AIによるEメールセキュリティ:キーボードの前にいる人間を理解する
リンクをクリックさせる、フォームに入力させる、添付ファイルを開かせるなど、あらゆるメール攻撃の核心には、受信者を動かして行動させるという目標があります。組織が従業員を守るため最善を尽くすべく、メールゲートウェイを導入し、フィッシング攻撃の試みを識別できるようにトレーニングを行っているにもかかわらず、10件中9件のサイバー攻撃がEメールを起点としており、この攻撃ベクトルは相変わらず成功しています。
Eメール攻撃がこれほどまでに成功しているのは、被害者を理解しているからです。人間とは習慣にとらわれ、ミスをし、感情に動かされる生き物であることを知りつくしているのです。攻撃者は、長年の経験からメールに微調整を加え、よりもっともらしく、人を動かす内容のメールを作成できるようになりました。また自動化されたツールにより、犯罪者が新しいドメインを購入して大量のメールを送信する速度が上がり、規模が拡大されました。これにより、攻撃手法の「A/Bテスト」がますます容易になりました。つまり、成功率の低い手法を中断し、高い手法に投資するのです。
フィッシング攻撃は、大きく5つに分類できます。それぞれが異なる感情を突き動かし、反応を誘発する狙いがあります。
恐れ:「ご使用のデバイスからウイルスが検知されました。お使いのMcAfeeアカウントにログインしてください。」
好奇心:「新しいボイスメールが3件届いています。こちらをクリックしてください。」
気前のよさ:「新型コロナウイルス感染症(COVID-19)の影響により、お住まいの地域で多くの方が住居を失いました。何卒ご支援をお願いいたします。」
貪欲さ:「iPhoneプレゼントはあと23台です。今すぐご応募ください。」
不安: 「お住まいの地域で、コロナウイルスのクラスターが発生しました。詳しくはこちらをご覧ください。」
また、多様な働き方がますます進む今日のワークフォースは、自宅で孤立し、新しい情報に飢えているために、こうした手法の影響をさらに受けやすくなっている、という点も注目に値します。
テクノロジーの活用
従業員がEメール攻撃に相変わらず騙される中で、多くの組織は、プロバイダーが提供する組み込みのセキュリティツールでは現代の攻撃を防ぐのに十分ではないことを認識するようになりました。メールゲートウェイを追加すればスパムなどの簡単な攻撃は適切にキャッチできますが、高度な攻撃は阻止できません。特に、最新のマルウェア、新しいドメイン、高度な手法を活用した攻撃の前には無力です。しかも、こうした高度な攻撃はビジネスに最も大きな損害をもたらします。
この能力不足は従来型セキュリティツールの持つアプローチの本質的な脆弱さが原因です。これらのツールは受信メールを、「既知の悪」IP、ドメイン、ファイルハッシュのリストと照合します。送信者と受信者は単なるデータポイントとして扱われます。つまり、キーボードの前にいる人間の微妙な差異は無視されます。
こうしたメトリックを個別に見る手法ではコンテキスト全体を考慮することができません。そうしたコンテキストを得るには、いつもログインしている場所、連絡を取っている相手、文体、送受信する添付ファイルの種類など、メールのやりとりの背後にある人々を理解しなければなりません。この豊富で個人的なコンテキストこそが、一見無害なメールを間違いなく悪意のあるものだと明らかにするのです。他のデータによって危険が判明しない場合には特に重要です。
人間に対する誤解
従来型ツールの効果のなさに苛立った多くの組織では、従業員への包括的なトレーニングを通じて、従業員が悪意のあるメールに関わる可能性を最小限に抑えることが解決策であると考えています。実際に、企業では自社のテクノロジーの検知能力のなさを埋め合わせるために、従業員に対して悪意あるメールを発見するためのトレーニングを行いがちです。
人間を最終防衛線と考えることは危険です。しかも、このアプローチは、現代の洗練されたフェイクが正当なメールと区別がつかないという事実を見落としています。Eメールについて、テキスト、個人名、ドメイン、メールアドレス(信頼できる送信元が侵害されている場合もある)以上の情報を詳しく調べて初めて、本物とフェイクを判別できるのです。
近年の大規模なデータ流出事案により、攻撃者が企業のメールや流出済みパスワードにこれまで以上に広くアクセスできるようになり、サプライチェーン攻撃がますます一般的になっています。攻撃者が信頼されたアカウントや既存のメールスレッドを乗っ取った場合、従業員が文面の微妙な違いや、異なるタイプの添付ファイルに気が付くとどうして期待できるでしょうか。どれほど厳しいトレーニングプログラムを実施していても、どれほど従業員が警戒していても、もはや人間がそのようなごくわずかな兆候を見分けることは不可能な段階に来ています。そして、1回のクリックだけで攻撃は完了してしまうのです。
人間を理解する
Eメールセキュリティは、長い間、サイバーセキュリティの複雑なパズルの中で未解決のピースでした。従来型ツールと従業員へのトレーニングがどちらも失敗したことから、組織は根本的に異なるアプローチをとることを促されました。公共部門と民間部門を問わず世界中の何千社もの企業が、キーボードの前にいる人間を理解し、ビジネス全体のメールのやりとりについて、微妙な差異を区別して継続的に進化する理解を形成するAI(人工知能)を利用しています。
人間の行動、やりとりの相手、文体、および任意の2人以上の人の間に成立している典型的な会話の内容を学習することによって、AIは従業員の習慣を理解し始め、長い時間をかけて通常の行動パターンに関する包括的な像を構築します。最も重要な点として、AIは自己学習を行い、「通常」に対する理解を継続的に変更しているため、従業員の習慣が変わればAIによる理解も変わるということが挙げられます。
これにより、従業員または組織全体の「生活パターン」から外れる行動異常を検知できます。
Eメールセキュリティに対するこの根本的に新しいアプローチでは、システムは脅威のかすかな兆候を認識し、たとえ見たことのない脅威であっても、メールを阻止するか通過を許可するかについて正確な判断を下します。
Eメールゲートウェイの背後にあるこの自己学習テクノロジー は、きわめて高い捕捉率を誇ります。金融機関の上級職員のなりすましから、パンデミック下の従業員の不安につけこむ「フィアウェア」まで、他のツールが見逃した無数の悪意あるメールをキャッチしているのです。
攻撃者はイノベーションを続けており、自動化によってEメール脅威の新たな波が生まれています。セキュリティ部門のリーダーの88%は、攻撃型AIを使ったサイバー攻撃は不可避であると考えるようになっています。Eメールによる脅威の全体像は激しく変化しており、私たちは説得力を増した偽メールをさらに多く受信することが予想されます。今こそ、組織がメール保護にAIを導入して、この不測の事態に備えるための正念場です。
