自然言語処理（NLP）はソーシャルエンジニアリング攻撃の解決に役立ちます

新しいツールは、件名や URL に基づいてソーシャル エンジニアリング攻撃を検出するのではなく、テキストの意味分析を実行して悪意のある意図を判断します。

ソーシャル エンジニアリングは、解決策がほとんどない非常に一般的なタイプの脅威です。現在、2人の研究者が、自然言語処理（NLP）を使用して質問やコマンドを検出し、それらが悪意のあるものであるかどうかを判断することを目的とした新しいタイプのツールを使用して、攻撃者の成功率を下げようとしている。

2人の研究者は、カリフォルニア大学アーバイン校の教授イアン・ハリス氏と、ルートコアの主任コンサルタントであるマルセル・カールソン氏です。数年にわたる共同研究と議論を経て、彼らはソーシャル エンジニアリング攻撃に対抗するための行動を起こすことを決定しました。

ソーシャル エンジニアリング攻撃の成功率が非常に高い理由は、それが常にあらゆる情報セキュリティ紛争の最も弱い部分だからだと彼らは考えています。人間は本質的に親切であり、助けを求める人を喜んで助ける傾向があります。もちろん、悪意のある人物がこの善意を悪用したり操作したりして、悪意のある行為を犯すために情報を提供させようとする可能性もあります。

現時点では、電子メールのフィッシング検出を除いて、ソーシャル エンジニアリング攻撃の急増と成功を阻止する上でほとんど進歩が見られないと言えます。防御側にとって、この種の攻撃から身を守ることはますます困難になっています。一方、攻撃者は、ターゲットを学習し、正当なメールを装って送信し、外部の手法を統合してフィッシング キャンペーンをより強力にすることにますます長けています。

多くの企業は、新しいテクノロジーが解決策であると信じており、攻撃を検出して対応するのではなく、攻撃を防ぐことに重点を置き始めています。現在、ソーシャル エンジニアリング検出に関する研究の多くは、ヘッダー情報や埋め込みリンクなど、攻撃ベクトルとしての電子メールに関連付けられたメタデータの分析に依存しています。

研究者のカールソン氏とハリス氏は、異なるアプローチを取り、メッセージ内の自然言語テキストに焦点を当てることにしました。件名や URL に基づいてソーシャル エンジニアリング攻撃を検出するのではなく、テキストを意味的に分析して悪意のあるかどうかを判断するツールを構築しました。

ハリス氏の研究はハードウェアの設計とテストにも重点を置いており、自然言語処理を使用してハードウェア コンポーネントを設計しているのは、このアプローチがソーシャル エンジニアリング攻撃に対する防御に一定の役割を果たすことを認識しているためです。調査とテストの期間を経て、ハリス氏はソーシャル エンジニアリング攻撃を理解する最善の方法は文章とテキスト自体を理解することだと気づきました。

この戦術は、テキスト自体に焦点を当てることで、テキスト メッセージング アプリケーションやチャット プラットフォームなど、電子メール以外の攻撃ベクトルを標的とするソーシャル エンジニアリング攻撃を検出するために使用できます。音声認識ツールを使用すると、電話や対面で行われた攻撃をスキャンすることもできます。

[[235716]]

仕組み

ソーシャル エンジニアリング攻撃を成功させるには、脅威の実行者は非常に個人的な答えがある質問をするか、ターゲットに違法なアクションを実行するよう指示する必要があります。研究者のアプローチは、電子メール内の質問や命令を検出することができる。プライベートなデータを要求する質問や、安全なアクションを要求するプライベートなコマンドにフラグを付けます。

質問を「プライベート」として分類するプロセスでは、ツールは質問の答えを知る必要はなく、文で使用されている主動詞と目的語を通じて全体的な意味を評価することができます。たとえば、「お金を送る」という命令は、動詞 + 目的語（オブジェクト） - 「送る + お金」と要約できます。

電子メールで検出された「動詞 + 目的語」の組み合わせを、禁止アクションを記述するために使用される既知の「動詞 + 目的語」ブラックリストと比較することで、コマンドが悪意のあるものであるかどうかを判断できます。ハリス氏とカールソン氏は、認識トレーニングのためにフィッシングメールもいくつかランダムに選択し、誤分類を最小限に抑えるために各単語の同義語も考慮に入れました。

研究者らは、フィッシングメールから「動詞と目的語」の組み合わせをブラックリストに登録する必要がある理由として、こうした研究を実施する上での難しさの1つはサンプル攻撃を入手することだと述べた。検出精度を確保するため、研究者らは 187,000 件を超えるフィッシング メールと非フィッシング メールを使用してこの手法をテストしました。

今後、チームはデスクトップ ツールを電子メールやチャット クライアントに拡張し、ソーシャル エンジニアリング攻撃をスキャンする予定です。また、同社は自社の技術を拡張して、高度にパーソナライズされた攻撃の検出を完璧に行えるようにしたいと考えています。

フィッシング メールは通常、「広範囲に」送信されるもので、テキスト コンテンツは誰にでも当てはまる一般的な内容であり、対象を絞ったりパーソナライズされたりすることはありません。本当にパーソナライズされ、より被害が大きい攻撃は、誰かが電話であなたと話しているときに、電話の向こう側にいる脅威アクターが会話の具体的な内容に基づいて会話の内容をカスタマイズできる場合です。このタイプの攻撃は明らかに検出と識別がより困難です。

2人の研究者は、Black Hat 2018カンファレンスでソーシャルエンジニアリング攻撃を検出する手法を実演し、参加者がテストできるようにツールを公開する予定です。

[この記事は51CTOコラムニスト「李少鵬」によるオリジナル記事です。転載する場合はAnquannui（WeChat公開アカウントID：gooann-sectv）を通じて許可を得てください]

この著者の他の記事を読むにはここをクリックしてください