CONCEPT
固有のネットワークを機械学習し、ネットワークの「異常」を検知するダークトレースのAI技術をEメールに応用し、ソーシャルエンジニアリング、業務メールアカウントへの不正侵入、データ損失、スピアフィッシングなど、Eメールに潜むあらゆる脅威を検知します。
FEATURE 計700以上のメトリックスによる検知ロジックが存在
ブラックリストや事前定義に依存しない自己学習型のAIにより、個々のユーザーのメールアドレスのみならず、通信パターンや閲覧行動、組織における役割など、広範囲に個人の挙動も機械学習します。
メールの中身の分析はもちろん、メールの背後にある文脈、頻度、データ量、送信者と受信者の普段の関係性、さらに、その企業間や従業員の関係性も分析し、未知の脅威にも対応可能。
例) 送信者個人と受信者の企業の他の従業員は普段、どんなメールを、どれくらいの頻度で行っているか
アクション
・HOLD MESSAGE: メールを受信者へ受信させない
・MOVE TO JUNK: メールを受信トレイからジャンクフォルダへ移す
・LOCK LINK: リンクをクリックするのに確認の工程を挟ませる
・DOUBLE LOCK LINK: リンクにアクセスさせない
・DELETE LINK: リンクを削除
・CONVERT ATTACHMENT: ファイルを無害なPDFに変換
・STRIP ATTACHMENT: 添付ファイルを取り除く
・UNSPPOF: なりすまし宛先の名前を削除し、ヘッダーアドレスを表示
CASE STUDY
取引先アカウントの
乗っ取り
Darktrace/Emailはを導入していた企業にて、信頼する取引先からの不審なメールを検知しました。
普段からメールのやり取りをしている信頼する企業から、通常のメールのやり取りをした数時間後に、39⼈の従業員に送られてきた不審なメールをDarktrace/Emailが検知しました。
検知された理由
不審なログイン住所/リンクの怪しさ/いつもと違う受信者/件名の違和感から
これらのメールを不審と判断
- ➀IPの地理的場所
- 今回、攻撃者は⽶国のIPからログインしていたが、普段は英国からのログインであった。
- ②不審なリンク
- メールに含まれていたリンクは全てAzureにホストされていたため、ホストドメインの確認をすり抜けた。しかし、このドメインが送信者が普段メールに含めないドメインであった。
- ③普段受信しない⼈達
- 普段このアドレスからメール受信しない社員達にもメールが送られていた。
- ④件名の違和感
- シグネチャーベースの製品では件名に含まれるキーワードを照らし合わせるが、今回はそれでは検知されなかった。
Darktrace/EmailはAIの学習により、今回の受信者達が、普段は“ご提案”の⽂字を含むメールを受信することが無いことを知っていたので検知した。
Installation
Darktrace/Emailはダークトレース社のクラウドサーバー上で展開するサービスとなっており、MS365、又はGoogle Workspace/G Suite(Enterpriseプラン以上)の環境にてご利用可能です。
ジャーナリングの設定/API連携のみで簡単に導入ができ、MXレコードの書き換えは不要です。Darktrace/Email単体での動作も可能ですがが、Darktrace EISを導入している環境であれば、ネットワーク監視状況と併せて、EISのGUIから管理することもできます。
TRIAL トライアル
お客様環境に製品を実際に設置し無償で評価できるPoV(Proof of Value:価値証明)を実施しております。管理コンソールであるThreatVisualizerの利用だけでなく、POV期間中、Darktraceのサイバーアナリストから、検出内容についてのレポート(ThreatIntelligence Report )の提供、レポートの解説が実施されます。
