Digital Blogss

コンピュータウイルス VS セキュリティソフト、AI活用による仁義なき闘い

Digital Blogsコンサルタント記事

  • Home
  • Digital Blogs
  • コンピュータウイルス VS セキュリティソフト、AI活用による仁義なき闘い

SHARE

我々は既にAIによって守られている

 コンピュータウイルスは驚異的なスピードで増殖を続けており、我々のデジタルデバイスはますます危険に晒されている。AV-TEST(※1)によると、2020年までに世界中で検知された新種のコンピュータウイルスは累計6億6千万種類(少しだけ違う亜種も含む)にものぼり、ここ数年では年間1億種類を超えるペースで増加しているという(図1)。

日本においてもIoT等のセンサーに対する攻撃が懸念されており、2017年度は一日あたり1,893件だったものが、2021年度には7,335件ものウイルスが検知されている(図2)。たった4年間で4倍近くも増加した計算となり、もはやこれまでのやり方ではセキュリティ側の対応が追い付かない状況である。

 これほどまでに攻撃者側の脅威が増加している背景には、コンピュータウイルスの開発環境が整備されてきたことや、自動生成ツールが開発されたことがあげられる。今では、誰でも簡単にウイルスを作成することが可能となってしまっているのだ。この状況に対抗するため、セキュリティ業界ではディープラーニングの研究が進んでおり、セキュリティソフトへのAI活用が積極化している。

 実は知らず知らずのうちに、我々はAI武装したセキュリティソフトによって守られているのだ。

セキュリティソフト進化の歴史と、AI活用の必然性

 コンピュータウイルスもセキュリティソフトも、元をたどるとどちらもプログラムに過ぎない。攻撃側であるウイルス開発者は、PDFやExcelなどのファイルに、コンピュータを誤作動させるようなプログラムを混入させる。対して防御側であるセキュリティソフトは、さまざまな解析手法を駆使したプログラムでウイルス検知を行っている。この攻防はかねてから続いてきたわけであり、コンピュータウイルスの進化に合わせるように、セキュリティ側も解析手法をレベルアップさせてきた。解析手法は現在までに、大きく分けて4段階の進化を遂げてきたのであるが、整理すると以下のようになる。

  • 1.表層解析

 ウイルスに感染した疑いのあるファイルが手元にある時、既に調査された情報がないかをインターネットなどから探し出し、公開された情報からウイルスを特定する手法。ウイルスのプログラムの規則性を探す取り組みは、セキュリティベンダーや研究者によって日々行われているため、その調査結果を活用するものである。

   

  • 2.静的解析

 ファイルを開くことなく、ファイル形式やファイルに踏まれる文字列など、コンピュータウイルスの特徴と合致する部分がないかを調査する処理。プログラムを実行せずにウイルスを検討するため、静的解析といわれている。明らかになる情報は多くないが、解析のコストが少なくすむため、その後の解析の方針を決める手段としても有効である。

    

  • 3.動的解析

 エミュレータ上でプログラムを実行し、異常な挙動がないかチェックする手法。コンピュータウイルスの進化によって、ファイルの形を残さずにコンピューのメモリ上のみで動作するものも登場してきたため、その対抗策として、隔離した環境で実際にファイルを開いて挙動を監視する動的解析が開発されたのである。

     

  • 4.統計解析

 静的解析や動的解析の手法に、機械学習やディープラーニングを応用したのが統計解析である。これまでのルールベースの解析手法とは違い、少し違う亜種のウイルスも判別できるようになった。

   

    

 セキュリティソフトのプログラム内では、シグネチャと呼ばれるルールを使い、「ルールに合致するかどうか」という条件に従って、コンピュータウイルスを判定している。しかしこの手法では、少し違うだけで条件を満たさなくなるという弱点があるため、亜種のウイルスを検知しにくいという課題があった。そして、この点を突いてウイルスは攻撃をしてくるのだ。防御側は動的解析までの手法では、セキュリティ調査、ルール作成、ソフトウェア更新といった対策が追い付かなくなっており、多くの種類を一度に大量にばらまくコンピュータウイルスによって、感染被害が拡大してきたのだ。

 この事態に対してセキュリティ側は、ディープラーニング等を活用した統計解析を導入し、「コンピュータウイルスらしさ」をAIに学習させることで、亜種のコンピュータウイルスも検知できるよう取り組み始めたのである。

なんと、亜種ウイルスの検知に使われているのは画像認識!

 ディープラーニングを用いたウイルス検知は、2011年に発表されたNataraj(※3)らの取り組みによって技術的プレイクスルーを迎えた。彼らはコンピュータウイルスに感染したファイル(PDF、EXE、Excelなど)を画像に変換するという驚きの手法を開発し、画像認識のディープラーニングによってウイルスを検知したのである。

 まずコンピュータウイルスに感染している疑いがあるファイルを、0と1で構成されるビット列、つまりバイナリに分解する。そのバイナリを1行8ビットのデータとして2次元に並べていき、縦横サイズを調整することでグレースケール画像ができるというわけだ。

 コンピュータウイルスに感染したプログラムと感染していないプログラムを、画像として比較したときに、ピクセル数、明るさ、模様の差といった形で違いとして表れるのだ。このような画像内に含まれる「コンピュータウイルスらしさ」のパターンを見つけ出すために、画像認識の処理が有効であるため、ディープラーニングの技術の一つであるCNN(Convolutional Neural Network:畳み込みネットワーク)が活用されるようになったのである。

 Natarajらの取り組みが発表されてから、世界中で多くの研究が進められているが、日本でも筑波大学からCNNを活用した論文が発表されている(※4.Computer Security Symposium 2017)。CNNと注意機構を用いて、「トロイの木馬」や「バックドア」と呼ばれる同種コンピュータウイルスにおける、亜種の違いを可視化する手法を提案している。

 図5はウイルスの亜種を画像化した例であるが、プログラム的には少しの違いでも、画像にすると大きく違って見えることがわかる。また図6は筑波大学の研究内容だが、亜種のちょっとした違いを分析した例である。注意機構をもつCNNで処理した結果、亜種の間で同じ場所は黒、亜種固有の領域は色がついて表されていることがわかる。


 コンピュータウイルス検知に画像認識のようなディープラーニングを用い、増え続ける亜種に対抗していく研究は、着々と進められているのである。

 実用面でもディープラーニングが活躍した実績は報告されている。例えば2014年に「Emotet」というウイルスが北米で急速に拡散した時には、Microsoft社の「Windows Defender AV」に搭載された決定木アルゴリズムが自動検知したことによって、大量感染を未然に防ぐことができた(※4)。その他にも、米Cylance社、Symantec社、MacAfee社、Kaspelsky社などのセキュリティベンダーも、積極的に機械学習の研究を進めている。

 AI活用が当たり前のようになりつつあるコンピュータウイルスの世界では、攻撃側はAIに誤った判断をさせたり、AIの検知を回避するような攻撃を仕掛けている(※5,6)。防御側であるセキュリティソフトも、更なるAIの進化で対抗していく必要がある。

 このように普段何気なく使っているPCの裏側では、実は高度なAIを駆使した攻防が既に始まっているのである。

      

参考情報

※1. AV-TEST:デジタルデバイスのオペレーティングシステム用のウイルス対策およびセキュリティスイートソフトウェアを評価および評価する独立組織。AV-TEST_Security_Report_2019-2020より引用

※2.警察庁令和3年サイバー空間をめぐる脅威の情勢 図9を引用

※3.Malware images: visualization and automatic classification. Nataraj, S. Karthikeyan, +1 author B. S. Manjunath Published in VizSec ’11 20 July 2011

※4.「CNNと注意機構による画像化されたマルウェアの解析手法」矢倉 大夢1 篠崎 慎之介1 西村 礼恩1 大山 恵弘1 佐久間 淳1†Computer Security Symposium 2017

※5.How artificial intelligence stopped an Emotet outbreak、Microsoft Defender Security Research Team February 14, 2018 /6 min read

※6.JVN Pedia:JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

※7.JVN Pedia:JVNDB-2019-007167 Cylance のアンチウイルス製品にマルウエア検知を回避される問題

執筆者 Profile

シニアマネージャー坂田 和広

専門分野
セキュリティ、データ分析、AI

製造業、小売、金融業界においてITに軸足を置きつつ戦略立案から実行支援まで幅広く従事。特にセキュリティ、R&Dでのデータ分析やAI開発、デジタルマーケティング、 組織立ち上げ、業務改善、基幹システム刷新等をテーマに経営層と現場を繋ぎ推進する事を得意としている。

SHARE

  • Home
  • Digital Blogs
  • コンピュータウイルス VS セキュリティソフト、AI活用による仁義なき闘い