ディープインスティンクトは9月7日、同日公開した「2021年上半期 脅威情勢レポート」について報道関係者向けのオンライン説明会を開催した。
ランサムウェアが引き続き大きな被害を引き起こしており、攻撃者は二重/三重に脅す手口を巧妙化させて被害企業に対して「支払った方が得」と思わせるような状況を作っている。また、防御側が利用している機械学習システムによる検知を回避する、“敵対的機械学習”が進歩しつつあることも報告されている。こうした指摘は、サイバーセキュリティ分野における深層学習技術活用の先駆者である同社ならではといえる。
まず会社概要を説明した同社 カントリーマネージャーの並木俊宗氏は、同社が2015年にイスラエルで設立され、その後米ニューヨークに本社を移していることや、世界で初めて深層学習技術をサイバーセキュリティ分野に応用した企業で、同社が開発したサイバーセキュリティ用の深層学習フレームワークは4つの特許を取得していることなどを紹介。日本法人は2020年10月に設立発表された。同社では従来の事後対応型のセキュリティから予防型にシフトするというコンセプト「予防ファースト」を提唱しており、国内ではヤマダホールディングスでの採用が発表されている。
ディープインスティンクト カントリーマネージャーの並木俊宗氏(左)と米Deep Instinct バイスプレジデント APJ事業開発担当の乙部幸一朗氏
続いて、Deep Instinct バイスプレジデント APJ事業開発担当の乙部幸一朗氏が2021年上半期脅威情勢レポートについて説明した。従来は年次で発表されていたレポートだが、最近は脅威の変化も早く、年の前半と後半ではトレンドが大きく変わっていることもあるということから半期ごとの発表も行うことになったもので、今回が半期での発表としては初めてとなる。
まず同氏は全体的な動向として、「組織に対してインパクトが大きく、大きく衰弱させるような攻撃」「多段階・多目的攻撃のプラットフォームとなるようなマルウェアキャンペーン」「国家レベルの活動も数と規模を増大」「新型コロナウイルス感染症とリモートワークは攻撃者にとって新しいチャンスを生む」という4点を挙げた。
また、技術面では「インパクトは大きくなったが、滞留時間は短くなった」「主な攻撃手法-複数の回避技術を備えたオフィスやPDFのドロッパー/インメモリローダー、メモリー常駐型、LOTL/Dual-Use/スクリプト/クラウド」「AI/ML製品への対応と敵対的攻撃の増加」「減少が見られる手口-ブラウザーベースのエクスプロイト/標準的なコードインジェクション」を挙げている。
滞留時間に関しては、かつてのAPT(持続的標的型)攻撃のように数年を掛けてじっくりと内部LANの探索を続けるような攻撃から、重要情報/機密情報などインパクトの大きな情報にアクセスするまでの動きが迅速化しているという意味になる。また、機械学習(ML)を活用したセキュリティ製品が普及し始めていることを踏まえ、こうした製品の検知をすり抜けるような工夫が見られるようになってきている点も指摘された。
例えば、Emotetの例では、マルウェアコードの中にWindowsの正規のDLLのコードが大量に含まれていたという。このコードは実際には実行されないので、コードを解析すれば偽装だと分かるが、機械学習による検知では「良性ファイルの特徴を大量に含む」ということで全体として良性という判定になることを狙ったものと考えられているという。こうした、防御側が機械学習技術を使っているであろうことを想定した対策が取られるようになってきている点がポイントだ。
乙部氏は、同社技術の独自性についても解説した。同社では深層学習をサイバーセキュリティに応用した世界初の企業で、現時点でも唯一の存在だと認識しているという。現在、人工知能(AI)技術を活用したセキュリティ製品が増えているが、これらは機械学習を活用したもので、深層学習とは異なるという。
機械学習と深層学習の違いについて同氏は、機械学習では学習のための特徴抽出を人手で行うが、深層学習では特徴抽出自体もコンピューターに実行させることが可能だという。このため、学習用のデータとしてさまざまな形式のデータを幅広く活用でき、精度が向上するという。市場にある機械学習活用型のセキュリティ製品ではファイルとして存在するマルウェアを検知対象としており、ファイルレスなどのメモリー上で展開されるものに関しては対象外となっているが、これも特徴点の抽出を人手で行う都合上、ファイル以外の形を取るマルウェアまで対象を拡大することが困難だという事情によるものだという。
一方の深層学習ではコンピューターに任せられることからファイルレスも対象に含めることができているという。こうした特徴によって、同社の技術を活用することで最初期のマルウェア侵入段階での感染予防が実現できることから、侵入後の検知や対応に比べて「シフトレフトによるコスト削減」が可能になるという。