- 旧FireEye製品の製品リーダーとして、7年担当
- VMware Carbon Black、ExtraHopなどの他製品にも従事
新型コロナウイルス感染症(COVID-19)の影響もあり、VPN装置などの外部に晒されているIT資産(いわゆる、アタックサーフェース)への攻撃が増加しています。その対策として外部公開資産に対する脆弱性や設定ミスを予防するソリューションを利用する組織が増えています。
一方で、こうした状況だからこそ今一度考えていただきたいのが、メール経由の攻撃です。
「情報セキュリティ10大脅威」2024年版によると、「ランサムウェアによる被害」が前年に引き続き1位となっています。他にも、「標的型攻撃による機密情報の窃取」、「ビジネスメール詐欺による金銭被害」についても10位以内を維持しています。
これらに共通することは、メール経由での攻撃が多くの割合を占めているということです。
出典:「情報処理推進機構(IPA)情報セキュリティ10大脅威2024」を基に作成 (2024/12/19参照)
では、なぜ未だにメール経由での攻撃がこれほど多く行われているのでしょうか?
本ブログでは、メールセキュリティ対策の重要性について改めてご紹介するとともに、2024年12月にTrellix Email Security – Cloudに新たに実装された生成AI機能、Trellix Wiseについて詳しく技術解説します。
メールセキュリティ対策が今重要な理由
さまざまな攻撃手法がある中で、未だにメールを活用したサイバー攻撃が多用されるのはなぜでしょうか。
例えばVPN装置などの外部公開資産経由での攻撃は、脆弱性の検出からその脆弱性を狙った攻撃、侵入後のネットワーク探索といった、攻撃を行うために多くのハードルがあります。一方でメールは、ビジネスとして多くの組織が利用する欠かせないツールであり、知識の無い攻撃者でも簡単に攻撃に悪用できるためです。
今では、生成AIによって簡単に自然な日本語文を作成できるようになりました。その結果従来のような不自然な文章のメール攻撃が減り、より高度な攻撃を容易に実現できるようになったことで、一般の方にはより見分けることが困難になってきています。
また、RaaS(Ransomware as a Service)※1やPhaaS(Phishing as a Service)※2といったサービスが用意されており、攻撃者は知識が無くてもランサムウェアの配布やフィッシング詐欺を仕掛けることが可能であることも、メールが悪用され続ける要因の1つです。
※1:ランサムウェアのコードやマルウェアを他のハッカーに販売するビジネスモデルのことを指します。
※2:フィッシング詐欺を仕掛けるために用いるツール一式を提供するサービスのことを指します。
こうした背景から、今後もメール経由での攻撃は増加することが予測され、メールセキュリティ対策の更なる強化が重要といえます。
Trellix Wiseによるメール対応支援方法
ここからは、メールセキュリティ対策ソリューションであるTrellix Email Security – Cloudに2024年12月に実装された生成AIを活用した新機能であるTrellix Wiseについて、エンジニアの目線で解説していきましょう。
Trellix Wiseは、「アラートサマリの生成」と「AIチャットボット」の2つの機能を提供します。
- アラートサマリの生成
Trellix Email Security – Cloudが検出した不審なメールに対し、メールのヘッダー情報、件名、URL、ファイルを相関的に分析し、調査すべきポイントや危険度を表示します。これにより、一般的なSOCのTier1アナリストが対応するような検知結果の正当性の判断(トリアージ)を支援します。 - AIチャットボット
Trellix Email Security – Cloudが検出したアラートに対し、Q&A形式でアナリストを支援するチャットボット機能を提供します。これにより、UI上での調査に要する時間を削減することが可能です。
ファイルの挙動やエンドポイントで実行した場合の影響などの調査に加えて、分析の中で不明な用語についても質問することができるため、あらゆるレベルのアナリストに対する対応支援に活用できます。
次章から各機能について詳しく解説します。
Trellix Wise:アラートサマリの生成
アラートサマリの生成について、実画面を交えて紹介していきます。
※以降のスクリーンショットは、2024/12/19時点のTrellix Email Security – CloudのUIを利用。
サマリは、「メール情報」、「検知概要」、「重要ポイント」、「MITRE ATT&CK テクニック」、「AIによる評価」の5つの構成で出力されます。
- メール情報
検知したメールの送信者、受信者、件名、添付ファイル情報などを表示します。
本章では、以下のメールに対するアラートを例にそれぞれの構成について紹介します。
- 検知概要
検知ファイルの分類や疑わしい挙動を表示します。
下記画像の例では、スピアフィッシング攻撃の一部であり、ファイルの実行、レジストリクエリ、システム情報の収集、コマンド&コントロール(C2)通信を行うファイルが添付されていることを示しており、非常に危険なファイルであることが分かります。
- 重要ポイント
検知結果の中でも特筆すべきポイントを列挙します。
下記画像の例では、注視すべき4つのポイントが列挙されており、それぞれの挙動における疑わしいポイントが明記されます。また、Trellix Email Security – Cloudのサンドボックスでは、「防御回避技術」を使用したマルウェアについても回避を阻止し、分析を行うことができるため、「防御回避技術」が行われたことも表示されます。
- MITRE ATT&CK テクニック
ファイルに対するアラートの場合、サンドボックスによる動的解析の結果から、関連するMITRE ATT&CKテクニックを表示します。
下記画像の例では、ファイル内に複数の悪意ある挙動が含まれていることが確認できます。
- AIによる評価
上記4つの分析結果と件名やヘッダー情報などを加味し、対象のアラートに対するAIによる総合評価が示されます。
本章で取り上げた例では、複数の悪意ある挙動が含まれるファイルが添付されていたことから、AIの総合評価としても悪意のあるメールであると判断されており、即時の対応が必要であるとサジェストされています。
Trellix Wise機能を活用しない場合には、これらの情報をアナリストが自ら分析して判断する必要があります。これに対し、Trellix Wiseではわずか30秒ほどでこうした情報を自動出力し、対応の必要性を提示することができます。
Trellix Wise:AIチャットボット
AIチャットボットについても、実画面を交えて紹介していきます。
※以降のスクリーンショットは、2024/12/19時点のTrellix Email Security – CloudのUIを利用。
「アラートサマリの生成」で使用した検知結果を基に、いくつか質問を投げてみます。
- Q「次に実行すべきアクションは?」
一般的に必要なアクションが列挙されました。
Trellix Email Security – Cloudをインライン構成で導入することで、ユーザーへ届く前に隔離することができるので、1と3の対応はTrellix Email Security – Cloudで防ぐことができます。 - Q「エンドポイントで実行した場合の影響は?」
「アラートサマリの生成」では、ファイルの挙動からC2通信やレジストリクエリが発生することが分かりましたが、エンドポイントで実行された場合、更に攻撃が発展してしまうことが確認できます。
- Q「ユーザー教育方法は?」
「必要なアクションに列挙されていたユーザー教育って具体的に何をすればいいの?」という時も、そのままTrellix Wiseに確認できます。5つの方法を列挙してくれるので、まずは、可能な方法から始めることができます。
- Q「Trojanって?」
調査中に知らない単語が出てきてもTrellix Wiseに質問を投げることができます。検知結果がどのような脅威に分類されるのかを改めて理解した上で調査、対応を進めることができます。
まとめ
生成AIの発展に伴い、メール経由での巧妙な攻撃は今後もさらに加速していくことが予測されます。CTEM(Continuous Threat Exposure Management)のようなリスクの予防的対策が重要であることは間違いありませんが、一方でサイバー攻撃への防御策をおろそかにすることはできません。
弊社ではメールセキュリティ対策ソリューションとして、本ブログで紹介したTrellix社製品を取り扱っております。
メールセキュリティ対策をまだ導入されていない、すでに導入済みだが乗り換えを検討している、不安や不満があるという担当者の方は、ぜひTrellix Email Security – Cloudによる高度な検知力と生成AIの対応支援能力や人的リソース削減の効果を是非、体験してみてください。
本ブログや個別ソリューション、機能についてご不明点やご質問がありましたら、是非お気軽にお問い合わせください。
