一部ベンダーは同じやり方を採用も「Cylanceは5年先を行く」
Cylance Japanの乙部氏は、「競合他社が公表しているマルウェア検知率は真実ではない」と説明する。「競合他社も検知率の高さをアピールしているが、シグネチャ作成後の試験で検知率が高くなるのは当然のこと」(乙部氏)。
競合他社のマルウェア検知率は、時系列とともに変化する。新しいマルウェアが登場したばかりでは検知できず、シグネチャが作られると検知できるようになり、一定の時間が経過しマルウェアが古くなるとシグネチャを消すので検知できなくなる。
時系列に応じたマルウェア検知率の推移。アルゴリズムで判定するCylanceは事例列によらず検知率は一定だが、パターンマッチングで判定する競合他社はシグネチャを作成するタイミングに応じて検知率が変わる
この一方で、アルゴリズムで判定するCylanceの場合は、時系列によらずどのタイミングでも検知率は一定になる。
AIに対するアプローチが根本的に違うと乙部氏は言う。「他社は、従来のマルウェア対策技術、つまりシグネチャを作る過程でAIを使っているだけ。Cylanceは、良いファイルと悪いファイルを大量に学習させて機械学習でマルウェア判定モデルを生成し、これを使ってファイルを判定する。この方法はCylanceだけ」(乙部氏)
一部のベンダーはCylanceと同じアプローチで機械学習を使い始めたが、まだまだ未熟と言う。乙部氏によれば、競合他社は、OSSベースの簡易なアルゴリズムを使い、データセットは少量で、特徴点は70~150個程度しかなく、結果として検知率は60~70%、誤検知率は5~10%に達する。
「Cylanceには5年のアドバンテージがある。ファイルから特徴点を抽出する技術などで優位性がある」(乙部氏)。
今後はOffice文書ファイルもアルゴリズム判定の対象に
現状では、機械学習によるアルゴリズムでマルウェアを判定できるファイルの種類は、実行形式ファイルに限られる。「マクロは非対象だが、マクロはマルウェア本体をダウンロードするために使われるので、マルウェア本体を検知できればそれでいい」(乙部氏)。
Cylanceは、アルゴリズム以外の方法で、不正なマクロに対抗する機能を備えている。例えば、メモリー領域を監視し、アプリケーションやOSの脆弱性を付いた不正な攻撃を検知してブロックできる。
今後は、アルゴリズムで判定できるファイルの種類も拡大し、マクロを含んだPDFファイルやOffice文書ファイルも判定できるようにする予定という。「文書ファイルを判定するモデルはすでにあるが、まだ出荷する品質になっていないので出していない。今後は提供する予定だ」(乙部氏)。