アンチウィルスソフトの対策(パターンマッチング)の限界

前回WindowsDefenderをおすすめしていましたが今回はウィルス対策ソフトの現状について語りたいと思います。
2014年、ある有名なアンチウィルス対策ソフトを作っている会社の幹部が『アンチウィルスソフトは死んだ』という発言が話題になりました。発言内容によるとアンチウィルス対策ソフトの感知できる攻撃は全体の45%だけであり55%の攻撃は防御できていないということです。

マルウェアが急速に増え続けており、パターンマッチング型のウィルスソフトでは対策が間に合わない2016年一年間では1億個以上のマルウェアが検出されています。計算すると１日あたり約30万個発見されていることが分かる。このようなものに毎回発見されたマルウェアに対応していても追いつくことができない。
近年では、犯罪者の闇市で流通している攻撃ツールが普及している背景もあり、高度なスキルを持たない悪い人にも作ることができるようになっていて、一日に数万の数万もの新しいマルウェアが作られております。さらに近年のサイバー攻撃に使用されているマルウェアはあらかじめウィルスソフトウェアに検知されないことを確認したウィルスが使用されており、パターンマッチングによる防御は限定的になっています。このような急激に増加するウィルスに対応することができていません。

どうして守れないのか？~後追い技術ではだめ~

先に述べたようにアンチウィルスソフト(パターンマッチング技術)では近年の新しいウィルスに対抗できていません。ここでパターンマッチンぐ技術に考てみると、パターンマッチングを現実の犯罪者の検出方法に例えると、犯罪者の写真、似顔絵等を各ウィルス対策ソフトに渡して、ウィルスを検出するといったものになります。ウィルスの似顔絵、写真がないとウィルスを捕まえることができない後追いのウィルス対策では、未知の犯罪者を捕まえることができないです

人工知能(AI)によった未知のウィルスに対する防御

従来のパターンマッチングに加え新たに振る舞い検知型のサンドボックス方式といった予防法が開発されていますが。パターンファイル参照といった後追い型の対策の域を出なかったり、エンドポイントに負荷がかかったり、サンドボックスを通り抜ける特化したものが生まれたりしています
このような中革新的な予防的アプローチとして、注目されるのが人工知能(AI)による機械学習、深層学習エンジンを用いた攻撃検知手法が開発されておりその先端を走る米国Cylance社のCylancePROTECTと言われています。次世代ウィルス対策として位置づけるCylancePROTECTはプログラムファイルそのものを分析し「DNA」レベルまでの機能までさかのぼって分析し検知レベルは、人工知能を用いて絶えず成長進化していき、パターンファイルに依存せず、どのファイルがマルウェアか、判断してくれる手法が期待されています。

www.cylance.com