AI技術をウイルスやランサムウエアの検出に利用する動きが活発になっています。今回は具体的に、AI技術を取り込んだ対策ソフトがどのような仕組みになっているのかを見ていきましょう。
従来の主な対策技術というと、以下のようなものがあります。
シグネチャベースの検出 | シグネチャ(パターンファイル)を用いて悪意のあるファイルのハッシュコードなどと検索対象を比較し、安全か危険かを判断 |
---|---|
Webレピュテーション | 悪意のあるURLデータベースを用いて危険なサイトへのアクセスをブロック |
ふるまい検知 | 不審な挙動をパターンに基づいて検出しブロック |
これらの技術はいずれも、一つのルールに対して1種類の対象を見つけるもの、または複数種の対象を見つけるのが基本です。ルールに合わないものについては「未知」ということになります。
シグネチャベースの検出で「未知」としたファイルであっても、実行時にふるまいをみて、それがルールにマッチすれば被害を防げます。このような複数の対策の組み合わせにより、被害を防いでいるのです。しかし、最近は短時間に多量の亜種が発生するマルウエア、ランサムウエアが多い昨今は、「未知」なファイルが多くなる傾向にあります。
そこでセキュリティ対策製品では、AI関連の技術の中でも、機械学習型検索が重要になっています。機械学習型検索では、人間が作った一定のルールではなく、安全なファイル、安全でないファイルを、機械学習のアルゴリズムで学習して得た特徴を用いて判定します。複数の角度から判定し、その総和を取って判断する統計的なアプローチをとっています。
機械学習でとらえた一つひとつの特徴は、到底それだけでは確実な判断ができるものではありません。ただ、たくさんの特徴点を検証し、類似点が数多く出てくれば、高い精度の判断につなげられるのです。