Microsoftはランサムウェアとの戦いで人工知能(AI)テクノロジーがどのように役立つのかを明らかにした。
提供:Shutterstock
ランサムウェアは今日のデジタル脅威の中で最も悪質かつ頻繁に発生しているものと言える。「Locky」や「WannaCry」「NotPetya」「Cerber」といったランサムウェアファミリーは、コンシューマーや企業を標的にして猛威を振るい、感染したシステムを暗号化して使用不能にし、暗号化されたファイル群が元通りアクセスできるようになるとは限らない解読鍵との引き換えに身代金を要求する。
また「サービスとしてのランサムウェア」(RaaS)は今や、スタンドアロン型のポピュラーな犯罪ビジネスともなっている。つまり実行犯は、一般の不特定多数を標的にするのか、大企業に対して「ビッグゲーム」を仕掛けるのかにかかわらず、自らのキャンペーンで使用するランサムウェアへのアクセス権を購入することができるようになっている。
Microsoftの365 Defender Research Teamによると、人手で遂行されるランサムウェアキャンペーンは複雑かつ多面的であるため、早期検知、特にキャンペーンが進化し続けている状況での早期検知は、非常に難しいという。
Microsoftは米国時間6月21日付けのブログ投稿に、「複雑さを増してきている脅威のランドスケープ」に対抗するために、AIを活用した「斬新な方法」を探求しているところだと記している。
同社は「Microsoft Defender for Endpoint」にAIテクノロジーを搭載することで、ランサムウェア攻撃を初期段階のうちに無力化しようと力を注いでいる。同社は「犯罪行為の早期特定」に向けた取り組みの中で、ファイルやプロセス、ユーザーアカウント、デバイスにおける「悪意」を判断するための機械学習(ML)アルゴリズムを開発している。
しかし、こういったことを実現するには、複数のコンテキストにおける攻撃者のパターンや振る舞いとともに、標的となるデバイスや企業ネットワーク上の関連イベントをMLの保護機能側で分析する必要がある。
ランサムウェアキャンペーンが人手を介して遂行されている際の判断指標には、ユーザーアカウントにおける怪しいアクティビティーが含まれている。例えば、サイバー犯罪者が盗まれた認証情報を購入し、ネットワークのあちこちにアクセスし始めたり、そういった過程の中でファイルやプロセスのリストを作成したり、自らの権限を確認するといった行為だ。さらに攻撃者は、該当アカウントに関連付けられている作業上のアクティビティーを越えてネットワーク内を移動したりするかもしれない。そして最後に来るのはもちろん、暗号化ソフトウェアの実行となる。