AIを活用したメールセキュリティソリューションに求められる3つのポイント

2022.11.01

2022年10月21日、Fleming Shi

　ランサムウェアは世界中の組織に災いをもたらし続けています。当社が行った調査によると、2021年には攻撃数が64%増加し、そのターゲットは自治体および医療や教育、その他の業界に広く及んでいます。こうしたランサムウェア攻撃は日々の業務を停滞させ、混乱をまき散らし、ダウンタイムや身代金の支払い、復旧費用などの金銭的損失をもたらします。予算外の予期せぬ出費は、大規模な組織をも崩壊させる可能性があります。

　ランサムウェアには、国全体を倒壊させる力さえあります。コスタリカ政府は、2000万ドルの支払いを要求しているロシア系のランサムウェア集団Contiとの闘争に巻き込まれています。また、米イリノイ州にある157年の歴史を持つリンカーン・カレッジは、ランサムウェア攻撃で壊滅的な打撃を受け、今年初めに閉校を余儀なくされました。

　しかし、負けてばかりというわけではありません。以前にも増して破壊的かつ広範になっているランサムウェアに対して、機械学習（ML）と人工知能（AI）の進歩がより効果的な防御の鍵を握っているのです。

ランサムウェア対策はメールから

　ランサムウェアは、あらゆる脅威ベクトルを通じて配信されますが、ほとんどの攻撃は電子メールを通じて行われます。電子メールは顧客やパートナーなど、組織外のエンティティとの接続に最も一般的に使用される通信手段ですから、当然のことでしょう。しかもユーザーはたいてい、組織のセキュリティチェーンの最も弱い部分です。企業ネットワークへの最初のアクセスと制御を得たい脅威者にとって、電子メールがいかに魅力的なバックドアを提供するかは一目瞭然です。１人のユーザーが１回クリックするだけで、ネットワークを侵害し、破壊的なランサムウェアのペイロードを送り込むことができるのです。

　たしかに、Microsoft 365 や Gmail といったメールプラットフォームは幅広いセキュリティ機能を提供しています。しかし最近の攻撃から、こうしたメールゲートウェイソリューションのネイティブなセキュリティ機能には、悪意ある行為者にとって悪用しやすい脆弱性が多く存在することが明らかになっています。ブランド偽装、レガシー URL レピュテーション回避（LURE）、HTML 密輸、コード難読化などの高度な回避技術を使用し、攻撃者はセキュリティフィルターを騙して、悪意のあるリンクや侵害ファイルを正当なビジネスコミュニケーションであると思わせることができるのです。

　また、高度化だけでは足りないとばかりに、ランサムウェア・アズ・ア・サービス（Ransomware-as-a-Service）攻撃により、ランサムウェアのペイロードの開発がアウトソーシングされるようになりつつあります。これにより、クレジットカードとお金さえあれば、遠隔地にあるシステムにアクセスし、そのシステムを乗っ取ることができる悪質なコードをダークウェブで購入できるようになりました。それだけではありません。身代金の支払い額は指数関数的に増加し続け、組織の財務にますます破壊的な影響を及ぼしています。前述の当社の調査によると、１件あたりの身代金要求額の平均は現在 1000 万ドル以上、2021 年の要求額の30％は、3000 万ドル以上となっています。

AI / MLは魅力的なソリューションを提供

　多くのセキュリティツールは、被害が発生した後にランサムウェア攻撃を一掃するのに役立ちます。ただ、ランサムウェア攻撃による財務リスクとレピュテーションリスクを考えると、組織にはランサムウェア攻撃を事前に阻止できるソリューションが必要です。幸い、AI / MLを搭載したソリューションは、さまざまな形態のランサムウェア攻撃をエンドユーザーに到達する前に特定し、阻止することができます。新しい脅威が発見されるたびにリアルタイムで常にトレーニングされるこれらのソリューションは、不正なドメインや正当な送信者を装った異常な通信をもとにメールメッセージを識別します。特定されたメッセージは、隔離フォルダに移動され、さらに検査されます。

　しかし、すべてのランサムウェア対策ソリューションが同じように作られているわけではありません。ここでは、セキュリティチームがAI / MLを搭載したメールセキュリティソリューションに求めるべき３つのポイントについて説明します。

メールプロバイダーへの API 統合

　当然のことながら、メールプロバイダーが重点をおくのはセキュリティではなく、メールです。それがコアビジネスなのですから。最新のセキュリティ脅威や MITRE ATT&CK フレームワークの技術、およびランサムウェアのトレンドに対応し続けることは、時間とコストがかかります。そこで、顧客のビジネスを守ることを第一に考えている開発者によって構築され、維持されているサードパーティのメールセキュリティソリューションに頼ることをお勧めします。メールプロバイダーとメールセキュリティソリューションのシームレスな API 統合により、組織内の各個人の社内外のメールコミュニケーションや履歴を可視化します。これは、AI が企業内、従業員間、既知および未知の外部組織とのコミュニケーションパターンを学習するために使用できる重要なデータです。

なりすましの試行を AI で識別

　完全な保護が可能かどうかは、なりすましを特定する能力にかかっています。AI / ML を搭載したソリューションには、社内外向けの電子メールおよび過去のメールのメタデータを使用して、それぞれの用途に応じた ID グラフを作成する能力が必要です。メールアドレス、文書の種類、使用する名前、自然言語解析（NLP）、個人のユニークなコミュニケーションパターンを定義するその他の特徴からなるパターンを学習することで、ソリューションが行動、コンテンツ、リンク転送の異常を識別することを可能にします。

ユーザーがメッセージを交わす前にリアルタイムで修復

　ランサムウェアに関しては、スピードが重要です。メールセキュリティソリューションには、手遅れになる前に脅威を特定し、隔離する能力が必要です。AI / MLは人間よりも迅速に行動し、ユーザーがメッセージをやり取りする前に受信トレイから脅威を取り除くことができます。修復は、ユーザーと IT 管理者の両方に通知アラートを送信して、リアルタイムで行う必要があります。

ランサムウェアの阻止には、先手を打つ予防的メールセキュリティが重要

　ランサムウェアは、より洗練され、より一般的になり、攻撃のコストはより低くなっています。一方で、身代金の支払い額は急騰し続けています。こうした回避的な脅威を阻止するには、AI / MLを活用して先手を打つ予防的なメールセキュリティが必要です。メールプロバイダーとシームレスに統合されたソリューションは、リアルタイムの行動分析に基づいてなりすましの試みを自動的に識別し、最も巧妙で回避的なランサムウェアの試みも、何も知らないユーザーがメールを通じたコミュニケーションをとる前に削除します。AI / MLを活用した自動化されたソリューションならば、ランサムウェアの広範な攻撃を阻止できます。最初のアクセスを足がかりにしてあなたの組織の最も重要なビジネスシステムを制御しようとする攻撃を先制することができるのです。