米Cylanceは2017年7月10日、米Googleの子会社が提供する無料のオンラインウイルス対策サービス「VirusTotal」に、同社のウイルス対策エンジン「CylancePROTECT」を対応させたと発表した。VirusTotalは、セキュリティ関連の企業やコミュニティなどから提供されたスキャンツールやセキュリティソフトを使い、利用者が指定するファイルやURLが安全かどうかをチェックするサービス。
ウイルス対策ソフトは通常、検体のシグネチャーをブラックリストと照合してマルウエアを判定するが、CylancePROTECTは、機械学習により対象ファイルの特徴を評価してマルウエアかどうかを判定するという。
都内で開催された記者説明会では、未知のマルウエアやゼロデイ攻撃にも対応できることも説明した。一般的なウイルス対策ソフトは、マルウエアが発見されてから、そのプログラムのコードからシグネチャー(ハッシュ値)を生成し、それをデータベースに登録する。これにより、対象とするファイルがマルウエアかどうか分かる。そのため、作成されたばかりの新種のマルウエア、中身は同じでもシグネチャーが変わるように偽装したマルウエアの検出に時間がかかるといった問題があった。
一般に、機械学習やディープラーニングを応用したマルウエア検出は、シグネチャーを利用しないため、新種のマルウエアや未知のマルウエア、シグネチャーが作られていないものに対しても有効とされる。これは、スパムメールの判定を、特定キーワードの有無で判断するのではなく、文章の表現、書き方など全体でスパムだろうと判断する処理と思えばよい。
例えば2017年の5月と6月に猛威を奮ったWannaCry、Petya-Likeといったランサムウエアについて、Cylance Japan CTO(最高技術責任者)の乙部 幸一朗氏は、「CylancePROTECTでは、2015年11月のバージョンでWannaCry、Petya-Like、Globeimposter(ONI)の検出に成功している」と説明する。
通常、大手セキュリティベンダーのクラウド上のシグネチャーファイルの更新は30分、1時間といった単位で可能だが、米Cylance バイスプレジデント チャド・スキッパー氏によれば、「例えばあるベンダーでは、Petya-Likeが確認されハッシュが公開されてから、シグネチャーファイルが 対応するまで5時間かかっていた。AIによる検知ならこの時間は必要なくすぐに検知できる」と優位性を強調した。