先週、サンフランシスコでセキュリティのカンファレンス「RSA Conference (#RSAC2020)」が開催された。今年のテーマは「Human Element」で、技術が人々にどう役立つかのを見直そうというもの(下の写真)。技術進化が著しいが、セキュリティの目的は人間を攻撃から守ることにある。会場にはAIをセキュリティに応用したツールが数多く展示され、アルゴリズムが攻撃を防御する方向が鮮明になってきた。

出典: VentureClef

ビジネスEメール詐欺が急増

いま、米国を中心にビジネスEメール詐欺(Business Email Compromise、BEC)が急増している。ビジネスEメール詐欺とは、業務用メールを使って相手を欺き、お金を盗み取る詐欺行為を指す。サイバースペースだけでなく、実社会でも行われている詐欺行為で、誰でも攻撃者になれることから米国を中心に被害件数が急増している。

FBIレポート

アメリカ連邦捜査局(FBI)はインターネット上の詐欺行為を分析し、その結果を報告書「Internet Crime Report」として公開している。このレポートによると、2019年度の米国での被害件数は46万件で、被害総額は35億ドルとなっている(下のテーブル)。この中でビジネスEメール詐欺(BEC/EAC)の被害額がトップで、その金額は18億ドルと全体の半分を占めている(下のテーブル、最上段)。

2019年のインターネット犯罪動向

FBIレポートによると、ビジネスEメール詐欺は2013年ころから始まり、犯罪者は企業のCEOになりすまし、偽のEメールでお金を送金させる手口を取った(「CEO Fraud」と呼ばれる)。その後、詐欺の手口は広がり、社員や取引先になりすまし、偽のメールで送金を求めたり、ギフトカードを買わせる攻撃が広がった。2019年の特徴は給与振り込み詐欺で、社員になりすまし偽のメールで経理部から給与を指定口座に振り込ませる詐欺が広がった(「Payroll Fraud」と呼ばれる)。

出典: Federal Bureau of Investigation

給与振り込み詐欺の実例

ビジネスEメール詐欺では、まず、攻撃者がフィッシングなどの手法で社員の認証情報(IDとパスワード)を奪う。次に、攻撃者は社員になりすまし、偽のメールを社内や社外のターゲットに送り、犯罪者の口座にお金を送金させる。

出典: Symantec

給与振り込み詐欺のケースでは、会社の社員になりすまし、経理担当者に偽のメールを送り、指定口座に給与を振り込ませる(上の写真)。会社の社員になりすました攻撃者が、偽のメールを経理部門に送り、「給与振り込み先について、銀行口座を変更したので情報をアップデートしてほしい」と依頼。これにより、次回の給与は攻撃者が指定する銀行口座に振り込まれる。

Armorbloxというベンチャー企業

ビジネスEメール詐欺をAIで検知するソリューションの開発が進んでいる。その先頭を走るのはArmorbloxというベンチャー企業で、シリコンバレーに拠点を置きAIや自然言語解析をベースにしたEメールセキュリティ技術を開発している。業務用メールの内容をAIで解析して問題点を検知する手法を取り、Microsoft Office 365やGoogle G Suitなどをサポートしている。

AIがメールの内容を理解

ArmorbloxはAIがメールの内容を解析し、そこから攻撃の手口を検知する手法に特徴がある。AIが不正を検知すると警告メッセージを表示して注意を促す(下の写真)。具体的には、AIは「(メール発信者である)Jack Dorseyはこのアドレスからメールを発信しない」と警告。また、AIがメール本文を読み、そこには「カードを紛失したので別のカード情報を今晩までに送ってほしい」と書かれていることを理解し、AIは「今晩までという急な要請は不正の手口」と解析し、これは詐欺メールであると判定する。

出典: Armorblox

システム構成

Armorbloxは機械学習(Machine Learning)や深層学習(Deep Learning)の技法を使ってEメールを解析する。特に、自然言語解析(Natural Language Understanding)に特徴があり、メールに書かれていることを理解して、詐欺や問題点を検知する。この手法でビジネスEメール詐欺を検知するが、それ以外にも、機密情報の流出を検知する機能 (Data Loss Prevention)も備えている。

AIを教育するプロセス

Armorbloxのブース(下の写真、左側)でAIを教育する手法について説明を受けた。AIは基本教育ができており、企業はそれをそのまま使うことができる。一方、AIの検知精度を上げるため、企業は保有しているEメールのログを使ってAIを再教育する。これにより、AIは利用者の特性(名前や職務、上司関係、メールを書くスタイル)を理解し、アルゴリズムは検知精度を上げる。また、利用者がArmorbloxの判定結果を見て、それにコメントすることもできる。AIはこれらのフィードバックを学習し、更に判定精度を上げる。

出典: VentureClef

Armorbloxの特徴

市場にはビジネスEメール詐欺を検知するソフトウェアは数多く登場している。これらは、ルールベースでシステム管理者がマニュアルで特定の単語や規則を指定する。しかし、これらシステムの判定精度は高くなく、誤検知(False Positive)が多く、管理者が手作業でここから詐欺メールを選び出す作業が必要となる。これに対して、ArmorbloxはAIや自然言語解析が人間に代わりこのプロセスを実行する。

新型コロナウイルス

サンフランシスコ市は新型コロナウイルスの蔓延で非常事態宣言を発令した。展示会やイベントの中止が相次ぐ中、RSA Conferenceは予定通り開催された。会場やブースにはアルコール消毒液が置かれ (上の写真、右側)、厳戒体制での開催となった。米疾病予防管理センターは感染予防策としてSocial Distance(相手と1メートル以上離れる)とElbow Bump(握手の代わりに肘タッチ)を推奨するが、会場ではこれを励行する様子はなかった。こまめに手洗いしながらの面談となり危険を感じながらのカンファレンスとなった。