JPモルガン・チェースは、自社ネットワーク内でのマルウェア感染を阻止するために、社内セキュリティシステムに AI を統合しています。
今月、大手銀行の技術者らが発表した公式論文[PDF]では、ディープラーニングを用いて悪意のある活動を特定する方法が説明されています。例えば、職員のPCにスパイウェアが仕掛けられ、公共インターネット上のハッカーのサーバーに接続しようとするといった活動です。また、受信したメール内のURLを不審なものと特定することも可能です。これは単なる学術的な研究ではありません。これらのAIベースのプログラムの一部は、既にこの金融大手で実運用されています。
基本的な目的は、例えばスピアフィッシングメールに仕掛けられた添付ファイルを開いた際に従業員が誤ってワークステーションにインストールしてしまう可能性のあるマルウェアを検出し、無効化することです。また、従業員のコンピュータにマルウェアをインストールしようとするページへ誘導するウェブブラウザのリンクをブロックすることもできます。
ニューラルネットワークは分類器として機能するように訓練され、外部への接続が本物か偽物かを予測することができます。偽の接続とは、例えば、感染したPC上のスヌープウェアが外部へのアクセスを試みたり、ドライブバイダウンロードサイトへのリンクである可能性があります。これらの判断は、接続を開くために使用されたURLまたはドメイン名に基づいて行われます。具体的には、銀行のAIソフトウェアで使用されている長短期記憶ネットワーク(LSTM)は、特定のURLまたはドメイン名が本物か偽物かを予測できます。エンジニアたちは、非公開データセットと公開データセットを組み合わせて、LSTMの学習を行いました。
公開データセットには、Alexaがリストアップした上位100万ウェブサイトから抽出した実際のドメインリストが含まれていました。また、マルウェアでよく使用される30種類のドメイン生成アルゴリズム(DGA)を用いて、100万個の偽の悪意あるドメインを作成しました。URLデータについては、DMOZ Open Directory Projectデータセットから30万件の安全なURLと、Phishtankデータセットから267,418件のフィッシングURLを取得しました。研究者らは、トレーニング、検証、テストに使用したデータの割合を明らかにしていません。
ファイアウォールを遮断し、銀行員の PC から外部へのネットワーク トラフィックをすべて記録するだけで不正な接続を捕捉できると思うかもしれないが、明らかに JP Morgan は従業員が昼食時にEl Regのような新聞を読むことを気にしておらず、そのため継続的な接続を許可しながらネットワーク監視を改善するために機械学習を採用したようだ。
仕組み
まず、チェック対象となる特定のURLまたはドメイン名の文字列をベクトルに変換し、LSTMに入力として入力します。モデルは、そのURLまたはドメイン名が偽物である確率または数値を出力します。
AIを活用したITセキュリティはクールに見えるが、悪意のある人物がそれを利用しているのを目にするまでは
続きを読む
LSTMは、フィッシングURLの分類において0.9956(1が最適値)の性能を達成し、DGAドメインでは91%の精度、誤検知率は0.7%でした。AIは悪意のあるソフトウェアによく使用されるパターンや手法の発見に適しており、従来のURLおよびドメイン名フィルターよりも効果的である場合もあります。
良性と悪性を識別する際にモデルがどのような特徴を学習したのか、専門家に尋ねたが、彼らはコメントを拒否した。おそらく、単語の誤字や、文字や数字がランダムに混ざり合ったものなどだろう。
「ディープラーニングやグラフ分析などの高度な人工知能(AI)技術は、サイバーセキュリティアナリストによる手動の特徴エンジニアリングの時間とコストの削減や未知のパターンの発見において、より重要な役割を果たす」と研究者らは述べた。
今後は、畳み込みニューラルネットワークやリカレントニューラルネットワークといった他の種類のニューラルネットワークの実験を行い、マルウェアの拡散をさらに抑制したいと考えています。今後の展開にご注目ください。®
