1. 標的型攻撃メール対策製品での
Jubatus 活用事例
前橋 賢一
NTTソフトウェア株式会社
1
CipherCraft® は NTT ソフトウェア株式会社の登録商標です。
その他、各会社名、各製品名は、各社の商標または登録商標です。
Jubatus Casual Talks #3: ビジネス応用編

2. 自己紹介
 前橋 賢一
 NTTソフトウェア株式会社 メディア事業部
 ビッグデータ関連業務を推進するチーム
 Jubatus の社内外案件への適用推進
 Jubatus OSS コミュニティへの成果フィードバック
 Jubatus サポートサービス
2

3. 0
300
600
900
1200
2011/10 2012/02 2012/06 2012/10 2013/02 2013/06 2013/10 2014/02
NTTソフト と Jubatus
 2012年4月~ Jubatus の検証に着手
 当時のバージョン 0.2.2
 精度/性能測定の片手間に Issue や Pull-Req を投げる
 2012年8月~ OSS コミュニティに Join (コミッタ2名)
 商用利用に向けた取り組み
 運用機能の仕様策定や試験実施
 RPM / Debian パッケージング
 ドキュメンテーション
 社内外案件からのフィードバック
 新機能、バグ Fix
3
GitHub
Issues
NTT SOFT

4.  危険なメールを、受信前に自動検知してブロック！
 「いつもと異なる特徴を持つ」メール
 「標的型攻撃に似た特徴を持つ」メール
4

5. 標的型攻撃で使われるマルウェア
書類アイコンに
偽装されていることが多い！
5
文書ファイルなど、見慣れたアイコンに偽装することで
メール受信者を欺く手法をとることが多い
IPA テクニカルウォッチ, 2012年10月
Copyright © IPA / 引用元: http://www.ipa.go.jp/about/technicalwatch/20121030.html
Word, Excel, PDF のアイコンを持ち、ドキュメントファイル
のように偽装された実行形式タイプのものがよく見られます
McAfee マウスリーウィルスリポート, 2013年7月
引用元: http://www.mcafee.com/japan/security/monthly/PC201307.asp
Adobe Reader の PDF ファイルと全く同じか、
よく似たアイコンを持つマルウェアが存在する
Microsoft Security Intelligence Report, Vol.11
引用元: http://www.microsoft.com/en-us/download/details.aspx?id=27605

6. 実際のマルウェア検体
6
＿人人人人人人人人人人人＿
＞ ビミョーに本物と違う ＜
￣Y^Y^Y^Y^Y^Y^Y^Y^Y^Y^Y￣

7. Jubatus の適用
 Recommender を使用して、偽装されたアイコンを検知
7
Jubatus
(学習モデル)
学習
(update_row)
類似度取得
(similar_row_from_datum)
正規の書類アイコン
添付ファイルのアイコン
スコア
0.9
スコア
0.2

8. アーキテクチャ
※サーバ側で動作するバージョンもあります (今回は割愛)
8
メール
サーバクライアントPC
CipherCraft®/Mail
標的型攻撃メール判別
ルールベース判定
＋
アイコン偽装判定
危険な
メールを
警告！
安全なメールは通過

9. Jubatus on Windows
9
 Jubatus は大きく以下の 2 モジュールで構成
 Core … 機械学習アルゴリズムやデータ構造
 Server … Core の機能を RPC (ネットワーク) 経由で提供
 Core は Windows でも（頑張れば）ビルドできる！
CipherCraft®/Mail
Jubatus
Core
Server
動的リンク

10. Jubatus on Windows
10
 Jubatus は大きく以下の 2 モジュールで構成
 Core … 機械学習アルゴリズムやデータ構造
 Server … Core の機能を RPC (ネットワーク) 経由で提供
 Core は Windows でも（頑張れば）ビルドできる！
CipherCraft®/Mail
Jubatus
Core
Server
動的リンク

11. まとめ
（実際に製品へ組み込んでみて）
 Jubatus のメリット
 高スループット (特に分析処理は、ほぼスレッド数スケールで動作)
 利用が容易 (機械学習ユーザの立場でも明快なAPI)
 将来的なリアルタイム処理・分散ニーズにも対応可能
 大変なところ
 トライ＆エラーのための仕組みが弱い
 精度検証のためのフレームワークを独自に開発
 製品としては、Jubatus (機械学習) だけでなく、ルールベース、
サンドボックス実行 (ビヘイビア分析) 等を併用することで「標的
型攻撃」全体の検知精度を向上
 機械学習は使いどころが大事
11

12. 最後に…
 商用レベルのサポートをワンストップでご提供！
 技術問合せ対応、緊急時オンサイト支援、ホットフィックス
 Jubatus 利用前のデータ分析も含めてご支援！
 詳しくは Jubatusサポートサービス で検索！
 http://www.ntts.co.jp/products/jubatus/
サポートサービス
12