ゲートウェイをすり抜けたフィアウェア攻撃をAntigena Email がどのようにキャッチしたか

Dan Fein, Director of Email Security Products

E メール攻撃の背後にいるサイバー犯罪者達は人間の振る舞いや感情をよく研究しており、今話題になっている情報や最新ニュースなどをすばやく利用して特定の反応を引き起こそうとします。当然、新型コロナウイルス感染症 COVID-19 を利用してユーザーに E メールを開かせ、一見無害なリンクをクリックさせようとしていることは驚くに値しません。

最近の E メール攻撃の傾向は、CDC(米国疾病対策センター)を名乗る攻撃者が COVID-19 に関する緊急情報に見せかけたメールを送るというものです。これは Darktrace が「フィア(fear:恐怖)ウェア」と呼んでいる最近の攻撃の典型例です。フィアウェアとは集団の恐怖と切迫感を利用して、ユーザーに悪意ある添付ファイルやリンクをクリックさせるものです。この戦術は共通していますが、実際の攻撃にはそれぞれ独自の用語やコンテンツが含まれていました。これまで見られた E メールにはいくつかのパターンがありましたが、用語を新たに定義することで偽陽性を発生させることなく E メールを止められる具体的で簡単なルールを作成できるような、確実に予測可能なものはありませんでした。

たとえば、E メールの送信者から “CDC” を探そうとしても、新しい単語、たとえば “WHO” などが使われ始めれば簡単に失敗します。また、リンクと表示テキストの不一致も見られました。たとえば表示テキストは“https://cdc.gov/[random-path]” であっても、実際のリンクは全く異なる URL であるケースです。こうしたケースに対してパターン一致を探すことは偽陽性の発生につながり、せいぜい弱いインジケータとしての役割しか果たさないでしょう。

これらの E メールの大部分、特に初期のものは、Mimecast、Proofpoint、Microsoft の ATP など、ほとんどの顧客の既存の防御システムを通過し、エンドユーザーの受信箱に直接配信することが承認されていました。幸いなことに、これらの E メールは Darktrace が受信箱向けに開発した自動対処テクノロジーである Antigena Email により即座に特定され、処理されました。

ゲートウェイ:現在のアプローチ

ほとんどの組織では Mimecast や Proofpoint 等の Secure Email Gateway(SEG)を採用しています。これは E メール送信者と、受信者の E メールプロバイダの間にインラインで設置されます。SEGはほぼ単なるスパム検知エンジンになっています。スパムメールは大量発生すれば簡単に特定できるからです。SEG は「手の届く果実」(たとえば悪意あるものとして簡単に検知可能な E メール)を見つけることはできますが、攻撃がパーソナライズされたり、過去に見られた攻撃からほんのわずかでも変化すると検知および対応ができません。

図 1:SEG がインラインに設置される位置

SEG は通常「既知の悪」である IP、ドメイン、ファイルハッシュのリストを使って E メールの脅威レベルを判断しています。そのため新しい IP、ドメイン、ファイルを使用し、悪としてトリアージまたはレポートされたことのない新種の攻撃の阻止は本質的にできません。

ゲートウェイテクノロジーにおいて異常検知や機械学習などの高度な検知手法が使用される場合、これらは E メールが配信された後に実行されるものであり、また類似の E メールが大量にトリガすることが条件となります。ほとんどの場合、最終的にこれらの E メールの一つから要素を取り出し、単にブラックリストに登録するだけになります。

SEG がこれらの要因に基づいて判断できない場合、サンドボックスというテクニックが使われることがあります。これは E メールに含まれているリンクや添付ファイルをテストするための隔離された環境を作成する方法です。あるいは、基本的なレベルの異常検知テクニックを適用することもありますが、これらはE メール以外の文脈データが欠けているため不十分です。サンドボックス対策として、最も高度な脅威は、実行する前に一定の期間待機するアクティベーションタイムのような回避テクニックを使っています。これが使われると、サンドボックスを行っても無害なファイルが確認され、そのなかに潜んでいる休眠中の攻撃は認識されません。

図 2:このドメインは E メールが Darktrace により処理されるわずか 2 時間前に登録されました。

Darktrace の顧客環境で見られた COVID-19 メールの例では、さまざまなドメインが混在しておりパターン検知を回避しようとしていたように見えます。最初の E メールが来た時点で「既知の悪」ドメインリストにこれらのドメインを定義しておくことは不可能だったでしょう。E メールが受信されたのはドメインが登録されてからわずか 2 時間後だったのです。

図 3:他の防御システムはこれらの E メールをブロックすることに失敗しましたが、Antigena Email はこれらを即座に 100%異常とマークし、配信されないよう保留しました。

Antigena Email は他のすべての防御システムの後に配置されます。つまりこれらの防御システムが悪意ある E メールをブロックできなかった、または E メールを配信しても安全と判断した E メールだけを対象とします。上記の COVID-19 の事例では、最初の 5 通の E メールは MS ATP でスパム確信スコア 1 とマークされていました。つまり Microsoft は E メールをスキャンした結果クリーンであると判断したのです。そのため Microsoft は何のアクションもとりませんでした。

いたちごっこ

サイバー犯罪者は常に流動的で、セキュリティチームを出し抜き現在の防御システムをすり抜けるために素早く行動します。E メールを組織への最も簡単な侵入点と認識している彼らは、既存のツールの検知能力が不十分であることを逆手にとり、マシンを使って最小限の人手で調査、作成、送信を行う工場のようなシステムによりパーソナライズされた E メールを大量生産しています。

ドメインは安価、プロキシも安価であり、ファイルをわずかに変化させてフィンガープリントそのものを変更することは簡単です。これにより「既知の悪」リストも数秒で古いものになってしまいます。

Cyber AI :新しいアプローチ

E メールを単独で分析するのではなく、ビジネスの文脈と組織のすみずみまでの理解に基づいて扱う新しいアプローチが必要とされています。

免疫システムアプローチ

Darktrace のコアテクノロジーは AI を駆使してエンタープライズ内の異常な挙動パターンを検知することです。AI は人間の免疫システムの原理、すなわち「自己」に対する生得的な認識を確立し、この理解を使って脅威を示す異常な活動を検知する仕組みに従うことで、これを効果的に行うことができます。

エンタープライズ全体に渡って脅威を検知するため、AI はネットワークだけにとどまらない正常な行動パターンを理解します。これはビジネスの完全な理解という目標に向けたきわめて重要なポイントです。たとえば、SaaS アプリケーションと対応するネットワークイベント、あるいはクラウド内のイベントとビジネス内の他の場所のイベントなど、アクティビティの間には明確なつながりがあります。

人々がコンピュータ上で何をするかということと、彼らが送ったり受け取ったりする E メールの間にも明示的な関係が存在します。あるユーザーが Web サイトを訪問し、その直後同じドメインから E メールを受信することは、E メールに信ぴょう性を与えます。Web サイトを訪問し、メーリングリストに登録して数分後に E メールを受信することはよくあることです。対照的に、まったく新しい送信者から、組織内の誰も訪問したことのないサイトへのリンクが含まれた E メールが送られてきた場合、このリンクはおそらくよくないものであり、ユーザーの受信箱からこの E メールを削除すべきであろうという根拠になります。

エンタープライズ全体の文脈

Darktrace の Antigena Email はこのデータソース間の関係を受信箱にも拡大し、豊富なビジネス文脈を E メールの判断に活用し、独自の検知能力を提供します。

Antigena Email の設計は、ツールの配置場所からデータの理解および処理の仕方に至るまで、Eメールセキュリティに根本的な変化をもたらすものです。インラインに設置され E メールが最初に通過するときのみ処理して以降は関与しない SEG とは異なり、Antigena Email は受動的にデータを取り込みます。Antigena Email テクノロジーはドメインのフィンガープリントが登録される、サンドボックスが作成される、または話題となっている有名な攻撃と関連付けられるまで待つ必要はありません。

Antigena Email はインラインに配置されないという特徴を E メールの再評価に利用し、E メールを 1度のみならず数百万回でも処理し、配信の後々までもアクションを取ることが可能です。よく使われるリンクを含む一見無害な E メールであっても、エンタープライズ内で E メールに起因するイベントが発生したとき、たとえば信頼のおけるサイトに侵入が発生した場合などには、再評価の必要性が高まるかもしれません。Antigena Network はネットワーク上に発生した脅威を緩和するツールですが、Antigena Email はその原因である E メールに見つかったリンクと関連するリンクを含む E メールを無害化することができます。

図 4:Antigena Email は E メールツールとは離れて受動的に設置され、新しいデータに応じて絶えず再評価を行い更新されたアクションを発行します。

E メールが最初に到着すると、Antigena Email は生のメタデータを抽出し、マシンスピードで複数回処理しますが、その後も新しい証拠に応じて(多くの場合ビジネス内で見られたイベントに基づいて)数百万回再処理します。システムは現在見ているものを、社内全体の環境でこれまで正常と理解されたものと照らし合わせて確認します。たとえば、ドメインがエンベロープ情報または E メール本文に含まれるリンクから抽出されると、これをその企業のネットワーク上でのそのドメインの人気度と比較します。

図 5:上に示されたリンクはエンタープライズに対して 100%の未知度と判定されました。

COVID-19 についてのリンクを含む前述の E メールを吟味すると、Antigena Email ユーザーインターフェイスに表示されるいくつかのデータから、Darktrace がなぜこの E メールを異常であると考えたのかがわかります。まず、‘From’アドレスのドメインが未知です。これは E メールだけではなく、ネットワークデータも含めた顧客のデジタル環境全体のデータから得られた追加的文脈情報です。この E メールの KCE、KCD、および RCE はこの送信者があらゆる E メールの中で最初に出現したことを示しています。つまりこの送信者とはこれまで何のやりとりもなく、この E メールアドレスはいずれの E メールの本文にも出現したことはありません。

図 6:KCE、KCD、および RCE スコアは送信者がこの組織と関係したことはないことを示しています。

上記の情報を相関づけた結果、Antigena Email はこれらの E メールがビジネスにとって 100%異常であると見なし、受信者の受信箱から即座にこれらを削除しました。Antigena Email はこれを最初の E メールに対して行い、さらに COVID-19 についてのEメールだけではなく、それ以降のすべての E メールに対して行いました。

まとめ

Cyber AI は「良い」、「悪い」を区別するのではなく、イベントがその環境にとって当然のものかどうかの可能性を識別します。このテクノロジーはデータをひとえに学習した環境内のアクティビティのパターンと比較し、新しい E メールを(自ら評価したスコアとともに)組織の日常の文脈の理解に組み込みます。

「この E メールは自然か?」あるいは「送信者と受信者にこれまで関係があるか?」といった問いにより、AI は受信した E メールの脅威度を見分け、その結果を以後のモデルに組み込みます。このモデルは、単にその企業が特定の送信者から多くの E メールを受信しているからといって、それらの E メールが環境にとって正常だと見なすようにはなりません。Cyber AI は E メールまたはドメインとの人間のやり取りを比較検討して数学モデリングへの再組み込みを判断することによりそのような仮定を行わず、社内からこの送信者へ正当な連絡が行われていない限り正常とは見なしません。

受信箱はこれまで、組織への最も簡単な侵入口でした。しかし、Cyber AI がもたらす根本的なアプローチの違いにより、Antigena Email はゲートウェイツールと比較してはるかに優れた検知能力を実現しています。そのため、E メールゲートウェイを設置している顧客も設置していない顧客も、Antigena Email により E メール由来の問題が著しく低減されたことを確認しています。敵との終わりのないいたちごっこが続くなかで、Cyber AI で防御態勢を補強したセキュリティチームはついに優勢を取り戻しているのです。

Dan Fein

Based in New York, Dan is the Director of Email Security Products. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.