日々、高度化するサイバー攻撃。最近ではマルウェアや標的型攻撃だけでなく、PCなどの端末を乗っ取ってアクセスできないようにし、解除するための“身代金”を要求するランサムウェアも増加している。こうした状況を捉え、マルウェアが実行される前に検知・駆除することをうたった対策ソフトが登場した。機械学習を生かした新タイプのソフトである。
世の中のPC上で稼働する8億件以上の実行形式ファイルを収集し、機械学習エンジンを使って約700万におよぶ特徴を抽出する。そこから統計的なモデルを作成し、新規プログラムがマルウェアの特徴を持つかどうかを判別する。パターンではなく、特徴から判別するので未知のマルウェアの検知率が極めて高く、しかも検知に要する時間は数ミリ秒で済む──。
日立ソリューションズは、上記の特徴を備えたマルウェア対策製品を開発・提供する米Cylanceと提携、「CylancePROTECT」を日本で販売すると発表した。現在主流のパターンマッチング型製品の課題を克服するもので、日立ソリューションズは2018年度までに累計100億円以上の売り上げを目標としている。そのポテンシャルは確かにありそうだ。
パソコンやOS搭載POS、スマートデバイスなどを対象としたマルウェア対策製品の主流は、検知されたウィルスのコードのパターン(シグネチャ)を収集・登録し、新規プログラムのパターンを付き合わせて一致すればマルウェアと見なして駆除するタイプ。しかしCylanceのBryan Gale氏(製品マーケティング担当副社長)によると、「亜流ができるなどウイルスは変容するので今日のシグネチャが明日には通用しなくなる。人間のリサーチャが分析してシグネチャを作るにしても日々増加するので追いつかない」。
一方でアイソレーション型やサンドボックス型など、分離されたメモリー空間でプログラムを実行し、振る舞いからマルウェアかどうかを判断するタイプの製品も増えている。しかし、これらについても「(動作を偽装するマルウェアもあるので)必ずしも脅威を予防できない」(同)。これに対し同社製品は機械学習により統計的に特徴を把握してマルウェアを判別する。
チェックする特徴は700万項目。暗号化のライブラリを読み出す機能や、メモリー上のアクセス先、ファイルのエントロピー量などが含まれる。それにより検知率は99%以上、誤検知率は限りなくゼロに近いという。検知性能の高さに加えて、大きな特徴の1つがパターンファイルが不要なのでクライアントに導入するモデルのアップデートを少なくできること。CPUの負荷は1%程度、メモリー消費も35MBと、端末リソースに及ぼす負荷も小さい。
提供形態は年間利用料ベースのサブスクリプションモデル。標準は2500人から4000人の場合、9600円と高め。ボリュームディスカウントがあり、最安では4500円になる。なお日本では馴染みがないCylanceだが、その特性上、ゼロディ攻撃や標的型攻撃、あるいはランサムウェアに対処可能であることから北米では倍々ゲームで成長しているという。
