Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

標的型メール対策製品でのJubatus活用事例

11,457 views

Published on

Published in: Data & Analytics
  • Be the first to comment

標的型メール対策製品でのJubatus活用事例

  1. 1. 標的型攻撃メール対策製品での Jubatus 活用事例 前橋 賢一 NTTソフトウェア株式会社 1 CipherCraft® は NTT ソフトウェア株式会社の登録商標です。 その他、各会社名、各製品名は、各社の商標または登録商標です。 Jubatus Casual Talks #3: ビジネス応用編
  2. 2. 自己紹介  前橋 賢一  NTTソフトウェア株式会社 メディア事業部  ビッグデータ関連業務を推進するチーム  Jubatus の社内外案件への適用推進  Jubatus OSS コミュニティへの成果フィードバック  Jubatus サポートサービス 2
  3. 3. 0 300 600 900 1200 2011/10 2012/02 2012/06 2012/10 2013/02 2013/06 2013/10 2014/02 NTTソフト と Jubatus  2012年4月~ Jubatus の検証に着手  当時のバージョン 0.2.2  精度/性能測定の片手間に Issue や Pull-Req を投げる  2012年8月~ OSS コミュニティに Join (コミッタ2名)  商用利用に向けた取り組み  運用機能の仕様策定や試験実施  RPM / Debian パッケージング  ドキュメンテーション  社内外案件からのフィードバック  新機能、バグ Fix 3 GitHub Issues NTT SOFT
  4. 4.  危険なメールを、受信前に自動検知してブロック!  「いつもと異なる特徴を持つ」メール  「標的型攻撃に似た特徴を持つ」メール 4
  5. 5. 標的型攻撃で使われるマルウェア 書類アイコンに 偽装されていることが多い! 5 文書ファイルなど、見慣れたアイコンに偽装することで メール受信者を欺く手法をとることが多い IPA テクニカルウォッチ, 2012年10月 Copyright © IPA / 引用元: http://www.ipa.go.jp/about/technicalwatch/20121030.html Word, Excel, PDF のアイコンを持ち、ドキュメントファイル のように偽装された実行形式タイプのものがよく見られます McAfee マウスリーウィルスリポート, 2013年7月 引用元: http://www.mcafee.com/japan/security/monthly/PC201307.asp Adobe Reader の PDF ファイルと全く同じか、 よく似たアイコンを持つマルウェアが存在する Microsoft Security Intelligence Report, Vol.11 引用元: http://www.microsoft.com/en-us/download/details.aspx?id=27605
  6. 6. 実際のマルウェア検体 6 _人人人人人人人人人人人_ > ビミョーに本物と違う <  ̄Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y ̄
  7. 7. Jubatus の適用  Recommender を使用して、偽装されたアイコンを検知 7 Jubatus (学習モデル) 学習 (update_row) 類似度取得 (similar_row_from_datum) 正規の書類アイコン 添付ファイルのアイコン スコア 0.9 スコア 0.2
  8. 8. アーキテクチャ ※サーバ側で動作するバージョンもあります (今回は割愛) 8 メール サーバクライアントPC CipherCraft®/Mail 標的型攻撃メール判別 ルールベース判定 + アイコン偽装判定 危険な メールを 警告! 安全なメールは通過
  9. 9. Jubatus on Windows 9  Jubatus は大きく以下の 2 モジュールで構成  Core … 機械学習アルゴリズムやデータ構造  Server … Core の機能を RPC (ネットワーク) 経由で提供  Core は Windows でも(頑張れば)ビルドできる! CipherCraft®/Mail Jubatus Core Server 動的リンク
  10. 10. Jubatus on Windows 10  Jubatus は大きく以下の 2 モジュールで構成  Core … 機械学習アルゴリズムやデータ構造  Server … Core の機能を RPC (ネットワーク) 経由で提供  Core は Windows でも(頑張れば)ビルドできる! CipherCraft®/Mail Jubatus Core Server 動的リンク
  11. 11. まとめ (実際に製品へ組み込んでみて)  Jubatus のメリット  高スループット (特に分析処理は、ほぼスレッド数スケールで動作)  利用が容易 (機械学習ユーザの立場でも明快なAPI)  将来的なリアルタイム処理・分散ニーズにも対応可能  大変なところ  トライ&エラーのための仕組みが弱い  精度検証のためのフレームワークを独自に開発  製品としては、Jubatus (機械学習) だけでなく、ルールベース、 サンドボックス実行 (ビヘイビア分析) 等を併用することで「標的 型攻撃」全体の検知精度を向上  機械学習は使いどころが大事 11
  12. 12. 最後に…  商用レベルのサポートをワンストップでご提供!  技術問合せ対応、緊急時オンサイト支援、ホットフィックス  Jubatus 利用前のデータ分析も含めてご支援!  詳しくは Jubatusサポートサービス で検索!  http://www.ntts.co.jp/products/jubatus/ サポートサービス 12

×