未知の攻撃を防ぐには、攻撃者より先に
新しい攻撃手法を考えるしかない

 標的型サイバー攻撃への対策として、近年注目度が高まっているのがヒューリスティックと呼ばれる技術だ。ＦＦＲＩはいち早くこの分野に取り組んだ企業として知られている。

「ヒューリスティックは、ウイルスの振る舞いを見て『怪しい』と判定する技術です。たとえていえば、パターンマッチングは『この人が容疑者です』と広く知らしめる指名手配の写真のようなもの。これに対して、ヒューリスティックは住宅の塀を乗り越えるなどの人の動きを見て、『泥棒に違いない』と判断します」（鵜飼氏）

「振る舞い」を判定することで
未知のウイルスを検知・防御する

 ヒューリスティックには3つのメリットがあると、鵜飼氏はいう。

「第1に、既知のウイルスはもちろん、新種のウイルスに対応できること。怪しい動きや悪い行為をしたら即座に検知・防御することができます。第2に、パターンファイルのような頻繁なアップデートが不要。ヒューリスティックは端末への負荷の軽い技術です。第3に、開発側にもメリットがあります。毎日何万と生まれるウイルスを集め、パターンファイルを作成してユーザーに配信する手間がいらないからです」

 ただし、何をもって悪意の振る舞いと定義するかの判断基準は難しく、ウイルスの検知・防御を担うヒューリスティックエンジンの開発には、極めて高度な技術力が求められる。

「私たちが最も重視しているのは、攻撃者より先に攻撃手法を考案すること。まず、自分たちで新しい攻撃手法を見つけ、対策技術を開発する。未知の脅威が現れたときには、準備できている状態にするのです。そのための研究開発チームを社内で拡充してきました」と鵜飼氏は説明する。

 ＦＦＲＩが開発し、同社の主力製品「FFR yarai」に組み込んだヒューリスティックエンジンは5種類。それぞれのウイルスを多角的に解析することで、検知の確実性を高めることができる。

 同社ではこれまでの標的型サイバー攻撃に使われたウイルス検体を入手した上で、FFR yaraiを用いて防げるかどうかを試してきた。その結果は、「今後のことは分かりませんが、これまでのところは連戦連勝」（鵜飼氏）とのこと。例えば、日本年金機構への攻撃で利用された添付ファイル付きのメールの場合、もしFFR yaraiの当時のバージョンが導入されていれば、ユーザーがファイルをクリックすると警告が出され、ファイルを開くこともできなかったという。

 ＦＦＲＩは2007年に設立されたベンチャー企業で、2014年に東証マザーズへの上場を果たした。起業にいたった経緯について、鵜飼氏はこう話す。

「当社はＲ＆Ｄに特化したセキュリティベンダーです。セキュリティに限らず、ITの分野において日本にはＲ＆Ｄ特化型の企業は非常に少ない。そんな現状を変えたいという思いがありました。また、セキュリティに関しては、ときに日本で最初に顕在化する脅威もあります。欧米に本拠を構えるセキュリティベンダーは、市場規模が小さいことを理由に、日本における対応を後回しにしがち。そんな危機感もありました」

 とはいえ、サイバー攻撃の脅威は国境を越えて世界に広がっている。攻撃側もグローバルなら、防御を担うセキュリティベンダーの競争もグローバル。したがって、ＦＦＲＩのライバルは欧米系の企業ということになる。

「欧米のライバルを含めて、多くのセキュリティベンダーがヒューリスティックへと舵を切っています。私たちは早い時期に研究をスタートさせたこともあり、世界でも最先端を走っているとの自負があります」と鵜飼氏は語る。