Artificial Intelligence (AI)
実環境での大規模リスク予測:マルウェア攻撃を先読みする新技術
従来からの「事後対応セキュリティ」の限界を克服するため、AI技術を駆使し、実運用環境でのマルウェア感染リスクを「事前予測」するシステムを研究、開発しました。
サイバー攻撃から企業や組織を守るため、産業界では、長年にわたってさまざまなセキュリティソリューションが導入されてきました。その代表例であるEDR(Endpoint Detection and Response)は、被害の拡大を防ぐ上で中心的な役割を担います。例えば、エンドポイント上で不正なソフトウェアがダウンロードされた際には、すぐに検知・応答のプロセスを発動します。こうしたソリューションは、特に一貫したXDR(Extended Detection and Response)プラットフォームに統合されることで、サイバー攻撃に対する包括的な戦略を提供します。しかし、課題もあります。それは、問題が発生してから対処する「事後対応型」であるという点です。アンチマルウェアやアンチスパム、Webアプリケーション・ファイアウォール、侵入検知システム、各種セキュリティプロトコルのいずれも、攻撃の証跡(シグネチャ検知など)が発見されてから初めてアラート通知や復旧対応を開始する仕組みとなっています。これだけでは、攻撃者に先手を取られることになります。
「事後対応」は多くの場合に有用ですが、サイバー攻撃やサイバー犯罪の進化に伴い、企業や組織では新たな防衛戦略が求められています。それは、プロアクティブ(事前対応型)なアプローチに基づき、攻撃の発生や拡大を先読みし、将来の脅威に先手を打つことです。
トレンドマイクロでは、従来の事後対応型アプローチが抱えていた問題を解決するため、ユーザの行動データから将来のインシデントリスクを推定するソリューションを新たに研究、開発しました。本手法は、AI技術を活用することで、マルウェア種別毎に感染リスクの高い端末を特定します。
弊社のチームは2025年11月6日、米国カリフォルニア州のサンディエゴ市で開催された国際会議「APWG’s eCrime Conference」において、本研究の成果を発表しました。研究の詳細は、IEEEの論文「Beaver: Estimating Future Risks at Scale in Real-World Deployments」として公開されています。こちらより、PDFのコピーをダウンロードいただけます。
本研究では、前回の調査結果を土台として、将来的なマルウェア感染のリスクを推定するシステムを構築しました。完成したシステムは、30日以内に起こり得る感染を予測することに加え、リスク指標である確率値をマルウェア種別毎に分けて提示します。さらに、予測の根拠を説明する機能も備えています。
システム構築にあたっては、217カ国にまたがる822組織のエンドポイント計1,070万件を、1ヶ月(2025年1月)にわたって解析しました。こうしたエンドポイントの大半は、大企業の業務ネットワークに接続されたものであり、日常業務用のデスクトップ端末や専用のハイエンド機、サーバ類などを含んでいます。得られた解析結果を集約することで、脅威に関わる重要なデータが得られ、製品の進化や高度なセキュリティの実現に繋がりました。
解析結果からは、さまざまな知見が得られました。例えば、「ギャンブル系サイトにアクセスするユーザは、コインマイナーに感染するリスクが2倍高いこと」、「多様なソフトウェアを多くダウンロードするユーザほど、ランサムウェアの脅威に晒されること」などが判明しました。さらに同研究では、組織のリスクを高める行動や、特定のマルウェア種別に対して脆弱なエンドポイントの種類を考察しました。
図1は、トレンドマイクロによるソリューションのスクリーンショットであり、特定エンドポイントでのリスク予測値をマルウェア種別毎に示しています。対象のマルウェア種別として、「ランサムウェア(Ransom)」、「望ましくない可能性のあるアプリケーション(PUA)」、「トロイの木馬(Trojan)」、「ハッキングツール(Hacktool)」、「ウイルス(Virus)」、「コインマイナー(Coinminer)」が含まれます。
図2は、ランサムウェアのリスクに寄与する各特徴量について、特定エンドポイントで確認された実測値(Exposed)と閾値(Threshold)を示しています。特徴量の内訳(横軸)として、左から順に「未定義サイトへのアクセス数」、「不審な通信の存在」、「日夜の比率」、「アクセスするサイトのカテゴリ数」、「ビジネスサイトへのアクセス数」、「プロダクト名の異なり数」、「日ごとのプロダクト異なり数平均値」、「ファイル普及度の中央値(変換後)」、「整形後のファイルパスの異なり数」、「製品バージョンのパーセンタイル順位」、「ファイル普及度の中央値」を含んでいます。
今回の研究は、サイバー攻撃インシデントのリスクを事前予測する上で重要な基盤を築くものです。これは、トレンドマイクロによる「Cyber Risk Exposure Management(CREM)」製品の基本理念でもあります。現在、トレンドマイクロでは当該分野での研究をさらに深めており、近く、より詳細な内容を盛り込んだ論文を公開する予定です。
参考記事:
Estimating Future Risk Outbreaks at Scale in Real-World Deployments
By: Marco Balduzzi, Roel Reyes, Jessica Balaquit, Ryan Flores, and Benjamin Zigh
翻訳:清水 浩平(Platform Marketing, Trend Micro™ Research)