電子メールは、攻撃者が組織を侵害・恐喝する際に使用する最大の攻撃ベクトルであり続けています。ビジネス・コミュニケーションに電子メールが頻繁に使用されていることから、フィッシング攻撃はいたるところで行われています。攻撃者が利用できるツールが進化するにつれ、攻撃者がセキュリティ保護を回避しながらユーザーを標的にする方法も進化しています。人工知能(AI)大規模言語モデル(LLM)が複数リリースされたことで生成AIの持つ能力の新たな悪用方法を発見しようとする動きが活発化し、セキュリティ研究者の頭を悩ませています。その1つに、フィッシング攻撃コンテンツの作成が挙げられます。
フィッシングは、攻撃者が本物であるように見せかけてきます。長年にわたり、弊社では正当に見せかける手口には視覚的なものと組織的なものの2種類があることをとらえてきました。視覚的に正統性を欺く手口では、ロゴや画像などを使って信頼させようとします。一方、組織面から正統性を欺く手口では、ビジネスの流れや社会的な関係性を使ってだまそうとします。LLMは、攻撃者がいくつかの方法で電子メールをより本物らしく見せることに悪用できます。よくある手口に、攻撃者がLLMを使い、自らが書いたメールを表面的に説得力のあるメッセージに翻訳・修正することがあります。より洗練された攻撃では、LLMと侵害されたアカウントから取得した個人データをペアにし、パーソナライズしたうえで組織的に正当に見せかけたメッセージを作成しています。
例えば、WormGPTは、稚拙なEメールの文法、文脈の展開、メッセージ性を磨き上げて再現できます。流暢でよく練り込まれたメッセージが出力され、より本物と見紛われやすくなります脅威アクターは母国語でメール文を下書きし、あとはLLMに作業を任せてしまえます。
LLMが効力を発揮するフィッシング攻撃の1つに、経済的に壊滅的な影響を与える可能性のあるBEC(Business Email Compromise、ビジネスメールの悪用)攻撃があります。この攻撃では、悪意のあるアクターが被害者を騙して不正な請求書に対し支払いを行わせようとします。LLMが、このようなメッセージをより組織的に正当に見えるようにするに当たり、悪用されます。BEC攻撃は組織からの不正な資金流出の阻止を求める組織にとって最もインパクトのある攻撃である中、LLMは他のタイプのフィッシング・メッセージの作成にも使用され得ます。
しかし、こうしたLLMが作成するメッセージでは、詐欺師が目的を果たすに当たりユーザー側で不正な請求書を読む、またはリンクをクリックするなどのアクションに依存しており、この動作は簡単にだまして導けるものではありません。さらに、LLMで書かれたメールはあくまで、送信者の信頼性、応答パターン、各メッセージにバンドルされたメタデータなどの他信号配列などで構成される電子メールにすぎません。適切なミティゲーション戦略とツールを導入すれば、LLMを利用した攻撃は確度をもって阻止できるのです。
最近のChatGPTの人気によってLLMが脚光を浴びている中、この種のモデルは新しいものではなく、Cloudflareは何年も前からLLMを悪用した攻撃を防御するためにモデルをトレーニングしてきました。弊社機械学習システムはCloudflareの脅威リサーチチームが何十億通ものメールを分析して開発したもので、見事な文章で書かれたメールに惑わされることはなく、メールのあらゆる構成要素を分析でき、弊社のお客様を保護しており、これからもその状況は変わりません。
生成AIの脅威とトレードオフ
AIが生成する攻撃の中で最も危険なものは、攻撃前に収集されたデータに基づいてパーソナライズされたものとなっています。脅威アクターは、被害者に対するより従来的なアカウント侵害によりこの情報を事前に収集し、このプロセスを繰り返します。攻撃を行うのに十分な情報を得ると、彼らは攻撃を開始します。その攻撃の中身は、ターゲットを絞った非常に具体的なものとなっています。AIの利点は、オペレーション規模の大きさにあるものの、攻撃者が狙う人物に正確になりすましたメッセージを作成するには、大量のデータ収集が必要になります。
AIによって生成された攻撃は、パーソナライゼーションとスケーラビリティの点で効果的であるものの、その有効性は、正統性を演出するために集めたサンプル量が十分であるかどうかにかかっています。従来型の脅威アクターにも、AIの効率性や拡張性はないものの、同様の結果を達成するためにソーシャルエンジニアリングの戦術が採用されることがあります。次のセクションで説明するように、使用される技術に関係なく、機会とタイミングについての基本的な制限がすべての攻撃者に依然として当てはまっています。
このような攻撃を防御するには、組織はサイバーセキュリティに多層的なアプローチを採用する必要があります。従業員の意識向上トレーニング、AIや従来の手法を活用した高度な脅威検知システムの採用、AIと従来のフィッシング攻撃の両方から保護するためのセキュリティ対策の継続的な更新などがそのアプローチに該当します。
脅威アクターは攻撃にAIを活用できる一方で、これにはトレードオフが伴います。成功につなげられる攻撃の数におけるボトルネックは、攻撃者の手にある機会の数と、説得力のあるメッセージ作成に利用できるデータ数に正比例します。攻撃にはアクセスと機会が必要であり、その両方がなければ成功する可能性は低くなるのです。
BEC攻撃とLLM
BEC攻撃は、攻撃者がターゲットから多額の資金を盗むことができるため、組織にとって最重要課題となっています。BEC攻撃は主に文字でのコミュニケーションに基づいているため、LLMが元凶をばらまいているように見えるかもしれません。しかし、現実は大きく異なります。この考え方では、「機会」についての認識が足りていません。弊社ではこの機会を、攻撃者がつけ込める状況が生まれ、その状況につけ込める状況である状態と定義します。例えば、攻撃者が情報漏えいから不正入手したデータを用い、企業のベンダーへの支払スケジュールに潜在的な機会を見出す、などの場合があります。脅威アクターは、本物そっくりのBEC攻撃を実行する動機、手段、リソースを持てるものの、機会がなければ攻撃は失敗に終わります。弊社では、脅威アクターが基本的にターゲットにコールドコールすることによって帯域幅消費型攻撃を試みるのを見てきた中、こうした攻撃はほとんどの場合失敗に終わっています。これらの攻撃が功を奏するためにはソーシャルエンジニアリングの要素が必要となり、BECの前提に沿ったものとなっています。
例えば、誰かが貴社の玄関に入ってきて何の脈絡もなく2万ドルを支払えと要求してきたとしたとします。合理的で論理的な人であれば、相手にすることはありません。BEC攻撃を成功させるには、この検証・認証ステップを迂回する必要があるものの、LLMはこのステップのすり抜けにおいてはほとんど役に立ちません。LLMは、説得力があり本物に見えるテキストを生成できるものの、企業との取引関係を確立したり、外観や様式が実際に使用されているものと一致する本物の請求書を捏造したりはできません。BECでは、アカウント侵害だけでなく請求書の捏造からも最大規模の被害が出ており、後者においては、攻撃者は信頼され得る不正な請求書を被害者に送り付ける必要があるのです。
Cloudflareでは、弊社のメールセキュリティ製品が毎月何億ものメッセージを精査しているため、こうした分析を提供できるユニークな立ち位置にあります。これらの攻撃を分析した結果、BEC攻撃を構成する文字列以外の傾向を見出しました。正当な電子メールアドレスであるアカウントを侵害してアクセスできる攻撃者は、ほとんどのセキュリティチェックを回避することができより信頼性の高いメッセージ作成に必要なデータを収集できます。昨年1年間で、1万ドル以上の被害となったBEC攻撃の80%は、侵害されたアカウントが関与したものでした。そのうち75%がスレッドのハイジャックによるもので、新たに登録されたドメインにリダイレクトしたものでした。「成功した」攻撃(脅威アクターが標的の侵害に成功したことの意)の大多数が、似通わせたドメインを利用していることに一致しています。この詐欺的ドメインは、ほとんどの場合、最近登録されたものとなっています。また、1万ドル以上の不正請求に関わるメッセージの55%が、ACH(自動資金決済センター)決済情報の詳細に細工を加えようとしていることもわかりました。
BEC攻撃でこの種の攻撃が展開される例を紹介します。
メッセージ内のテキストには文法的な誤りはなく、すっと読み下せるものの、弊社のセンチメントモデルがテキストでトリガーされ、センチメントが請求書と合わせたうえで緊急性がある、つまり攻撃者がよく使うパターンであることを検出しました。一方、このメッセージには他にもさまざまなことが書かれており、異なるモデルを誘発するきっかけともなっています。例えば、攻撃者はPricewaterhouseCoopersに成りすましている一方、このメールの送信元ドメインと不一致が見られます。また、送信ドメインが最近登録されたものであることを発見し、このメッセージが正当なものではない可能性があることの警告につなげています。最後に、弊社のモデルの1つにより、コミュニケーションパターンに基づき各顧客固有のソーシャルグラフが生成されます。このグラフからは、各ユーザーが誰とどのようなコミュニケーションをとっているかについての情報が得られます。このモデルが、コミュニケーションの履歴の浅さを考慮し、このメッセージは通常のビジネスではないとフラグを立てました。上記のすべてのシグナルとセンチメントモデルの出力により、このメッセージは悪意のあるメッセージであり、このメッセージの受信者はやり取りすることを許可すべきではないと弊社分析エンジンが結論づけています。
生成AIでは変化と改良が続いているので、この分野ではまだまだ未知の発見が多くあります。AIが作成したBEC攻撃の出現により、実際に見られる攻撃の数は最終的に増加する可能性があるものの、強固なセキュリティ・ソリューションとプロセスを導入している組織では、攻撃の成功率が上昇することはないと見込んでいます。
フィッシング攻撃の傾向
昨年8月、弊社2023年フィッシング・レポートを発表しました。同年、Cloudflareは約130億通のメールを処理し、うち約2億5千万通の悪意のあるメッセージが顧客の受信トレイに届くのをブロックしました。ChatGPTがリリースされた年であったにもかかわらず、弊社の分析では、攻撃は依然として悪意のあるリンクなど往年見られてきたベクターを中心に展開されていることがわかりました。
ほとんどの攻撃者は、依然としてユーザーにリンクをクリックさせる、もしくは悪意のあるファイルをダウンロードさせようとしていました。先に述べたように、生成AIは読みやすく説得力のあるメッセージの作成には役立つものの、攻撃者が攻撃であることを判別しにくくすることには役立ちません。
Cloudflareのメールセキュリティモデルは、リンクや添付ファイルを精査するために洗練されたアプローチを採用しています。リンクはクローリングされ、ドメイン自体の情報だけでなく、ページ上の要素やブランディングに基づいて精査されます。弊社のクローラーは、リンクが潜在的な信用情報収集ツールであるかどうかを確認するために、入力フィールドもチェックします。また、リダイレクトや地理的ロックの背後に武器となるリンクを設置する攻撃者に対しては、Cloudflareネットワークを活用することで弊社に向け仕掛けられるあらゆる障害物を迂回できます。
弊社の検知システムも同様に、添付ファイルは厳格に取り扱っています。例えば弊社のシステムは、添付ファイルのうち簡単に偽造できる部分と偽造できない部分があること押さえています。そのため、弊社のシステムは添付ファイルを原始的な構成要素に分解したうえで異常がないかをチェックします。これにより、攻撃者にバイパスされる可能性のある従来のサンドボックスよりも正確に、悪意のあるファイルをスキャンできます。
攻撃者はLLMを用い、ユーザーに特定の行動を取らせるためにより説得力のあるメッセージを作成することができる中、弊社のスキャン能力により悪意のあるコンテンツをキャッチし、ユーザーがそのコンテンツと対話するのを防ぎます。
電子メールの解剖学
電子メールには、本文と件名以外の情報が含まれています。検出の仕組みを構築する際、電子メールにはミュータブル(可変)とイミュータブル(不可変)のプロパティ両方があると考えます。本文のような可変プロパティは簡単に偽造できるものの、送信者のIPアドレスなど他の変更可能なプロパティの偽造には手間がかかります。一方で、送信者のドメインの古さや、既知のブランドとのドメインの類似性など、一切手を加えることができない不変の特性があります。例えば、送られてきたあるメッセージを見てみましょう。
メール内容例
上のメッセージはユーザーが目にするものですが、膨大なメールの内容のほんの一部となります。以下は、メッセージヘッダーの一部です。この情報は通常、受信者にとっては意味を持たない(ほとんどは既定値として表示されることがない設定になっています)ものの、防御する側にとっては宝の山のような情報が含まれています。例えば、弊社の検出では、DMARC、SPF、DKIMの予備チェックを行えます。これらによって、このメールが送信者とされる人物に代わって送信を許可されたかどうか、また受信箱に届く前に改ざんされたかどうかが分かります。また、送信者のIPアドレスを確認し、そのレピュテーションをチェックすることもできます。また、メールがどのドメインから送信されたかを確認し、メッセージに含まれるブランド名と一致するかどうかをチェックすることもできます。
メールヘッダの例
このように、メールの本文と件名は、メールがメールであるための要素のごく一部でしかありません。電子メールの分析を行う際、弊社モデルはメッセージのあらゆる側面を総合的に分析したうえでその安全性を評価します。弊社のモデルの中には、センチメントのような指標を得るためにメッセージの本文に焦点を当てて分析するものもある中、メッセージのリスクは、最終的にはメールのあらゆる側面を評価するモデルと連携して評価します。これらの情報がすべて、弊社の製品を使用しているセキュリティ担当者に公開されます。
Cloudflareメールセキュリティモデル
メッセージのさまざまな特性に基づいてトレーニングされた複数のモデルを使用するとの弊社の哲学は、弊社がSPARSEエンジンと呼ぶものに体現されています。2023年版Forrester Wave™ for Enterprise Email Securityレポートでは、アナリストは弊社のSPARSEエンジンを使用したフィッシングメールの検知能力について、「Cloudflareは、フィッシングキャンペーンのインフラストラクチャを構築中に発見するため、先制クローリングアプローチを使用しています。そのSmall Pattern Analytics Engine(SPARSE)は、自然言語モデリング、センチメントと構造分析、トラストグラフなど複数の機械学習モデルを組み合わせています」と述べています。
SPARSEエンジンは、弊社が観測したメッセージに基づき継続的に更新されています。年間数十億通のメッセージを分析できることから、トレンドをいち早く察知してモデルに反映させることで、その有効性を高めています。最近の例では、2023年後半にQRコード攻撃の増加に気づきました。攻撃者はQRコードを難読化するさまざまなテクニックを駆使し、OCRスキャナが画像をスキャンできないようにする一方で、携帯電話のカメラはユーザーを悪意のあるリンクに誘導していました。これらのテクニックには、スキャナで読み取れないように画像を非常に小さくしたり、画像をピクセルシフトさせたりするものがありました。しかし、これらのメッセージを弊社のモデルに読み込ませ、これらの詐欺の試みから得られた電子メールに関するすべての特性を分析するように訓練しました。こうしたデータを組み合わせることで、詐欺の試みが顧客の受信トレイに届く前に検知することができるようになっています。
弊社の先制スキャンアプローチは、脅威アクターの行動の揺らぎに対し、耐性を備えています。LLMは、現在攻撃者が今日より多く悪用しているツールとなっている中、将来的には他のツールも登場するはずです。その際、弊社のお客様はそうした脅威からも保護されることになります。
メールフィッシングの未来
攻撃者がユーザーにフィッシングを仕掛ける際の手口は悪い意味で創造的であり、電子メールの受信トレイの保護は難しい課題となります。この分野は常に進化しており、新しい技術が一般に普及するにつれて劇的に変化し続けるでしょう。生成AIの使用などのトレンドは今後も変化し続ける中、メール検知構築における弊社の方法論とアプローチは変わらずお客様を守り続けます。
CloudflareのCloud Email Securityによるお客様の組織をフィッシングの脅威からの保護に興味をお持ちの場合、Cloudflareの担当者にご連絡の上、フィッシング・リスク・アセスメント(無料)をご利用ください。Microsoft 365をご利用のお客様は、弊社の補完的レトロスキャンを実行し、お使いのソリューションが見逃しているフィッシングメールの確認も可能です。詳細は、直近で掲載したブログ記事をご覧ください。
弊社のソリューションについての詳細は、フィッシュ・リスク評価(無料)にお申し込みいただきご確認ください。
[1] Source: The Forrester Wave™: Enterprise Email Security, Q2, 2023
The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester Research, Inc. The Forrester Wave is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.