AIでメール作成者の癖を見抜く、トレンドマイクロがビジネスメール詐欺対策技術を開発：組織的対策を補う技術的対策

トレンドマイクロは、AIを活用したビジネスメール詐欺対策技術を開発した。文章作成上の癖を解析して、なりすましメールを検知する。今後、クラウドアプリケーション向けのセキュリティサービス「Trend Micro Cloud App Security」の新機能として提供する。

[＠IT]

　トレンドマイクロは2019年1月29日、AI（人工知能）を利用してメールの書き方の癖を分析し、ビジネスメール詐欺（BEC）による攻撃を防ぐ新技術「Writing Style DNA」を発表した。検知対象のメールは英語のみだが、2019年下半期（7〜12月）に日本語にも対応する予定だ。

　ビジネスメール詐欺では、経営幹部になりすまして従業員に偽の送金指示メールを送ったり、取引先になりすまして偽の請求書を送ったりすることで、金銭を詐取する。

　トレンドマイクロによれば、ビジネスメール詐欺の対策には組織的対策と技術的対策の2種類があるという。組織的対策では、送金処理に関する社内ポリシーや承認プロセス、振り込み先変更手続きのプロセス整備の他、従業員に対する教育が有効だという。送金するよう促された従業員が、承認プロセスなどによって偽の指示であることに気が付くことで被害を防ぐことができるからだ。

　技術的対策では多層防御の構築が重要だとする。「情報処理フェーズ」と「なりすましメール送信フェーズ」の双方が必要だということだ。情報処理フェーズでは、攻撃者が社内メールを盗み見たり、フィッシングメールや不正プログラムを送りつけたりする攻撃に対応する。なりすましメール送信フェーズに特化したのが、Writing Style DNAだ。

ビジネスメール詐欺には多層防御が有効　出典：トレンドマイクロ

どのような手法で見破るのか

　具体的には、ビジネスメール詐欺でなりすましの対象になる経営幹部や経理部長などのメールを使ってWriting Style DNAのAIに学習させる。大文字の利用頻度や文章の長さ、句読点、繰り返し、機能語（ファンクションワード）、空白行など、約7000通りの特徴が対象だ。対象者1人当たり500〜800通のメールを読み込んで学習するという。

約7000種類の特徴をあらかじめ学習しておく　出典：トレンドマイクロ

　その後、受信したメールを学習結果と照合することで、なりすましメールを検知する。ビジネスメール詐欺の疑いがあると判定した場合は、受信者や管理者に警告を発することで被害を防ぐ。

あらかじめ学習した特徴とのずれを検出する　出典：トレンドマイクロ

　ビジネスメール詐欺への対策では、業務メールの盗み見やメールアカウントの乗っ取りを防ぐための不正プログラム対策や、不正サイトへのアクセスを防止する対策などに加えて、なりすましメールを検知する対策が重要だと、トレンドマイクロは指摘する。

　既存のトレンドマイクロ製品は、模造されたドメインからのメールをブロックする機能や、メールの件名や本文に記載された緊急度や振り込みを指示する文言を基にビジネスメール詐欺を検知する機能を備えている。

メールのヘッダや本文の特徴からも偽のメールを判断できる　出典：トレンドマイクロ

　だが、最近のビジネスメール詐欺には、送信者情報やメールの件名、本文に記載される文言に不審な点が見られないものがあり、従来の対策だけでは攻撃を防ぐことが難しかった。

　なお、Writing Style DNAは、クラウドアプリケーション向けのセキュリティサービス「Trend Micro Cloud App Security」の新機能として、2019年2月15日に提供を開始する予定だ。さらに2019年2月18日からは、Microsoft Exchange Server向けのメール脅威対策製品「InterScan for Microsoft Exchange」でもWriting Style DNA技術の利用を開始するという。