協調フィルタリングを通してのゼロ時間リアルタイム・コンピュータ・ウイルス防御

(115KB)ホワイトペーパーをダウンロードする


コンテンツ

  1. 抄録
  2. ウイルス対策
  3. 未来の脅威
  4. 参考文献

抄録

従来のアンチ・ウイルスソフトウェアは、研究者がウイルスを隔離、分析し、フィンガープリントで識別し、そしてそれをブロックするコードとルールを書き出し、テストすることに頼っていました。このプロセスは24時間かかることもあり、実行形式のコードが添付された多数の合法的なメッセージがやみくもにブロックされることがよくあります。一方、Cloudmark's Global Threat NetworkTMはレピュテーション・ベースと、信用できるコミュニティのリアルタイム・ユーザと、高度なメッセージ・フィンガープリンティングを用いて受信されたメッセージを一つひとつ認識し、悪質なウイルスを識別します。Cloudmarkのウイルス・フィンガープリンティング・アルゴリズムは従来の技術の時間集約的な「リバースエンジニアリング」をオートメートすることで、システムは新型ワームや新型ウイルスをリアルタイムで識別し、潰すことができます。Cloudmarkの技術は言語、フォーマット、レプレゼンテーション、プロトコルにとらわれないため、悪質なコンテンツの全ての形式と戦うことに特に適しています。

電子メールやSMS、MMSなどのメッセージサービスを利用する個人はスパムのコンテンツと合法的なコンテンツの違いを見分けるのに秀でています。ユーザを集めて、どのコンテンツがスパムでどれがそうでないかを「投票」させると、その意見の質は驚くほどに高いです。一つのデータに関する個人の意見を集約する概念は、協調フィルタリング(CF)として知られています。

協調フィルタリングの実際のプロセスは複雑ですが、革新的で、数個のコンポーネントに分けることができます。具体的には、フィンガープリント生成、重み付き投票、フィンガープリント承認、そしてフィルタリングを指します。フィンガープリント生成は、顧客が受信した各電子メールメッセージに対し、関数計算することから始まります。フィンガープリントである関数の結果は、その電子メールとその電子メールの特別に関連するバリエーションからしか作成できない数値です。小さなバリエーションにも適応できるフィンガープリントを生成することで、Cloudmarkは、以前生成されたフィンガープリントを回避しようとして、スパム送信者がわずかでもテキストを改ざんしようとすることを困難にしています。

フィンガープリントは重み付き投票中に中央データベースに送信されます。ユーザがコンテンツはスパムであると確信することを示すフラグとフィンガープリントを送信することで、メッセージがスパムかどうかを投票します。ユーザの投票の重さは、ユーザのスパムを正確に報告する信頼性の経歴に基づきます。よって、ユーザが、コンテンツがスパムかどうかの認識に困っていた場合、投票の重さは軽くなります。特定のフィンガープリントに対する重み付き投票が前もって決められた限度に達したら、そのフィンガープリントはスパムの検証されたインジケータとして受託されます。以降、このフィンガープリントを提出するユーザには、コミュニティからコンテンツをスパムとして認識したという通知が出され、システムはメッセージをフィルタアウトします。

フィンガープリントを承認する正確な時点を認識し、そしてメッセージの「Spamminess (スパム度)」に関するコミュニティ内の意見の食い違いを管理するという、ユーザの投票の重みを計るアルゴリズムは、Cloudmark Trust Evaluation System(TES)でエンコードされます。実世界の人間のコミュニティと同じように、スパムを正確かつ迅速に識別する個人は信頼され、将来その意見がより重く考慮されることで報われます。

コミュニティベースの協調フィルタリングの原理は、弊社のアンチ・スパムサービスである、Cloudmark Global Threat Network [1]の設計において重要でした。Cloudmarkサービスは電子メールの協調フィルタリングだけではありません。最初から、Cloudmarkサービスは統一見解を基に、フィルタリングの一般的なフレームワークを実行するよう設計されてきました。分類システムのコアは言語、フォーマット、レプレゼンテーション、プロトコルにとらわれません。Cloudmarkの手法は、ほぼあらゆるメッセージング媒体に簡単に適応させることができます。つまり、フィードバックとフィルターを、その媒体と結び付けることを可能にするのです。

ウイルス対策

従来のアンチ・ウイルスソフトウェアは基本的な原則で動作します。つまり、マシンに入り、一意のフィンガープリントを生成するファイルをすべて検査します。このフィンガープリントは既知のウイルスのフィンガープリントデータベースと照合されます。このようなフィンガープリントの生成は、従来人間を介在させる必要がありました。アンチ・ウイルスリサーチ会社のスタッフはまず、野放しになっているコンピュータウイルスのサンプルを孤立化させて個別のサンプルにする必要があります。そして分解してそのコードを調べ、ウイルスのフィンガープリントを生成し、QAプロセスにかけ、最後に顧客に分配します。

このモデルの本質的な問題は、ウイルスサンプルの抽出とウイルスコードの人的検査による待ち時間にあります。ウイルスの収集は、適当にサンプルを採取する、ハニーポットを検査する、もしくは、攻撃の承認および記録専用のマシンを仕掛けて後で分析するといった方法で行います。収集と分析にかかる待ち時間は数時間で、時には検査だけで24時間以上かかる場合があります。アンチ・ウイルス・セキュリティ・インフラは非常に特殊な環境状況に合わせて開発され、当初実に順調に動作していました。しかし、過去の2年間で環境が著しく変化しました。今日、オペレーションシステムと人気ソフトウェアの主なセキュリティ上の脆弱性が急速にワームに変身してきています。ワームは自動的にこれらの弱みにつけこみ、インターネット上に拡散していきます。その早さたるや目を見張るものがあります。

これに対して、「ゼロ時」と称する新たな技術がセキュリティ製品に出現しました。この技術は多くの点で締め付けが厳しくなっています。具体的には、手当たり次第実行形式コードに似ている全ての物をブロックすることで、ウイルスの侵入をストップさせるという点です。このような技術はウイルスやワームの伝染の阻止において比較的有効ですが、代償を伴います。一定のコンテンツ・タイプをやみくもにブロックすることによる付帯的なダメージとして、合法的なトラフィックをも遮断してしまうという点があります。この方法は失われた生産性をさらに悪化させます。なぜならば、合法で、時には仕事の大事なメッセージを顧客レベルで取り戻すという即時の干渉が必要となるからです。さらに、すでに気を張り詰めたIT部門にこのアプローチがもたらす余分な管理上の重荷は言うまでもありません。

ウイルスの迅速なレスポンスと的確な識別という問題をCloudmarkは、大々的に投入した人間マルウェア・レポーターのベースの活用と、実行形式のコードを獲得するための特別なフィンガープリント・アルゴリズムの導入によって対処しています。Cloudmarkの多数のユーザーのだれもが、新たなメールワームの第一発見者となる可能性があるため、当社が投入したベースは、悪意のあるメールコンテンツから見ると、世界最大の効果的なハニーポットのネットワークとなります。したがって、当社がウイルスのサンプルを収集する時間が大幅に短縮されました。さらに、Cloudmarkの実行形式のフィンガープリント・アルゴリズムは、人力によるウイルス検査のプロセスを自動化しました。具体的には、リアルタイムで実行形式のコードを解体し、さらには、ワーム、ウイルス、それらによる負担をユニークかつ効果的に識別するフィンガープリントを生成します。このフィンガープリント・アルゴリズムは、従来のアンチ・ウイルスベンダーによって使われていた「リバースエンジニアリング」プロセスを自動化し、ハッカーが検知を逃れるためにバイナリーに仕組んだ多数の難読化物を撤去するのに成功しています。このプロセスを自動化することで、Cloudmarkの技術は、大変かつ人的なタスクであるマルウェアの分析を根底から取り除きました。実際、Cloudmarkアンチ・ウイルス・エンジンは、ユーザーが「block」をクリックするなりウイルスの検出およびフィルタリングを実行できます。その過程はセキュリティ・コミュニティがウイルスだと判定するよりもはるかに高速です。多数のトライアルで、Cloudmarkのアンチ・ウイルス・エンジンが従来のアンチ・ウイルス製品よりも優れていることが証明されてきましたが、それは上述の理由によるものです。一流のベンダーの10~20倍の量のウイルスを制止したこともしばしばありました。

上記で述べたように、Cloudmarkのサービスは、コンテンツおよび運搬プロトコルにとらわれないアルゴリズムを使用して、スパムや悪意のあるコンテンツのフィンガープリントの生成と検証を行っています。Cloudmarkがユーザーや組織に、メッセージがスパムであるかどうかに関してのフィードバックの生成手段を提供している限り、いかなる形態のメッセージからもスパムとウイルスをフィルタリングすることが可能です。

未来の脅威

先進社会は新しい脅威に対応する基準手段を発展させてきました。人々は集まり、脅威の本質とその対抗手段をコンセンサスを通して決定します。Cloudmarkのサービスはこのプロセスを一般的に成文化させたものです。ウイルスや様々な形態を取るマルウェア、そしていかなる形式のコンテンツでも、ユーザはそのフィンガープリントを送信し、コンテンツの性質に対する投票をすることができます。このコンテンツにとらわれないエンジニアリングのため、当社の技術は今日のウイルスの脅威からまだ設計もされてない脅威まで、あらゆる形態の悪意のあるコンテンツと戦うことが出来ます。

参考文献:

  1. V.V. Prakash and A. O'Donnell. Fighting spam with reputation systems. Queue, 3 (9):36-41, 2005.

(115KB)ホワイトペーパーをダウンロードする トップに戻る

関連文書


この文書のトピックについてのさらなる情報
Cloudmarkの製品
Cloudmarkのテクノロジー