テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

多様な言語によるフィッシング攻撃を阻止する

Mariana Pereira, Director of Email Security Products | 2021年6月17日木曜日

Click here! Clique aqui! ここをクリック! Klikk here! !اینجا کلیک کنید naDev yIbej! Hic tange!

言葉は人を惑わせます。Eメールセキュリティの領域では、言葉により受信者にリンクをクリックさせたり取引を完了させたりできます。また、セキュリティツールを騙して、Eメールが正当なものであると思わせることもできます。

そのため、Antigena Emailは言語に依存せず、数学を用いて、組織内のすべてのEメールユーザーの「通常の状態」への理解を構築します。これにより、書式や言語にかかわらず、脅威を示す世界中のEメールを無力化することができます。

自然言語処理

侵害されたアカウントやなりすましEメールを捕捉する際に、人間による普通の対応と比較した、意図やトーンの違いをどのようにコンピューターに教えることができるでしょうか。

Eメールセキュリティにおいて最も一般的なアプローチの1つが、自然言語処理(NLP)です。NLPでは、自然言語(人間の言葉)を分析する方法についてコンピューターをどうプログラミングするかが焦点となります。一般的には、大量のデータに晒すことによって行います。

その結果、文書の内容を、言葉のニュアンスを含めて「理解」できるコンピューターができあがります。その後、このテクノロジーを用いて、文書内の情報を抽出するとともに、文書自体を分類整理することができます。

現代における制約

しかし、Eメールセキュリティ分野におけるNLPの利用は限定されています。これは、専門用語や口語、さらにはプログラミング当時にはなかった用語などについてもさらに教育をしない限り、理解を誤ってしまうためです。また、言語を追加するたびに、毎回ゼロからの学習が必要になります。NLPは、学習した言語に対してのみ機能するため、すべての小規模市場で機能するように教育するには採算が合いません。

したがって、米国に本社を置くEメールセキュリティベンダーの製品を採用した場合、そのベンダーは英語ベースのフィッシングの脅威を検知するために大半の時間を割いている可能性が高くなります。英語でのみやりとりしているなら問題ありませんが、そうではない場合も少なくありません。グローバル化された21世紀の世界では、言語に依存しないセキュリティテクノロジーのニーズはこれまでになく高まっています。

AIはどれでも同じではない: 教師なし機械学習

Antigena Emailは教師なし機械学習を使用しています。この技術は「オンザジョブ」で学習することができ、大量のデータセットを入力する必要がありません。NLPからの考察を追加情報として得ることはできますが、検知や理解はNLPに依存しません。

AIを使用する際には、オンザジョブで学習しているのか、ラベル付きデータセットで学習しているのか、AIの学習方法に対する理解が不可欠です。これは、なりすまし、フィッシング、サプライヤー偽装、その他あらゆる形式のメール攻撃によってユーザーをそそのかす試みを暴くために、Eメールに潜む意図を理解しようとする場合には特に重要です。

Darktrace Cyber AIは、Eメールの中の言語を理解するようにコンピューターを教育する代わりに、送受信されるEメールについての送信者、受信者、リンク、IPアドレス、添付アドレスの種類などのアクティビティを動的に評価します。次にAIは、これらすべてのオブジェクトの動きを利用して、すべてのやりとりにわたってすべてのユーザーの「生活パターン」を作成します。これには、ビジネスでの外部ユーザーとの頻繁なやりとりも含まれます。

数学的なアプローチを採ることで、Antigena Emailはやりとりに使用する専門用語や方言にかかわらず「通常の状態」を理解し、ノルウェー語からラテン語、ペルシャ語に至るまであらゆる言語を独自に解釈し、その結果フィッシング攻撃やアカウント乗っ取りを示すわずかな異常を識別します。

日本語のEmotetを捕捉する

昨年、Darktraceは、悪名高いバンキングマルウェアであるEmotet を利用した、高度なスパムウェア攻撃を発見しました。この攻撃はさまざまな業界を標的として、きわめて高度なフィッシングメールを使用していました。

日本のある食品企業で、Darktraceは7月の2日間に6件のフィッシングメールを検知しました。

57%
Thu Jul 30 2020, 19:31:57
From:藤沢 昭彦様 三菱食品(株) <[email protected]>
Recipient:<[email protected]>
請求書の件です。 0484111-2020_07_30
Email Tags
Suspicious Attachment
No Association
Spoofing Indicators
New Contact
Actions on Email
Convert Attachment
Unspoof

図1:EmotetによるEメール

上のメールでは、件名行とファイル名の両方に「請求書の件」と書かれ、その後に数字と日付が続いています。ここで攻撃者は明らかに、正当な業務メールを模倣しようと試み、有名な日本企業(三菱食品(株))と、一般的な日本語の氏名(藤沢 昭彦)を用いています。

Antigena Emailはこのメールの背後にある主な特徴を明らかにしました。真の送信者はGMO(安価なウェブメールサービスを提供する日本企業)のドメイン名を使用し、実は日本ではなくポルトガルに所在していました。

図2:Antigena Emailが勧誘の試みを検知

Antigena Emailのモデルは、Eメールが書かれている言語にかかわらず、トピックの異常性と、Eメールにおけるそそのかしの試みを認識し、85点という高い異常スコアを与えました。さらに、DarktraceのAIは、添付ファイルの拡張子とMIMEタイプも、このユーザーが通常Eメールでやりとりする場合と比較して異常であると判定しました。

ポルトガル語による脅威の発見

別のインスタンスでは、欧州にある企業に、悪意のある一連のEメールが送信されました。これらのEメールは、件名行のパーソナライズや悪意あるURLの隠蔽など、企業のセキュリティツールを回避するために複数の戦術を用いていました。

100%
Wed Jul 29 2020, 10:52:13
From:CaixaBank Informa <[email protected]>
Recipient:<[email protected]>
Avís de transferència
Email Tags
Suspicious Link
New Contact
Actions on Email
Lock Link
Move to Junk
Hold Message
Double Lock Link

図3:Antigena Emailの対話型ユーザーインターフェイス。件名には「送金通知」と書かれています。

このメールはCaixaBankドメインにつながっているように見えるリンクが含まれていました。しかし、Antigena Emailはこれを、受信者を誤解させる故意の試みと認識しました。実際に、リンク先はあるWordPressドメインで、このドメインはCyber AIによって、同社にとって100%稀であると識別されました。

さらに詳しく調べたところ、これらのEメールはベトナムから送信されたことがわかりました。この送信者は同社と過去にやりとりしたことがなく、Eメール内の孤立したリンクも、100%稀なドメインとしてマークされていました。Antigena Emailはこれらの悪意あるEメールを保留し、企業を被害から未然に保護しました。

世界共通の防衛

この2つの例は、教師なし機械学習アプローチのメリットを示しています。既存のデータに頼らず数百種類におよぶ指標を分析するAIセキュリティソリューションは、幅広い言語を利用するようになっているグローバルなフィッシング脅威に対して圧倒的な優位性があります。

Eメールベースの攻撃は、日増しに標的を絞り、説得力を高めています。高度な翻訳ツールを用いた、標的を絞ったソーシャルエンジニアリングとスピアフィッシングは、毎日のように企業に集中攻撃を浴びせています。

韓国の現地事務所を対象にしたフィッシング攻撃でも、アラビア語によるそそのかしの試みでも、あるいは『スタートレック』コンベンションから送信されたクリンゴン語(同シリーズに登場する架空の言語)の悪意あるメールでさえも、さらには無数の方言やトーンで行われるどんなメールのやりとりでも、Antigena Emailは世界中、そしてさらに広い範囲で、顧客の企業を保護します。

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.