「Cylance」に検知回避の脆弱性 - 機械学習の弱点との指摘も

定義ファイルを用いず、機械学習により生成されたマルウェア検出エンジンを利用するBlackBerry Cylance製セキュリティ対策ソフト「Cylance PROTECT」において、容易に検知を回避できる脆弱性が明らかとなった。セキュリティ機関はパッチの適用と従来型対策の併用を呼びかけている。

豪Skylight Cyber​​が、同製品の機械学習アルゴリズムにおける特性を解析。悪意のあるファイルを細工することで、同製品による検出を回避できることを確認した。

具体的には、本来検出対象となるマルウェアに対し、特定の文字列を追加するだけで良いという。細工されたファイルは、過検知を避けるため「ホワイトリスト」として機能するモデルによって、良性とスコアリングされるため、同製品による検出を回避することが可能となっていた。

同社がオンラインより入手した384件のマルウェアサンプルを用いてテストしたところ、今回の手法で約83.5％のファイルが検知を回避できたとしている。

（Security NEXT - 2019/08/02 ） ツイート

PR

関連記事

「Apache Flink」にコードインジェクションの脆弱性 - 重要度「クリティカル」
「MongoDB」に深刻な脆弱性 - 早急な対応を強く推奨
WPS Office旧脆弱性、2020年以降の製品などにも影響
Ivanti、5月の月例アップデートを公開 - 「クリティカル」脆弱性も
「MS Edge」にセキュリティ更新 - 独自含む脆弱性76件を修正
米当局、「Exchange Server」ゼロデイ脆弱性に注意喚起
米当局、「Cisco SD-WAN」の脆弱性悪用で緊急対応を要請
「PHP」に複数の「クリティカル」脆弱性 - アップデートで解消
エレコム製ルーターなどに複数脆弱性 - 21モデルに影響
スマホ向け「Microsoft Authenticator」、トークン漏洩のおそれ