B5_A.I. Technology and Predictive Defense

Transcript

1. サイバー脅威の予測型防御における AIテクノロジーの活⽤ Vade Secure株式会社 関根 章弘

2. ⾃⼰紹介 2 関根 章弘 • Vade Secure 株式会社 • Technical

   Account Director • メールベンダー側で主にISP/通信事業者のメール構築に関わってきました。

3. ©2019– Vade Secure Vade Secure 概要 Predictive Email Defense •

   設立：2009年にメールセキュリティソリューションベンダーとしてビジネスを開始 • 本社：フランスのリール市 • CEO: Georges Lotigier • 従業員：200名、2/3がエンジニアとサポートチーム • 成長率：YoY 50％ • 日本市場：2017年に参入、国内にスレットセンターを設立 • サブスクリプションモデル：93%の更新率 • 企業文化：Engineering driven & Customer focused • 最新ニュース：2019年6月に€7,000万の融資契約を締結 →US/日本のグローバル体制の強化

4. 攻撃⼿法の変化

5. ©2019– Vade Secure - Key findings Gartner market guide May

   2017 Advanced threats bypassing email security

6. Previous Threat 従来の攻撃⼿法 6 0 day Sandboxing サンドボックス IP Reputation,

   Fingerprinting レピュテーション、フィンガープリント Time 時間 # of attacks 攻撃数

7. Current Threat 新しい攻撃⼿法 7 0 hour 0 hour 0 hour

   0 hour 0 hour Time 時間 # of attacks 攻撃数

8. 8 メッセージ多型化⼿法

9. コンテンツのランダム化 9 • ランダムなテキスト、⾮表⽰テキ ストを埋め込む • ランダムに⽂字列をエンコード • HTMLの属性(IDs, Class,

   etc.)にランダムな値をセット • ホワイトスペースを挿⼊ • 類似の⾊を指定 メールの⾒た⽬を変えずに、コンテンツをユニークにする

10. コンテンツのランダム化 10 カラーコードが異なる類似の⾊指定 <a onmouseDown="alert('Try it a couple of times')"><font

    color="#2188D7"> <a onmouseDown="alert('Try it a couple of times')"><font color=“#1F88D8">

11. ダイナミックURLリダイレクト 11 1. 正規URLの短縮化: bit.ly/mylink1234 > https://login.microsoft.com 2. 悪意のあるURLの短縮化: https://hackedlegitimate.com.au/ch/share/verificationAttempt.php?sf

    58gfd1s689sxd2sdf8angf264s...

12. Abuseサイトへの誘導 12 Abuseサイトへのリダイレクション (Walmartの事例): http://wmxemail.walmart.com/track?type=click&mailingid=94z_6-0-0-0- optcr_201707007&userid=-0225249577&extra=&&&http://ec2-54-212-231- 1.us-west- 2.compute.amazonaws.com/?NzM1NTk4NzM9NjcwNSY0OTQyNjc9MjUmMzQ9Y2xpY2 smMWo3emYzPTEmbGlkPTI1MjQ=

13. サブドメインを使ったドメインのランダム化 13 https://ddeabt.weebly.com/ https://u2inbox.weebly.com/ … 無料ホスティングサイトを利⽤してAbuseサイトを⼤量に作成:

14. イメージのみのコンテンツ 14 ίϯςϯπղੳΛճආ͢ΔͨΊʹ ը૾΁ͷϦϯΫͱͯ͠ૠೖ

15. 予防型防御

16. 予測型防御 – 技術と要素 16 ⼈⼯知能 機械学習 ヒューリスティック 予測型モデル 対抗技術検知 リアルタイムレピュテーション

    Webページスキャン ドメインスキャン 8 種のテクノロジー IPアドレス 送信者メールアドレス 添付ファイル ヘッダーの特徴 画像 電話番号 URL ハニーポットのメール フィードバックループのメール メールの要素 グローバルとローカルの解析を組み合わせ

17. 予測型防御1 – 機械学習 17 機械学習では、定義された特徴を⽤いて学習を⾏い、 フィッシングサイト・マルウェア判定⽤のアルゴリズムを作成 1.予測モデルの作成 正規メール 悪意のあるメール 特徴データセットの作成

    学習 予測モデルの作成

18. 予測型防御1 – 機械学習 18 2.未知の脅威への予測判定 [0.1,1,0.4...] 特徴抽出 decision=good p(good)=0.997 新規メール

    予測モデル適⽤ 予測判定 機械学習では、定義された特徴を⽤いて学習を⾏い、 フィッシングサイト・マルウェア判定⽤のアルゴリズムを作成

19. 予測型防御2 – ⼈⼯知能 19 検出したメッセージの特徴から別の判断ロジックを作成することで、 形を変えた亜種も継続的に検知することが可能 AI IP URL Domain

    HDR (ヘッダーの特徴) Domain2

20. なぜAI/MLが必要︖ 20

21. コンピュータビジョン

22. コンピュータビジョンとは︖ 22 Source: Vade Secure, ”Phishers’ Favorites”

23. コンピュータビジョンとは︖ 23 Phishing Source: Vade Secure, ”Phishers’ Favorites”

24. コンピュータビジョンとは︖ 24 サイバー犯罪者は検知を逃れるために動的なフィッシング攻撃をしかける コードの観点から⾒ると多数の異なる要素が含まれていても、 ⼈間の⽬には同⼀のものに⾒えるように作られている 「レンダリング」された⾒た⽬から脅威を識別することで機械学習やヒューリス ティック分析を補完

25. コンピュータビジョンの役割 25 画像に含まれる企業やサービスのロゴを正しく認識する 効果 • フィッシング検知の向上 • SOCの⽀援、⾃動化 • 企業のブランド価値の保護

26. コンピュータビジョンのリアル 26 畳み込みニューラルネットワーク(CNN) • 形 • エッジ • テクスチャ …

    Source: Vade Secure, ”Phishers’ Favorites” Vade Secureの実装 画像の特徴を抽出

27. コンピュータビジョンのリアル 27 Source: Vade Secure, ”Phishers’ Favorites” VGG Microsoft Research

    ResNet Oxford 16 Layers 50 Layers 深層学習 +転移学習 Vade Secureの実装

28. 転移学習パターン 28

29. 転移学習パターン 29

30. 転移学習パターン 30

31. レンダリング 31 「⾒た⽬」から脅威を識別するので「レンダリング」の差によって判断が変わる 攻撃者はターゲットを絞った攻撃を仕掛けてくるので、ターゲット毎に異なる デバイスとブラウザの組み合わせでページを調査して、モバイルデバイスにの みコンテンツを表⽰する攻撃を阻⽌ （例︓iPhone 上でのSafari、Android 上でのChrome など）

32. コンピュータビジョンのユースケース 32 Threat Method Phishing OCR Logo Detection Sextortion OCR

    QR Code Detection Scam by Image OCR Fake Social Network Notification OCR Logo Detection Unsolicited Commercial Email OCR Logo Detection

33. まとめ

34. まとめ 34 • 次々と形を変えながら⾏われる攻撃に対しては、検知してから対策を⽤ 意する既存の⽅法では効果がない • 攻撃者は様々な技術を駆使して既存の防御⽅法をすり抜ける • メッセージのコンテンツ（データ）でなく、コンテキスト（振る舞い）に着⽬ することで、形を変えた新しい攻撃に対しても効果的に防御できる

    • 機械学習、AIを導⼊することで危険なメッセージやフィッシングサイトの特 徴を抽出し、新たな攻撃⼿法に備えることが可能になる • フィッシングが⾼度になり⼈の⽬に⾒分けができなくなるほど、AIの活⽤が 有効になる

35. Thank you for your listening!