連邦政府機関を標的とした4つの回避型Webブラウザー攻撃

連邦職員の働き方は、過去3年間で劇的に変化しました。デジタルトランスフォーメーションへの取り組みやクラウドへの移行、そしてハイブリッドなワークモデルの一般化により、インフラとエンドポイントが中央のデータセンターからネットワークのエッジに拡大し、ブラウザー経由でデータやアプリケーションにアクセスすることが増えています。悪意のある攻撃者はこのような攻撃対象の拡大に着目し、ブラウザーの脆弱性を利用して連邦政府機関を標的にしています。

この記事では、攻撃者がブラウザーの脆弱性を利用して連邦政府機関を攻撃する際に使われる4つの方法を紹介します：

1.URLフィルタリングの隙間を狙う

テロリストは昔から、爆発物を密輸（smuggle）するためには、爆弾を分解して個々の部品を別々に運んで国境を越え、セキュリティを通過した後に再度組み立てるのが最善であるれことを知っていました。サイバー犯罪者は、Webコンテンツをスキャンして既知のマルウェアのシグネチャや疑わしい動作を検知しようとする従来型のアンチウイルスやサンドボックスソリューションを回避するために、最近になって同様の技術を開発しました。このような手法には、HTMLスマグリング（Smuggling）として知られる動的なファイルのダウンロード、Javascriptの不正使用、パスワードで保護されたアーカイブファイル、大きすぎるサイズのファイルの使用などがあります。検査ポリシーの間隙を狙って悪意のあるコンテンツにセキュアWebゲートウェイ（SWG）を通過させ、侵入後にブラウザー上で再構成して有効化します。

2.拡大する脅威ベクトルを狙う

これまでフィッシング攻撃はメール経由で配信されるのが一般的でしたが、先進的な攻撃者は現在、メールセキュリティツールがカバーしていない他のチャネルを経由して悪意のあるコンテンツを配信します。これには、Webサイトなどのブラウザーベースのコンテンツ、SaaS（Software as a Service）プラットフォーム、ソーシャルメディア、プロフェッショナルネットワーク、コラボレーションツール、SMSなどが含まれます。企業と顧客やパートナーとの間の対話方法が増えるにつれて攻撃対象は拡大していますが、従来型のセキュリティソリューションはそれに追いついていないのです。

3.静的なカテゴリ分けエンジンを狙う

ある時点で、あるWebサイトが安全であるとカテゴリ分けされたとしても、翌日も同様に安全であるとは限りません。攻撃者はカテゴリ分けエンジンから信頼できると評価されているWebサイトをLegacy URL Reputation Evasion（LURE）と呼ばれる手口により侵害し、悪意のある活動の基地に変えてしまうことができるのですす。これには、有名企業やメディアが所有またはホストしているWebサイトも含まれます。また攻撃者は長期的な視野に立ち、新しいサイトを作成してカテゴリ分けエンジンからの評価を高めてから、悪意のあるコンテンツの配信を始めることも知られています。

4.JavaScriptの脆弱性を狙う

JavaScriptにはセキュリティ上の脆弱性があるにもかかわらず、WebサイトはJavaScriptを使い続けています。ブラウザーのエクスプロイトやフィッシングキットのコードのような悪意のあるコンテンツは、JavaScriptを隠蔽したり難読化したりすることで、SWGによる検知を回避します。そして悪意のあるJavaScriptは実行時にブラウザー上で姿を現わし、エンドポイント上でアクティブなコンテンツを実行します。また攻撃者はWebサイトを操作して偽装したロゴをモーフィング画像に隠し、検査エンジンでの視覚的な検知を回避します。

直面している脅威は何かを把握する

ハイブリッドな働き方が定着し、ブラウザーは連邦政府機関で最も重要なビジネスツールとなっています。ITチームは、このような変化を踏まえて従来のセキュリティ戦略を見直し、ブラウザーベースの攻撃がネットワークに侵入する前に検知して阻止することに注力する必要があります。そのための第一歩は、Menlo Labsの研究チームがHEAT（Highly Evasive Adaptive Threats）と名付けた「高度に回避的で適応型の脅威」に晒されていないかどうかを把握することです。