FFRIは2014年8月22日、社員のパソコン上でスタンドアローンで動作する標的型攻撃対策ソフトの新版「FFR yarai Version 2.5」(画面1)を発表、同日出荷した。既存の四つの検出エンジンに加えて、新たに第5のエンジンとして機械学習を利用した振る舞い検知エンジンを追加した。価格(税別)に変更はなく、1本当たり9000円から(ボリューム割引あり)。
FFR yaraiは、社員のWindowsパソコンにインストールして使う、エンドポイント型の標的型攻撃対策ソフトである(関連記事:FFRIが標的型攻撃対策「FFR yarai」に新版、DLLプリロードを検知)。最大の特徴は、標的型攻撃に特化したヒューリスティック(振る舞い検知型)の検出技術によって未知の脅威に対処できること。マルウエアの生成と実行を防止するとともに、実行を許してしまったマルウエアに対しても、その振る舞いを検知して防御する。
四つの防御ポイントごとに、それぞれ攻撃検知エンジンを用意している。
(1)「ZDPエンジン」は、アプリケーションの脆弱性を突いた攻撃を検知してブロックする。バッファーオーバーフローなどのメモリー破壊型の攻撃を検知できる。(2)「Static分析エンジン」は、マルウエアの疑いのあるプログラムを静的解析する。(3)「Sandboxエンジン」は、マルウエアの疑いのあるプログラムをサンドボックス上で動作させて動的解析する。(4)「HIPSエンジン」は、プログラムの実行時の振る舞いを検知するホスト型IPSである。これらのエンジンを順番に実行することによって、さまざまなタイプの攻撃を検知/防御する。
今回の新版では、既存の四つの攻撃検知エンジンに加えて、新たに第5のエンジン「機械学習エンジン」を追加した。このエンジンが担当する防御ポイントは、既存のHIPSエンジンと同じである。つまり、静的/動的解析などを経てもマルウエアであると検知されなかったプログラムについて、実行時の振る舞いを調べて検知する。二つの異なるHIPSエンジンを同時に使って、検知精度を向上させた形になる。
新たなHIPSエンジンである機械学習エンジンの特徴は、マルウエアの判定材料となる振る舞いの特性を、人力ではなくビッグデータに対する機械学習によって導き出したことである(図1)。大量のマルウエアと大量の正常ソフトウエアを用意し、これらの振る舞いのデータを機械学習によって解析することで、マルウエアに特有の振る舞いの特性を得たとしている。これを検知エンジンのロジックに反映している。
