人工知能をすべてのスマートフォンに

カスペルスキー インターネット セキュリティ for Androidでは、何年も前から機械学習を使用しています。なぜ機械学習?機械学習の使用で達成できたことは?

Kasperskyでは、かなり前からモバイル向けセキュリティ製品でAIを使用しています。先日バルセロナで開催されたMobile World Congressにて、当社グローバル調査分析チーム(GReAT)のヴィクトール・チェビシェフ(Viktor Chebyshev)が、AIを使用する理由と、AIの使用によって成し遂げたことについて話しました。

モバイルマルウェアの進化の歴史

初めに背景情報として、Androidを狙った悪意あるアプリの進化について説明がありました。Android OSが登場したのは2007年、最初のAndroidスマートフォンである「HTC Dream」が発売されたのは2008年のことでした。2009年には、Androidを狙った最初のマルウェアが出現しています(英語記事)。

確かに、初めのうちマルウェアの数はあまり多くありませんでした。Kasperskyが2009年に検知した新たなAndroidマルウェアは、1か月に3件ほどでした。この程度なら、シェビチェフが一人で、シンプルなシグネチャーベースのウイルス対策エンジンだけを使って対応可能でした。

2009年、Kasperskyが検知したAndroidマルウェアの新規検体は1か月で平均3件

2009年、Kasperskyが検知したAndroidマルウェアの新規検体は1か月で平均3件

しかし、脅威の数は瞬く間に膨れ上がり、2010年には、当社が検知したAndroidマルウェアの新規検体数は1か月当たり2万件に跳ね上がります。まだシグネチャーベースのエンジンで対応可能でしたが、悪意あるファイルの分析にかかる時間ははるかに増えていました。

Androidが世の中に浸透するにつれ、Androidを狙う新規マルウェアの数も膨らんでいきます。2012年、マルウェア検体の検知数は1か月あたり平均467,515件、モバイル脅威を解析するアナリストチームの数も4つに増えていました。また、シグネチャーベースのエンジンを補うために、ヒューリスティック分析と統計学的手法も導入されました。しかし、これでも十分ではありませんでした。

モバイル脅威の進化の様子を示す顕著な例は、Fttkitというマルウェア(ドロッパー型トロイの木馬)です。このマルウェアの作成者はFttkitを「Androidアプリを保護する自動サービス」と呼んでいますが、実際は、仲間のマルウェア作成者がウイルス対策ソフトによる検知を避けるのを助ける動きをします。難読化によってセキュリティ製品を欺き、別のマルウェア(だいたいはバンキング型トロイの木馬)をインストールする、という仕組みです。Fttkitには、当社が認識しているだけでもユニーク数にして36万種を超えるバージョンが存在し、今でも増え続けています。

モバイルセキュリティ向けAI

それほどの数のマルウェア検体を手動で丹念に調べるには、チームのメンバーを延々と増員し続けなければなりません。さらに、かなりの時間がかかります(そうする間にも、ユーザーが新たなマルウェアに感染するかもしれません)。

そこで、時間と人員を大幅に節約可能な機械学習テクノロジーの出番です。しかし、そのようなテクノロジーは相当なリソースを消費するので、必要な作業をすべてユーザーのデバイス上で実行しようとすると、デバイスのパフォーマンスが落ち、バッテリー寿命が短くなる恐れがあります。影響を最小限に抑えるため、当社ではスマートフォン上では比較的リソース使用の少ない操作を行い、リソースの集中する作業に関してはデータをクラウドに送信するというハイブリッドな手法を採用しています。このようにして、新しい脅威に対する確かな保護と迅速な対応を実現しながらも、スマートフォンのパフォーマンスとバッテリー寿命への影響を最小限に抑えることが可能となっています。

カスペルスキー インターネット セキュリティ for Androidに機械学習を導入したことで達成できたこととして、チェビシェフは以下を挙げました。

  • 下の表は、検知数の多かったマルウェアの上位20のうち、上から3番目までを示したものです。表にある検知名「AndroidOS.GenericML」は、当社のAndroid向け製品の機械学習テクノロジーによる判定です。当社製品が検知するAndroidマルウェア全体の6.63%を占め、現在トップ3にランクインしています。
当社の機械学習テクノロジーによる判定。最も多いマルウェアのトップ3に名を連ねる

当社の機械学習テクノロジーによる判定。最も多いマルウェアのトップ3に名を連ねる

  • さらに注目すべきことに、当社のモバイル向け製品は、AIを使用することで、Androidに対する新たな脅威全体の約33%を検知しています。

こうした成果は、さまざまな要因が重なって実現しています。第1の要因は、2009年から維持してきた、モバイル脅威に関する莫大なデータベースが当社にあること。第2の要因は、当社のモバイル脅威の調査チームが、この分野について独自の専門知識を有していること。第3の要因は、当社では機械学習の専門家たちが、機械学習テクノロジーを効果的な形で製品へ組み込んでいること。これらが一つになることで、当社のモバイル向けセキュリティ製品は、保護とパフォーマンスの両面において、第三者機関によるテストで常にトップであり続けることができています。

ヒント