開発された数理モデルのバージョンでも検知可能という。

　例えば、2015年にRSAのリサーチャーが発見したGlassRatマルウェアについて、亜種含む10個の検体を入手してテストしたところ、CylancePROTECTは9個を検知している。

　「残り1個は、マルウェア本体をダウンロードするスクリプトだった。現状では機械学習の対象はバイナリファイルのみ。このため、PowerShellスクリプトは対象外。だが、不正なスクリプトや危険なVBAマクロなどを制御する『スクリプト制御機能』が搭載されているため、スクリプトが動作しても、マルウェアをダウンロードした瞬間に検知してブロックできた」（乙部氏）

　このとき、検知に役立った数理モデルは1年以上前に開発したものだったという。