従来型ウイルス対策ソフトはもう効かない? 巧妙化する手口に対抗する「振る舞い検知」とは

 2020年東京オリンピックは、「IoTオリンピック」になると言われている。「IoT」とは、「Internet of Things=モノのインターネット」の略語。家電などのあらゆる「モノ」が、インターネットとつながる時代がすぐそこまで来ている。

 そこで問題になるのが、サイバーセキュリティだ。今現在、国家機関から個人のパソコンまで、あらゆる情報がサイバー攻撃の対象になっている。個人による愉快犯的から、現在では組織犯罪として産業化しており、一説には、サイバー攻撃の地下市場は既に麻薬市場の規模を上回っており、1日に10数万のコンピュータウイルスが発生しているという。しかも、その手口は年々巧妙化しており、既存のウイルス対策ソフトがほとんど効果を発揮できない状況だという。IoT時代になれば、自動車や住宅も攻撃の対象になり、事故が誘発されたり、ホームセキュリティが破られたりするリスクも想定されている。

 一方で、「新しい脅威に対抗する新しい防御策」も既に一定の効果を上げている。その研究開発をしている数少ない日本企業が、『FFRI』社だ。同社の鵜飼裕司社長の講演とデモンストレーションを通じて、IoT時代のサイバーセキュリティ事情を探った。

◆既存のソフトは「標的型攻撃」には なすすべなし
 近年のサイバーテロの特徴は、特定の官公庁や企業を狙った「標的型攻撃」が増えていることだ。昨年発覚した日本年金機構の情報流出事件や、米ソニー・ピクチャーズが北朝鮮からと思われる組織的なサイバー攻撃を受けた事件が記憶に新しい。また、個人のパソコンへの攻撃も目立って増えており、インターネットバンキングの口座から預金が引き出されたり、パソコンに保存しているファイルを全て暗号化して「解除してほしければ金を振り込め」というメッセージを出す「ランサムウエア(身代金ウイルス)」の存在も顕在化している。日本国内におけるインターネットバンキングの不正送金被害額は、(2015年2月の)警察庁の発表によると年間約30億円にも上るという。

 FFRIの鵜飼社長は、サイバー犯罪の脅威が増している理由は「従来型のウイルス対策ソフトがほとんど役に立たなくなってきている」からだと、2月11日に東京都内で開かれた『テレビ東京ビジネスフォーラム2016』の講演で語った。従来型のウイルス対策ソフトは、「パターンマッチング」という技術を使っている。ソフトベンダーが既知のウイルスの情報を集めてパターンファイルというウイルスの指名手配写真集のようなものを作り、ユーザーのパソコンに配布する。これに合致するウイルスを検知・防御する仕組みだ。しかし、この方法では未知のウイルスはすり抜けてしまい、特定の企業や団体を狙う標的型攻撃では、その都度新種のウイルスが使われるため、検知率はほぼ「ゼロ」となってしまっている。個人のインターネット口座やカード情報を狙った攻撃に対する検知率も「半分を切っている」と鵜飼社長は言う。


講演する鵜飼氏

 なぜか。「ここ最近外部環境が変わってしまった。まずウイルスの数が増えすぎた。情報を集めきれなくなり、有効なパターンファイルが作れなくなっているのです。日本年金機構などを狙った標的型攻撃に対しては、そもそもパターンファイル作れない。新しい脅威に対し、いわゆる『後追い技術』で対抗する既存のウイルス対策ソフトは、破綻してしまっているのです」と鵜飼社長は語る。

◆「振る舞い検知」ならば新たな脅威に対抗可能
「小学生のころからプログラミングが大好きだった」という鵜飼社長は、エンジニアとして北米で研究開発に携わり、2007年に帰国してFFRIを設立した。同社は、「パターンマッチング」に代わる「振る舞い(ヒューリスティック)検知」という技術をベースに独自での研究開発を行い、CODE:Fと名付け、実用化している。企業向けソフト『FFR yarai』が官公庁や銀行で実績を上げており、昨年から個人向けの『Mr.F(FFRI プロアクティブ セキュリティ)』も販売している。

「振る舞い検知」とは、ウイルスの悪意ある特徴や振る舞いを検知して防御するシステムだ。従来型の「パターンマッチング」が指名手配写真によって通行人一人ひとりと照合して犯人を捕まえるとすれば、「振る舞い検知」は、いわば監視カメラによって、怪しい特徴や行動を事前にとらえ、被害を未然に防ぐ技術だという。鵜飼社長は「泥棒が家の前をウロウロしている。窓をこじ開けようとしている。こういった悪意のある振る舞いを捉える技術です」と説明する。未知の脅威、つまり「パターンマッチング」では対応できなかった“初犯”を捕らえることができるというわけだ。また、従来型ソフトは「毎日のように送られてくる大量の指名手配写真」を照合する作業を行うため、起動するとパソコンの動きが重くなるデメリットがあるが、「振る舞い検知」のソフトにはそれがない。

 しかし、「振る舞い検知」ソフトの開発は非常に難しく、日本で研究開発しているのはFFRI社にほぼ限られるという。同社は「これまで、日本は海外の製品と技術によって守られてきました。しかし、それでは日本がグローバルで初めて直面するような問題に対抗できない。日本でも、国内で技術開発をしっかり進めるべき」と、「純国産・Made in Japan」を強調する。そうした同社の技術と製品は、中央省庁や金融機関でも採用され、実績を上げている。例えば昨年6月に、日本年金機構から125万件の個人情報が流出した事件で使用されたマルウェア(悪意のあるソフト・悪質なコード)『Emdivi』を同社で入手して分析したところ、『FFR yarai』と『FFRI プロアクティブ セキュリティ』で検知・防御できることが確認できたという。同社HPには、『FFR yarai』による24件の脆弱性攻撃・未知マルウェアに対する防御実績が掲載されている(2016年2月15日現在)。

◆「身代金ウイルス」と「スマホ乗っ取り」の脅威
 では、私たちが実際にサイバー攻撃を受けた場合、どのようなことが起きるのか。『テレビ東京ビジネスフォーラム2016』の会場の一角で行われたFFRI社によるデモを見学した。まず、行われたのは「身代金ウイルス」に感染したパソコンのデモ。パソコン内に置かれたファイルを実行したとたん、Officeドキュメントなどのドキュメントファイルが全て暗号化され、開くことができなくなってしまった。そして、「解除して欲しければビットコインで金を振り込め」というメッセージが表示される。最近は足がつきにくいビットコインで“身代金”を要求されることが多いという。さらには、特定のweb広告を表示するだけで感染するケースも出てきている。


デモの様子

 当然、身代金を支払っても解除される保証はない。FFRIでは、身代金は払わないようにアドバイスしており、対処法として「振る舞い検知」を採用した自社ソフト(「Mr.F」や「FFR yarai」)を使うことのほかに、大事なデータは二重三重にバックアップを取ることを挙げている。筆者は仕事の写真データを2つの外部ハードディスクに同時保存しているが、パソコンとつながっている限りはウイルスに侵される危険があるため、一つは必要な時以外は外しておくよう、アドバイスを受けた。

 スマートフォンの「遠隔操作」のデモも行われた。悪意のあるアプリを知らずにダウンロードしてしまい、スマートフォンが乗っ取られるという被害が多発しているという。乗っ取られるとアドレス帳やメールの情報が盗まれるなどあらゆる被害が想定されるが、今回は内蔵カメラが遠隔操作され、知らないうちに写真を撮られるという実演が行われた。攻撃側のパソコンで操作すると、乗っ取られたスマートフォンを持っていた男性の顔写真が、カメラが起動することなく、音も動きもなく撮られた。これでは撮られたことに気づくのは極めて困難だ。今後、IoT時代にはスマートフォンだけでなく、あらゆるデバイスや家電がこうしたサイバー攻撃にさらされる恐れがある。FFRIでは、IoT時代に向けた新たな研究開発に既に着手しているという。攻撃される側と守る側、まさにイタチごっこの世界。私たち一般人も、常にサイバーセキュリティの最新情報にアンテナを張っていかなければならないようだ。

Powered by FFRI

Text by 内村 浩介