Special
» 2021年03月11日 10時00分 公開

サイバー攻撃対策の意外な盲点 AIで送信メールの異常を即検知する「matriXinsight」の強み

[PR/ITmedia]
PR

 企業を狙うサイバー攻撃の入り口はメールにある――と理解している方も多いだろう。しかしそれは少々正確ではない表現だ。メールは脅威の入り口だけでなく“出口”でもある。

 マルウェアや攻撃者が侵入しないように、入り口を守るツールは既にたくさんあるだろう。しかし、知らないうちにウイルスが付いたメールを自動送信してしまうマルウェアや、宛先の設定ミスによる情報漏えい、 社内の人間による情報の持ち出しなど、メールを起点とする攻撃やインシデントも数多くある。

 そんなメールの出口対策をどうするか。情報セキュリティ対策を手掛けるアイマトリックスが提供する「matriXinsight」(マトリックスインサイト)は、ひと言で表現すれば“送信メールモニタリングシステム”だ。

 今回は同社のリサーチャー・岡 響氏、代表取締役CEOの小島美津夫氏に、メール起因のサイバー攻撃のトレンドや、メールの送信側に着目する意図と今後の展望を聞いた。 そこには、作り手側の強い意志が込められていた。

photo 写真左から、小島美津夫氏(代表取締役CEO)、岡 響氏(リサーチャー)、中橋彬氏(リサーチャー)

サイバー攻撃者は人間の脆弱(ぜいじゃく)性を狙う

―― メール起因のサイバー攻撃は近年、どのようなものが流行しているのでしょうか。

アイマトリックス 今までのスパムメールは「懸賞に当たった」「マルウェアに感染した」といったメールを数万件単位で無差別に送りつけ、そのうち1人でも引っ掛かればいいという“ばらまき型”でした。一方、今注目を集めているのは特定のターゲットを的確に狙撃する手法です。

 例えば、2019年に世界中で流行したマルウェア「Emotet」では、メールボックスを盗み、社員になりすまして文脈に沿った偽のメールを返信するという高度な挙動をとります。

―― ばらまき型のメールは日本語が怪しかったり、覚えのないメールが急に送られて来たりするため、気付けることも多いですが、知り合いになりすまされると気付けないことも多そうですね。

アイマトリックス 攻撃者は、既存のやりとりの流れの中に割り込むので文脈も正確に捉えており、例えば『あのときの請求書なのですが、最新のものを送ります』と返信してきます。具体的な事実を織り込むことで、違和感を薄れさせ、確実に攻撃を成功させる下地を作ります。初手でマルウェアやフィッシングURLを送り込むことよりも、関係性を構築することに主眼をおいた手法で、まさに、人間の脆弱性を突いてくる攻撃です。

 21年1月にはEmotetの攻撃用サーバが制圧されたという喜ばしいニュースが入ってきました。しかし、類似の手法は今後登場する新たな攻撃でも必ず活用されるでしょう。単なる“Emotet対策”では、次なる攻撃が来たときにまた同じように模索しなければなりません。今後新たな対策として必要なのは、メールの受け手側の対応、誤った返信や情報漏えいを引き起こす危険な動作を未然に防ぐことです。

働き方改革と新型コロナウイルス対策でさらにメールは重要なものに

―― メール対策ができていないと、どんな問題が起こるのでしょうか。

アイマトリックス 情報流出に着目すると、その原因は高度なハッキングばかりではなく、メールの誤送信や内部犯行によるものも多くあります。そこに、働き方改革や新型コロナウイルス対策、そしてデジタルトランスフォーメーション(DX)の波がやってきました。紙資料はこれまで以上にデジタル化が進み、オフィス文書をはじめとするファイルの存在がビジネスの中心になっています。重要な文書やメッセージをメールでやりとりすることも日常茶飯事です。

 メールに関するトラブルは、3つに分けられます。一つ目は悪意があり、相手をだましてデータを奪うという攻撃。二つ目は相手のうっかりミスを誘い出してデータを奪うようなフィッシング攻撃、三つ目はBCCとCCを間違えるようなうっかりミスや、悪意による情報漏えいです。

 これらに適切な対策が取れなかった場合、企業には大きな経済的損失が発生します。サービス停止や調査に掛かるコスト、何より信用やブランドが毀損(きそん)されることは、インターネットでビジネスを行う時代には致命的ともいえます。

重要なのは「出口対策」 メールの送信をモニタリングせよ

photo 岡 響氏

―― そのような被害を受けないために、具体的にはどのような対策が必要でしょうか。

アイマトリックス 重要なのは、メールの送信をリアルタイムにモニタリングすることです。これまで、メール対策といえば、スパムメールやマルウェアが添付されたメールが入ってこないようシャットアウトする、いわば入口対策でした。それに対して、送信メールに問題がないかを逐一モニタリングするのが、matriXinsightの基本概念です。

 matriXinsightの価格は規模や要件にもよりますが、今までのメールセキュリティ対策と同様なコストで運用を始められます。何らかの情報漏えいやトラブルが発生した際の膨大な対応コストを考えると、事前に対策を行うメリットは大きく、今後は導入が不可避となるでしょう。

―― 入り口対策だけだと何がまずいのでしょうか。

アイマトリックス 宝石店の警備に例えてみましょう。店に不審者が入らないように入り口を見張って守るのももちろん大切ですが、出口が“フリーパス”では宝石が持ち出し放題になってしまいますよね。

 DXが進み、社員一人が扱う情報の範囲が広がってきています。自社の重要な情報だけでなく、取引先や第三者の個人情報など、漏えいした場合の影響が致命的な情報が日々蓄積されています。何も対策しないままでは、うっかりミスか意図的かに関わらず、社員が重要な情報を全世界に漏えいするリスクがあります。今やマルウェアが企業内に侵入するのを100%止められるとは言いきれないうえ、転職など社員の流動性が高い時代ですから、これからは機密情報やマルウェアが外部に出ていくのを未然に防ぐ対策を考えるべきです。出て行きさえしなければ、一命を取り留めたともいえるはずです。

 入り口対策は必要最低限の対策です。それはあって当たり前として、メール送信対策も行ってから、初めて十分な対策を行ったといえるのではないでしょうか。

これは単なる誤送信対策にあらず

―― 出口対策の重要性は分かりました。しかし、これまでもメールの誤送信対策を行うツールは既にあります。それではダメなのでしょうか。

アイマトリックス 確かにこれまでも誤送信対策を目的とするものがありました。一般的には、送信時に上長の承認を得る、暗号化を行う、送信時に一時的に遅延させ取り消し可能とする、バックアップを取って後で確認できるようにする、といった機能があります。

 アイマトリックスの誤送信対策ソフト「matriXgate」は、これらの一般的な誤送信対策機能に加えて、マイナンバーやクレジットカード情報、住所氏名などの送信を検知するフィルタリング機能も実現。統合製品として利用されています。

photo

 しかし、既存の誤送信対策ツールはメールの送信の流れを管理するのが主な目的で、「内容のチェックはできるが人力のためインシデントが起きた後の調査(フォレンジック)にしか使えない」「リアルタイムにチェックできるが判定ルールの運用が煩雑で、設定ミスによるチェック漏れのリスクもある」など、送信メールの詳細なモニタリングや、先手を打った注意をするのは難しいです。

 一方、matriXinsightは、例えばEmotetなどの攻撃を受けた場合も、普段とは異なるメールが送信されれば、異常な挙動として認知します。社員がメールを悪用して情報を盗み出そうとしても、出口でリアルタイムに検知して止められるため、問題を未然に防ぐことが可能です。

―― 攻撃やインシデントは起きてからでは遅いですから、メールを送る前の確認が重要ですよね。matriXinsightではこれをどのように実現しているのでしょうか。

アイマトリックス matriXinsight最大の特徴は、AIによる異常検知にあります。そもそも、メールの異常は普段の振る舞いを理解していなければ判断ができません。同製品は、普段とは異なる特徴を持ったメールをAIが検出します。

 matriXinsightでは、送信されたメールを送信者の個人ID、部署、そしてメール本文の特徴を基に、AIが送信していいかリアルタイムに判断します。例えば、営業部の人間が送ろうとするメールに、普段は送らない添付ファイルが付いている、営業部の人が書かないような文言が入っている、過去に送ったことのない宛先が指定されている、その人らしくない文体になっている――などの普通でない動きを、リアルタイムかつ連続的に検知できるというものです。

 送信の時間帯や内容、経路が普段の行動から逸脱している場合も、ユーザーを最小単位として検知できます。これにより送信ミスだけでなく、社員の不正な情報送信やメールの乗っ取りを防げます。

 最近でも退職前に情報を私用PCに送信し、後に大きな問題につながる事件がありましたが、それらも宛先や時間、内容に何らかの特徴があり、matriXinsightで検知が可能です。

 あらかじめIDと組織をひも付けて、一定期間の学習を行えば、個人単位だけでなくグループ単位での類似判定も可能です。例えば営業の人の送信メールに異常があり、用語の使い方や文面がどうも経理部が出すメールと似ている、といったことも分かります。

photo 「matriXinsight」はAIを駆使し、普段の振る舞いから異常を検知する機能を持つ

―― AIを使っているということは、AIを扱えるエンジニアや、事前の学習作業が必要になるのでしょうか。

アイマトリックス 導入から運用準備を兼ねて2週間程度は学習期間が必要です。学習データは通常の業務で生じるメールで十分なので、特別に用意する必要はありません。データの収集や学習は自動化しているため、利用者が複雑な調整や管理をしなくても大丈夫です。

 もちろん、アイマトリックスが顧客のデータを許可なく利用したり、第三者に提供したりすることはありません。それはアイマトリックスが提供する安全の“トッププライオリティ”です。

AIが切り開く「セキュリティ+α」の世界

―― それだけ細かくメールをチェックできると、サイバー攻撃やインシデントの対策以外にも活用できそうですね。

アイマトリックス メールは企業の情報が蓄積された情報資産です。例えば、プロジェクトを進行する際に交わされるメールを、時間や目的、表現などの観点から解析することで、作業の状況やパフォーマンスを評価することも可能です。コミュニケーションの量と質に着目したモニタリングで、プロジェクト展開や参加社員の状態、パフォーマンスなどをリアルタイムに可視化できます。

 matriXinsightは、メール送信を止めるほどではないがインシデントにつながる可能性が高いメールも抽出できます。AIはメールを細分化して特徴を学習しているため、どの部分にインシデントの兆候が強く見られたかも分析できます。

 これらの機能を使って、送ってはいけないメールや、誤解を招く文章の例などを社員教育の教材として利用すれば、社員のセキュリティ意識向上やコンプライアンス教育につなげられます。

 実際に組織内部の対人関係が原因で起きる、パワハラ、セクハラなどのコンプライアンスの問題は、運用の信頼性や問題を報告した人の匿名性を保証するためにも、中間に人間が介在して注意するより、AIが介在して問題を予知し、答えを提案するほうがいいはずです。matriXinsightの表現解析、目的解析、関係解析機能を利用すれば、これらの問題に関連するメールをリアルタイムに検出できます。そういったエンジンも今後リリースする予定です。


 コロナ禍の影響でテレワークの導入が進む中、メールはWeb会議と並ぶコミュニケーションの中心ツールであり、外部との窓口としては最も大きく重要になっている。

 入り口でマルウェアなどの脅威を阻止するのは、これまでと同様に重要であり続けるが、近年のサイバー攻撃はそれを当然のように乗り越えてくる。巧妙化する手口によって、従来の対策だけでは対応しきれないこともあるだろう。

 だからこそ出口対策が必要だ。単純なメールの誤送信対策ではなく、内容をチェックしてリスクを排除することも求められるようになるだろう。人の手で実行するのは非現実的な作業だ。

 しかし、matriXinsightならそんな対策も実現できるようになる。全社を挙げてセキュリティ対策に取り組みたいと考えているなら、アイマトリックスに相談してみてはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:アイマトリックス株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2021年3月24日