現状維持では困難な最新攻撃への対応
未知の攻撃の検知も可能にする
予測＆生成AI最前線

　マルウエアは急速な勢いで進化を続け、日々数多くの亜種が誕生している。これに拍車をかけているのが、生成AIの登場だ。サイバー犯罪に使うメールの文体を洗練化できるだけでなく、攻撃に使える不正なコードを生成AIで短時間のうちにつくれる。

　「当社では年に4回『グローバル脅威インテリジェンスレポート』を作成しています。その最新バージョンである2024年3月版によれば、ユニークマルウエアのサンプルは1日平均5300個確認されており、前期比で27％増加しています」とBlackBerry Japanの山﨑 裕二氏は語る。

　これだけ毎日のように新たなマルウエアが誕生していれば、マルウエアサンプルを解析して固有情報を抽出したシグネチャーでマルウエアを検出することは、もはや現実的ではない。

　実際に、令和6年3月に警察庁から公開された「令和５年におけるサイバー空間をめぐる脅威の情勢等について」では、サイバー攻撃の被害を受けた企業・団体のうち、ウイルス対策ソフトを導入していた企業・組織の割合が92％であるにもかかわらず、79％が「検出がなかった」と回答しているという。

　検出力を強化するため、EDRなどのセキュリティーソリューションを新たに導入する企業も増えている。しかし従来型のセキュリティーソリューションでは、調査の必要がないセキュリティーイベントもアラートとして報告されるため、その仕分けに膨大な時間がかかってしまうという問題をはらんでいる。

　「検出できないのも問題ですが、アラート洪水もセキュリティーを低下させる重要問題です。本当に対策を行うべき『要注意』イベントを発見するのに時間がかかってしまい、その間に攻撃が進行してしまうというリスクにつながるからです」（山﨑氏）

　このような問題を根本から解決するにはどうすればいいのか。その有効な手段となるのが、「レガシーソリューション」から脱却し、「予測AI」と「生成AI」を活用したセキュシティーソリューションへと移行すること。それを具現化した製品の1つがBlackBerryの「Cylance」だという。

　BlackBerryというと、いまだに「携帯電話会社」というイメージを持っている人も多いかもしれない。しかし2019年に、株式非公開の人工知能とサイバーセキュリティーの企業であるCylanceを買収。今ではAIサイバーセキュリティーの領域をリードする企業になっている。

　「保有しているAI／機械学習関連の特許は57件に上っており、これは競合他社の5倍以上の数字です。また、当社のSOCアナリストは、標的型攻撃への本格的な対応能力を競い合う『SOC X』で優勝しており、2021年に開催された『Defcon 29』でも、『OpenSOC Network Defense Range (NDR)』で1位と3位を獲得しています。そのほかにも、『SE-Lab Advanced Security 2022』で最⾼の『AAA』評価を受けており、Customers’ Choice for Endpoint Protection Platforms in Gartner Peer Insightsに選出。2023年にはマレーシア政府のサイバーセキュリティー関連の重要案件を一括契約しています」（山﨑氏）

　もちろんAIを活用したセキュリティーソリューションは、他社も提供している。これらとCylanceとの最大の違いは何なのか。

　「それは数理モデルAIの違いです。他社の次世代EPPは、マルウエアファイルを識別するための特徴点数が数千程度、製品によっては数十程度しかない場合もあるのです。これに対してCylance AIは、600万の特徴点で多次元でのベクター分析を行いマルウエアか否かを評価します。そのため新しいユニークマルウエアでも、98.9％という高い精度でマルウエア判定が行えるのです」と山﨑氏は説明する。 　また、AIモデルを端末側に持ち、オフライン状態で同様の精度で検知できることも大きな特徴だ。その処理負荷も低いため、外部と接続しない工場内や医療現場、ネットワーク分離されている政府機関や自治体の端末でも有効に機能するという。

　「新たなマルウエアの検出ができるということは、AIアルゴリズムを頻繁にアップデートしなくても、安心して使い続けられるということを意味します。他社のEPPは定期的な更新が必要であるため、クローズ環境での利用が困難ですが、Cylanceは最短でも6カ月、長い場合には数年に一度のアップデートでも問題ありません。つまり将来登場するマルウエアも、まるでAIが予測していたかのように検出可能なのです」（山﨑氏）

　これを証明するため、山﨑氏はデモを披露した。それは「2015年版」という古いCylanceで、ChatGPTを利用し、「いま」生成されたマルウエアコードを検出・ブロックできるかだ。

　たった今、生成されたばかりのマルウエアであるだけに、悪意のあるコンテンツを見つけるサービス「Virus Total」にアップロードしても、当然ながら「No matches found（パターンにマッチしない）」という判定になる。しかしデモでは、このマルウエアを2015年版のCylanceで検知できた。

　これに加えてBlackBerryは、2023年10月に「Cylance Asssistant」も発表した。これはプライベートな大規模言語モデル（LLM）を活用することで、EDRが出したアラートの内容を生成AIが解説するというもの。BlackBerryはEDR製品として「CylanceOPTICS」を提供しているが、これとサイバーセキュリティアシスタントを連携させたデモも行われた。

　「EDRの画面に各種イベントが表示されていますが、この中の1つのイベントをクリックすると、それがどのような意味を持つのかの説明が表示されます。本来であればアナリストが自分で調べなければならないのですが、それを生成AIが肩代わりしているのです。また、説明文の最後の部分には『In summary』というブロックがあり、説明の要約文も提供されます。これによって、アラート仕分けの2番目以降のファネルを短時間で進めることができ、『要注意』である0.1％のイベントに効率よくたどり着けるのです」（山﨑氏） 　このように、BlackBerry によるCylance製品群が提供する予測AIを活用したセキュリティーソリューションと、レガシーなセキュリティーソリューションとの間には、大きな差が存在する。「第三者機関Tolly社のレポートによると、実際に他社ソリューションの検出率は、オンライン状態で6～9割、オフラインでは4～8割程度。それに対しCylanceの検出率は98.9％に及びます。また、誤検知数の差も7日間の合計誤検知数が他社ソリューションでは6～162件なのに対し、Cylanceではゼロ、90日でようやく平均2.6になるという少なさです」と山﨑氏は語る。

　人手不足の中、「マルウエアを検出できない」「アラートが多すぎて対応が後手に回る」といった対応に追われているならば、こうしたソリューションを活用するのは有効な選択肢となるだろう。