不正ソフトをビッグデータ分析で検出、Microsoftのデジタル犯罪対策部門：Computer Weekly

米Microsoftは、ビッグデータ分析を犯罪防止と対策に活用して成果を挙げている。ビッグデータ分析の可能性と、同社の活動の実際を紹介する。

[Warwick Ashford，ITmedia]

　米Microsoftのデジタル犯罪対策部門（Digital Crimes Unit：DCU）の高度分析部長を務めるブライアン・ハード氏によると、サイバー犯罪対策においてビッグデータ分析が果たす役割が増えているという。

　同氏は、ワシントン州レドモンドのMicrosoft本社に設置されたDCUのサイバー犯罪対策センター（Cybercrime Center）でComputer Weeklyのインタビューに答えて次のように語った。「ビッグデータ分析は大規模な問題を診断して解決する方法だ」

Computer Weekly日本語版　5月7日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　2014年5月7日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。プレミアムコンテンツのダウンロードにはTechTargetジャパンへの会員登録（無料）が必要です。

Computer Weekly日本語版　5月7日号：PC産業にイノベーションは残っているか？ダウンロードページへ

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　サイバー犯罪対策センターは、サイバー犯罪に対するグローバルな取り組みを前進させ、パートナーと効率良く連携してオンライン犯罪に対応するための専門拠点として、2013年12月に開設された。

　「犯罪者は、ほとんどコストを掛けずに世界中で窃盗を働き、処罰を免れている。こうしたクラウド規模の犯罪に対処するには、クラウド規模のパートナーシップとシステムが必要だ」と同氏は話す。

ビッグデータ分析は共同責任

　サイバー犯罪対応を目的とした分析に使用するデータは、公共機関と民間のオープンなパートナーシップによって、透明性を確保することが重要だと同氏は強調する。

　「このような複雑な状況下でビッグデータが威力を発揮するのは、グローバル規模の犯罪の兆候を見つけ出せることだ。データの量が膨大なので、多くの場合、犯罪者は犯罪の兆候を隠し切れない。だが、犯罪者は驚くほど素早く手法を変え、活動拠点を移す。ビッグデータの量や速度に対処するには迅速な連携が不可欠だ」と同氏は指摘する。

　また、ビッグデータの価値を強調しながら、「ビッグデータ分析を共同で行うことは、サイバー犯罪対策を始める前提条件だ」と同氏は語る。だが、このビッグデータの価値は金融関連のビジネスではリスクと関連付けられることが多い。

ビッグデータでソフトウェアの窃盗を特定

　今までは実現不可能だったが、ビッグデータ分析によって可能になったことがある。例えば、犯罪者によるテスト活動を検出できるようになったことで、盗まれた製品の認証キーの収集者を特定することが可能になった。

　「ビッグデータの分析と視覚化によって、犯罪者が盗んだ膨大な数の製品認証キーをテストしていることを示す活動の急激な増加を検知できるようになった」と同氏は延べている。

　同氏によると、これはMicrosoftが使用している透過型プロセスの一例だという。認証キーを入力するとMicrosoftに連絡が入り、ソフトウェアを有効にするシリアル番号が提示される。

　「サイバー科学捜査と適切なビッグデータを使用することで、このパターンの特定が可能になった。また、ビッグデータの視覚化によって、活動の急増という形で特定の瞬間の本質が浮き彫りになる。このパターンは、通常であればノイズにかき消されてしまうが、この種の犯罪活動を発見するアルゴリズムに変換できると同氏は言う。

　Microsoftは、パートナーと連携してインフラのセキュリティを確保したり、将来の犯罪活動を未然に防いだりするために、このインテリジェンスを使用している。

膨大なデータから有用な情報を得る

　BI（ビジネスインテリジェンス）テクノロジーは、分析機能を利用できるまでに進化した。その結果、企業は、ついにビッグデータの中から小さいながらも価値のある有益な情報を発見できるようになった、と同氏は自身の見解を示している。

　「単なる静的な視覚化ではなく、より迅速に質問と回答を行う方法でデータと対話することで、膨大なデータから良い兆候と悪い兆候を見つけ出せる確率が高まっている。データがデータ自体について代弁する機会が増えるほど、データに含まれる有益な情報を得られる可能性は高まる」と同氏は言う。

　このような理由から、特定の目的に特化した分析ツールではなく、任意のビッグデータセットで有益な情報が得られる分析ツールを設計することが重要だと同氏は考えている。

犯罪活動の傾向をつかむ

　Microsoftが同社の高度なBIアーキテクチャを使用して分析できる、もう1つのビッグデータの重要な情報源は、乗っ取られたコンピュータから行われる数十億回のチェックイン呼び出しだ。

　通常、Microsoftは民事上の法的対抗手段を講じてボットネットのドメインを支配し、感染したコンピュータからコマンドやコントロールサーバによって行われる呼び出しをMicrosoftのサイバー犯罪対策センターのマルウェア研究所のサーバにリダイレクトしている。

　このデータの分析は、10億ドルにも上るグローバルな活動に関与している犯罪グループの活動傾向をつかむのに役立つ。

　「ビッグデータ分析は、世界中にある6億個もの合法的なWebサイトの中から違法な海賊版ソフトウェアのダウンロードサイトを見つけるといった、実用的で有用な情報を得ることを目的としている」と同氏は話す。

　Microsoftはビッグデータ分析を利用して、（多くの場合マルウェアが混入している）200万個の違法ソフトウェアを削除して、毎月100個以上のオンライン取引口座を閉鎖することに成功している。

　「犯罪者にとってWebサイトの構築はたやすい作業だが、不正利得が支払われる銀行口座にリンクした取引口座を開設するのは、Webサイトの構築とは比較にならないほど困難な作業だ。当社は、高度なリンク分析によって、海賊版ソフトウェアを扱う何百ものWebサイトが、わずか12個の取引口座にリンクされていることを突き止めた」と同氏は話す。

　Microsoftはこのような取引口座を閉鎖し、犯罪者がクレジットカードの支払いをオンラインで処理できないように妨害することで犯罪のコストを増加させている。

　「感染したコンピュータから集めたデータを分析し、インターネットサービスプロバイダーに対して顧客のコンピュータが感染していることを警告している。また、犯罪グループの活動拠点を特定して、次の動きの予測にも役立てている」と同氏は話す。