[インタビュー]

AIがマルウェアを検知するウイルス対策ソフトの強み―Cylance

2017年3月14日(火)杉田 悟(IT Leaders編集部)

昨今の注目キーワードのひとつであるAI(人工知能)。様々な分野で活用が進み始めているが、AlphaGoなどエンターテインメント分野以外での目覚ましい成果は、まだ数えるほどしかないのが現状だ。その数少ない成果のひとつといえそうなのが、サイバーセキュリティ分野だ。米Cylanceは、米国でも気鋭のAI関連企業のひとつとして注目されているアンチウィルスベンダー。同社のアンチウィルスに、どのようにAIが用いられているのか、日本法人の最高技術責任者である乙部 幸一朗 氏に聞いた。

AIの一歩進んだアプローチ

 Cylanceは、「一歩進んで、マルウェアの構造をAIで学習して、予測型のモデルを作って止めていくというアプローチをとった」と乙部氏はいう。具体的には、AWSクラウド上に、「Infinity(インフィニティ)」という名のコンピューターシステムを用意した。これは、何千というコンピューターノード、万に近い数のCPUを乗せた人工知能システムで、ここでデータセットと呼ばれる大量の教師データを使った機械学習を行っている。

 ブラックリストベースのシグネチャ型では、ヒットさせるべきマルウェアのファイルを用意する。これは振る舞い検知型でも同様だ。しかしインフィニティでは、マルウェアと非マルウェアのファイルを用意し、どのような構造だとマルウェアとして判定して、どのような構造だと非マルウェアとして判定するかを憶えさせている。

(図2)画像認識の特徴点抽出(出所:Cylance)

 インフィニティがまず行うのが、特徴点抽出だ。画像認識では、例えばキリンの場合2本の角や長い首、4本の脚、尻尾の先の毛などが特徴点となる。これを教えてあげると、様々なキリンの写真を教材に、特徴点を元にしたスコア付けを行う。どことどこが特徴点に該当しているかというスコアをもとに、「キリンとは大体こんなもの」ということを理解する。すると、全部の特徴を含まない写真でも、全体の流れから何となくキリンであることを認識できるようになる。

(図3)Cylanceが行うファイルの特徴点抽出(出所:Cylance)

 これをファイルに応用したのがCylanceだ。ファイルのサイズやファイルヘッダ、セクションヘッダ、セクションデータ、文字列、Nグラム統計、各セクションのエントロピーなどが特徴点となる。

 エントロピーは、データのばらけ具合を示す数値のこと。マルウェアなどが中身を悟られないために難読化すると、データがあちらこちらにばらけて、何のコードだかわからなくなる。このばらけ具合を見るのがエントロピーで、高ければ高いほどデータがばらついていることになる。リサーチャーは、専用のツールで算出したエントロピー値を見れば一発でマルウェアかどうかを判断できるという。

 この特徴点は、1つのファイルについて60、70万個もあり、そのスコアを学習していくことで画像認識と同様、怪しいファイルがなんとなくわかるようになる。

(グラフ2)特徴をもとにファイルをマッピングしたものをシンプルな1次元のグラフに変換する

 例えば、ファイルのサイズを横軸に、ファイル全体のエントロピー値を縦軸にしてグラフを作成する。Cylanceが持っている10億個のファイルを読み込んだ場合、サイズが大きくエントロピー値も大きいものや、サイズは小さいがエントロピー値が大きいものなど、グラフの中に性質の異なる各ファイルをマッピングすることができる(グラフ2)。これをシンプルな1次元のグラフに変換して2つのデータグループの間の境界線をしきい値として求めるのが機械学習の仕事だ。

 ここで行われる数学的な処理が計算式となり、未知の新しいデータが来た場合、同じ処理を行い値を算出、それがしきい値を越えているかどうかで怪しいかどうかを判定するという仕組みとなっている。

 シグネチャ型のアンチウィルスソフトが膨大なパターンファイルを必要とするのに対して、Cylance Protectが必要とするのは、この計算式のみだ。1つのファイルの60万、70万の特徴点について計算処理を行いスコアを出す。このスコアが0点であればセーフ、1点でもあればマルウェアとみなす。

 Cylanceはこのように、AIをマルウェアの検知に活用し、実績を上げている。それでは、対する攻撃者側はAIをすでに利用しているのか。一部で亜種の開発などに使われているようだが、「本格的な活用はまだまだ先」と乙部氏は説明する。

 というのも、AI技術の開発には数学者のノウハウが必須となる。事実、ベンダーでは数学科の博士号を持った人材がAIの開発に携わっている。これは攻撃者といえ条件は一緒で、まだ攻撃者がそこまで人材を確保していないというのが、一般的な見方のようだ。ただし、それは「まだAIの技術がなくても十分成果が得られている」ことの裏返しと捉えることもできる。

 セキュリティベンダー各社がこの先Ai技術を磨き、攻撃者を圧倒するようなことがあれば、今度は攻撃者側がそれに負けないAI技術を開発してくるだろう。そうなると、始めに識者の方が言ったように、双方によるAIの開発競争が繰り広げられるようになる。Cylanceは、いずれそのような時代が来ることを想定して、次世代のAI技術の開発に取り組んでいるという。

関連キーワード

AI

関連記事

Special

-PR-

AIがマルウェアを検知するウイルス対策ソフトの強み―Cylance [ 2/2 ] 昨今の注目キーワードのひとつであるAI(人工知能)。様々な分野で活用が進み始めているが、AlphaGoなどエンターテインメント分野以外での目覚ましい成果は、まだ数えるほどしかないのが現状だ。その数少ない成果のひとつといえそうなのが、サイバーセキュリティ分野だ。米Cylanceは、米国でも気鋭のAI関連企業のひとつとして注目されているアンチウィルスベンダー。同社のアンチウィルスに、どのようにAIが用いられているのか、日本法人の最高技術責任者である乙部 幸一朗 氏に聞いた。

PAGE TOP