Declared an innovator and leader for Secure Web Gateways (SWG) by Frost and Sullivan

Back to blog

熱すぎて触れない:働き方の変化がHEAT攻撃を生んだ理由

Share this article

サイバーセキュリティを取り巻く環境は「変化し続ける野獣」のようなもので、終わりがありません。数千におよぶサイバー脅威のうちのどれかが、セキュリティチームが取り組むべき「今日の攻撃」の座を獲得し、瞬く間にそれは変化します。デジタルトランスフォーメーションへの取り組みが加速し、ユーザー、データ、ビジネスに不可欠なアプリケーションがクラウドに移行しつつある今、これらの脅威に対応するだけでも大変な労力がかかり、責任が伴います。最新の企業ネットワークは企業に対して非常に大きなチャンスと規模を提供していますが、脅威を与える側にとっても大きな可能性になっています。

現在、セキュリティにおける最大の問題は、サイバー脅威の検知と対応に特化したレガシーなアプローチと言って良いでしょう。しかし同時にこれは、ネットワークを戦略的・技術的に保護するために現在多くの企業がとっているセキュリティ戦略です。皆様も心当たりがあるかもしれませんが、セキュリティ担当者はニュースの見出しになるような最新の脅威を防止できると宣伝する新しいテクノロジーに、簡単に飛びついてしまいます。過去5年間に発生した大規模な情報漏えい事件を考えてみれば、ランサムウェアという共通のテーマがあることに気づきます。この10年間のランサムウェアの急増は、世界中のグローバル企業、政府機関、そして一般市民を苦しめ、中心的な問題となってきました。

ランサムウェアが組織に与える破壊的かつ長期的な影響もさることながら、より大きな問題は、恐らく、こうしたサイバーセキュリティの取り組みにもかかわらずランサムウェアが依然として従来型の防御策をすり抜けていることでしょう。

今、企業はエンドユーザーの画面に身代金要求が表示される日を恐れ、機密情報を管理するためにデータセンターのバックアップを取るなどして、身代金の要求に備えています。ランサムウェアは、私たちの注意を引く輝く物体のようなものです。しかしこれまで私たちは、最初に攻撃が起きる部分には目を向けてきませんでした。

主役に躍り出たランサムウェア

ランサムウェア攻撃はサイバーセキュリティの1つの時代を形作ると考えられています。サイバー犯罪の中で最も急成長している分野であり、すべての企業、消費者、デバイスに影響を与えています。米国司法省によると2016年以降米国では毎日4,000件のランサムウェア攻撃が発生しているということです。Cybersecurity Venturesの推計では、2021年にはランサムウェアが11秒ごとに企業に影響を与え、2032年には攻撃の頻度が2秒ごとに加速すると予測されています。その結果、ランサムウェアに関連するコストは、2021年には200億ドル、2031年には最大で2650億ドルに達する可能性があります。

これらの攻撃の大半は、フィッシングメッセージから始まることを忘れてはいけません。Verizonの2021 Data Breach Investigations Report (DBIR)によると、フィッシングは過去1年間の侵害で見られた「さまざまな行動(Action Variety)」の中でもトップになっています。また、侵害の43%はフィッシングやプリテキスティングと関連しています。これらのフィッシングメッセージの約96%は、現代の企業間コミュニケーションの要であるメールで届く傾向があり、悪意のあるPDFやMicrosoft Officeファイルが使用されます。これらのファイルタイプは現代の業務環境において広く使われ、信頼されているため、攻撃者が好んで使用する配信手段となっています。

これらの攻撃は、世界中の企業や政府機関、そして一般ユーザーを狙い続けており、攻撃者がその手を緩めることはありません。サイバー犯罪者は、ある攻撃手法が有効であればそれを使い続ける傾向があり、ランサムウェアの場合も同様です。DarksideNobeliumConti、そして今は無きREvilなどの脅威グループは何度も成功を収め、数百万ドルの利益を得たのです。ちなみに、これらの攻撃で要求された身代金の平均額は20万ドル(約2,000万円)です。

また、攻撃に参加しているのは高度な技術を持つグループだけではありません。Ransomware as a Service(RaaS)、つまりすでに完成したランサムウェアツールを使って攻撃を仕掛けることができるサブスクリプション型モデルの利用が広がっており、セキュリティ企業のSophosが分析したところランサムウェア攻撃の60%がRaaSグループによるものとされました。

2019年から2020年にかけて、ランサムウェア攻撃は2倍以上に増加したというWashington Postの分析がありますが、これはパンドラの箱が本当に開く前の話です。COVID-19の世界的なパンデミックの後にパーフェクトストームが発生し、攻撃者にデジタルへの扉を開き、ダークウェブに進化をもたらしたのです。

パーフェクトストーム:高度に回避的で適応型の脅威の出現

2020年に世界中の労働力がリモートに移行した際には、企業はアプリケーションやサービスをクラウドに移行させ、従業員がいつでも、どこからでもWebブラウザー経由でリソースにアクセスできるようにしたことで、新しいビジネスモデルへ迅速に移行することができました。ブラウザーが実質的なオフィスとなり、リモートで働く人々にリソースへのアクセスを提供したのです。Googleによると、それ以降エンドユーザーは1日のうち平均75パーセントをWebブラウザー上で過ごしているということです。

さらに、リモートワークやハイブリッドワークが一般的になるにつれ、Software as a Service (SaaS) アプリケーションが爆発的に普及しました。最近の調査によると2021年末までに99%の企業が1つ以上のSaaSソリューションを利用しており、中小企業の78%近くがすでにSaaSオプションに投資していることが分かっています。

そして今では、ユーザーとそのデータ、そしてアプリケーションはすべてクラウド上に存在するようになりました。このようにすべての作業がクラウド上で行われている一方で、ここは従来型のセキュリティ対策(未だに非常に頼りにされている)が対応していない場所でもあるのです。Webブラウザーは常に脆弱性に対処するために更新しなければならず、SaaSアプリケーションは守らなくてはならない範囲をさらに拡大し、保護すべき業務とデータはさらに分散しています。攻撃者はこのパラダイムの変化を察知し、ランサムウェア、エクストーションウェア、その他のエンドポイント侵入を開始するための楔として、HEAT(Highly Evasive Adaptive Threats : 高度に回避的で適応型の脅威)を作り出しました。

HEAT攻撃は、2020年のSolarWindsサプライチェーン攻撃や2021年7月から10月までに発生した数千の攻撃の背後にいるロシア国家公認の組織やNobeliumなどの有名な攻撃グループによって積極的に活用されています。さらに、GootloaderキャンペーンもHEAT攻撃の典型的な例で、SEOポイズニングにより侵害されたWebサイトのハイレベルなページランキングを生成するものです。この攻撃は、ランサムウェア「REvil」を配信することで知られています。

何がHEATをもたらしたのか?

HEAT攻撃は、Webブラウザーを攻撃経路として利用するサイバー脅威の一種であり、現在のセキュリティスタックにおける複数の検知層を回避するためのさまざまなテクニックを用いています。その結果、HEATベースの攻撃は従来のWebセキュリティ対策を回避し、Webブラウザーの機能を利用してマルウェアを配信したり、認証情報を漏洩させたりします。これは多くの場合においてランサムウェアの配信につながります。

Menlo Labsのチームは50万個以上の悪質なURLを分析し、その69%がHEATの手法を利用していることを突き止めました。さらに同チームは、2021年後半にHEAT攻撃が224%増加したことを観測しました。

攻撃者は新しいツールを考え出すのではなく、標的とする環境に適応することで、悪意のあるコンテンツをエンドポイントに配信します。最近のWebを介した攻撃に見られるように、攻撃者はブラウザー環境内で利用可能な正規の機能やツールを利用して、悪意のあるペイロードをエンドポイントに配信しています。その良い例がこのトロイの木馬「Astaroth」で、HTMLスマグリングを利用して、悪意のあるペイロードをネットワークベースの検知ソリューションから隠してしまうのです。

Astarothは「環境寄生型脅威」として知られており、エンドポイントで実行されると、そのエンドポイントの環境の中で利用可能な正規のツールやプログラムを活用して悪意のあるアクションを実行します。Astarothの攻撃者は今回、エンドポイントからさらに一歩進んで、HTML5/JavaScriptの正規の機能を利用して悪意のあるペイロードをエンドポイントで生成するHTMLスマグリングを利用して、同じ手法をブラウザーに適用しようとしています。この新しい戦術は、現代の脅威が標的の環境に適応していることを物語っています。

ここ数カ月で、HEAT攻撃の速度、量、複雑性は増しています。これは、近年のリモートワークへの移行により、ビジネスと個人のコンピュータ使用の境界が曖昧になったことを悪用するものです。また、過去10年間のネットワークセキュリティを振り返ったときに、唯一の進歩はサンドボックスですが、このツールはHEAT攻撃に関しては完全に時代遅れです。なぜかというと、これは悪意のあるコンテンツを監視して特定するために、オペレーティングシステムレベルのアクティビティに依存しているからです。

HEAT攻撃は、今日の伝統的なセキュリティスタックのさまざまなレイヤーを回避するように設計されています。これらのセキュリティレイヤーを簡単に突破してWebブラウザーに到達し、エンドポイントやエンドユーザーの目前で実行されるのです。HEAT攻撃は、10年以上にわたるセキュリティ技術への投資を完全に無効化してしまいます。

現在のセキュリティスタックの限界

HEAT攻撃では、ブラウザーに到達する前の段階のすべてのセキュリティ防御は無力です。これには、セキュアWebゲートウェイ(SWG)のアンチウイルスエンジンやサンドボックスによるファイル検査、ネットワークやHTTPレベルの検査、悪質なリンク分析、オフラインドメイン分析、IOC(Indicator of compromise)フィードが含まれます。HEAT攻撃は、これら従来型の検知方法をすべて回避するため、企業が10年以上かけて行ってきた技術投資がまったく意味をなさなくなってしまいます。しかし、HEATが利用するすべての機能には本来の用途があるため、企業はそれをブロックするわけにはいかず、悪意を持って使用することを防止する能力が必要なのです。

Webセキュリティの欠点を補うために、エンドポイントセキュリティに頼ることはできません。強化された機能を提供するEDR(Endpoint Detection and Response)市場は急成長しているかもしれませんが、HEAT攻撃に対する防御能力は保証されていません。エンドポイントセキュリティは、脅威がエンドポイントに侵入した時点で初めて検知することができます。しかしその時点では、ネットワークはすでに侵害されていると考える必要があります。また、エンドポイントセキュリティでは、管理されていないデバイスへの感染を防ぐことはできず、Security Operations Center(SOC)チームが調査しなければならないアラートが大量に発生し、アラート疲れを引き起こす原因になってしまいます。

最新のセキュリティアーキテクチャが多層防御を提供しなければならないことに変わりはありませんが、アーキテクチャ内のすべてのコンポーネントが協調して機能し、組織に完全かつシームレスな防御効果を提供できる必要があります。近年、ネットワークセキュリティの効果は低下しており、エンドポイントやSOCにかかる負担は大きくなっています。ネットワークセキュリティスタックに主要な通信経路に対する予防策を導入することで、エンドポイントの侵害に対するプレッシャーを軽減し、SOCチームが調査してエスカレーションするためのアラートを減らすことができるという大きなメリットが得られます。

感染経路:HEAT攻撃の要件とは?

HEAT攻撃として分類されるためには、従来のネットワークセキュリティ防御を回避する次の4つの技術のうち、1つ以上を使っている必要があります。

静的コンテンツ検査と動的コンテンツ検査の両方を回避

HEAT攻撃は多くの場合、ブラウザー環境内でHTMLスマグリングやJavaScriptを悪用して、悪意のあるペイロードをエンドポイントに送り込みます。この手法では、検査可能なリモートファイルをリクエストすることなく、ブラウザー上で悪意のあるファイルを構築することで結果としてマルウェアを転送することになり、レガシーなプロキシのサンドボックスやアンチウイルスなど、さまざまなファイアウォールやネットワークセキュリティソリューションを効果的に回避することができます。さらに、SWGのポリシーによってブロックされると想定されるファイルタイプでも、ユーザーの操作なしにエンドポイントに到達します。

Menlo Labsのチームは、攻撃者によるHTMLスマグリングの利用が急増していることについて、様々な分析を行ってきました。最近の例として、「ISOMorph」と名付けられた新しいキャンペーンを観測しており、これは人気のメッセージングアプリ「Discord」を利用して悪意のあるペイロードを配信していたというものでした。このキャンペーンでは、「ダウンロード可能なBLOB」という手法を用いており、ブラウザー上でファイルを構築し、ユーザーの操作なしにエンドポイントにダウンロードさせるというものです。Discordの登録ユーザー数が3億人以上もいるため、このキャンペーンの影響は広範囲に及んでいます。

URLリンク分析を回避

HEAT攻撃は、従来からあるメール経路上でエンドポイントユーザーに到達する前に悪意のあるリンクを特定するためのリンク分析エンジンを回避します。HEAT攻撃では、Email以外の経路、例えばソーシャルメディアやプロフェッショナル向けのWebサイト、コラボレーションアプリケーション、SMS、共有ドキュメントなどを通じて悪意のあるリンクを標的に踏ませようとします。このような悪意のあるリンクは、企業のセキュリティを回避するためのマルウェアをエンドポイントに実行させる目的のために、個人情報ではなく企業の認証情報を盗むために使われることが多くなってきています。

最近のサイバー攻撃のキャンペーンでは、攻撃者はLinkedInのビジネスプロフェッショナルを対象にスピアフィッシングの手口を用いました。攻撃者は、このプラットフォームのダイレクトメッセージ機能を通じて、悪意のあるリンクを使用して偽の求人情報を提示し、最終的にバックドア型トロイの木馬に感染させて、被害者のコンピュータを完全にリモートコントロールできるようにしたのです。このスピアフィッシング攻撃は、メールの経路には一切現われず、そこで行われるはずの分析も回避しました。

ダウンロードされるファイルやコンテンツを分析するサンドボックスは、HTMLスマグリングと組み合わされた攻撃に対しては無力です。サンドボックスはHTMLページを検知して分析しますが、ネットワークセキュリティのコントロールポイントを通過した後にブラウザー内で動的に生成されるファイルまでは見ることができないからです。

オフラインでのカテゴリ分けと脅威検知の回避

HEAT攻撃は、既存の良性のサイトを侵害したり新規にサイトを作成したり(Menlo LabsではこれをGood2Badと名付けました)して良性と判断されるWebサイトを使うことで、Webのカテゴリ分けによる検知を回避します。攻撃者はこれらのWebサイトを短期間だけ有効にして悪意のある目的で使用し、その後このWebサイトを元のコンテンツに戻すか、単に削除します。

Menlo Labsチームは、2020年から2021年にかけてGood2BadのWebサイトが137%以上増加し、2019年から2021年には958%とさらに大きく増加したことを確認しています。悪意のあるWebサイトの寿命が短いことを考えると、Webサイトの分析やカテゴリ分けを回避してIOC(indicators of compromise)として登場したときには、すでに手遅れで意味の無いものになってしまいます。

さらに、アプリケーションのエラーメッセージのログを記録するためのJavaライブラリであるLog4jに最近発見された重要なインターネットゼロデイ攻撃は、良性なWebサイトの侵害を増やすことになるでしょう。Log4jを利用しているWebサイトが大量にあることから、攻撃者はこのチャンスを利用してサイトをさらに侵害し、悪意のある目的に利用すると考えられるからです。

これと同様にMenlo Labsは、SolarMarkerと呼ばれるSEOポイズニングを用いた活発なキャンペーンを調査しました。このキャンペーンはまず、良性にカテゴリ分けされているアクセスの少ない大規模なWebサイト群を侵害し、これらのWebサイトに悪意のあるコンテンツを感染させることから開始されました。その後攻撃者は、これらのWebサイトのランキングを人為的に引き上げたため、結果的に悪意のあるコンテンツが多くのユーザーに配信されました。オフラインの分析エンジンがこれらのWebサイトを悪意あるものとしてカテゴリ分けする前に、SWGはこれらのWebサイトへのアクセスを許可していました。

SolarMarkerは、攻撃者が脆弱性のあるWebサイトを利用してキャンペーンを展開する、サプライチェーン攻撃の好例といえるでしょう。この場合攻撃者は、企業によるクラウドベースのアプリケーションの利用が増加していることに加え、ブラウザーの利用が増加していることを悪用する方法を見つけ出しています。

HTTPトラフィック検査を回避

HEAT攻撃では、ブラウザーのエクスプロイト、暗号マイニングコード、フィッシングキットのコード、既知のブランドロゴになりすました画像など、悪意のあるコンテンツがブラウザーのレンダリングエンジン内でJavaScriptによって生成されるため、Webページの実行やレンダリング前に適用される検知技術は役に立ちません。

Menlo Labsの観測によると、悪意のある目的のためになりすまされるブランドのトップ3は、Microsoft、PayPal、Amazonだということです。

その結果、これらのHEAT攻撃はWebページのソースコードやHTTPトラフィックを検査するための静的なシグネチャによる検知を回避できます。また、難読化されたJavaScriptが使用されることも多く、セキュリティ研究者と検知エンジンの双方にとって、検知の難易度が高くなります。

JavaScriptは、ほぼすべてのWebサイトで使用されているユビキタスなクライアントサイドスクリプト言語であるため、当然攻撃者はこれを利用します。HPの脅威研究チームによる最近の分析では、同様のJavaScriptの難読化を利用してリモートアクセス型トロイの木馬を配信し、機密データを吸い上げ、感染したデバイスを制御する脅威キャンペーンが発見されました。RATDispenserと名付けられたこのJavaScriptローダーは、検知率の低いJavaScriptの添付ファイルを使用していました。

熱くならない:HEAT攻撃を防ぐために

HEAT攻撃の感染経路はこれまでも長年にわたって企業を悩ませてきましたが、クラウドへの移行の加速やリモートワークの普及、そして近年の脅威環境の進化により、これらの攻撃は今や企業にとっての最大の脅威となっています。前述のとおり、セキュアWebゲートウェイ、サンドボックス、URLレピュテーション、フィルタリングなど、従来のセキュリティ機能はすべて、HEAT攻撃には効果がありません。問題は、HEATが使う機能には正当な用途があるため、単純にブロックすることができないということです。これらの技術を使わせないようにすることが重要です。

ナレッジワーカーは、生産性を維持するためにWebブラウザーへの依存を強めています。そこで仕事が行われている以上、最大のセキュリティ上の脅威もまた、そこに潜んでいることになります。しかし、1つだけ確かなことは、今日のセキュリティスタックの大半は、これらの脅威から保護することができないということです。

現代の企業は、サイバーセキュリティへのアプローチに関して、これまでの考え方を改める必要があります。そしてそれは、上に書いたようにWebセキュリティに対する長年の教義(過去10年間あまり変わっていません)に疑問を投げかけることを意味します。脅威を検知して修復するという従来の考え方に基づいたセキュリティ戦略は、すでに敗北を認めています。組織は、率先して脅威を予防する必要があります。

最新の働き方を守るためには、最新のセキュリティが必要です。現在必要とされている予防的なセキュリティ対策には、多階層の防御策に加え、生産性が生み出される場所を保護するという、ゼロトラストのアプローチをとることが必要です。多くの企業で、リモートワークやハイブリッドワークに対応する主要なセキュリティ技術コンポーネントを備えたSecure Access Service Edge(SASE)フレームワークの採用が進んでいるのは、そのためです。

セキュリティは、ユーザー、アプリケーション、データに近いところに適用するのが最も効果的です。SASEの基本は、接続性とセキュリティのためのスタックを統合し、それらをエッジに移動させることです。現実にSASEは、セキュリティ境界となるデータセンターや支店にあった多数のアプライアンスの中のレガシーなセキュリティスタックをすべて取り込み、統合されたスタックとしてクラウドに移動させます。これが、私たちがSASEセキュリティと呼んでいるものです。

SASEセキュリティとゼロトラストの考え方(すべてのコンテンツが疑わしいものであり、企業のセキュリティ管理の対象となる)の組み合わせは、これまでのネットワークセキュリティスタックのレガシーな欠陥に対処し、最終的に結果を変える、真に予防的なセキュリティへのアプローチとなります。

Share this article

Menlo Securityに関するお問い合わせ

Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。
また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。