機械学習に基づいたモバイルフィッシング検知

優れたソリューションが、どのようにモバイルフィッシング攻撃のゼロデイ検知をオンデバイスで実現しているのかについて解説します。

はじめに

フィッシングは少なくとも四半世紀前から脅威となっていますが、モバイルの台頭により、フィッシングはさらに効果的になり、対策も複雑になっています。

特に企業ユーザーの間では、モバイルの利用がデスクトップを上回り、サイバー犯罪者はモバイルをフィッシング攻撃の主要なターゲットにしていると考えています。また、モバイル端末はフィッシング攻撃を成功させる可能性をさらに高めており、全く新しい脅威のベクトルと独自の技術的な問題に対処しなければなりません。

モバイルフィッシング攻撃を検知するためには、攻撃が実際に発生している場所、つまりデバイス上で保護する必要があると考えています。また、「ゼロデイ」の脅威に対抗するためには、機械学習を利用しなければなりません。

MTDは、デバイス、ネットワーク、フィッシング、悪意のあるアプリ攻撃を機械学習に基づいて検出するオンデバイス機能を提供しています。本稿では、モバイルフィッシングに関する情報、モバイルフィッシング攻撃に対する機械学習ベースの検出の必要性、MTDがどのように保護を提供するかについて説明します。

フィッシング101

基本的なフィッシング攻撃は、被害者に個人情報や機密データ、信用情報を開示するよう詐欺的に誘うことを目的としています。非常に単純な攻撃では、悪質な行為者がターゲットに電子メールを送り、ターゲットが信頼しているウェブサイトに似ているが、実際には悪質な行為者が運営しているウェブサイトに誘導します。そこでは、ターゲットを欺いてログイン認証情報を提供したり、デバイスを悪用したりすることが目的です。

フィッシング攻撃が急増している

フィッシング攻撃が急増しています。2018年は4億8250万件のフィッシング攻撃が未遂され、2017年の2倍以上となっています。世界経済フォーラム(WEF)は、フィッシングが依然として「最も成功している攻撃手段の1つ」であることを明らかにしました。

この増加には、攻撃者の参入障壁が低いことなど、多くの原因があります。サイバー犯罪者は数分でフィッシング攻撃を仕掛けてきますし、規模的には信じられないほど難しい攻撃を仕掛けてきます。サイバー攻撃の成功が保証されているわけではありませんが、多くのサイバー犯罪者は、フィッシング攻撃がほぼ確実に成功することに気付いています。データの損失が確認されたデータ侵害に限って見ると、フィッシングがいかに陰湿で成功しているかがわかります。

Verizonの2019年データ侵害調査報告書によると、フィッシングはデータ侵害を成功させた最も一般的な要素であり、3件に1件の割合でその役割を果たしていることが明らかになりました。フィッシングは、既知のサイバースパイ事件の78%に関与しており、社会的攻撃の中では圧倒的に成功しています。

モバイルフィッシングには新たなアプローチが必要

企業のITおよびセキュリティチームは、従来のエンドポイントを保護するためにさまざまなフィッシング対策を使用していますが、そのほとんどは企業の電子メール(電子メールおよびWebゲートウェイ、次世代ファイアウォールなど)に焦点を当てています。これらの保護策がすべて導入されているとはいえ、まだまだ改善の余地はたくさんあります。

そしてモバイルは事態をさらに悪化させます。企業のエンドポイントの60%が従来のデスクトップではないモバイルデバイスを利用しているため、フィッシング攻撃が成功する可能性はさらに高くなり、全く新しい脅威のベクトルと技術的・ユーザー的な問題に対処しなければなりません。

モバイルがフィッシングを容易にする

モバイルがフィッシング攻撃を成功させやすくする理由はたくさんあります。例えば、ここでは「トップ10」のリストを紹介します。

  1. ユーザーが任されている
    一般的にユーザーが自分のデバイスを管理しているため、企業のデスクトップやラップトップのような自動化されたパッチ適用や更新プロセスがありません。
  2. 小さな画面
    画面サイズが小さいと、重要な情報へのアクセスや表示が難しくなります。
  3. OSとアプリ=偉大なる隠れ場所
    OSやアプリでは、メールやウェブページなどの真贋判定に必要な情報の入手が制限されます。
  4. ユーザーは信頼しすぎている
    ユーザーは自分のモバイルデバイスとの個人的なつながりを感じ、デバイスとその上にあるコンテンツに対する根拠のない信頼を育んでいます。
  5. 並べて見る機能がない
    Webページなどのデータを画面を横に並べて見るのは、難しいというか不可能です。
  6. タップする前に見る
    ユーザーインターフェースは、利用可能な情報量を制限する一方で、ユーザーに迅速な意思決定を促します。
  7. トグルが必要
    ウェブページ間の移動やアプリ間の移動には、面倒なトグルが必要です。
  8. テキスト=緊急性
    ユーザーはSMSをより緊急性の高いものとして捉えているため、SMSで送信されたリクエストを確認する傾向が弱くなる可能性があります。
  9. 尋ねずに告げるだけ
    GUIデザインは、ユーザーのリクエストへの応答を容易にするために、受け入れる、返信する、送る、好きなようにするなどのアクションを奨励します。
  10. 気が散っている間にテキストを送信する
    ユーザーは、たとえば歩きながら、話しながら、運転しながら、モバイルデバイスを利用しており、発信元のアプリを見なくても、気が散っている間に依頼を受けて対応することができるため、依頼を受けてくれる可能性が高くなります。

既存の問題点を克服した新しいモバイル・ファイシングのベクトル

企業の電子メールは、従来のエンドポイントにおけるフィッシングの主要な攻撃ベクトルです。電子メールの3分の2はモバイルデバイスで読まれており、企業のモバイルユーザーの多くはすべてのトラフィックに常時接続のVPNを使用していないため、モバイルデバイスではこの攻撃経路は依然として非常に危険です。… しかし、モバイルはまた、既存のソリューションでは防ぐことができない多くの新しい攻撃ベクトルをもたらします。

個人用電子メールフィッシング攻撃を検知する企業の電子メールゲートウェイは、ユーザーがモバイルデバイスで個人の電子メールにアクセスした場合には関係ありません。
SMSとメッセージングアプリ
(例:WhatsApp)
メールアカウントには保護機能があるかもしれませんが、SMSやメッセージングアプリには保護機能がありません。
悪質なアプリ
(例:BankBot)
従来のフィッシング対策技術では、正規のアプリを模倣して認証情報をフィッシングする悪質なアプリを検出することはできません。

モバイルには独特の技術的/ユーザーの問題がある

モバイルデバイスは、組織かユーザーが所有しているかどうかに関係なく、個人的なものと考えられています。モバイルフィッシング対策ソリューションが企業を保護するとはいえ、その成功は無数の技術的な要因(例えば、以下のような)がユーザーの認識に大きく関係しています。

バッテリー消費量ユーザーが、このソリューションがバッテリーを消耗していると認識した場合、保護機能をアンインストールする可能性があります。
メモリ資源ユーザーが、ソリューションがメモリを消費していると認識した場合 (例えば、既知の不正な URL の大規模なデータベース)、保護機能をアンインストールする可能性があります。
データ使用量/コストユーザーが、このソリューションがデータプランの使用量が多すぎると認識した場合 (例えば、疑わしい URL を検索するためのクラウドベースのルックアップなど)、保護機能をアンインストールする可能性があります。
ユーザープライバシーユーザーが、このソリューションが(閲覧場所を含む)個人情報をデバイスから送信していると認識した場合(クラウドベースのルックアップなど)、ユーザーは保護機能をアンインストールする可能性があります。

モバイルアンチフィッシングの鍵。オンデバイス、機械学習に基づいた検出

ゲートウェイやファイアウォールは、従来のエンドポイントを(企業の)電子メールベースのフィッシング攻撃から保護することができますが、モバイルデバイスには新たなベクトルや問題点があり、企業ネットワークの外にあることがほとんどです。さらに、既知の悪質なURLのリストは、(例えば、まだ見られていないメールを引っ張ってくることで)メールの流れを助けることができますが、モバイルデバイスがSMSなどでリアルタイムにアクセスできる「ゼロデイ」のフィッシングサイトに対する保護を提供するものではありません。

モバイルフィッシング攻撃を検知するためには、攻撃が実際に起きている場所、つまりデバイス上で保護する必要があります。 また、「ゼロデイ」の脅威に対抗するためには、機械学習を利用しなければなりません。

MTD の実績ある機械学習アプローチは、企業のモバイルセキュリティに最適です。当社の機械学習エンジンは、システムデータを分析して悪意のある動作を特定し、高度な数学モデルを作成してオンデバイスの検出を可能にします。MTDは、既知の攻撃(例えば、フィッシングの場合のURLなど)と特定または部分的に一致するものを探しているのではなく、脅威が発生している、または差し迫っていることを示す兆候のある行動によって、これまでに見たことのない攻撃であっても、攻撃を識別しています。

MTDは、デバイス、ネットワーク、フィッシング、悪意のあるアプリ攻撃を機械学習に基づいて検出するオンデバイス機能を提供しています。

MTDで使用されているような効果的な機械学習ベースの検出エンジンを作成するのは複雑で、何年ものデータ収集とトレーニングを必要としますが、この概念は生活の他の部分からの単純な類似で理解するのが最も良いかもしれません。

例えば、長年の訓練と患者へのいくつかの重要な質問に基づいて、心臓外科医は心電図の読み出しを見て、すぐに状況を診断することができます。患者が特定の状態にあることを事前に知る必要はなく、正確な診断を行うためにどのデータが関連しているか(どのデータを無視すべきか)を知ることで、患者の状態を把握することができます。機械学習は、自動化された方法ではありますが、同じように動作します。

企業のモバイル・セキュリティに関するいくつかの基本的な真実を強く信じています。

標的型攻撃の場合、ハッカーは…

  1. 単純な決定論的検出を避けるために設計された未知の攻撃やモーフィング攻撃を使用します。
  2. デバイスを妥協することに焦点を当てます、それは粘り強く、デバイスを所有/兵器化するための第一の方法です。
  3. man-in-the-middle (MITM) 攻撃(中間者攻撃)やフィッシング技術を利用して、デバイスを危険にさらすために必要な悪用を行います。ほとんどの場合、App StoreやGoogle Playにアプリを落とさず、標的となる組織の誰かがアプリをダウンロードすることを期待します。

その結果、企業のモバイル・セキュリティ・ソリューションがやるべきことは…

  1. 機械学習に基づいた検出を用いて決定論的アプローチを拡張し、標的型の取り組みに使用される未知の/モーフィング攻撃を停止させます。
  2. デバイス全体のすべての攻撃ベクトルを同時にカバーします。単一の障害点だけでデバイスを完全に危険にさらすことができます。
  3. デバイス上で脅威を検出し、クラウドベースのルックアップを必要としません。攻撃者がMITMまたはRogue Access Point (RAP)を使用している場合、攻撃者はネットワークを制御し、デバイスをクラウドベースの検出ソリューションに接続することはありません。
  4. 適切な問題に適切な環境を使用します、たとえば、
    1. トレーニング。分析が必要な数十億のデータポイントを考えると、機械学習のトレーニングはクラウド上でオフラインで行われるべきです。
    2. 検知。クラウドベースのアプローチに関連したMITMの迂回やその他のリスクを防ぐためには、実際の検出はデバイス上で行わなければなりません。

次のセクションでは、これらの基本的な考え方を念頭に置きながら、クラウドベースの機械学習トレーニングと、デバイス上でのフィッシングサイトの検出に対するMTDの実装とアプローチについて具体的に説明します。この組み合わせこそが、効果的な企業のモバイル・セキュリティを提供する唯一の方法だと考えています。

トレーニング:クラウドベースの機械学習

モバイル脅威の高精度な予測を行うためには、MTDが使用しているような機械学習エンジンで何十億ものデータポイントを分析しなければなりません(そして繰り返し再分析しなければなりません)。このような大量のデータを処理するために、クラウド上に存在する数十個の高性能コンピューティング・クラスタを活用して機械学習モデルを構築します。そして、モデルはデバイス上で評価され、これまでに知られていなかった脅威や、切断された場合でも即座に検出することができます。

検知:オンデバイスおよび機械学習ベース

「適切な問題に適切な環境を」という理念のもと、機械学習の重要な作業はクラウド上で行われます。そして、モデルがデバイスに配信されると、実際の検出はすべてリアルタイムでデバイス上で行われます。

ここでは、オンデバイス、機械学習に基づく検出のメリットをご紹介します。

未知の脅威も検知決定論的なソリューションとは異なり、機械学習は、これまで知られていなかった脅威やゼロデイの脅威も検出します。
機械の速度での検出モバイル攻撃は機械の速度で発生するため、プロテクションはそれなりに対応できなければなりません。機械の速度に対応できるのは、リアルタイムのオンデバイス検出だけです。クラウド検索では、ネットワークを前後に横断することに関連した遅延が本質的に発生するため、その速度に合わせることはできません。
最高のプライバシー保護デバイス上ですべての検出を行うことで、機密性が高いと思われるデータをクラウドに流出させる必要はありません。
切断された保護オンデバイス検出は、クラウドベースの検出を無意味にする可能性のあるMITMなどのネットワーク攻撃から即座に保護します。ネットワークから切断された場合でも、オンデバイス検出だけが保護を提供し続けることができます。

誇大広告と現実を区別する

今日では、ほとんどのモバイルセキュリティベンダーが機械学習を主張しています。どのベンダー(MTDを含む)からでも、アプローチの実態を判断するには、以下の質問をしてみてください。

  1. 機械学習能力は患者ゼロや生贄の子羊を必要とせずに機能するのか?
  2. 機械学習の数学モデルはどれくらいの範囲にあり、現実世界では何年間テストされているのか?
  3. 最新の脅威を検出するために、新しい URL (フィッシング検出用) を含むソリューションの更新が必要な頻度はどのくらいか?
  4. 機械学習能力は、接続された環境と切断された環境の両方で機能するか?
  5. 保護は、CPUやバッテリーの使用量にほとんど影響を与えずに、ミリ秒単位で動作することができるか?

プライバシーを中心としたURLの評価メカニズム

モバイルフィッシング検知を行うためには、モバイル中心の通信メカニズムを介して不審と思われるURLをソリューションに供給する必要があります。使用されている主なメカニズムは2つあります。

  1. 手動提出。ほとんどのソリューションでは、ユーザーがテストのためにURLを手動で送信する機能を提供していますが、そのためにはフィッシングだけでなく、長押しししてフィッシングソリューションに送信する方法を意識し、訓練を受けておく必要があります。
  2. 自動評価。悪意のあるURLのすべてのトラフィックを監視するために、ソリューションは多くの場合、VPNを使用して自動的にURLの評価を有効にします。

それぞれのメカニズムについて、次の表は、MTD のオンデバイス検出が、クラウドベースのソリューションがどのようにオンデバイス検出を利用しているか(オンデバイス検出がある場合)に比べて重要な利点を提供する理由を示しています。

手動提出MTD はすべての検出をデバイス上で行うため、ユーザーのプライバシーが保護されます。機密性が高いと考えられるデータ(閲覧中のウェブサイトを含む)は、クラウドに流出させる必要はありません。
自動評価上記の手動提出ポイントで引用したプライバシーの利点に加えて、MTDのオンデバイスVPNは、クラウドへのアウトバウンドセッションの確立と暗号化を行わないため、クラウドベースのソリューションで必要とされるオフデバイスのものよりも大幅に少ないバッテリーを使用しています。

まとめ

リアルタイムのオンデバイス、機械学習ベースのモバイルデバイス向けフィッシングソリューションです。
MTDは、現在露出し、組織にリスクをもたらしているエンドポイントの60%を完全に保護します。詳しくはこちらからお問い合わせください。

MTDはすべてのモバイルフィッシングの課題を解決します。

  • 「ゼロデイ」や既知のフィッシングサイトから保護します
  • ベクトルに関係なくユーザーを保護します
  • 最小限のフットプリントで包括的なオンデバイス検出機能を提供します
  • ユーザーのプライバシーを尊重します
  • リソースとバッテリーへの影響を最小限に抑えます
  • データ消費を最小限に抑え、リモートルックアップによるプライバシーリスクを排除します

コメント

タイトルとURLをコピーしました