サイバー攻撃の手口は年々巧妙化しており、企業は自社の機密情報を守るため、様々な対応に追われています。しかし従来型のセキュリティツールは、どれだけアップデートしても未知の脅威から自社を守れません。そんな中、世界中で役立っているのが Darktrace/Email です。今回は、Darktrace/Email がどのような仕組みで、なぜこれまで以上に高いレベルでサイバー攻撃を防げるかを解説します。

従来型のセキュリティツールは、Eメールを単独でチェックしていました。企業に送られるEメール全体を俯瞰で見たり、メールが送受信される背景を考慮したりといったことはできません。基本的にはこれまで被害に遭った攻撃のパターンをもとに、同じ、もしくは類似した脅威を防ごうとします。

具体的な方法として、受信したEメールのIPやドメイン、ファイルハッシュを含む一連のリストと照らし合わせ、既知の脅威のパターンと重なるものがあったら保留します。また、どのようなメールを弾くかというルールやポリシーを事前に作成してチェックするケースも多いです。ここで作られたリストは膨大な量になり、新しい脅威が発生したらどんどん追加しなくてはなりません。

こういった対応をする限りは、新たな攻撃が生まれたらそれをリストに載せ、また別のものが生まれたらさらに追加するという、いわば「いたちごっこ状態」になってしまいます。新しい攻撃が生まれるスピードが年々速くなる中、これでは大切な情報を守り切ることはできません。IoC（Indicators of Compromise）が作成されルールが更新されるころには、すでに次の脅威がトレンドとなり後手にまわり続けてしまうでしょう。事実、攻撃者らは1件のEメールドメインを非常に安価な価格で購入しており、従来型のセキュリティツールはいとも簡単に飛び越えてしまいます。

また、正規のアカウントが乗っ取られ、そこから悪意のあるEメールが送られた場合、従来型のセキュリティツールはリスクを検知できません。送信元が信頼できるため、そこから送られるEメールを無条件で信用してしまうのです。そのため脅威を見逃す確率が高くなりますし、これを避けようとセキュリティレベルを上げると、正規のEメールまで保留してしまい、ビジネスに支障をきたしてしまいます。

上記のような課題を解決するため役立つのが、Darktrace/Email です。事前定義やブラックリストに依存せず、メール送受信の「癖」を機械学習する世界初の自己学習型Eメールセキュリティで、AIを搭載した Darktrace/Email は個々のユーザーが送受信するEメール本文や件名における普段の文体やスタイル、Eメール上の人間のコミュニケーションの癖や習慣、定常パターンを機械学習しながら、Eメールの送受信トラフィックを双方完全可視化します。チェックリストに記載があってもなくても関係なく「このEメールは悪性か？」という問いを立て、分析。過去のデータに依存することなく、以下のような問いを立てます。

これにより、通常とのかすかな違いや異常な動作を見つけ出し、あらゆるタイプのリスクを検知することができます。定常状態からの逸脱度に応じて、Eメールを受信者へ受信させない(Hold Message)、Eメールを受信トレイからジャンクフォルダに移す(Move To Junk)、リンクをクリックするための確認工程を挟ませる(Lock Link)、リンクをクリックさせない(Double Lock Link)、リンクを削除する(Delete Link)、添付ファイルを変換して無害化(Convert Attachment)、添付ファイルを取り除く(Strip Attachment)、なりすましのユーザー名を削除してヘッダーアドレスを表示(Unspoof)などの種々のアクションを自律的に発動することで、 ソーシャルエンジニアリング、スピアフィッシング、アカウントの乗っ取りなど Eメールを取り巻くあらゆるサイバー脅威を早期に自律検知します。

こういったまったく新しいセキュリティ対策を実行していることから、Darktrace/Email は多くのユーザーから高評価を得ています。ある企業のCIOは「Darktrace/Email はきわめて信頼性が高く効果的なソリューションであることが実証されました」と断言し、また別の企業のセキュリティ担当者は「Darktrace/Email は他のどのEメールセキュリティシステムより、何光年も先をいっています」と評しました。