Microsoft Research is dedicated to conducting both basic and applied research in computer science and software engineering. |
Microsoft Researchの研究者がZozzleと呼ばれるマルウェア検出技術を報告している。ここのところ、JavaScriptを使ったマルウェアによる攻撃が増えている。こうしたマルウェアを検出するための方法はいくつも提案されているが、ブラウザ本体にそうした対策を導入することはあまり進んでいない。大きな原因は、それらの処理が重くパフォーマンスを犠牲にするものだからだと説明がある。
Zozzleは軽量に動作するJavaScriptマルウェア検出技術。JavaScriptのコードからアブストラクトシンタックスツリーを構築し、それをベイズ識別をベースとした方法で分類。この方法を使うとJavaScriptベースマルウェアでよく使われるヒープスプレーを実施しているコードを高い確率で検出できるという。説明によれば失敗は1%に満たないうえ、1つのJavaScriptファイルあたり2から5ms程度で判定を実施できるという。
ベイズ識別をベースにした方法を採用しているため、高い検出を実現するにはそれなりのトレーニングが必要になる。しかし、2から5msという短時間に処理が完了する点はかなりリーズナブルに見える。JavaScriptベースのマルウェアは深刻な問題になりつつあり、この取り組みは興味深い。