メールセキュリティ

リモート画像がメールフィルターを限界に追い込む

Sébastien Goutal

1月 19 2021

1 min

MicrosoftやPayPalなどの人気ブランドになりすましたフィッシングメールを成功させるには視覚的コンテンツが必要です。ブランドロゴからカラフルな写真まで、画像は、そのメールが無害で正当であるという視覚的な手がかりを受信者に与えます。

しかし、画像は詐欺メールに視覚的な正当性の要素を加えるだけではありません。画像によってメールのフィルタリング作業ははるかに困難になります。テキストメールの部分から抽出できる関連コンテンツがないため、画像スパムはメールのテキストコンテンツ分析を回避する常套手段です。 実際に画像スパムの場合、テキストコンテンツは画像の中に含まれています。以下は、SunTrustのフィッシングメールの例です。メールにはテキストコンテンツは含まれていませんが、正当なHTMLコンテンツを模倣した単一の大きな埋め込み画像が含まれています。

Sun Trust

MD5などの暗号化ハッシュアルゴリズムに基づいたシグネチャによって同一の画像は比較的簡単に検出できますが、類似した画像を検出するためには複雑でコストのかかるアルゴリズムが必要です。実際にハッカーは、検出を回避するために、画像の圧縮レベル、比色分析、またはジオメトリを調整し、画像にわずかに手を加えてメールフィルターをすり抜けます。彼らの目的は、シグネチャベースのテクノロジーを回避するために各画像を固有のものにすることです。以下は、変造されているにもかかわらず、エンドユーザーが認識できるAlibabaロゴの例です。

Alibaba

ハッカーたちの間でこの手法の人気が高まるのと同時に、メールセキュリティベンダーは画像からコンテンツを抽出して分析する能力を改善させてきました。その結果、ハッカーたちは、メールセキュリティベンダーたちを欺く新しい方法を見つけました。

リモート画像

リモート画像は、メールセキュリティ技術の弱点を悪用しよう企むハッカーの手によって、最新のフィルターバイパス技術として登場しました。メールフィルターによってリアルタイムで分析される埋め込み画像とは異なり、リモート画像はウェブでホストされるため、分析する前にフェッチしなければなりません。2020年にリモート画像ベースの脅威は急増しました。2020年11月だけでも、Vade Secureは2,620万件のリモート画像を分析し、悪意のあるリモート画像を含む2億6,200万件のメールを阻止しました。 

リモート画像を分析するには、ネットワーク経由で画像をフェッチしなければなりません。サイバー犯罪者は、セキュリティスキャナーの検出プロセスをより面倒にするために、この弱点を利用しながら次のような他の技術も使用します。 

  • 複数のリダイレクト
  • クローキング技術
  • 高評価ドメインの不正使用

 

複数のリダイレクトを使用することにより、フィッシング攻撃を特定する時間を長引かせます。JavaScriptの使用も一般的であるため、セキュリティベンダーは、コストが高く、拡張が難しい最先端のWebクローラーを使用する必要があります。 

クローキング技術を使用すれば、画像をフェッチしているのがセキュリティベンダーではなく、対象とされた被害者であることを確認することもできます。たとえば、カナダの銀行の顧客を標的とするフィッシングキャンペーンは、カナダから発信されたウェブ接続にのみ悪意のあるコンテンツを配信する可能性があります。 

さらに、高評価のウェブサイトでリモート画像をホストすると、ドメインのレピュテーションを基本とする検出機能は太刀打ちできなくなります。ウィキペディアからGithubまで、ドメインの評価が高く信頼性の高いウェブサイトは、サイバー犯罪者によって絶えず悪用されています。 

結果として、これらのメールの多くは検出されなくなります。ユーザーにとって、これは多くの場合フィッシングメールを受信して報告することを意味しますが、それを再度受信するだけで、場合によってはその後複数回受信する可能性もあります。 

リモート画像ベースの脅威を阻止する 

画像ベースの脅威を阻止するプロセスには、Computer Visionが必要です。これは、コンピュータが視覚コンテンツを高いレベルで理解する方法に取り組む科学分野です。Vade Secureは、2020年の初めにディープラーニングモデル(VGG-16、ResNet)に基づく最初の Computer Vision技術を導入して、メールやウェブサイトのブランドロゴの検出に取り組んできました。 

ディープラーニングモデルは、収集された画像と人工的に生成された画像を使って訓練されています。サイバー犯罪者が用いるさまざまな技術や予想外の視覚的構成(異なる背景、異なるサイズやロゴの位置)に対して当社のテクノロジーが回復力を発揮するためには、人工的に生成された画像を使用することが不可欠です。以下はそのような画像の一例です。


それ以来、当社は、OCR(光学文字認識)とNLP(自然言語処理)モデルを組み合わせて、画像内の悪意のあるテキストコンテンツの検出に取り組んでいます。以下は、VadeSecureによって阻止された悪意のあるリモート画像のいくつかの例です。

Remote images

英語、ドイツ語、イタリア語などのさまざまな言語で脅威を検出するために、いくつかのNLPモデルを訓練したことは言及する価値があります。ますます多くのサイバー脅威がローカライズされているため、フィルタリングの精度を最大限に高めるためには、いくつかのNLPモデルを開発する必要があります。 

新たなフィッシング手法に備える 

AIとComputer Visionがメールセキュリティでより顕著になってきているため、サイバー犯罪者は革新を余儀なくされ、常にその打開策を探っています。新たな検出方法が開発されるたびに、サイバー犯罪者はそれを綿密に調べて、検出を回避するための新たなフィッシング技術を開発します。 

ほとんどのソリューションは画像を分析する能力に限界があるため、画像操作とリモート画像が顕著になり、洗練されてきています。サイバー犯罪者たちは、標的を調査することで知られています。企業のMXレコードをすばやく検索すれば、その企業のメールを保護するメールセキュリティソリューションが明らかになります。この情報を入手できれば、フィールターを回避する術が分かります。 

Vade Secure for Microsoft 365はAPIを介してMicrosoftに統合されるため、MX検索では表示されません。そのため、セキュリティの弱点を探しているサイバー犯罪者よりも有利になります。Computer Vision技術の継続的な研究と投資と併せて、これによって、他のソリューションが見逃してしまう恐れのある悪意のあるメールを特定し、今後出現する新しい画像技術に対応できます。