メール詐欺で狙われる
人間心理のツボとは
人間心理のツボとは
Abnormal AI
エンタープライズセールスエンジニア
エンタープライズセールスエンジニア
日原 茂氏
「当社が公開した2026年の脅威予測※でも、正規の相手を装う『信頼』の悪用、本人になりすます『アイデンティティ』の悪用、普段の業務フローに紛れ込む『日常業務』の悪用の3点を注意すべきポイントとして挙げています。攻撃者がこれらを狙ってくるのも、被害の原因が他ならぬ『人間』にあるからです」と話すのはAbnormal AIの日原 茂氏だ。
日原氏によれば、人間心理には「権威への服従」「緊急性・希少性」「ルーティン作業への油断」「同調圧力・前例」「日本的な上下関係・遠慮」の「5つのツボ」があるという。このツボを巧みに突くことで、攻撃を成功へと導くわけである。
「例えば、メールの内容が高役職者からの依頼だった場合、すぐに対応しなければという心理になりがちです。また、請求処理などの通常業務を装われると、それが攻撃であることに気づきにくい。このように、被害が生じる裏側には、人間心理の働きが強く関わっています」と日原氏は続ける。
行動解析AIで普段との
「ズレ」を検知
「ズレ」を検知
これに加えて、ビジネスメール詐欺が成功してしまうのには、もう1つの大きな要因がある。それは正規のアカウントやルートが攻撃に用いられる点だ。日原氏はその一例として、上層部・役員を装った攻撃事例を取り上げる。ここでは件名に自社名が使われていた上に、送信者名も実際に在籍する役職者を名乗っていた。本文もテキストのみであり、添付ファイルなども存在しない。単に、従業員リストを作成して指定の手段で返信するよう指示されただけであった。
もちろん、この「指定の手段で返信」というところが最大の曲者なわけだが、導入済みのセキュリティーソリューションではこのメールに対してブロックなどの処理は行われなかった。その理由は前述の通り、アカウントが乗っ取られた正規メールアドレスであり、送信元も正規のメールサービスだったからだ。
「従来型のメールセキュリティーでは、既知の戦術に対するルールやシグネチャ、サンドボックスなどを用いて悪意あるメールを検知します。しかし、その一方で、各ユーザー同士の普段のコミュニケーションパターンや取引先ごとのビジネス取引における行動パターン、アカウントの利用パターンなどをチェックするのは不得手です。このため、メールの文言や送信者の行動に多少不審な点があったとしても、詐欺メールと見抜くことが難しいのです」と日原氏は話す。
このような課題を解決するのが、同社が採用している「行動解析AI」である。ここでは、人間の日常的な行動を学習することで、普段とは違う「ズレ(アブノーマル)」を検知する。同時に、そのアカウントやIDの通常時における行動データも活用。さらに本文の内容についても、文章に普段とは違う点がないかを解析する。この3つのポイントを組み合わせることで、一見問題なさそうに見える詐欺メールをあぶりだすのである(図1)。 ちなみに同社が行動解析AIに着目した経緯もユニークだ。同社創業者かつCEOのEvan Reiser氏は、元々旧Twitter(現X)に所属しており、膨大な量の投稿を行動解析して最適な広告を出すためのAIエンジンを開発していた。そして、この技術をセキュリティー分野に応用できるのではないかと考えたことが、同社ソリューションが生まれるきっかけとなったという。
もちろん、この「指定の手段で返信」というところが最大の曲者なわけだが、導入済みのセキュリティーソリューションではこのメールに対してブロックなどの処理は行われなかった。その理由は前述の通り、アカウントが乗っ取られた正規メールアドレスであり、送信元も正規のメールサービスだったからだ。
「従来型のメールセキュリティーでは、既知の戦術に対するルールやシグネチャ、サンドボックスなどを用いて悪意あるメールを検知します。しかし、その一方で、各ユーザー同士の普段のコミュニケーションパターンや取引先ごとのビジネス取引における行動パターン、アカウントの利用パターンなどをチェックするのは不得手です。このため、メールの文言や送信者の行動に多少不審な点があったとしても、詐欺メールと見抜くことが難しいのです」と日原氏は話す。
このような課題を解決するのが、同社が採用している「行動解析AI」である。ここでは、人間の日常的な行動を学習することで、普段とは違う「ズレ(アブノーマル)」を検知する。同時に、そのアカウントやIDの通常時における行動データも活用。さらに本文の内容についても、文章に普段とは違う点がないかを解析する。この3つのポイントを組み合わせることで、一見問題なさそうに見える詐欺メールをあぶりだすのである(図1)。 ちなみに同社が行動解析AIに着目した経緯もユニークだ。同社創業者かつCEOのEvan Reiser氏は、元々旧Twitter(現X)に所属しており、膨大な量の投稿を行動解析して最適な広告を出すためのAIエンジンを開発していた。そして、この技術をセキュリティー分野に応用できるのではないかと考えたことが、同社ソリューションが生まれるきっかけとなったという。
従来ソリューションでは見抜けない
攻撃を阻止
攻撃を阻止
同社のソリューションの特長は大きく分けて3つある。まず1点目は「クラウドネイティブなAPI連携」である。受信したメールを取り込んで問題ないものだけを通すアプローチの場合、ソリューションに障害が発生した際にメールが届かなくなってしまう。その点、同社ソリューションはAPI経由でメールインフラにアクセスするため、このようなトラブルに見舞われる心配がない。導入やセットアップについても、簡単に実施することが可能だ。
続いて2点目が、前述の行動解析AIによる行動モデリングである。個々のユーザーや組織の行動モデルを構築し、普段とのズレを検知して攻撃を阻止する。さらに3点目が、マルチチャネル保護のための統合アーキテクチャだ。メールインフラはもちろん、SlackやZoom、Microsoft Teamsなどのツールについても保護することができる(図2)。 「従来型ソリューションにAIをアドオンする形だと、どうしてもリアクティブな対応にならざるを得ません。その点、当社ソリューションはAIネイティブなアプローチですので、既知のパターンにない最初の攻撃から検知できます」と日原氏は強調する。
実際に先ほどの攻撃事例でも、同社ソリューションでは詐欺メールと判定することに成功している。「当社では4万3000以上ものシグナルをチェックしています。その一つひとつは、誤検知にもつながりかねない小さなズレだったとしても、複数の不審点が重なると疑わしさが増します。例えばこの事例では、『送信者は実在の人物だがメールアドレスが異なる』『過去にこのアドレスでの送信実績がない』『送信者と返信先のドメインが異なる』などの理由から、詐欺メールと判定しています」と日原氏は説明する。
従来型のメールセキュリティーでは、たとえ黒判定ができたとしても、その理由が分からないという問題もあった。その点、同社ソリューションは、異常の理由を平易な言葉で説明してくれるため、役員などへの説明や報告も行いやすい。
これに加えて、侵害された正規アカウントやメールシステムからの攻撃にも効果を発揮。疑わしいリンクや異常な送信者ドメイン、普段はやりとりしない相手からの送信などをチェックすることで、見逃されがちな攻撃を検知できるという。
「このように今後のセキュリティー対策では、正規アカウントや人間心理を悪用する攻撃が当たり前になっていることを前提とする必要があります。特にお金を扱う業務については、別チャネルでの確認をルール化するなど、プロセスで最後の一線を引くのも1つの手です。とはいえ、それも限界がありますので、行動解析AIの活用もご検討いただければと思います」と日原氏は話す。
なお同社では、行動解析AIを体験してみたい企業向けの無償アセスメントも実施している。ここでは、既存のメールインフラに手を加えることなく簡単にセットアップできる様子が確認できるほか、実際にどのようなリスクがあったかを分析したレポートも提供される。ビジネスメール詐欺への対策を強化したい企業は、一度チェックしてみると良いだろう。
続いて2点目が、前述の行動解析AIによる行動モデリングである。個々のユーザーや組織の行動モデルを構築し、普段とのズレを検知して攻撃を阻止する。さらに3点目が、マルチチャネル保護のための統合アーキテクチャだ。メールインフラはもちろん、SlackやZoom、Microsoft Teamsなどのツールについても保護することができる(図2)。 「従来型ソリューションにAIをアドオンする形だと、どうしてもリアクティブな対応にならざるを得ません。その点、当社ソリューションはAIネイティブなアプローチですので、既知のパターンにない最初の攻撃から検知できます」と日原氏は強調する。
実際に先ほどの攻撃事例でも、同社ソリューションでは詐欺メールと判定することに成功している。「当社では4万3000以上ものシグナルをチェックしています。その一つひとつは、誤検知にもつながりかねない小さなズレだったとしても、複数の不審点が重なると疑わしさが増します。例えばこの事例では、『送信者は実在の人物だがメールアドレスが異なる』『過去にこのアドレスでの送信実績がない』『送信者と返信先のドメインが異なる』などの理由から、詐欺メールと判定しています」と日原氏は説明する。
従来型のメールセキュリティーでは、たとえ黒判定ができたとしても、その理由が分からないという問題もあった。その点、同社ソリューションは、異常の理由を平易な言葉で説明してくれるため、役員などへの説明や報告も行いやすい。
これに加えて、侵害された正規アカウントやメールシステムからの攻撃にも効果を発揮。疑わしいリンクや異常な送信者ドメイン、普段はやりとりしない相手からの送信などをチェックすることで、見逃されがちな攻撃を検知できるという。
「このように今後のセキュリティー対策では、正規アカウントや人間心理を悪用する攻撃が当たり前になっていることを前提とする必要があります。特にお金を扱う業務については、別チャネルでの確認をルール化するなど、プロセスで最後の一線を引くのも1つの手です。とはいえ、それも限界がありますので、行動解析AIの活用もご検討いただければと思います」と日原氏は話す。
なお同社では、行動解析AIを体験してみたい企業向けの無償アセスメントも実施している。ここでは、既存のメールインフラに手を加えることなく簡単にセットアップできる様子が確認できるほか、実際にどのようなリスクがあったかを分析したレポートも提供される。ビジネスメール詐欺への対策を強化したい企業は、一度チェックしてみると良いだろう。
