現代のセキュリティ対策では“常識”となった考え方だが、もちろん入口対策の重要性が低下したわけではない。いかにマルウェアの検知率を向上させていくかは、引き続き大切なテーマだ。では、どうすればいいのか。
ユニークなアプローチでブレークスルーを図ろうとしているスタートアップ企業がある。米海軍のリサーチファームや米国家安全保障局(NSA)の出身者などが2017年に設立した米PolySwarm社だ。
同社が取り組むのは、マルウェア検知のクラウドソーシング――。誰でも参加可能なマーケットプレイスを介して、様々なアンチウィルス(AV)ベンダーや在野のセキュリティエキスパートなどの知見を取引可能にし、検知率の向上を実現しようとしている。
正解者には「報酬」ある調査によれば、新しい脅威は毎分400も見つかっている。しかし、「既存のAV製品の新しい脅威に対する有効率の平均は53~74%にとどまっている」とPolySwarm カントリーマネージャーの山本哲也氏は指摘する。
日々大量に作られる新しいマルウェアを検知するため、AVベンダーは努力し続けているが、そのためのリソースには当然ながら限りがある。しかも、各AVベンダーがバラバラに分析を行っているため、その限られたリソースの多くは、同じマルウェアの解析に重複して注がれている。これが、既存のAV製品の検知率が上がらない1つの要因だ。
そこでPolySwarmは、クラウドソーシングの仕組みを提供することにした。AVベンダーやマネージドセキュリティサービスプロバイダー(MSSP)などが、マルウェアと疑われるファイルを提出すると、マーケットプレイスに参加するAVベンダーやセキュリティエキスパートなどが判定して結果を返してくれる。“集合知”によって、マルウェアの検知率を高めようというわけだ。
マルウェアの解析・判定は、それぞれの参加者が開発したスキャンエンジンとPolySwarmのマイクロエンジンの組み合わせによりリアルタイムに行われ、解析者には仮想通貨で報酬が支払われる。APIを活用し、条件に合ったファイルをマーケットプレイスに自動で投げることも可能だ。
図表 PolySwarmのマルウェア検出マーケットの仕組み
このように様々なAVエンジンを使ってマルウェアを判定できるサービスとしては、グーグルの子会社が提供する「VirusTotal」もあるが、PolySwarmの大きな特徴は、第三者による確認・評価が行われる点だという。「その判定は本当に正しかったのか。第三者が後で検証を行い、正解者にしか報酬を支払わない」(山本氏)。利用者は、評価の高いマイクロエンジンにのみ解析を依頼することも可能だ。第三者による評価は、ブロックチェーン技術で記録されるため、改ざんはほぼ不可能だという。
PolySwarmのサービスが始まったのは2019年になってのことだが、すでにマーケットプレイスには数十社が参加。ある大手AVベンダーも参加に向けて検証を進めているそうだ。「例えば、自社が不得意な領域は、PolySwarmで検知いただく。互いに不得意な領域を補い合うことで、検知率を高められる」(山本氏)。日本では、特にMSSPをターゲットに提案活動を行っていくという。