MacOS 用のリアルタイム フィッシング サイト検出ツールの作り方

この macOS 向けのリアルタイムのオンデバイスフィッシング対策ソリューションは、参照ベースの検出を新たなレベルに引き上げ、フィッシング Web サイトにアクセスしていることを Mac ユーザーに即座に警告します。

まず背景

2023年に公開されたフィッシングサイトはいくつありましたか？Antiphishing Working Group数えられた約500万。2024年の初めに、MacPawのサイバーセキュリティ部門であるMoonlock 報告されたAMOS スティーラーは、信頼できるブランドの偽の Web サイトを利用して、Apple コンピューターにマルウェアを拡散します。デバイスに感染するだけでなく、悪意のある目的で被害者の認証情報を収集します。偽装 Web サイトは危険なので、私のチームと私は対策を講じることにしました。

以下に説明するソリューションは、概念実証実験として始まりました。 ムーンロックMacPawの技術研究開発部門で問題点を解決し、実用的なプロトタイプをSTAST 2024で発表しました。私たちのポジションペーパーではソリューションの詳細を説明しており、当初はarXiv.org弊社のフィッシング対策アプリの中身を覗いてみたい方は、ぜひ読み進めてください。

現時点で私たちが手にしているのは何でしょうか?

現在のフィッシング対策アプリでは、主にブラックリスト、分類ベースのアプローチ、参照ベースのアプローチという 3 つの検出方法が使用されています。それぞれの方法には利点がありますが、いずれもさらなる改善が必要です。それぞれについて詳しく見ていきましょう。

ブラックリスト

ブラックリスト方式は実用的で正確ですが、フィッシング サイトの拡散速度には追いつけません。新しいフィッシング サイトをリストに追加する必要がある場合があり、攻撃者は検出を逃れるために URL を変更することが多いため、常に効果的であるとは限りません。

たとえば、Google セーフ ブラウジングは既知のフィッシング サイトのリストを使用します。Web サイトにアクセスしようとすると、このリストとアドレスが照合されます。一致すると、アクセスがブロックされ、危険について警告されます。しかし、その Web サイトがほんの数分前に公開されたものである場合はどうなるでしょうか。リストには載っていないため、ユーザーは罠にかかってしまいます。

分類ベースのアプローチ

このフィッシング対策方法では、機械学習が URL 構造、HTML コンテンツ、メタデータなどの Web ページの特徴を分析し、Web サイトが偽装されているか正規のものかを判断します。分類は、ユーザー データから学習して新しいフィッシング サイトを見つけるため、ブラウザー拡張機能に最適です。

ここでの欠点は、機械学習には複雑なアルゴリズムと大量のトレーニング データが必要である一方、サイバー犯罪者は検出を回避するために新しい難読化戦術を素早く考案することです。これにより、分類ベースのアプローチの精度は低下し、スタンドアロンのセキュリティ製品には適していません。

参照ベースのアプローチ

参照ベースのソリューションの中には、最先端のものと考えられているものもあります。これらのソリューションでは、コンピューター ビジョンを使用して Web ページの外観を分析し、フィッシング Web サイトを効果的に検出します。ただし、参照ベースのソリューションは、フィッシング ケースをクラウドで処理していなければ、より高速化できる可能性があることもわかっています。

フィッシング Web サイトが公開されてから、参照ベースの検出システムがそれをリストに追加するまでの間には、重大な時間差があります。私たちは、より迅速な検出と対応を確実にするために、この時間差を縮めたいと考えました。

macOSネイティブのフィッシング対策アプリの仕組み

私たちの目標は、フィッシングサイトが公開されたらすぐに Mac ユーザーに警告することでした。これを実現するために、参照ベースのアプローチを採用し、それを改善しました。クラウド処理を排除し、すべての計算をローカルで行うように提案し、検出時間を短縮することを目指しました。さらに、すべてのユーザー データはデバイス上で処理され、他の場所には送信されないため、私たちのソリューションではプライバシーが強化されます。

私たちはSwiftを使ってネイティブmacOSアプリを構築し、スクリーンキャプチャ機械学習です。モデルをコアMLフォーマットにより、スムーズなパフォーマンスを確保し、システムリソースの使用を最小限に抑えました。このようにして、プロトタイプはバックグラウンドでウェブページを継続的にスキャンし、追加の操作を必要とせずにMacユーザーをフィッシングサイトから保護します。プロトタイプはブラウザから独立して動作します。macOSアクセシビリティフレームワークとアクセシビリティ メタデータにより、アプリは特定の関心領域に焦点を絞ることができ、フィッシングを探す場所を把握できます。

簡単に説明すると、次のようになります。

最初のステップ: ウェブページの分析

ウェブサイトでは、アプリはページレイアウトを理解しようとします。ロゴ、入力フィールド、ボタンなどの主要なページ要素を識別します。このタスクでは、 ResNet-50 を使用した DETR正確性とパフォーマンスのためです。

このステップでは、Web サイト上の要素の配置、特にブランド ロゴと資格情報を入力するためのフォームがある領域を認識することが重要です。

第二段階: ブランド帰属

次に、プロトタイプは、Web サイトで検出されたロゴが有名なブランドと一致するかどうかを確認します。さらに、Web ページの URL を正当な Web サイトの参照リストと比較します。Web サイトが公式のものである場合、以降の手順は省略されます。

余談ですが、ブランドがマーケティングに使用している公式ドメインの数に私たちはがっかりしました。フィッシング Web サイトが被害者を騙すのに非常に効果的であることは不思議ではありません。たとえば、DHL には dhl.com、express.dhl、mydhli.com、dhlsameday.com、dhlexpresscommerce.com など、いくつかの公式ドメインがあります。

3番目のステップ: 認証情報の収集を防ぐ

ウェブページは、認証情報が必要かどうかという 2 つのカテゴリに分類されます。この手順では、フィッシング Web サイトがユーザーの個人情報を盗もうとしているかどうかを確認します。

スクリーンショットでは、プロトタイプが認証情報入力フィールドを見つけ、そのページを DHL のものとみなし、URL を公式 DHL ドメインのリストと照合しました。ページは DHL に属していないため、ユーザーにはフィッシング警告が表示されました。

プロトタイプはどれくらい正確ですか?

当社のシステムは、ベースラインの精度を維持または上回り、処理時間も確実に高速化しています。ロゴ認識では 90.8%、資格情報入力の検出では 98.1% の精度を達成しました。

以下のグラフは、他のフィッシング対策ソリューションと比較した当社のパフォーマンスと、精度、再現率、誤検出率の比較を示しています。当社は、誤検出率を 3.4% に抑えながら、フィッシング攻撃の 87.7% を検出しました。

高速かつスムーズです

最終的な指標は、私たちのソリューションがパフォーマンスを著しく低下させることなく、バックグラウンドでスムーズに実行されることを示しています。CPU の使用は最小限です。Apple M1 Mac の 8 つのコアでは、私たちのプロトタイプは利用可能な 800% の容量のうち 16% しか使用しません。この消費レベルは、アクティブな Safari タブ 3 つまたは Zoom 通話 1 回と同等です。

最後に

市場には数多くのフィッシング対策アプリがありますが、そのほとんどは外部サーバー上でデータを処理します。私たちのプロトタイプは、最新のコンピューターのハードウェアにより、機械学習モデルをデバイス上でローカルに導入できることを示しています。これらを使用してフィッシング対策を行うことができ、処理速度やシステム リソースの使用を心配する必要はありません。幸いなことに、Apple エコシステムは最適化のためのフレームワークとツールを提供しています。

著者: Ivan Petrukha、MacPaw Technological R&D のシニア研究エンジニア、元 Moonlock。