マルウェアとアンチウイルスソフトウェアの未来は、興味深い戦場になりそうです。マルウェアは常に進化しており、アンチウィルスの開発者はそのスピードに追いつくことを余儀なくされています。しかし、機械学習による自動的なハッキング対策システムの未来像は、案外身近にあるものです。

確かに、未来はここにある。

それも、ちょうどいいタイミングで。ファイルレス型マルウェアの新種が、世界中の**機関、企業、銀行を感染させています。ファイルレスマルウェアは、本質的に目に見えないものです。かつては国家レベルの脅威が担っていたが、今や主流になりつつある。

このマルウェアは、あなたや私のような一般ユーザーが心配する必要がないほど高度なものです。少なくとも今のところは。とはいえ、これからの時代、安全保障のあり方を明確にする必要があります。

機械学習型アンチウイルス

英国のサイバーセキュリティ企業Darktrace社のAntigenaは、機械学習によるハッキング対策システムの自動化ツールです。平たく言えば、ウイルス対策ソフトは新しいデータに触れると学習するのです。この場合、Antigenaは企業のシステムで奇妙な動作パターンを探すために使用されます。攻撃には、検知しやすいものとそうでないものがあります。

英国のEU離脱投票後、ある企業で珍行為が発見された。雇用主のBrexit（英国・離脱）戦略に不満を持った従業員が、機密文書の漏洩を図った。Antigenaは、脅威を追跡するだけでなく、自動で反応しました。

機械学習システムは、Darktraceのもう一つの進化を表しています。止めるのが簡単な攻撃もありますが、システムは本当に学習しています。例えば、ランサムウェアの攻撃は「**爆発のように見える**」が、内部攻撃はもっと繊細なものである。

主な違いは対応時間です。antigenaは感染の初期段階で攻撃に気づき、ランサムウェアが暗号化されたファイルを攻撃するのを防ぎます。"私たちはこの種の攻撃を中断するようになりました」とDarkTraceのテクニカルディレクターであるDave Palmer氏は説明する。人、あるいは従来のエンドポイント・セキュリティ・スイートが対応した時には、もう手遅れなのです。

行動的ネットワーク防御

機械学習によるウイルス対策ソリューションが注目されていないわけではありません。ホームユーザー向けのアンチウイルス製品では、ヒューリスティックスキャンが常用されるようになった。ヒューリスティックは、特定のファイルのシグネチャをスキャンするのではなく、疑わしいシグネチャと動作パターンを分析します。ヒューリスティック解析の主な目的は、Antigenaに匹敵するように、攻撃を開始する前に止めることです。

Antigenaのような高度な機械学習ソリューションは、家庭のパソコンで利用できるようになるのは当分先のことだろう。単純に複雑で強力すぎるのです。数理的な原理や高度な環境スキャンが浸透し始め、家庭用アンチウイルスベンダーは開発戦略の見直しを迫られています。

それは、進歩、自動化、安全設計を推進することです。

ファイルレスマルウェアは何ですか？

その他に、進歩的なアンチウイルス設計の原動力となっているものは何でしょうか？

グリッドレスマルウェアは、比較的新しいものですが、非常にオーソドックスな攻撃経路です。ファイルレスマルウェアの感染は、システムのRAMまたはカーネルにのみ存在し、システムのハードドライブに直接インストールされることに依存しません。ファイルレスマルウェアは、完全に検出されないままシステムに侵入するために、さまざまな侵入方法を使用します。以下は、その攻撃方法の一例です。

• ユーザーはブラウザーを使ってスパム経由でアクセスすることを余儀なくされる。
• フラッシュメモリーが読み込まれています。
• フラッシュは、PowerShell**のメモリベースのコマンドを呼び出して使用します。
• PowerShellは、悪意のあるPowerShellスクリプトをダウンロードするために、Command and Control（C2）サーバに無言で接続します。
• このスクリプトは、機密データを発見し、攻撃者に返します。

このとき、ファイルをダウンロードすることなく、ステルス性を発揮していたのが印象的でした。

ファイルレス攻撃は、攻撃者の不注意（次のセクションを読んでください）か、テレホンカードのようにあなたがファイルを見つけることを期待しない限り、何の痕跡も残しません。

さらに、ファイルレス型マルウェアは、攻撃者に「時間」という貴重なリソースを提供します。攻撃者は時間の経過とともに、価値の高いターゲットに対して、洗練された多層的な攻撃を展開するようになります。

ロシアのATM詐欺

通りすがりにATMからお金を流し込むという夢を見たことはありませんか？ロシアのハッカーチームが、少なくとも8台のATMから80万ドルを奪い取ったのだ。とてもシンプルに見える。

ATMに向かって歩く男性。ATMが札束を吐き出す。その男は、新しい富に満足したのだろう、立ち去った。ATMにオンデマンドで現金を引き出させるのは、今に始まったことではありません。しかし、ほとんどペーパーレスで追跡する方法がとられています。

Kaspersky Labは、攻撃者が1つのログファイルを残していたことを報告し、研究者が調査の重要な手がかりを得たと述べました。

「YARAはマルウェアの調査ツールで、基本的には公開されているマルウェアのリポジトリに対して検索要求を行います。このDLLは、ロシアとカザフスタンで2度発見されていたものです。それだけで結び目をほぐし始めることができた。

攻撃者は、銀行のセキュリティルームにバックドアを設置した。そして、銀行のインフラ内のATMにマルウェアをインストールしたのです。このマルウェアは、正規のアップデートのように見え、警告を引き起こすことはできません。攻撃者はリモートコマンドを実行し、まず機械にある現金の量を尋ね、その後配信を開始しました。

お金は自動的に分配されます。ハッカーは立ち去る。同時に、マルウェアはクリーンアップ作業を開始し、実行可能なファイルを削除し、ATMに加えられた変更も消去します。

ファイルレスマルウェアからの保護

ファイルレスマルウェアが登場した当初は、ターゲットシステムの動作が非常に遅くなっていました。初期の例は非常に非効率的なコーディングになっています。その結果、対象システムが徐々に停止するため、より発見しやすくなっています。もちろん、これは長くは続かず、ファイルレスでマルウェアに感染することは信じられないほど難しいことです。しかし、不可能ではありません。

1. 更新情報すべてを最新に保つ。セキュリティアップデートは欠かせません。脆弱性の発見とパッチ適用US-CERTによると、定期的なパッチ適用により、「標的型攻撃の85%を防ぐことができる」という。
2. 教育です。ファイルレスマルウェアは、感染したWebサイトやフィッシングメールを経由して届きます。スパムノイズの中からフィッシングメールを見抜く方法を再確認。
3. ウイルス対策ソフト。アンチウイルスソフトの終焉という噂は、かなり誇張されている。最新のアンチウイルスソフトは、コマンド＆コントロールサーバーとの通信を遮断し、そのスクリプトをダウンロードするファイルレスマルウェアの感染を阻止することができる。

最大の収穫は、システムを常にアップデートすることです。確かに、ゼロデイ的な抜け道はあります。しかし、このような大々的な報道がなされたにもかかわらず、彼らはまだ例外的な存在であり、一般的ではありません。

未来への挑戦

企業向けアンチウイルスソリューションは、すでにマルウェアの将来的な展望を考慮しています。その進歩は、あなたの消費財と私の消費財の保護に浸透していくことでしょう。残念ながら、このプロセスは時に遅いが、行動ベースのアンチウイルスで重要なシフトが進行中である。

ここでも、ファイルレス型マルウェアが主流になりつつありますが、ハッカーのハンドブックの中では、依然として特殊な「ツール」です。このように、ファイルレス型マルウェアは価値の高いターゲットに対してのみ使用されますが、悪意のあるハッカーは、私たちのコンピュータにファイルレス型マルウェアを送り込むので、ご安心ください。

マルウェアは常に進化しています。私たちが使っているウイルス対策製品で、私たちを守ることができると思いますか？それともユーザー教育が責任を持つべきでしょうか？以下、感想をお聞かせください。

画像引用元：ktsdesign/Shutterstock