セキュリティソフト/最新版「ウイルスバスター」レポートAIと既存技術を融合した「XGen」
未知・亜種に対する“強さ”が進化

2017年9月7日、トレンドマイクロは総合セキュリティソフト「ウイルスバスター」シリーズの最新バージョンを発表。都内で開催された製品発表会に出席したので、その内容をレポートします。

●最新版ラインアップ。左から「ウイルスバスター クラウド」「ウイルスバスター クラウド+デジタルライフサポート プレミアム」「ウイルスバスター モバイル」
●最新版「ウイルスバスター」シリーズの強化点

AI技術を融合した「XGen」アプローチを採用

発表会に登壇したトレンドマイクロの大三川彰彦取締役副社長が最新版のコンセプトとして掲げたのが“強さ”でした。その裏付けが、新たにAI技術を搭載したことです。同社では、昨年に法人向けセキュリティ対策製品に「機械型学習型スキャン」と、これまで培われてきた高い実績を持つ既存技術を融合した多層防御アプローチ「XGen(エックスジェン)」を導入しており、それがコンシューマー向けシリーズにも搭載されました。

●最新版ウイルスバスターのパッケージ製品を紹介するトレンドマイクロの大三川彰彦取締役副社長
●スペシャルゲストとして、国際フェンシング協会の太田雄貴理事と同競技で若手注目株の野口凌平選手が登壇。キービジュアルとして採用するフェンシングのパフォーマンスを行い、最後は、エックスジェンのイメージである「X(エックス)」の形で締めくくった

大三川副社長は、まず脅威の最新動向に言及。同社調査によると、詐欺サイトへ誘導された利用者数は約968万件、不正メール流通数は約590万件、サポート詐欺問い合わせ件数が1199件(いずれも2017年1月~6月/国内)となっており、短期間に脅威が続出するだけでなく、攻撃手法も多種多様化していると指摘しました。

特に、サポート詐欺はフィッシング詐欺やワンクリック詐欺に加えて、2016年の秋頃から急増したもの。企業のサポートなどを偽装した詐欺サイト画面を使い偽のサポート窓口への電話を促し、連絡してきた利用者をだまして金銭を搾取する手口です。最新版ウイルスバスターには、サポート詐欺対策の新機能が搭載されています(Windowsのみ)。詐欺サイトである可能性がある場合、電話をしないよう警告が表示されるようになっています。

さらに、世界的に流行しているランサムウエアは「2017年上半期に全世界で新たに確認されたファミリー数は168種類と、前年同期比で約2.1倍」に。それだけでなく、2017年5月に大流行した「WannaCry」は、その後3カ月で約6万件の亜種が確認されています。これは、少しずつ違いを持たせることでセキュリティソフトによる検出を回避しようとしているわけです。亜種が短期間で一気に増加する傾向は今後も強くなると見られており、こうした脅威に対する迅速なアプローチが必要です。

●2017年上半期のセキュリティ脅威(トレンドマイクロ調べ)

こうした背景から、ウイルスバスター最新版にも「XGen」アプローチが採用されました。XGenのコンセプトは、「先進技術と従来の技術」の融合です。未知の脅威が急増する中、「従来のパターンマッチングでは続出する新種や亜種の攻撃から守り切れない」と指摘されています。これまでは既知のウイルスや不正プログラムかどうかを認識するパターンファイルを作成し、それにより攻撃を防御してきました。しかし、未知の脅威や亜種に対しては既知のパターンファイルでは脅威かどうかを判断できません。

新手の攻撃に対しては、それが危険かどうかをリアルタイムに判断する仕組みが必要であり、それがAIというわけです。とはいえ、「既知の脅威もまだまだ多い」だけに従来技術も効果や効率面では有用といえます。加えて、未知の脅威に強いとされる最新技術も「誤検出が高い」「特定ファイルをブロックできない」といったデメリットがあるとのこと。このため、先進AI技術と長年にわたって積み重ねにより効果が実証されているパターンマッチングなど従来技術を融合することで、それぞれの強みをいかした高い防御力を実現しようというわけです。

●先進技術と従来技術の融合がXGenのアルゴリズム
●各技術のメリット(強み)とデメリット(弱み)

具体的には、トレンドマイクロがこれまで運用してきたクラウド上のセキュリティ基板技術「Trend Micro Smart Protection Network(SPN)」と機械型学習スキャンの連動です。問題がありそうなファイルや振る舞いの特徴、侵入経路などの情報をSPNに送信し、それらの情報を複数のアルゴリズムで作成された判定用モデル群から最適なモデルを使い分けることで判定した結果を端末側に送り返す仕組みです。

ランサムウエアなどをはじめとしたリスクの高い脅威を優先的に学習させた後に、より多くのデータを段階的に学習させることで検出精度を高めます。AIの特徴として、学習が進むほど検出率と精度の向上が期待できるのではないでしょうか。

判定作業は端末側ではなくすべてクラウド上で行われるため通信時間はかかりますが、「機械学習型スキャンが追加されたことにより検出時間が長くなるということはなく、従来とあまり時間は変わらない」(コンシューマプロダクトマーケティング部コンシューマセキュリティグループの木野剛志プロダクトマーケティングマネージャー)としています。

SPNの強みが増し、多層防御も進化

さらに、「機械学習を語る上で最も大事なことはデータ」(同前)とし、いち早くクラウド技術を導入した同社が長年にわたり蓄積してきた脅威情報のビッグデータSPNの優位性を強調。2016年に買収したTippingpoint(脆弱性対策に対する高いテクノロジーを所有する企業)の知見が加わり、スレッド・インテリジェンスとしてSPNの強みが増したとしています。

もともとウイルスバスターはエンドポイント(利用者端末)での多層防御を前提にしていますが、機械学習型スキャンにより、これが強化されたことが最新版の大きなポイント。「侵入を防ぐ(1層)」「脅威を検出(2層)」「データ保護(3層)」から構成されており、機械学習型スキャンは2層での防御を強化しています。万一、この層がすり抜けられた場合には「フォルダシールド(安全なプログラムしかアクセスできない)」機能が重要ファイルを保護します。

フォルダシールドは2016年から導入されたもので、最新版では複数フォルダへの対応、クラウドストレージ同期フォルダやUSBメモリー/外付けストレージなどの保護、Mac OS対応が強化されました。

●XGenによる多層防御の強化
●ランサムウエア攻撃を例にした多層防御の有効性

モバイル向けランサムウエア対策を搭載

モバイル脅威向けの機能も拡充されています。あまり意識されていないようですが、スマートフォンやタブレット端末ではリスクが急拡大しています。例えば、2017年1月-6月に全世界で新たに確認されたモバイルランサムウエアの新規種類数は23万種類を超えているとのこと。前年同期比で約4.9倍にもなります。モバイルにおけるランサムウエア被害では「画面の占有」や「端末パスワードの強制変更」といったものが一般的です。そこで、最新版には管理ポータルサイトから端末のロックを解除できる機能が搭載されました。

また、iOS向け機能が強化され、SafariやFacebook/LINEなどのアプリ内ブラウザで詐欺サイトなどの不正サイトをブロックする機能に新たに対応しています。

●モバイルランサムウエア被害対策(Android版のみ)

これまで、ネットのリスク対策はサイバー犯罪者とセキュリティベンダーのいたちごっこ的な側面が強い印象でした。クラウドが採用され、さらにビッグデータにより脅威が分析されるようになったことで、かなり防御力は高まっていると感じていました。そこに、新たにAIが加わったことにより、防御性能は飛躍的に高まるのではと期待しています。

脅威の手口もますます複雑化・巧妙化すると思われますが、最新の総合セキュリティソフトをしっかりと導入してリスクに備えることがIoT時代に向けて大切なことではないでしょうか。(長谷川丈一)

●フォトセッションの模様。右から大三川副社長、太田国際フェンシング協会理事、野口選手、木野プロダクトデザインマネージャー