AIBR プレミアム
拓海先生、最近部下からFlashってもう古いから対策不要だと言われましたが、本当に放っておいていいものなのですか。うちの現場にもまだ古いファイルが残っていまして心配でして。
素晴らしい着眼点ですね!Flashは公式サポートが終わっても、攻撃側は古い技術を狙いやすいんです。とくに検出に機械学習を使っている場合、工夫次第で簡単に見破られてしまうことがありますよ。
機械学習で検出しているという話は聞きますが、具体的にどんな弱点があるのですか。うちで導入するにあたり投資対効果をどう評価すればいいか知りたいです。
大丈夫、一緒に整理しましょう。まず要点を三つだけ。1)学習モデルは静的特徴(ファイル構造やバイト列)に依拠している、2)攻撃者はその特徴をわずかに変えるだけで回避できる、3)対策は特徴の見直しと学習手法の強化が必要です。ですから費用対効果は”検出精度向上の労力”と”攻撃に耐える仕組み”のバランスで判断しますよ。
これって要するに、今の検出器は見た目の特徴で判断しているから、見た目をちょっと変えられると騙されてしまうということですか?
その通りです!例えるなら紙の書類の判子の位置だけ見て偽造を判定しているようなものです。判子の位置を微妙にずらせば通ってしまう。ここで重要なのは、単に学習アルゴリズムを強くするだけでなく、特徴そのものを見直す必要がある点です。
では、再学習(アドバーサリアルトレーニング)で頑張れば解決するのではないのですか。それとももっと根本的な対策が必要だと。
良い質問です。結論から言うと、再学習は有効な場合があるが万能ではないんです。特徴が攻撃で「正規の無害ファイルと区別できなくなる」ほど類似してしまうと、どんなに学習させても区別は難しい。ここで取れる措置は二つ、学習アルゴリズムの堅牢化と、そもそも攻撃者が変えにくい新しい特徴を導入することです。
なるほど、では現場に導入する際の優先順位はどのように考えればいいですか。限られた予算で何を先に手当てすべきか教えてください。
いいですね、その観点は経営者向きです。優先順位は三つです。第一に、現状の検出精度と誤検出コストを可視化する。第二に、攻撃に強い特徴の導入可能性を評価する。第三に、段階的な再学習と運用監視を組み合わせる。これで初期投資を抑えつつリスク低減ができますよ。
分かりました。最後に私の理解を確認させてください。要するに、現在のFlashマルウェア検出は静的特徴に頼っているため、攻撃者がその特徴を少し変えれば検出をすり抜ける。だから検出器の学習強化だけでなく、より変えにくい特徴や運用監視の仕組みを導入する必要がある、ということで合っていますか。これなら部下にも説明できます。
