サウジアラビアの大手建設資材メーカーに対するEmotetトロイの木馬による サイバー攻撃をDarktraceのAIが阻止

　AIサイバーセキュリティのグローバルリーダーであるDarktraceは、同社の自動遮断技術であるDarktrace Antigenaが、サウジアラビアの建材供給企業を標的とした最近のEmotet攻撃を阻止するための自律的なアクションに成功したことを2022年2月24日に発表しました。

　創業から50年以上、現在35以上の支社を持つこのサウジアラビア企業は、早朝に攻撃者に侵入されました。Darktraceの自己学習型AIは、この企業の端末の1つが、端末から端末にマルウェアを急速に拡散し、財務上の機密情報を流出させる悪名高いトロイの木馬Emotetによって侵害されていることを即座に見破りました。Emotetは、この企業における従来の静的なセキュリティ制御をすり抜けており、そのまま放置するとランサムウェアの前兆になることがよくあります。

　Darktraceの自己学習型AIは数分以内に自律的なアクションを起こし、感染した端末と通常は利用されることがないホストとの間で発生した悪意ある通信を即座にブロックすることに成功しました。

　Darktraceの自己学習型AIは、この巨大建設企業のIT環境とOT環境の双方について通信パターンの定常状態を常時機械学習していたことで、Emotetのわずかな兆候を最も早期の段階で識別することを可能にしました。このアルゴリズムが侵入してきた攻撃を中断するための的を絞ったアクションを数秒以内に実行したことで、この企業は通常業務や他の正常な通信を中断することなくビジネスを継続しつつ、インシデントの調査に十分な時間を割くことができました。

　今回の攻撃は、サイバー空間のおける世界的な緊張が高まる中で発生し、米国、英国など英語圏5か国による機密情報共有の枠組みであるファイブ・アイズが各企業、特に重要な国家インフラの運営者やグローバルサプライチェーンに紐付く組織の防御を強化するように促した警告を受けたものです。

　Emotetは昨年1月に欧州刑事警察機構（Europol）によって制圧が宣言されましたが、11月に活動の再開が確認されました。今年に入り日本国内でも感染端末が急増し、2月8日時点で1,230件に達し、感染が最も拡大していた2020年9月に迫る状況です（JPCERTコーディネーションセンター）。

　DarktraceのThreat HuntingディレクターであるMax Heinemayerは、「2014年に出現して以来、Emotetトロイの木馬は何度も繰り返され、最近になって世界的にカムバックしました。この種のボットネットは止めなければすぐにランサムウェアのような攻撃にエスカレートする可能性があるため、特に危険です。ビジネスリーダーは、機密データが組織から流出する前に、そして身代金が要求される前に、これらの攻撃を阻止できる技術があることを知っておくべきです」と述べています。