Upgrade to Pro — share decks privately, control downloads, hide ads and more …

B5_A.I. Technology and Predictive Defense

JPAAWG
November 14, 2019
92

B5_A.I. Technology and Predictive Defense

JPAAWG

November 14, 2019
Tweet

Transcript

  1. ⾃⼰紹介 2 関根 章弘 • Vade Secure 株式会社 • Technical

    Account Director • メールベンダー側で主にISP/通信事業者のメール構築に関わってきました。
  2. ©2019– Vade Secure Vade Secure 概要 Predictive Email Defense •

    設立:2009年にメールセキュリティソリューションベンダーとしてビジネスを開始 • 本社:フランスのリール市 • CEO: Georges Lotigier • 従業員:200名、2/3がエンジニアとサポートチーム • 成長率:YoY 50% • 日本市場:2017年に参入、国内にスレットセンターを設立 • サブスクリプションモデル:93%の更新率 • 企業文化:Engineering driven & Customer focused • 最新ニュース:2019年6月に€7,000万の融資契約を締結 →US/日本のグローバル体制の強化
  3. ©2019– Vade Secure - Key findings Gartner market guide May

    2017 Advanced threats bypassing email security
  4. Previous Threat 従来の攻撃⼿法 6 0 day Sandboxing サンドボックス IP Reputation,

    Fingerprinting レピュテーション、フィンガープリント Time 時間 # of attacks 攻撃数
  5. Current Threat 新しい攻撃⼿法 7 0 hour 0 hour 0 hour

    0 hour 0 hour Time 時間 # of attacks 攻撃数
  6. コンテンツのランダム化 9 • ランダムなテキスト、⾮表⽰テキ ストを埋め込む • ランダムに⽂字列をエンコード • HTMLの属性(IDs, Class,

    etc.)にランダムな値をセット • ホワイトスペースを挿⼊ • 類似の⾊を指定 メールの⾒た⽬を変えずに、コンテンツをユニークにする
  7. コンテンツのランダム化 10 カラーコードが異なる類似の⾊指定 <a onmouseDown="alert('Try it a couple of times')"><font

    color="#2188D7"> <a onmouseDown="alert('Try it a couple of times')"><font color=“#1F88D8">
  8. 予測型防御 – 技術と要素 16 ⼈⼯知能 機械学習 ヒューリスティック 予測型モデル 対抗技術検知 リアルタイムレピュテーション

    Webページスキャン ドメインスキャン 8 種のテクノロジー IPアドレス 送信者メールアドレス 添付ファイル ヘッダーの特徴 画像 電話番号 URL ハニーポットのメール フィードバックループのメール メールの要素 グローバルとローカルの解析を組み合わせ
  9. 予測型防御1 – 機械学習 18 2.未知の脅威への予測判定 [0.1,1,0.4...] 特徴抽出 decision=good p(good)=0.997 新規メール

    予測モデル適⽤ 予測判定 機械学習では、定義された特徴を⽤いて学習を⾏い、 フィッシングサイト・マルウェア判定⽤のアルゴリズムを作成
  10. コンピュータビジョンのリアル 26 畳み込みニューラルネットワーク(CNN) • 形 • エッジ • テクスチャ …

    Source: Vade Secure, ”Phishers’ Favorites” Vade Secureの実装 画像の特徴を抽出
  11. コンピュータビジョンのリアル 27 Source: Vade Secure, ”Phishers’ Favorites” VGG Microsoft Research

    ResNet Oxford 16 Layers 50 Layers 深層学習 +転移学習 Vade Secureの実装
  12. コンピュータビジョンのユースケース 32 Threat Method Phishing OCR Logo Detection Sextortion OCR

    QR Code Detection Scam by Image OCR Fake Social Network Notification OCR Logo Detection Unsolicited Commercial Email OCR Logo Detection
  13. まとめ 34 • 次々と形を変えながら⾏われる攻撃に対しては、検知してから対策を⽤ 意する既存の⽅法では効果がない • 攻撃者は様々な技術を駆使して既存の防御⽅法をすり抜ける • メッセージのコンテンツ(データ)でなく、コンテキスト(振る舞い)に着⽬ することで、形を変えた新しい攻撃に対しても効果的に防御できる

    • 機械学習、AIを導⼊することで危険なメッセージやフィッシングサイトの特 徴を抽出し、新たな攻撃⼿法に備えることが可能になる • フィッシングが⾼度になり⼈の⽬に⾒分けができなくなるほど、AIの活⽤が 有効になる