セキュリティベンダーのリサーチャーが、BEC、フィッシング、マルウェアなどのサイバー空間の脅威に関する傾向やセキュリティ対策の最新動向などをお話しします。 小川 丁氏 Vade Secure 株式会社 五十嵐 章義氏 ソフォス株式会社 石丸 傑氏 株式会社カスペルスキー

1. JPAAWG
セキュリティリサーチャーパネル
BEC対策の最新動向
五十嵐 章義
ソフォス株式会社
2021年11月11日

2. ソフォス概要
• 設立： 1985年（イギリス）
• 従業員： 3,900人
• お客様： 500,000社
• ユーザ： 150か国にて1億ユーザが利用
• パートナー： 69,000社
• ソフォスラボ（脅威リサーチ）
• チャネル・パートナーファースト
ソフォスOEM
• 100以上のパートナーを抱えるグローバル部門。
• セキュリティベンダ、マネージドサービスプロバイダ、
ITソリューション提供会社向けに展開
• 各種セキュリティエンジンSDK、脅威情報・解析プラット
フォーム、ホワイトラベル等を提供
ソフォス本社、アビンドン、イギリス

3. BEC（ビジネスメール詐欺）の検出は大変
3
• BECはスパムではない
o 特定の組織（標的）に合わせたカスタマイズメール作成のため
に多大な努力が払われている（標的周辺の事前情報収集等）
o 近年のAIによるNLP（自然言語処理）の進歩は、カスタマイズ
メールの作成においてこれらを補完しつつある
o メールは受信者を動転させストレス行動（合理的な思考の停
止）を引き起こすように作りこまれている
• BECは検出が難しい
o 独自性が高く標的企業のスタイルやトーンが模倣されているた
め、シグネチャよる検出は困難
o メールアカウント（個人アカウント含む）が乗っ取られた場合、
送信元ベースの各種フィルターが機能しない
o 多くの場合URLや添付ファイルが含まれていないため、悪意の
ある兆候を見つけにくい 役員「時間あったら連絡くれる？」

4. NLP（自然言語処理）による第三者目線の「冷静」な分析
4
• NLP（自然言語処理）とは
o 自然言語データ（人間が普段使っている言葉）を自動処理・分析
するAIプログラム
• 旧来型のNLPは課題が多かった
o 語句の対応付けが難しい（店？ミルク？）
- I went to the store for some milk, and based on the price decided to buy it.
o 同音異義語の解釈が難しい（熊手になった？）
- He drank a lot, and was quite the rake.
o 感情の検出が難しい（怒ってない…あれ？）
- I’m not angry at all, no, of course, why would I be angry that you spent our
lifesavings on your mistress?
• 近年は違和感のないレベルに到達
o 2017年にGoogleがTransformerを発表
- 訓練により、文脈や関係性の理解、感情の分析、誤字脱字も理解可能
o リアルタイム翻訳、音声アシスタント、メール自動振り分け

5. ソフォスの BEC検出のためのAIモデルの取り組み
5
ニューラルネットワークモデル
o BEC/標的型フィッシング攻撃の可能
性に基づいてメールをスコアリング
o Transformer / 改良BERTを基にした
感情検出におけるNLPの進歩を活用
テストデータ
o 95% の検知率(TP)に対して1%の過検
知率(FP)
o 87%の検知率(TP)に対して0.1%の過
検知率(FP)
膨大なトレーニングデータ
o 400万通を超えるメールを利用した
トレーニング、バリデーション、テ
ストにより生成されたデータセット
ソフォスAIのイノベーション
o https://ai.sophos.com/projects/
o BECに加えて、AIを活用した様々プ
ロジェクト（URL解析、ふるまい解
析等）の最新情報を投稿
https://ai4cyber-kdd.com/KDD-AISec_files/CatBERT_for_ACM_KDD.pdf

6. AIモデルの概要
6
2つの展開方法
ソフォスラボ / Intelix
クラウド基盤APIへ送信
ユーザークラウド（オンプレ）
コンテナイメージを展開
インプット
RFC 822 フォーマットで送信
組み込み
他のソリューションとの連携
• AV/アンチスパムの事前実行
• URL解析（別のAIモデル）
アウトプットに対するアクション
• BECリスク「高」：隔離
• BECリスク「中」：バナー警告
アウトプット
BECリスクを0～100でレスポンス

7. AIによるBEC検出事例：ギフトカード詐欺
7
• この詐欺の手口
1. 関係者装い緊急性を醸す短い文章を送付
2. ギフトカード送付の必要性、会議中など
で対応不可の旨を伝達
3. 具体的な購入方法を指示しながら、再度
緊急性を煽る
4. さらに煽りながらコードを入手
https://ai.sophos.com/2020/12/21/how-sophosai-stops-bec-gift-card-scams/
• AIは両メールをキャッチ
o 「available at the moment」を被疑と判断
o 文脈から「Cards」を被疑と判断

8. 既存ツールに「別視点」を加えて脅威を抑え込む
8
<15 seconds AIによる静的解析
2.
3.
4.
5.
データフィード
SDK
ルックアップ
スタティック解析
悪意のあるURL
データベース
URL 判定
ファイル/URL解析
<20 ms 10以上のカテゴリ
（マルウェア、フィッシング…）
<60 ms コアソリューション
~120 ms リアルタイム判定
~4 minutes ファイル実行解析
ダイナミック解析
6.
1. AIモデル BEC / URL解析
（コンテナ）
<20 ms フィッシング、URL、
PowerShell…
オンプレ
クラウド

9. お問い合わせはこちら
oem.sales@sophos.com