2019年第2四半期は、受信ボックス保護率99.99%を達成

この記事は Protecting Ever More Inboxes With a 99.99% Inbox Protection Rate in Q2 2019 の抄訳です。

メールのエコシステムを守る取り組みの成果

現在Twilio SendGridでは、8万以上の有料ユーザが1か月に500億通ものメールを送信しており、90日間で世界中のメール利用者の半分にリーチできるほどになっています。

これほどの通数を送信するには、コンプライアンスや受信ボックスを守るための仕組みが必要であり、それは拡張可能かつ高性能でなければなりません。2019年第2四半期は「Inbox Protection Rate（受信ボックス保護率）」という評価指標の値で0.02%の改善が見られ、ついに99.99%を記録しました。

これは大きな成果です

フィッシング攻撃による被害は、攻撃を受けた個々人の金銭やプライバシーの範囲内であると思われるかもしれませんが、もし被害者が企業のマネジメント層であった場合、その影響範囲は何倍にも膨れ上がる可能性があります。

今回の記事では、メールのエコシステムを守る取り組みの成果や現状についてご紹介します。

あらゆる情報を利用しています！

プラットフォームやテクノロジーを守るセキュリティの専門家は、過去の実績に満足せず、将来の攻撃に備える必要があります。しかし、サービスの規模が大きくなるほど監視は難しくなるものです。

Twilio SendGridでは、TensorFlowを使った機械学習ベースのフィッシングメール検出・除去システム（Phisherman）を開発しました。検出誤りを正しながら継続的に学習させることで、検出精度が向上する仕組みです。

この仕組みでは、Phishermanが強力な攻撃にさらされるたびに精度が向上します。また、正当なメールを誤検出したケースや、報告を受けたインシデントについては人手で反映しています。

このように、機械学習と専門家の手によってTwilio SendGridを利用した攻撃を未然に防ぎ、正当なメールを素早く届けられることを目指しています。

フィッシング攻撃の手口

フィッシングメールには様々な手口があります。例えば「ナイジェリアの手紙」と呼ばれる詐欺では、少額の前払い料金や個人情報を提供することで莫大なリターンを約束するメッセージが送られます。受信者がもし騙されると、攻撃者は被害者の銀行口座にアクセス可能になります。

フィッシングは世界中のデータ詐取被害の90%を占めます

フィッシング攻撃を受けた中規模企業の損失額は平均160万ドルにも上ると言われ、会社の規模が大きくなるほど被害額も攻撃の頻度も上がります。フィッシングの特徴は、ソーシャルエンジニアリングを中心とした手口である点、そして、小さなグループを狙った攻撃であっても侵害された情報によっては致命的な被害が出る点にあります。

私たちはこれまでに、効果的なコミュニケーションチャネルであるメールを安全に使い続けられるよう、フィッシングの様々な手口や狙われやすいカテゴリに注目してきました。

過去30日間のフィッシングのカテゴリ トップ3

1. クラウドサービス（メールプラットフォーム、ドキュメント、ストレージ、その他のクラウドツール）
2. 金融（銀行、支払システム、その他の金融系サービス）
3. 教育（大学の会計部門などを狙った攻撃）

金融系サービスへの攻撃が多いことは感覚的に分かりやすいと思います。金融データから得られる儲けが大きいからです。

一方で、私たちが日々利用しているクラウドサービスへの攻撃は少々イメージがつかみにくいかもしれません。例えば、過去30日間に試みられた攻撃には、以下のようなものがあります。

• ボイスメールフィッシング ･･･ メール内に音声データへのリンクがあり、そのリンク先がマルウェアなど悪意のあるサイトになっている
• ドキュメントフィッシング ･･･ 共有ドキュメントのリンクをクリックすると、受信者のローカルマシンにウィルスを感染させたり、何らかの攻撃を与えたりする

大規模な小売業者や電気機器ブランドは市場が大きいため、サイバー攻撃の標的になりがちです。サービスが拡大するほど監視対象が増え、攻撃を防ぐのが難しくなります。

教育関連のフィッシングでは学生が狙われ、大学を騙った通知が届いたりします。この手法は、高齢者の金融取引や医療詐欺を狙ったものとあまり変わりません。どちらのケースでも、標的となる年齢層に合わせたソーシャルエンジニアリングの手口が使われます。

99.99%の受信ボックス保護率を維持するため、進化を続ける攻撃手法をこれからも注視していきます。

フィッシングの加害者や被害者にならないために

フィッシング攻撃が止まらないのは、それだけ効果が見込めるからです。Verizon社の2016年の調査によると、フィッシングメールの受信者のうち30%がメールを開封しているそうです。被害を防ぐには、多方面からの対策が必要です。

メールサービスプロバイダから顧客向けにメール配信する業者まで、あらゆる関係者が、フィッシング攻撃への対策や受信ボックスの保護に関心を寄せています。以下、メールの送信者が考慮すべきポイントを挙げます。

1. SPF・DKIM・DMARCを適切に設定しましょう。完璧な対策ではありませんが、あなたのブランドを騙るフィッシングメールの送信をある程度防ぐことができるはずです。DMARCポリシーをquarantine（隔離）またはreject（拒否）に設定することで、自分のドメインからのメールでSPFやDKIMの認証に失敗した場合（例えば、他人が差出人を詐称した場合やコンテンツが改ざんされた場合など）にメールを届けないよう、宛先側に指示することができます。メールボックスプロバイダの多くがこの仕組みを導入していますが、250okの調査によると、民間での導入は遅れているそうです。
2. 受信者にとって迷惑なメールは送らないようにしましょう。受信者が望まないメールを送ることは迷惑メール送信者の行動とそれほど変わりません。件名から挨拶、CTAまで受信者にあわせてパーソナライズしましょう。スピアフィッシング（権限を持つ人を騙して、特定の人物・組織が管理する情報や金銭を詐取する手口）を除いて、一般的なフィッシングメールは、スクレイピングや不正な方法で取得した宛先リストへ無差別に送られるため、パーソナライズされていません。フィッシングと勘違いされないよう各々がメールのコンテンツを見直すことで、迷惑メールへの意識が高まります。結果的にメールのエコシステム全体にもよい影響が広がります。
3. フィッシング攻撃の見分け方を社員に周知しましょう。例えば、不自然な文章で書かれていたり、身に覚えのない資金援助の話であったり、メールクライアントで「開封すると危険な可能性がある」といった警告が表示されるメールが挙げられます。うっかり添付ファイルを開かないよう、IT部門やセキュリティ部門から指導しましょう。

また、ビジネスメール詐欺（BEC）の報告先を社内で決めておき、セキュリティ部門や専門ベンダの主導のもと社内でシミュレーションしておくと、いざというときに安心です。FBIの統計によると、BECの被害も増えてきています。

このような攻撃は、企業の業績に大きな影響を与えるだけでなく顧客の個人情報の漏えいにつながる可能性もあるため、十分に注意しましょう。

[用語] 受信ボックス保護率

受信ボックス保護率は、Twilio SendGridのサーバを経由して送信されたメールのうち、正当なメール（正当なビジネスで作成された非フィッシングメール）の割合を示します。スパムか否かは受信者の主観的な判断となるため、スパム判定の正確性や受信者からの評価を測るものではありません。また、Twilio SendGridから外部へ送信するメッセージを評価するだけでなく、宛先側の受信拒否など何らかの問題が発生して戻ってきたバウンス通知の内容についても分析しています。

さらに、凍結したアカウントを目視で確認した結果、フィッシングメールを送っていると判断した場合は、アカウントを停止し悪意のあるユーザとしてタグ付けします。タグ付けしたアカウントが過去に送信したメッセージをカウントして統計を取り、それらのメッセージを自動検出の仕組みに取り込んで効率化や堅牢性・検出率の向上に役立てています。

[用語] Phisherman

Phishermanは、メールコンテンツに関するTwilio SendGridの広い知見に基づいて開発された、機械学習ベースのフィッシングメール検出システムです。Phishermanでは、TensorFlowを使って構築したニューラルネットワークによりフィッシングメールである確率を計算します。パターン識別のために単語ベクトルを使い、正当なメールからフィッシングメールを選り分けるためのモデルと比較します。