機械学習によりランサムウェアの検出向上



Acronis Active Protection™ (アクロニス アクティブ プロテクション)は、ランサムウェアの分析技術を使用してシステム上の不規則なプロセスを監視および停止する高度なテクノロジーです。仮に、ランサムウェアが何らかの形であなたのアンチウイルス対策をすり抜けてファイルの暗号化を開始したら、Acronis Active Protection™は、不正な暗号化を検出し、それをすぐに停止させます。さらに、自動的にバックアップがとっていれば最新のバージョンにファイルを復元します。

これは、独立系ラボでのテスト(リンクは英語サイト)で優れたパフォーマンスを発揮し、メディアでもたびたび評価されていますが、その一方で我々アクロニスはより良くするために尽力してきました。その結果、機械学習および人工知能技術を組み込んだ改良がなされているのです。

なぜ機械学習なのか
機械学習は、大きなデータに関連づけられ、膨大な量のデータを分析しその結果に利用価値があることを指しています。データ量が多いほど、そのデータ量とアルゴリズムに基づいた機械学習の結果が優れています。

では、Acronisの機械学習はどのように機能しているのでしょうか。最初のステップはスタックトレース分析です。スタックトレースは、プログラムの実行中のある時点でアクティブなスタックフレームを記録しておくことです。プログラムが実行されるとき、メモリは、スタックとヒープの2つの場所に動的に割り当てられることがよくあります。メモリはスタック上で連続して割り当てられますが、ヒープ上には割り当てられません。
簡単に言えば、機械学習アプローチに基づいてプロセススタックトレース解析を使用して、ランサムウェアからのコードインジェクションを検出することが可能になるのです。

現実のシナリオ
アクロニスは、数多くの正当なプロセスを実行するクリーンなWindowsシステムを利用して、膨大な量のデータをコンパイルしました。次に、これらのプロセスの正当なスタックトレースを何百万も得て、決定木学習を使用して、「良い」ふるまいと異なるモデルを構築しました。そして悪意のあるふるまいの例を提供するためにさまざまなソースから悪質なスタックトレースを取得しました。

これらの数百万の学習サンプルに基づいて、パ ターンが開発されています。決定木の学習を使用して、ある項目に関する観測から、その項目の目標値に関する結論に移ります。目標は、いくつかの入力変数に基づいてターゲット変数の値を予測するモデルを作成することです。Acronisのエキスパートは決定木を使用します。これは、データの収集と送信中にクライアントマシンのパフォーマンスに影響を与えてはならないからで、このアルゴリズムによってこの目標を達成できます。 

実際の製品で機械学習が有効になったときはいつなのでしょうか。既に述べたように、Acronis Active Protection™は、ふるまいのヒューリスティック(経験則)に基づいています。バージョン2.0では、正当なプロセスを検索する新たなヒューリスティックを追加しました。Acronis Active Protection™が正当なプロセスに怪しい動きを察知すると、スタックトレースが取得され、機械学習モジュールに送信されます。ここでは、動作がクリーンで感染したスタックトレースのモデルと比較され、脅威かどうかが判断されます。 動作が悪意のあると確認された場合、ユーザは、ランサムウェアのようなプロセスをブロックする必要があることを示すアラートを取得します。結果として機械学習は、ヒューリスティックの最終的な決定を行う第2の権限のように機能するため、誤検出の可能性も低減します。
 
 
▲ 悪名高いランサムウェアファミリCTB-Lockerの機械学習ベースの検出の例
 
アンチ-ランサムウェア防衛の新しいレベル
これらのテクノロジーは、機械学習が進む中で、特にそれがゼロデイ脅威になった場合、Acronis Active Protection™をまったく新しいレベルに導いていきます。悪意のある人がシステムに侵入するための新たな脆弱性や方法を見つけたとしても、プロセスが合法であるモデルを作成するので、機械学習はそのランサムウェアのプロセスを検出して停止させます。 

機械学習モデルを使用してスクリプトを分析することができます。我々はすでにこの方向に取り組んでいます。NioGuard Security Labは、ほとんどのウイルス対策ソリューションがスクリプトベースの攻撃を検出できないことを示すテストを実施(リンクは英語サイト)しました。他のほとんどのマルウェア対策ソリューションと比較してすでに優れた性能を発揮していますが、我々はアンチ・ランサムウェアの技術をさらに向上させることを目指しています。

ランサムウェア対策 Acronis Active Protection™が搭載された製品

https://www.acronis.com/ja-jp/personal/computer-backup/

法人向けバックアップソリューション Acronis Backup 12.5
https://www.acronis.com/ja-jp/business/backup/

サービスプロバイダー様向けソリューション Acronis Backup Cloud
https://www.acronis.com/ja-jp/cloud/service-provider/backup/


ランサムウェア対策 Acronis Active Protection™が搭載された製品をすぐに試してみたい方は
個人向けバックアップソフトウェア Acronis True Image 2018を、30日間すべての機能がお試しできる無償体験版がございます。