Proofpoint Blog 第17回「脅威検知の振る舞い分析と AI / 機械学習 プルーフポイントの最新の検知エンジンの舞台裏に迫る」 | ScanNetSecurity
2022.12.10(土)

Proofpoint Blog 第17回「脅威検知の振る舞い分析と AI / 機械学習 プルーフポイントの最新の検知エンジンの舞台裏に迫る」

サイバーセキュリティのマーケティングでは、振る舞い分析や AI/MLといった用語が非常に頻繁に使われており、情報セキュリティの専門家は、特に気にも留めずに聞き流します。しかしこれらの用語は鵜呑みにしない方が良いかもしれません。

製品・サービス・業界動向 新製品・新サービス

 サイバーセキュリティのマーケティングでは、振る舞い分析や AI/ML (人工知能と機械学習) といった用語が非常に頻繁に使われており、情報セキュリティの専門家は、特に気にも留めずに聞き流します。そして実際のところ、これらの用語は鵜呑みにしない方が良いかもしれません。

 ある意味では、これらのモデルは目新しいものではありません。プルーフポイントは、悪意のあるメールや迷惑メールをブロックするために、これまでも AI/ML 技術を使用してきました。また、この分野は急速に進化しており、組織が自社を保護するための新機能やユースケースを使用可能にしています。そのため、行動分析や AI/ML をただ行うのではなく、十分に行うことが重要なのです。

●新しい Supernova ビヘイビアエンジンは Supernova を基盤として構築

図 1:プルーフポイントの新しい Supernova ビヘイビアエンジンによる分析では、用語、関係性、頻度、
コンテキストを利用し、AI/ML を用いてリアルタイムに異常を検知し、脅威を防止

 2022 年第 2 四半期には、Supernova ビヘイビアエンジンを世界中のメールセキュリティをご利用のお客様に、追加費用や追加設定不要でリリースしました。Supernova ビヘイビアエンジンは、標準から外れたメールパターンをより適切に検知し、ビジネスメール詐欺 (BEC) から認証情報のフィッシングなど、あらゆる種類の脅威の検知能力を向上させています。これは、2021 年に Advanced BEC Defense の一環として Supernova で行われた作業から構築され、そのエンジンからのシグナルと学習を取り入れています。

 Supernova ビヘイビアエンジンが悪意のあるメッセージかどうかを判断するために使用するシグナルの一部をご紹介します (エンジンの進化に伴い、シグナルを追加していく予定です)。

・不明の送信者、つまりこれまでに連絡を取ったことのない人
・めったに見られない言葉遣いや感情 (初めて金融取引について話し合うなど)
・一般的でない URL やサブドメイン
・通常とは異なる SaaS (Software-as-a-Service) テナント (サプライヤーアカウントの侵害の兆候であることが多い)
・異常な SMTP インフラ (これも同様に、アカウント侵害の可能性を示している)

 しかし、Supernova ビヘイビアエンジンに組み込まれているのは、検知機能だけではありません。めったにない送信者からのメッセージには、メール警告タグを使用して「Report Suspicious」(不審なメールを報告する) というタグを付け、貴重なコンテキストとともにユーザーに警告を発することもできます。ユーザーはその警告に基づいて、インシデントレスポンスチームや、自動化された不正使用メールボックスソリューションに、直接メッセージを報告できます。また、メッセージが不正判定された場合には、お客様は Proofpoint TAP (Targeted Attack Protection) ダッシュボードで直接行動インサイトを確認できるようになります。

 新しい Supernova ビヘイビアエンジンは、すでにトップレベルの有効性の向上を図りながら、お客様に低誤検知率を保証しています。また、AI/ML の利用に関して、特にベンダーのノイズが多いことから、透明性にもこだわっています。現在の誤検知率は 414 万件に 1 件で、これは業界トップレベルの値であり、今後も改善に向けた投資を続けていきます。そして、このデータサイエンスのアプローチは、プルーフポイントにとって新しいものではありません。

●プルーフポイントが持つ世界最大級のサイバーセキュリティデータセット

図 2:プルーフポイントでは、世界最大級のサイバーセキュリティ・データ セットを
保有する集中管理されたデータサイエンス チームを駆使して、モデルのトレーニングを行っている

 集中管理されたデータサイエンスチームは、20 年以上にわたり、高度な技術を利用して高度な脅威を検知および阻止してきました。このチームは、プルーフポイントの製品ライン全体を扱っており、公的機関や学術機関の専門家、サイバーセキュリティ分野の熟練した専門家などが参加しています。当社は、デューク大学、ワシントン州立大学、ハーベイ・マッド大学などの機関と提携し、最先端の技能や技術を保証しています。

 また、メール、クラウド、ネットワーク、ドメインなどの膨大なサイバーセキュリティデータセットにアクセスできる Proofpoint Nexus Threat Graph により、チームはより効果的にモデルを提供し、改善することができます。Fortune 100、Fortune 1000、および Global 2000 でナンバーワンの導入実績を持ち、20 万人以上の中堅・中小企業 (SMB) の顧客を展開していることは、より迅速にデータをモデルに投入し、より早く、より正確に脅威を検知できる証となっています。

 このようなモデルは、かなりの量のデータコーパスがなければ、脅威を特定するのに効果がなく、時には過剰な誤検知により逆効果になることさえあります。

●Supernova ビヘイビアエンジンにより Eメール脅威検知全体が増強

図 3:プルーフポイントが 2021 年に Advanced BEC Defense 機能の一部としてリリースした
Supernova は、現在、BEC の脅威を危険と判断するだけでなく、認証情報のフィッシング、
詐欺 (その多くは、前金詐欺やロマンス詐欺などのコモディティ「詐欺」)、
マルウェア、そして TOAD も効果的に停止させることができる

 どちらのエンジンの結果も驚くべきものでした。Supernova は、プルーフポイントが 2021 年にリリースした Advanced BEC Defense機能の一部として、主に BEC攻撃を危険と判断します。しかし、非常に多くのデータをエンジンに投入できた結果、エンジンは学習と適応を繰り返し、認証情報のフィッシングやマルウェア攻撃、さらにはスパムの脅威など、より多くのものを検知できるようになりました。

 同様に、Supernova ビヘイビアエンジンは、あらゆる種類の脅威をより適切に検知し、防止することができるようになるでしょう。第 1 四半期初めに、プルーフポイントがシャドーモードでエンジンをリリースしたところ、4 週間足らずで、請求書送付の脅威に対する検知の有効性が 6 倍も向上していることが判明しました。新しいエンジンを世界中のすべてのお客様が利用できるようになったことで、さまざまな高度な脅威をどのように学習し、それに対する検知能力を向上させるのか今から楽しみです。

●Supernova ビヘイビアエンジンが検知能力を向上させる例

 Supernova ビヘイビアエンジンのシグナルが検知能力をどのように向上させることができるのかを示す例をいくつかご紹介します。

例:類似の BEC脅威:検知の可能性が向上

 プルーフポイントは、毎月数百万件の BEC攻撃を効果的に阻止しています。しかし、常に検知のレベルを上げることを目指しています。この例では、既存の BEC 向け Supernova検知エンジンが、一見して見分けのつかないドメインと支払い用語を検知します。

図 4:プルーフポイントの Supernova ビヘイビアエンジンは、BEC 攻撃の検知機能を追加し、
二者の関係を動的に判断する

 新しい Supernovaビヘイビアエンジンは、受信者にとって未知の送信者であることを検知します。これにより、プルーフポイントが攻撃を配信前に検知し、危険と判断する可能性を高めます。このエンジンは、インバウンドメッセージとアウトバウンド メッセージの頻度、用語、コンテキストなどの入力を調べ、二者間の関係のステータスを時間の経過とともに動的に判断することで、高度なリレーションシップ マッピングを行います。

 仮に休眠状態の過去の送信者が不正アクセスされ、それを利用して新たな攻撃が開始されたとしても、Supernova ビヘイビアエンジンはその通信を異常とみなし、詳しく調べます。

例:URLベースのファイル共有型の脅威を利用して不正アクセスされたサプライヤー

図 5:Supernova ビヘイビアエンジンは、攻撃者がファイル共有サイトを利用して
被害者を騙そうとしている場合でも、不正アクセスされたサプライヤーをより適切に検知する

 たとえば、あるサプライヤーの Microsoft365 のアカウントが不正アクセスを受けたとしましょう。攻撃者はアカウントを乗っ取り、サプライヤーとの関係を詳しく調査した上で、詐欺を行うために類似の OneDrive SaaS テナントをセットアップします。

 攻撃者が送信するメールは、正規の一般的な送信者である SharePoint からのものであり、DMARC をパスしています。レピュテーションを見ると、このメールは正規のものと思われます。また、契約書という言葉遣いは、このサプライヤーとの過去の OneDrive のやり取りを考えると、珍しいものではありません。しかし、ここには Supernova ビヘイビアエンジンが感知するいくつかの情報が隠れています。

 Supernova ビヘイビアエンジンは、ファイル共有 URL のサブドメインが異なっていて、異常であることに気づき、ファイル共有 URL をサンドボックス化してコンテンツを検査します。つまり、プルーフポイントは、サプライヤー アカウントに不正アクセスし、一見して見分けのつかない類似ドメインや、ファイル共有テナントの新しいサブドメインを使用する攻撃者を、より適切に検知し、阻止することができるのです。

●AI/ML と行動分析:広範な検知アンサンブルの一部

 コンテンツ検査や行動分析に AI/ML を利用することで、検知の有効性を高めることができます。しかし、これらのエンジンは、単独では多くのノイズを発生させることが確認されています。そのため、これらは、プルーフポイントが 26 層の検知アンサンブルで使用しているエンジンのほんの一部に過ぎません。

図 6:プルーフポイントの検知アンサンブルには 26 以上の層が含まれており、
悪意のあるメッセージを危険と判断する可能性を高めると同時に、誤検知の発生を防いでいる

 Nexus Threat Graph のインテリジェンスと組み合わせた幅広い評価分類機能により、悪意あるメッセージやスパムメール全体の 80 % 以上がエンドユーザーに到達するのを阻止しています。お客様によっては、それが数千万通になることもあります。

 プルーフポイントでは、添付ファイルと URL のサンドボックスを構築し、ML モデルを使用して、潜在的なマルウェアや改ざんから残された悪意のある URL、HTML、ファイル、メモリを判断しています。

 Proofpoint Emerging Threat (ET) Intelligence フィードは、リスクの高い IP アドレスが最近になって悪意のあるアドレスとして出現した場合でも、迅速に特定することができます。当社のクラウド脅威データは、悪意のあるサードパーティ アプリケーションや不正アクセスされたアカウントを特定し、それらの脅威が発動するのを阻止することができます。また、脅威インテリジェンス チームは、データをすべてまとめて、年間 7,000 件以上のキャンペーンを抽出し、新たな脅威や高度な脅威を深く掘り下げて最新のトレンドを把握しています。

●メール簡易リスクアセスメントで技術を検証する

 最終的に、最も重要なのは、これらの技術がどれだけ組織のリスク軽減につながるかということです。貴社の現在のリスク状況を迅速に把握したいとお考えであれば、プルーフポイントのメール簡易リスク アセスメントをぜひご利用ください。以下のメリットがあります。

・リスク状況を把握して、お使いのメールセキュリティソリューションが見逃している脅威を発見する
・組織内で脅威の標的になっているのはだれかを可視化する
・進化する脅威に対抗するベストな選択肢としての、プルーフポイントの統合された保護機能について知る

 このリスクアセスメントは無料です。お申込み方法については、こちらのページをご覧ください

《日本プルーフポイント株式会社 MIKE BAILEY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×