中堅・中小企業を踏み台に、ターゲットの情報資産を巧妙に狙うマルウェアにAIで備えよ | NECソリューションイノベータ

サイト内の現在位置

イノベータ’s VOICE

中堅・中小企業を踏み台に、ターゲットの情報資産を巧妙に狙うマルウェアにAIで備えよ

UPDATE : 2021.03.05

高度化するサイバー攻撃への対抗手段として、次世代型のマルウェア対策ソリューションに注目が集まっている。

突如世界を襲った新型コロナウィルス感染拡大による混乱の中、サイバー犯罪は変わらず巧妙化・高度化の一途をたどっています。

2020年後半の攻撃トレンドとなったEmotet(エモテット)は、手法の一つに返信型攻撃メールがあり、ビジネスメールを装って感染を拡大し、侵入先を踏み台としてさらに感染を拡大するなど非常に巧妙に攻撃をおこなっていました。「一見知っている人」から攻撃メールが送られる手法により、国内でも多くの被害が出ました。2021年1月に欧州刑事警察機構(Europol)と欧米各国の共同作戦により、テイクダウン(攻撃命令を行うサーバーの停止と感染済みマルウェアの無力化)されましたが、攻撃手法が世の中で明らかになる頃にはすでに情報を盗取されていたケースは多数報告されており、類似の攻撃や新たな攻撃手法に継続して警戒が必要です。

このように、高度化するサイバー攻撃への対抗手段として、次世代型のマルウェア対策ソリューションに再度注目が集まっています。

攻撃のパターンファイルのデータベースを都度照合するこれまでのやり方では検知することのできなかった未知のマルウェアを、AI技術を駆使することで検知・駆除できるようになったというその仕組みについて、多くの企業にセキュリティソリューションを提供するプロフェッショナルに聞いてきました。

サイバー攻撃のターゲットは中小企業へ
最新のマルウェア対策が急務

新型コロナウィルス感染拡大により、世界中の経済活動が停滞した2020年ですが、反面、政府や企業に対するサイバー攻撃は激増しています。そんな中、サイバー犯罪者が新たに目をつけ始めたのが中小企業です。

2020年12月18日に経済産業省が発布した『最近のサイバー攻撃の状況を踏まえた経営者への注意喚起』でも、「中小企業を巻き込んだサプライチェーン上での攻撃パターンの急激な広がり」が第一に挙げられています。

そうしたサプライチェーンを対象としたサイバー攻撃の中でも、とりわけ2020年に流行したのがEmotetでした。

Emotetはスパムメールに記載されたURLや添付ファイルから感染するマルウェアで、2019年末に登場して以来、一時期は沈静化していたものの、2020年9月に再流行し、多くの企業・公的機関から個人情報、機密情報が流出しました。

感染が拡大した最たる理由は、手口が巧妙になったことです。たとえば、取引先相手の氏名・メールアドレスを装ったり、文面も過去に自分が送ったメールに引用返信したようにみせかけたりするなど、あたかも実在するかのようなメールに偽装し、業務上必要そうな文面で添付ファイル(マルウェア)を開封させようとするのです。

昨今のテレワーク普及に伴い、端末が社内ネットワークから持ち出され、エンドポイント(各社員のPCなど、社内ネットワークの末端)のセキュリティレベルが下がっていることも挙げられています。また、テレワーク環境下において、これまでオフィス内で気軽に人に確認していたことが聞きづらくなり、無意識のうちに個人で判断してしまうことが増えることも考えられます。少しのほころびが、感染被害を招くのです。

最終ターゲットとなる企業が防御力を高めれば高めるほど、取引先である中堅・中小企業への侵入から攻撃の糸口を探索するケースが増えることは想像に易く、多くの企業が「侵入を前提とした対策」へシフトを始めています。中小企業にとってもサイバー攻撃の脅威はもはや他人ごとではなく、もはや対策強化は全ての企業にとって、待ったなしの重要課題となっているのです。

マルウェアの侵入を
防ぎきることはもうできない?

これまでEmotetなどのマルウェア対策は、PCにアンチウイルスソフトウェアのようなマルウェア対策製品をインストールしておくことが定番とされていました。しかし、年々高度化していくマルウェアに対して、旧来の手法では対応しきれないケースも増えています。

このことについて、さまざまな企業向けセキュリティソリューションを取り扱う、NECソリューションイノベータ株式会社営業統括本部の村田は次のように語ります。

「Emotet流行の最盛期には、同タイミングで複数の新規お客様から感染被害をきっかけとしたご相談をいただく状況が続いていました。というのも、従来のマルウェア対策製品は、開発メーカーが日々更新しているデータベースに照会するかたちでマルウェアを検知していました(パターンマッチング方式)。

この方式では既知のマルウェアしか検知できません。そのため、新種のマルウェアが毎日数十万件という勢いで増加している現状に対応しきれなくなっているのです」(村田)

特に昨今は、攻撃対象に対してパターンマッチング方式では検知できない、マルウェアを改変した「亜種」を作成して送りつける手法が一般化。こうした未知の脅威は、どんなにデータベースの更新を早くしても感染を防ぐことができません。

そこで近年では、こうした流れを受けて、PC内に構築したサンドボックスと呼ばれる閉鎖環境で受け取ったプログラムやコードを実行し、その振る舞いを元にマルウェアかどうかを判定する「ヒューリスティック方式」と呼ばれるマルウェア対策製品が人気を集めるようになっています。

しかし、これについても「閉鎖環境内とは言えマルウェアを実際に動かしてしまうリスクがありますし、そのつどマルウェアを実行することでPCへの負担が大きくなり、動作が重くなってしまうという問題もあります。

何より今では、サンドボックス内では大人しく振る舞い、侵入後に動作を開始する攻撃手法が編み出されており、ヒューリスティック方式でもマルウェアの侵入を防ぎきることができなくなっているのです」と村田は警告します。

なお、従来型のマルウェアを水際で防ぎ、侵入させないタイプのマルウェア対策製品を『EPP(Endpoint Protection Platform / エンドポイント保護プラットフォーム)』と呼ぶのですが、こうした理由から近年のマルウェア対策の主役は、侵入された後の対策を迅速に行う『EDR(Endpoint Detection and Response / エンドポイントでの検出と対応)』製品群にシフト。

企業のマルウェア対策は侵入されることを前提としたものに移り変わりつつあります。

侵入対策をあきらめるのはまだ早い
次世代型のマルウェア対策ではAIが活躍

しかし、そうした状況においても「EPPをあきらめるのはまだ早い」とNECソリューションイノベータで次世代型マルウェア対策製品『BlackBerry Protect(旧製品名:CylancePROTECT)』を担当する長谷川は言います。

これまでの手法では防ぎきれないマルウェアの侵入ですが、AI(人工知能)技術を駆使した『NGEPP(Next Generation Endpoint Protection Platform / 次世代型エンドポイント保護プラットフォーム)』ならば、パターンマッチング方式で防げなかったマルウェア亜種や、サンドボックスをすり抜ける巧妙なマルウェアを検知・駆除できると言うのです。

AIをどのように活用するのかはNGEPPソリューションごとに異なりますが、米・BlackBerry Limited社の製品で、すでに多くの企業に導入実績のある『BlackBerry Protect』では、機械学習・深層学習(ディープラーニング)で生み出した数理モデルがファイルを実行する前にマルウェアかどうかを判定。

ヒューリスティック方式のように実際にサンドボックスでマルウェアを動作させることなく検知・駆除できることが大きな特長となっています。

「『BlackBerry Protect』では、正常なファイルとマルウェアを合わせて10億個収集し、ファイルが持つ600万種以上の要素をAIによる機械学習・深層学習によって分析することで、マルウェアの特徴を抽出。正常なファイルとマルウェアをあたかも人間の脳のように判断できる数理モデルを生成します。

数理モデルは、パターンマッチング方式と異なり、マルウェアに共通する特徴を元に脅威度を判定するため、既知のマルウェアだけでなく、亜種も含めた未知のマルウェアも検知可能です。

AIを活用するタイプのマルウェア対策ソリューションには、実行時の振る舞いをAIで監視するというものもありますが、『BlackBerry Protect』は数理モデルによって解析し脅威度を判定するため、ファイルを実行させずにマルウェアを検知できるところがポイントです。これによって、より高い安全性を提供できます」(長谷川)

また、パターンマッチング方式ではこまめなデータベースの更新が必要になりますが、『BlackBerry Protect』では1年に1回程度の数理モデルアップデートで安全性を維持。これまで多くの企業のIT部門を悩ませていた、PCのマルウェア定義データベースの「こまめな」更新が不要になるのです。

そして、こうした特性が新型コロナ禍中のリモートワークにおいても有効だと長谷川は言います。

「多くの企業ではパターンファイルのデータベースの更新を社内ネットワーク上でしか行えないため、VPNなどのセキュアな接続環境が用意できない一部の中小企業ではこのデータベースの更新のためだけに出社しなければならないということが起きているようです。

その点、『BlackBerry Protect』ではその必要はありません。年に1回程度、数理モデルをアップデートするだけで良いのですから。

もちろん、こうした特性は安定したネットワーク環境を確保しにくい海外出張時などにも有効。パターンファイルをこまめに更新することなく、未知のマルウェアへの対策を行えます」(長谷川)

その一方で、AI技術を駆使したウイルス検知と聞くと、稼働の重さを懸念される方も多いのではないでしょうか。複雑で重い処理をPC内で行うイメージを持たれ、PC本体の動作速度が遅くなったり、バッテリーの消耗が激しくなったりするのではないかと不安になってしまいますが、そうした心配はほとんどないとのこと。

機械学習、深層学習といった複雑な処理はBlackBerry Limited社のクラウド上で実施されており、PC上で動作するのは、学習結果から出力された軽量な「数理モデル」のみ。

膨大なデータベースを照合したり、サンドボックス内で疑わしいプログラムを実行したりすることがないため、PCへの負荷が小さく抑えられることも『BlackBerry Protect』の利点と言えるでしょう。

導入、管理も簡単!侵入されないために、
中小企業におすすめする対策は「NGEPP」

サプライチェーン攻撃のような、自社に対する被害だけでは済まない一大インシデントを防ぐために、最も重要なのは、「感染しない」「侵入させないこと」です。そのためには、既知の攻撃だけでなく、パターンファイルがまだない未知の攻撃へ備えることができるNGEPPが有効です。

マルウェア感染そのものを激減させることでその後のEDRフェーズの効力を高めることもできるので、現在、EDRに重きを置いている企業においても、NGEPP導入は効果の大きなセキュリティ施策と言えるでしょう。

「社内に専用のサーバー等が不要など、導入の敷居が低いことも『BlackBerry Protect』の強みです。

弊社でも2018年から『BlackBerry Protect (旧製品名:CylancePROTECT(サイランスプロテクト) 』をお客さまに提供しているのですが、多くのお客さまが導入支援なしで使い始められています。これを受けて、昨年からは最小購入クライアント数1名から、導入支援サービス不要で始められる「Lite」プランも開始しました。

ぜひ、より多くの方に『BlackBerry Protect』を始めとしたNGEPPをお試しいただきたいですね」(長谷川)

まとめ

年々、巧妙化、凶悪化していくサイバー攻撃をどのように防ぐのかは企業のIT担当者にとって頭の痛い問題です。特に新型コロナ禍においては、リモートワーク環境下でもしっかり動作する対策が求められます。今回紹介した次世代型のマルウェア対策ソリューションを導入することで、最新マルウェアの脅威から自社と取引先を守りましょう。