メールの書き方のクセをAIでモデル化し比較するBEC対策(トレンドマイクロ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.09.17(火)

メールの書き方のクセをAIでモデル化し比較するBEC対策(トレンドマイクロ)

トレンドマイクロは、ビジネスメール詐欺対策の新技術「Writing Style DNA」の記者発表会を開催した。

製品・サービス・業界動向 新製品・新サービス
株式会社トレンドマイクロは1月29日、ビジネスメール詐欺対策の新技術「Writing Style DNA」の記者発表会を開催した。同社のビジネスマーケティング本部 エンタープライズソリューション部の部長である宮崎謙太郎氏は、ビジネスメール詐欺を「経営幹部・取引先などになりすまし金銭や特定の情報を騙し取るサイバー犯罪」と定義。日本でも多くの被害事例が明らかになっているとした。

・ビジネスメール詐欺の流れ

ビジネスメール詐欺は、「1:サイバー犯罪者による標的企業の情報収集」「2:サイバー犯罪者がなりすましメールで送金や情報送信を依頼」「3:騙された標的企業が送金や情報送信を行う」という流れが一般的で、情報収集を行わないケースもあるが、高度なケースは情報収集をしっかり実施している。その結果、サイバー犯罪者は数億円という桁違いの金銭を得ている。

同社の調査によると、ビジネスメール詐欺のメールを受信した経験のある企業は39.4%に上っている。また、その内容は送金依頼(62.3%)だけでなく情報の送付依頼(51.5%)も多く、サイバー犯罪者の目的が金銭だけとは限らないことがわかる。また、ビジネスメール詐欺のメールには日本語のものも確認されており、今後さらに洗練される可能性もあるとした。

標的企業から情報を収集するための手口には、フィッシングとキーロガーが一般的であるという。フィッシングによりメールアカウントを窃取するか、標的の端末にキーロガーを感染させ認証情報や内部情報などを入手する。また、なりすましメールにも2種類あり、公開情報のみを元にした「安易ななりすましメール」と、メールアカウントを乗っ取り十分な事前調査を行い、社内情報や取引先情報をもとにした「高度ななりすましメール」に大別される。

・組織的な対策と技術的な対策が必要

こうしたビジネスメール詐欺への対策には、組織的な対策と技術的な対策が必要であると宮崎氏は言う。組織的な対策には、「送金処理に関する社内ポリシー、承認・処理プロセスの整備」「振込先変更手続きのプロセスの整備」「従業員に対する教育」があるとした。一方、技術的な対策は「情報収集フェーズ」と「なりすましメール送信フェーズ」に分けて考えるべきとした。

情報収集フェーズでは、フィッシングやキーロガーへの対策ということになり、メール・Webセキュリティや、不正プログラム、脆弱性攻撃への対策となる。なりすましメール送信フェーズはメールセキュリティとなる。これには送信者ドメイン認証(DMARCやDKIMなど)、送信者情報詐称や類似ドメインへの対応、ビジネスメール詐欺に使われる文言のチェックなどがあり、いずれもすり抜ける可能性があるので多層防御が重要であるとした。

・新技術「Writing Style DNA」

そこで同社では、なりすましメールを見破るための多層防御の要素として、「SNAP」および新技術「Writing Style DNA」を開発した。SNAPはSocial eNgineering Attack Protectionの略で、不審なヘッダや本文の特徴で判断するというもの。具体的には、ヘッダにおける模造されたFrom:のドメインや、手入力でSubjectに追加された「Re:」、ReplyがフリーメールやISPになっている点、あるいは本文が送金指示で緊急性を煽るものになっていることなどで判別を行う。ただし、SNAPもヘッダに不審な点がない場合にはすり抜ける可能性がある。

Writing Style DNAは、対象者のメールの書き方のクセをAIが学習し、受信したメールと比較することでなりすましメールを検知するというもの。あらかじめ、対象者が送信した約500~800通のメールをAIに学習させ、特徴を割り出してモデル化する。具体的には、大文字の使用頻度や文章の長さ、空白行の頻度、省略形の頻度など、約7,000の特徴を把握できるという。そして、対象者から受信したメールをモデル化し、異なる点が多い場合には、メールに警告文を追加する。

なりすましメールと判断された場合は、受信者への警告の表示のほか、管理者へのアラート、送信者への確認も行われる。ただし、Writing Style DNAにも判定に誤りが発生する可能性があるため、送信者ドメイン認証とSNAP、そしてWriting Style DNAを組み合わせた多層防御にすることで、ビジネスメール詐欺対策をより確実なものにできるとした。

Writing Style DNAは、クラウドアプリケーション向けセキュリティサービス「Trend Micro Cloud App Security」で2月15日から新機能として提供を開始する。なお、Microsoft Exchange Server向けメール脅威対策製品「InterScan for Microsoft Exchange」では、2月18日から「Writing Style DNA」を使用できる。Writing Style DNAの機能そのものは無償で提供される。「Trend Micro Cloud App Security」の利用料は、1ユーザ年額4,150円(税別)となる。
《吉澤 亨史( Kouji Yoshizawa )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×