Tweet
Tweet

Slide 1

Slide 1 text

サイバー脅威の予測型防御における AIテクノロジーの活⽤ Vade Secure株式会社 関根 章弘

Slide 2

Slide 2 text

⾃⼰紹介 2 関根 章弘 • Vade Secure 株式会社 • Technical Account Director • メールベンダー側で主にISP/通信事業者のメール構築に関わってきました。

Slide 3

Slide 3 text

©2019– Vade Secure Vade Secure 概要 Predictive Email Defense • 設立:2009年にメールセキュリティソリューションベンダーとしてビジネスを開始 • 本社:フランスのリール市 • CEO: Georges Lotigier • 従業員:200名、2/3がエンジニアとサポートチーム • 成長率:YoY 50% • 日本市場:2017年に参入、国内にスレットセンターを設立 • サブスクリプションモデル:93%の更新率 • 企業文化:Engineering driven & Customer focused • 最新ニュース:2019年6月に€7,000万の融資契約を締結 →US/日本のグローバル体制の強化

Slide 4

Slide 4 text

攻撃⼿法の変化

Slide 5

Slide 5 text

©2019– Vade Secure - Key findings Gartner market guide May 2017 Advanced threats bypassing email security

Slide 6

Slide 6 text

Previous Threat 従来の攻撃⼿法 6 0 day Sandboxing サンドボックス IP Reputation, Fingerprinting レピュテーション、フィンガープリント Time 時間 # of attacks 攻撃数

Slide 7

Slide 7 text

Current Threat 新しい攻撃⼿法 7 0 hour 0 hour 0 hour 0 hour 0 hour Time 時間 # of attacks 攻撃数

Slide 8

Slide 8 text

8 メッセージ多型化⼿法

Slide 9

Slide 9 text

コンテンツのランダム化 9 • ランダムなテキスト、⾮表⽰テキ ストを埋め込む • ランダムに⽂字列をエンコード • HTMLの属性(IDs, Class, etc.)にランダムな値をセット • ホワイトスペースを挿⼊ • 類似の⾊を指定 メールの⾒た⽬を変えずに、コンテンツをユニークにする

Slide 10

Slide 10 text

コンテンツのランダム化 10 カラーコードが異なる類似の⾊指定

Slide 11

Slide 11 text

ダイナミックURLリダイレクト 11 1. 正規URLの短縮化: bit.ly/mylink1234 > https://login.microsoft.com 2. 悪意のあるURLの短縮化: https://hackedlegitimate.com.au/ch/share/verificationAttempt.php?sf 58gfd1s689sxd2sdf8angf264s...

Slide 12

Slide 12 text

Abuseサイトへの誘導 12 Abuseサイトへのリダイレクション (Walmartの事例): http://wmxemail.walmart.com/track?type=click&mailingid=94z_6-0-0-0- optcr_201707007&userid=-0225249577&extra=&&&http://ec2-54-212-231- 1.us-west- 2.compute.amazonaws.com/?NzM1NTk4NzM9NjcwNSY0OTQyNjc9MjUmMzQ9Y2xpY2 smMWo3emYzPTEmbGlkPTI1MjQ=

Slide 13

Slide 13 text

サブドメインを使ったドメインのランダム化 13 https://ddeabt.weebly.com/ https://u2inbox.weebly.com/ … 無料ホスティングサイトを利⽤してAbuseサイトを⼤量に作成:

Slide 14

Slide 14 text

イメージのみのコンテンツ 14 ίϯςϯπղੳΛճආ͢ΔͨΊʹ ը૾΁ͷϦϯΫͱͯ͠ૠೖ

Slide 15

Slide 15 text

予防型防御

Slide 16

Slide 16 text

予測型防御 – 技術と要素 16 ⼈⼯知能 機械学習 ヒューリスティック 予測型モデル 対抗技術検知 リアルタイムレピュテーション Webページスキャン ドメインスキャン 8 種のテクノロジー IPアドレス 送信者メールアドレス 添付ファイル ヘッダーの特徴 画像 電話番号 URL ハニーポットのメール フィードバックループのメール メールの要素 グローバルとローカルの解析を組み合わせ

Slide 17

Slide 17 text

予測型防御1 – 機械学習 17 機械学習では、定義された特徴を⽤いて学習を⾏い、 フィッシングサイト・マルウェア判定⽤のアルゴリズムを作成 1.予測モデルの作成 正規メール 悪意のあるメール 特徴データセットの作成 学習 予測モデルの作成

Slide 18

Slide 18 text

予測型防御1 – 機械学習 18 2.未知の脅威への予測判定 [0.1,1,0.4...] 特徴抽出 decision=good p(good)=0.997 新規メール 予測モデル適⽤ 予測判定 機械学習では、定義された特徴を⽤いて学習を⾏い、 フィッシングサイト・マルウェア判定⽤のアルゴリズムを作成

Slide 19

Slide 19 text

予測型防御2 – ⼈⼯知能 19 検出したメッセージの特徴から別の判断ロジックを作成することで、 形を変えた亜種も継続的に検知することが可能 AI IP URL Domain HDR (ヘッダーの特徴) Domain2

Slide 20

Slide 20 text

なぜAI/MLが必要︖ 20

Slide 21

Slide 21 text

コンピュータビジョン

Slide 22

Slide 22 text

コンピュータビジョンとは︖ 22 Source: Vade Secure, ”Phishers’ Favorites”

Slide 23

Slide 23 text

コンピュータビジョンとは︖ 23 Phishing Source: Vade Secure, ”Phishers’ Favorites”

Slide 24

Slide 24 text

コンピュータビジョンとは︖ 24 サイバー犯罪者は検知を逃れるために動的なフィッシング攻撃をしかける コードの観点から⾒ると多数の異なる要素が含まれていても、 ⼈間の⽬には同⼀のものに⾒えるように作られている 「レンダリング」された⾒た⽬から脅威を識別することで機械学習やヒューリス ティック分析を補完

Slide 25

Slide 25 text

コンピュータビジョンの役割 25 画像に含まれる企業やサービスのロゴを正しく認識する 効果 • フィッシング検知の向上 • SOCの⽀援、⾃動化 • 企業のブランド価値の保護

Slide 26

Slide 26 text

コンピュータビジョンのリアル 26 畳み込みニューラルネットワーク(CNN) • 形 • エッジ • テクスチャ … Source: Vade Secure, ”Phishers’ Favorites” Vade Secureの実装 画像の特徴を抽出

Slide 27

Slide 27 text

コンピュータビジョンのリアル 27 Source: Vade Secure, ”Phishers’ Favorites” VGG Microsoft Research ResNet Oxford 16 Layers 50 Layers 深層学習 +転移学習 Vade Secureの実装

Slide 28

Slide 28 text

転移学習パターン 28

Slide 29

Slide 29 text

転移学習パターン 29

Slide 30

Slide 30 text

転移学習パターン 30

Slide 31

Slide 31 text

レンダリング 31 「⾒た⽬」から脅威を識別するので「レンダリング」の差によって判断が変わる 攻撃者はターゲットを絞った攻撃を仕掛けてくるので、ターゲット毎に異なる デバイスとブラウザの組み合わせでページを調査して、モバイルデバイスにの みコンテンツを表⽰する攻撃を阻⽌ (例︓iPhone 上でのSafari、Android 上でのChrome など)

Slide 32

Slide 32 text

コンピュータビジョンのユースケース 32 Threat Method Phishing OCR Logo Detection Sextortion OCR QR Code Detection Scam by Image OCR Fake Social Network Notification OCR Logo Detection Unsolicited Commercial Email OCR Logo Detection

Slide 33

Slide 33 text

まとめ

Slide 34

Slide 34 text

まとめ 34 • 次々と形を変えながら⾏われる攻撃に対しては、検知してから対策を⽤ 意する既存の⽅法では効果がない • 攻撃者は様々な技術を駆使して既存の防御⽅法をすり抜ける • メッセージのコンテンツ(データ)でなく、コンテキスト(振る舞い)に着⽬ することで、形を変えた新しい攻撃に対しても効果的に防御できる • 機械学習、AIを導⼊することで危険なメッセージやフィッシングサイトの特 徴を抽出し、新たな攻撃⼿法に備えることが可能になる • フィッシングが⾼度になり⼈の⽬に⾒分けができなくなるほど、AIの活⽤が 有効になる

Slide 35

Slide 35 text

Thank you for your listening!