2015年8月12日 13:13
年金機構を狙ったマルウェアを検知できたセキュリティソフトとは?
鵜飼氏によれば、実は標的型攻撃に悪用される高度なマルウェアは「通常のプログラムとかけ離れているので検知しやすい」という。逆に、パターンファイルが得意とする「通常のプログラムに近い(偽アンチウイルスといった)マルウェア」は検知しづらいという。
Emdiviは、日本年金機構の攻撃で使われた検体だけでなく、さまざまな日本の組織を狙った亜種が出回っているようで、同社が入手した検体も数種類あるという。そのいずれも、FFR yaraiでは検出し、防御できていたそうだ。
○FFR yaraiの独自エンジンとは?
このFFR yaraiのエンジンには、機械学習エンジンも含まれており、いろいろなマルウェアのメタデータを分析し、ロジックを機械学習して検知を行っているが、それ以外の4つのエンジンは、「攻撃者の立場に立ってロジックの研究をしている」と鵜飼氏。
このエンジンのロジックは、年2回程度のアップデートで常に強化をし続けているという。「ヒューリスティックでやっていくのに大事なことは、後手後手(の対策)から脱却すること」と鵜飼氏は強調する。
現在の攻撃技術を分析し、どのようなマルウェアが使われているかを検証し、それに対抗するためのロジックはどういうものが必要か、という研究をするにあたって、将来的に発生しうる攻撃を、犯罪者より「先に開発する」