脅威の研究

アバストはいかにサイバー犯罪者との戦いに臨むのか ー 人口知能(AI)、機械学習そしてビッグデータ

Threat Intelligence Team, 2017年9月12日

SF映画の世界ではないが、機械学習アルゴリズムとビッグデータを利用する人工知能(AI)は、進化を続ける今日のサイバー脅威を抑えるためのカギとなる。

人工知能 (AI) は、ここ数年世の中でもっとも注目されているホットなトピックであること間違いありません。一見すると矛盾した話のように聞こえるかもしれませんが、AI とその一部である機械学習(マシーンラーニング)をめぐる熱狂はいまだ冷めやらず、今後さらに話題に事欠かない気配を見せているのには理由があります。数と種類の両面で拡大を続けるサイバー脅威との戦いにおいて、わたしたちアバストにとってAIの存在は重要な意味合いを持つばかりでなく、マルウェアをスキャニングによってあぶり出し、駆除するうえで不可欠な存在となっています。

60 年以上にわたる 人工知能(AI)の歴史

人工知能(AI) 研究の分野は、人工知能に関するダートマス夏期研究プロジェクトに携わった科学者らによって 1956 年に確立されました。それ以来、AI は数多くの映画で描かれてきましたが、人間のような思考と感情を持つロボットの形を取るのが一般的でした。しかし、実世界の AI は、私たちが映画で見るものとは大きく異なるだけでなく、その存在形態も非常に幅広いものとなっています。

人工知能(AI) とは、人間の頭脳でおこなわれる高度なタスク処理をコンピュータにおこなわせることに焦点を当てた科学的なアプローチで、現代においてはヘルスケア、カスタマーケア、金融など、さまざまな業界で活用されています。AI に関して特に興味深いのは、コンピュータがデータのパターンに基づいて判断を行うために機械学習アルゴリズムを作り出すプロセスで、このとき、コンピュータは自らが行うビッグデータ解析から学習するという点にあります。アバストでは、ネット上にはびこる脅威からユーザーを守るために、長年にわたって AI と機械学習を活用してきました。わたしたちの脅威検知エンジンのひとつである MDE は、社内のセキュリティのスペシャリストたちが2012 年に開発した機械学習を使用しています。

最も優秀な人間のアナリストでさえ対処できない理由

コンピュータならびにインターネットの初期段階においては、異なるタイプの脅威を一般化するために文字列型のシグネチャが用いられました。シグネチャにはアナリストが必要となり、また時間もかかるため、多種多様なかたちで増加を続ける現代のサイバー脅威を検知するには柔軟性に欠けます。犯罪者側にとっては「オンラインの脅威」は彼らのもとに時として多大な利益をもたらします。これが犯罪者たちをさらに多くの「脅威」を生み出すことにつながり、その結果、次から次へと発生する脅威に立ち向かうことは人力ではもはやまかないきれない状態となり、その結果、人口知能(AI) と機械学習が脅威との戦いに用いられるようになりました。

機械学習と 人工知能(AI)の力を活用することはサイバーセキュリティ対策を語るうえで不可欠なものとなりました。世界中のサイバー犯罪者たちは24時間休むことなく新たなマルウェアを生み出しています。マルウェアは一見すると安全なファイルのように見えることが多く、また姿を変えることができるものもあらわれてきています。ウイルス検知エンジンにとり、今まで以上に脅威の検知が難しくなっているといってよいでしょう。さらに犯罪者たちはダークネットでマルウェアの販売も行っており、技術的な知識がほとんどない人々でさえマルウェアを改変して新たな型を作り、拡散することが実際におこなわれています。

もちろん、人間のアナリストがファイルを分析して悪意のあるものか否か判断することは可能です。しかしそれにはファイルのコードの解析、悪質な特性があるのかないのかを調査する必要が出てきます。アバストでは毎日 100 万個を超える新しいファイルの調査をおこなっていることを鑑みると、上述の人力によるファイル解析は物理的に不可能となります。これを読んでいる読者の皆さんだって、人力に依存するマルウェア スキャナ、マルウェア駆除装置を使いたいとは思わないはずです。

コンピュータは大量の計算が得意です。かつてアナリストが手作業で行っていたことをコンピュータにさせるために、弊社ではファイルを適切な数値表現に変換するアルゴリズムを作成しました。この機械学習アルゴリズムは、受け取ったファイルから特定の特性、言わば「指紋」を抽出します。抽出されるデータは元のファイルよりはるかに小さいため、大量の処理と迅速な解析を行うのに適しています。

脅威をめぐる環境は変化を続けています。アバストではクリーンなファイルと悪意のあるファイルをマシーンが適切に区別できるよう、これら両方のファイルに関する人工知能(AI)が持つ知識の更新を絶え間なくおこなっています。そのために、アバストのアナリストたちはマルウェアの作成者が用いる新たな技術をアルゴリズムに変換し、マシーンはそうして作られたアルゴリズムをベースに新たな脅威と思われるデータの解析をおこなっています。

言うまでもなく、システムが下す解析結果の精度を高くするためには、より多くのデータが必要となります。アバストでは、世界4億人以上のユーザーにお使いいただいている様々なデバイスを脅威から守った結果から得られた大量のデータに基づいて詳細な解析をおこない、ファイルが悪意あるものであるか否かの判断に役立てています。突き詰めて言えば、弊社が最速かつ最高水準のマルウェア保護をユーザーに提供する能力は、ビッグデータ、機械学習、AIのコンビネーションによって生まれているのです。