Eメールセキュリティを再考(RE:Thinking)する

Eメールセキュリティというと、お馴染みのストーリーが思い浮かびます。攻撃者がリンクや添付ファイルに隠された悪意あるペイロードを送り付け、疑いを持たない受信者がそれをクリックし、うっかりマルウェアを自らのデバイスにダウンロードしてしまうというものです。しかし現実には、Eメール受信箱から標的の組織を狙うさまざまな脅威スペクトラムの中においてこの種の攻撃は氷山の一角にすぎません。
攻撃者たちはより狡猾な攻撃の形をますます選ぶようになっています。それらはテキストのみを含む「クリーンなメール」を送信し、受信者を騙して返信させ、機密情報を開示させる、あるいはオフラインの取引を行わせるというものです。これらの手法は、リンクや添付ファイルをブラックリストやシグネチャに照らしてチェックする方法に依存した従来のセキュリティツールを容易に通過することができます。さらに、これらは通常新しい「そっくりな」Eメールアドレスを登録することにより、受信者を欺くばかりでなく、ブラックリスト化されたドメインの識別に頼った従来型防御も回避します。
素早い対応
勧誘攻撃の試みは、Eメールとデジタルビジネス全体に渡るデジタルトラフィックの「正常」についての包括的な理解なくしては阻止できません。送信者、受信者、そして組織全体のより幅広いコンテキストであらゆるEメールを分析することにより、従来型セキュリティツールをすり抜ける一見無害なEメールも、既知のユーザーとの不審な類似性や、関連性の異常、またはEメールの内容と件名の異常までを含む幅広いメトリックの存在により数秒で検知できます。
Darktraceが最近検知したこの種の攻撃では、企業のCEOの名前で新たなGmailドメインが作成されていました。このアドレスから支払い課のメンバーにメールが送信され、CEOの振込先情報を更新することを求めていました。このEメールはCEOの通常のメールのスタイルをまねることに成功していたため、もしDarktraceのAIがこの組織のEメールの流れをビジネスの他の部分との関連性に基づいて分析していなければ、この攻撃は容易に成功していたかもしれません。

図1:「クリーンな」スプーフィングメールの例。DarktraceのユーザーインターフェイスではAntigenaがこのメールを「保留」する判断を行ったことが示されています。顧客情報保護のため名前とアドレスの部分は匿名化されています。
暗い見通し
サイバー犯罪者達は組織に侵入する、またはオフライン通信を確立するための攻撃において、ベンダー、パートナーや請負業者で構成されるサプライチェーンも活用するようになっています。攻撃者はサプライヤーのアカウントを乗っ取り、以前のメールのやりとりに返信することで目的を達成しようとします。2016年以来、認証情報の漏えいは260%増加しており、この脅威ベクトルは今後も拡大の一途をたどるでしょう。
Darktrace Antigena Email をトライアル利用中のある顧客において、この種のインスタンスが検知されています。攻撃者は信頼のおけるコンサルティング会社のアカウントを乗っ取ったのです。Darktraceは送信者がこの会社にとってよく知る相手であることを認識していました。実際、インシデントが発生した同じ日にも社内の多数のユーザーがこの相手と直接やり取りしていました。
ところが普段通りのメールのやりとりから2時間も経たないうちに、アカウントが乗っ取られ、フィッシングリンクを含むメールが39名のユーザーに送信されたのです。件名とリンクにはバリエーションがあり、よく準備をした攻撃者からの高度に的を絞ったEメールであることが推察されます。

図2:既に行われていたEメールのやりとりに対する攻撃者の返信。送信者間のこれまでのコミュニケーションのコンテキスト化と模倣を行おうとしています。
Darktraceはアカウント乗っ取りに関連した典型的な異常を多数特定しました。不審なIPアドレス、学習された「生活パターン」に基づいたリンクの不整合性、普段とは異なる受信者グループ、そして一部のメールにおいては、トピックの異常も識別しました。
前進思考
このインスタンスでは、攻撃者は時間を取って以前のやりとりの内容を読み、なりすまし攻撃のコンテキスト化を行いました。今後、送信者間の過去のコミュニケーションのパターンを学習するためにAIの導入が進み、現在よりもずっと信憑性の高そうなEメールが、マシンスピードで大規模に送信されるようになるでしょう。現代のマルウェアとして最も悪名の高いものの1つであるEmotetトロイは、プロトタイプAI攻撃の最も代表的な例です。Emotetの主要な送信メカニズムはEメールであり、多くの場合、偽の請求書を使用しています。
「前進思考」の攻撃者が攻撃の威力を高めるためAIを使うのはたやすいことでしょう。AIがあらゆるメールスレッドのコンテキストを分析し、言葉遣いを真似ることにより、こうしたEメール攻撃は特定の個人に合わせたものにすることができます。このことは、AIを使ったEmotetトロイは完全にカスタマイズされた、より本物らしいEメールを作成することができ、さらに、これらを大規模に送信できるということを意味するものであり、サイバー犯罪者達は作戦による利益を莫大なものにすることができるということです。
この可能性はEメールセキュリティに新たな章を開くものであり、これにはホリスティックな「免疫システム」プラットフォームが必須となります。Eメールゲートウェイや受信箱に限定される従来のセキュリティツールでは、こうした多種多様な巧妙な攻撃を阻止するには不十分です。AIを活用してEメールトラフィックおよびデジタルエステート全体の「正常」を学習することにより、Antigena EmailはEメールユーザーを従来型のフィッシング攻撃だけではなく、損害を及ぼそうとするあらゆる危険なEメールから保護することができます。