標的型メール対策製品でのJubatus活用事例

11,148 views

Published on

Published in: Data & Analytics
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
11,148
On SlideShare
0
From Embeds
0
Number of Embeds
9,412
Actions
Shares
0
Downloads
0
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

標的型メール対策製品でのJubatus活用事例

  1. 1. 標的型攻撃メール対策製品での Jubatus 活用事例 前橋 賢一 NTTソフトウェア株式会社 1 CipherCraft® は NTT ソフトウェア株式会社の登録商標です。 その他、各会社名、各製品名は、各社の商標または登録商標です。 Jubatus Casual Talks #3: ビジネス応用編
  2. 2. 自己紹介  前橋 賢一  NTTソフトウェア株式会社 メディア事業部  ビッグデータ関連業務を推進するチーム  Jubatus の社内外案件への適用推進  Jubatus OSS コミュニティへの成果フィードバック  Jubatus サポートサービス 2
  3. 3. 0 300 600 900 1200 2011/10 2012/02 2012/06 2012/10 2013/02 2013/06 2013/10 2014/02 NTTソフト と Jubatus  2012年4月~ Jubatus の検証に着手  当時のバージョン 0.2.2  精度/性能測定の片手間に Issue や Pull-Req を投げる  2012年8月~ OSS コミュニティに Join (コミッタ2名)  商用利用に向けた取り組み  運用機能の仕様策定や試験実施  RPM / Debian パッケージング  ドキュメンテーション  社内外案件からのフィードバック  新機能、バグ Fix 3 GitHub Issues NTT SOFT
  4. 4.  危険なメールを、受信前に自動検知してブロック!  「いつもと異なる特徴を持つ」メール  「標的型攻撃に似た特徴を持つ」メール 4
  5. 5. 標的型攻撃で使われるマルウェア 書類アイコンに 偽装されていることが多い! 5 文書ファイルなど、見慣れたアイコンに偽装することで メール受信者を欺く手法をとることが多い IPA テクニカルウォッチ, 2012年10月 Copyright © IPA / 引用元: http://www.ipa.go.jp/about/technicalwatch/20121030.html Word, Excel, PDF のアイコンを持ち、ドキュメントファイル のように偽装された実行形式タイプのものがよく見られます McAfee マウスリーウィルスリポート, 2013年7月 引用元: http://www.mcafee.com/japan/security/monthly/PC201307.asp Adobe Reader の PDF ファイルと全く同じか、 よく似たアイコンを持つマルウェアが存在する Microsoft Security Intelligence Report, Vol.11 引用元: http://www.microsoft.com/en-us/download/details.aspx?id=27605
  6. 6. 実際のマルウェア検体 6 _人人人人人人人人人人人_ > ビミョーに本物と違う <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y ̄
  7. 7. Jubatus の適用  Recommender を使用して、偽装されたアイコンを検知 7 Jubatus (学習モデル) 学習 (update_row) 類似度取得 (similar_row_from_datum) 正規の書類アイコン 添付ファイルのアイコン スコア 0.9 スコア 0.2
  8. 8. アーキテクチャ ※サーバ側で動作するバージョンもあります (今回は割愛) 8 メール サーバクライアントPC CipherCraft®/Mail 標的型攻撃メール判別 ルールベース判定 + アイコン偽装判定 危険な メールを 警告! 安全なメールは通過
  9. 9. Jubatus on Windows 9  Jubatus は大きく以下の 2 モジュールで構成  Core … 機械学習アルゴリズムやデータ構造  Server … Core の機能を RPC (ネットワーク) 経由で提供  Core は Windows でも(頑張れば)ビルドできる! CipherCraft®/Mail Jubatus Core Server 動的リンク
  10. 10. Jubatus on Windows 10  Jubatus は大きく以下の 2 モジュールで構成  Core … 機械学習アルゴリズムやデータ構造  Server … Core の機能を RPC (ネットワーク) 経由で提供  Core は Windows でも(頑張れば)ビルドできる! CipherCraft®/Mail Jubatus Core Server 動的リンク
  11. 11. まとめ (実際に製品へ組み込んでみて)  Jubatus のメリット  高スループット (特に分析処理は、ほぼスレッド数スケールで動作)  利用が容易 (機械学習ユーザの立場でも明快なAPI)  将来的なリアルタイム処理・分散ニーズにも対応可能  大変なところ  トライ&エラーのための仕組みが弱い  精度検証のためのフレームワークを独自に開発  製品としては、Jubatus (機械学習) だけでなく、ルールベース、 サンドボックス実行 (ビヘイビア分析) 等を併用することで「標的 型攻撃」全体の検知精度を向上  機械学習は使いどころが大事 11
  12. 12. 最後に…  商用レベルのサポートをワンストップでご提供!  技術問合せ対応、緊急時オンサイト支援、ホットフィックス  Jubatus 利用前のデータ分析も含めてご支援!  詳しくは Jubatusサポートサービス で検索!  http://www.ntts.co.jp/products/jubatus/ サポートサービス 12

×