未知の脅威に対応できるWindows 10の「Windows Defender Antivirus」

　米Microsoftは8日(現地時間)、Windows 10に標準搭載されているセキュリティの1つである「Windows Defender Antivirus」のホワイトペーパーを公開した。この資料で、これまで知られざるWindows Defender Antivirusの機能や特徴について明らかとなった。

　近年、サイバー犯罪はますます高度化しており、特定の企業やマシン“だけ”を狙った標的型マルウェア－－つまり1回だけ発見され、それ以降二度と目にすることのないマルウェア－－が96%を占める(2017年第1四半期の結果)という。

　これらの攻撃に対して、従来のようなパターンマッチングをさせるだけのアンチウイルスソフトではもはや無力に等しく、新たな対策が必要となる。そこでWindows Defender Antivirusでは、ビッグデータと機械学習を活用した防御方法を取り入れているという。

　ホワイトペーパーの中で、Microsoftはテキサス州でゼロデイ攻撃を使ったキーロガーを例に挙げている。キーロガーがダウンロードされ、実行されようとすると、まずクライアントの分析にかけられる。この分析ではマルウェアとして判断されなかったが、分析されたという情報がMicrosoftのクラウド防御システムに送られ、167種類のクラウドモデルを使って分析し、結果を435ms以内にクライアントに返す。

　その結果も決定的ではないため、クラウドはプログラムのサンプルのアップロードを要求し、10秒ほどの遅延を許容させる。プログラムがアップロードされると、ただちに深層ニューラルネットワークを使った機械学習でプログラムを分析。この場合、キーロガーだと判断したため、7秒以内にファイルの実行を止めるよう、クライアントに結果を返した。結果的に、この悪意のあるキーロガーの実行はブロックされたという。

　現在はほぼ全ての分析を機械学習によって完結しているため、Microsoftの研究者が分析するファイルは一握りで済むという。それらは誤認識されたものであったりとさまざまだが、問題のないプログラムの場合、それらを機械学習にフィードバックして、今後より良い分析ができるような改善に役立てているという。