BlackBerry Cylanceバイパス手法への対策について

By The Cylance Team

本ブログ記事は、2019年7月21日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

7月18日にある研究者によりCylancePROTECT®をバイパス(検知回避)する手法が公開されました。この問題は研究者によって伝えられたようなあらゆる状況でバイパスが発生するものではなく、ある特定の状況下で製品のマルウェア対策コンポーネントの1つを回避する手法であることが確認できました。この問題への対策は既にクラウド上には実装されており、さらにエンドポイント側でも対策として最新エージェントが数日以内にリリース予定です。

脆弱性について                                               

機械学習を活用したファイル分析は複数のステージに分かれて処理されます。この処理の中では、初めにファイルがパーサーと呼ばれる解析コンポーネントによって調べられ、ファイルから「特徴」といわれるデータを抽出します。解釈か測定ができるあらゆるファイルの特徴がこれらの対象になります。次に、これらの特徴は数理アルゴリズムモデルに渡され分析されます。

今回の脆弱性は、この特徴の解析ステージにおける処理データをある状況下で巧みに操作することにより、数理モデルが誤った結論に達する原因となるというものです。

解決策について                                                                                   

今回の脆弱性に対する対策は3つあります。まず、処理される特徴データを操作しようとする試みを検出し、それらがモデルスコアに影響を与えないようにするため、改ざん防止機構をパーサーに追加しました。また、一部の特徴が過度に強調された場合に異常として検出するように、モデル自体を強化しました。最後に、改ざんの影響を最も受けやすい特徴をモデルから削除しました。

当社が採用しているクラウドアーキテクチャにより、これらの対策と機能強化は自動的に展開されるため、お客様への影響を最小限に抑えることができます。

包括的な製品

機械学習は依然としてマルウェア対策の最も効果的なアプローチですが、メモリ防御、スクリプト制御、および CylancePROTECT®を使用したデバイス制御など、ソリューションの唯一の側面ではありません。包括的なプラットフォームには、エンドポイント検知と対応(EDR)機能のCylanceOPTICS™およびマネージド・ディテクション・アンド・レスポンス(MDR)ソリューションCylanceGUARD™が含まれます。

今後について

AIと機械学習モデルは、基本的に「生きもの」といえます。進化するように設計されており、適切な場合に定期的な再訓練と現場での修正を必要とします。我々が脅威に対してハードルを高くしたとしても、またそのモデルを回避しようとする、新しい脆弱性を探し続ける人が現れるでしょう。

しかし、機械学習は依然としてマルウェアとの闘いにおいて最も効果的なツールであり、それがこの技術がほぼ全てのセキュリティベンダーに採用されている理由でもあります。BlackBerry Cylanceのプラットフォームは、俊敏に簡単にアップデートできるよう設計されています。現在、我々の機械学習モデルは第6世代目にあり、業界の発展に合わせて迅速に適応することができます。

協調的開示に関するメモ

業界を前進させるために責任を持って脆弱性の情報を開示したセキュリティ研究者の努力に感謝します。BlackBerry Cylanceはすべての脆弱性を深刻に受け止めており、今後も研究者から直接連絡をいただくことを奨励します。我々は、お客様への確固たるコミットメントの元、今後もBlackBerry Cylance製品のあらゆる脆弱性を是正するために精力的に取り組んでいきます。  

Tags: