Microsoft Defender for Endpoint に AI 駆動型のランサムウェア検知機能が追加

Microsoft adds AI-driven ransomware protection to Defender

2021/11/16 BleepingComputer — Microsoft は Defender for Endpoint の顧客に対して、AI によるランサムウェア攻撃検知システムを提供し、境界でリスクを評価して驚異アクターをブロックすることで、既存のクラウド保護を補完すると発表した。人間により操作されるランサムウェア攻撃は、特定の手法や行動を特徴としているため、データ駆動型の AI アプローチを用いて、この種の攻撃を検知できると、同社は考えている。

イニシャルの足場構築の防止

攻撃者は通常、デバイスへのリモート・アクセスを提供するマルウェア・バイナリを仕掛けることで、ターゲット・システムへの足がかりを築く。しかし、攻撃に使用されるすべてのバイナリが、悪意のあるものだとは限らず、攻撃に使用される実行ファイルの多くは、Windows に組み込まれたコマンドなどの正当なプログラムである。したがって、これらのバイナリにより生成される指標は、優先度が低いとみなされ、防御者に無視される可能性がある。

正当なバイナリが示す異常な動作を検出する、AI 駆動の適応型保護システムを追加することで、デバイスへの侵害を防ぎ、レスポンス・チームに貴重な時間を提供することで、攻撃を阻止するための重要な役割を果たすことが可能となる。

Microsoft は、AI による防御システムについて、「顧客たちの環境において、AI による適応型保護機能を用いることで、人間にアクセスを許可するバイナリを停止し、人間がネットワークに侵入するのを防ぐことに成功した。他の方法では優先度が低いと考えられる指標を考慮することで、適応型保護機能は攻撃の連鎖を早い段階で停止し、攻撃の全体的な影響を大幅に削減した。そのときの脅威は Cridex であることが判明した。Cridex は認証情報の窃盗とデータの流出に使用されるバンキング・トロイの木馬であり、人間が操作するランサムウェアを含む、数多くのサイバー攻撃の主要な構成要素でもある」と述べている。

管理者が手動で調整するクラウド・プロテクションとは対照的に、この新しいシステムは適応型である。つまり、リアルタイム・データと機械学習による予測に基づき、クラウドが提供するブロック判定の指標を、自動的に上下させることが可能だとされる。

後続の攻撃ステップをブロック

たとえアルゴリズムがリスクを現実の重要度で評価できず、ランサムウェアの驚異アクターがターゲット・ネットワークへの侵入経路を見つけたとしても、このシステムは彼らにとって障害となる。Microsoft の説明によると、適応型保護機能は、ランサムウェアの脅威アクター偵察段階で使用するネットワーク列挙などの、一見すると良性に見える操作を検出/ブロックすることが可能だ。同様に、オープンソースのツールが横移動に悪用される場合や、識別可能なシグネチャを持たないコモディティ・マルウェアが改変されている場合にも、検知/ブロックすることが可能となる。

Microsoft は、「もし、初期から中期の攻撃活動が検知/ブロックされない場合でも、最終的なランサムウェアのペイロードに関しては、AI による適応型保護が大きな価値を発揮する。すでにデバイスが危険にさらされている場合に、この AI 駆動の適応型保護システムは、最も攻撃的なモードに簡単かつ自動的に切り替え、実際のランサムウェアのペイロードをブロックし、重要なファイルやデータが暗号化されるのを防ぎ、攻撃者が身代金を要求できないようにする」と述べている。

シールドの維持

防御機構が高度化するにつれ、攻撃者は防御機構の回避を試みるのではなく、その機能を停止させようとする傾向にある。つまり、管理者は防御ツールの状態を定期的にチェックし、常に稼働していることを確認する必要がある。クラウド保護はデフォルトで ON になっており、Microsoft Defender for Endpoints における AI 強化機能は、常時オンの機能として自動的に含まれるようになる。ただし、現時点においては、これらの機能のいずれかが無効になっている場合、管理者は直ちにさらに調査を行い、侵害の有無を確認する必要がある。

マルウェアの難読化や検出回避の手段として、これは手強いと思ったのが、「Wslink マルウェア:サーバーとして機能しインメモリでモジュールを実行」と、「トロイの木馬ソースの新技術:Unicode を悪用して注入した脆弱性を隠してしまう」ですが、こうした動きが封じられると良いですね。この 8月10日の「Microsoft Azure Sentinel の Fusion 機械学習モデルでランサムウェアを検出」にあるように、Microsoft は着々と準備を進めてきたようです。ただ、「AI / ML はサイバー・セキュリティにとって諸刃の刃」という視点もあるので、手放しで喜べる状況になっていくという話ではないようです。

%d bloggers like this: