詳細な分析内容は非公開とさせていただいておりますが、概念をご説明させていただきます。PC Maticのサーバ上でのデジタルフォレンジックは、約30の分析エンジンを用いて総合的に悪質かをスコアリングし、マルウェア分析官へ提示しています。デジタルフォレンジックの手助けとなる分析方法としては、大別して2つの仕組みがあります。
「プログラムの開発者は誰か。以前どのようなプログラムを開発した実績があるか」が一番参考になります。
PC Maticは、無償で診断機能を提供しておりますが、無償・有償に関わらずパソコンの診断情報は、ビッグデータとして蓄積されています。その総数は3.5億台を超えています。日本語のパソコンは、1000万台を2017年8月に超え、日本のお客様のアプリケーション情報も豊富に含まれております。
プログラムに署名があるものは、バージョンアップ変遷を把握・管理し、どの部分に修正・追加が行われたかを分析し、悪質なコードが組み込まれていないかを効率的に分析しています。悪意あるプログラムは、単一のソースコードによって大量に生成されるため、この手法は比較的効率良く発見するのに役立ちます。ディープラーニング技術は、類似性があるものの発見に優れた能力を発揮します。人工知能エンジンならではの検知能力になります。リバースエンジニアエングしたコードスキャニング技術が最も活用されていますが、この仕組みだけでも複数のエンジンが動いています。
難読化されているプログラムは、それを可能な限り解読するプリプロセスエンジンを開発し実装しています。しかし予算規模の違いから、それは国家の軍隊に民間人が槍で挑むような困難さがつきまとい、次々に開発される仕組みへの対処に難儀しています。このため、PC Maticのサンドボックス型ヒューリスティックエンジンは、「時刻API参照」「ゲートウェイIPアドレス参照」しているアプリケーションについて、時間経過処置および対象となるゲートウェイIPアドレスを複数与えて挙動の変化を見る強固なサンドボックスを新たに開発し実装しています。これは数千万円するサンドボックス型セキュリティ装置にも実装されていない新機能です。マルウェアのサンドボックス回避を逃れるため、実在するパソコンのBIOS情報をサンドボックスからランダムに返しています。
サンドボックスと呼ばれる仮想的に起動されたアプリケーションに対して、全てのキーストローク、マウスのイベントを実行し、それらを引き金に不審な動きをしていないかを監視・把握しています。
様々な分析結果は、マルウェア分析官のダッシュボード上に表示されます。分析官は、新種マルウェアや変異種が含まれていないか、慎重に科学捜査を行います。チームには、FBIマルウェア犯罪捜査班から転職してきた者や、セキュリティ会社で長年分析・調査を行ってきた経験豊富な者などもいます。
すべて人工知能(AI)によって完結すれば、善悪やグレー(セキュリティホームの有無など)の判断は速く行えそうです。しかし、犯罪者は機械化されたエンジンを欺くことを組織だって行っているため、経験豊富な人手に勝る仕組みは現時点において、私たちは見いだしていません。集団の叡智こそ最高な判断基準であると今は考えています。
スクリプトは、バイナリーアプリケーション数よりも膨大な種類が存在しているため、ホワイトリスト方式ではなく、悪意ある行動を行うスクリプト記述を標準で実行できないようWindows自身にロックをかけています。スクリプトによって実行される実行可能ファイル(exe,dll等)は、ホワイトリスト方式で行われます。
この方式により、ファイルレス攻撃やインメモリ攻撃を防ぎ、マルウェアファイルによらない攻撃を強固に防御します。
もちろん、xlsm,docmなどの全てのOfficeマクロも危険な行為はすべてデフォルト拒否ルールを適用。悪質マクロがC&Cサーバからダウンロードも行えません。
戻る