ブラウザセキュリティの課題を解決するための考慮事項

まず残念なお知らせです。ブラウザセキュリティの課題は現実であり、拡大を続け、危険性を増しています。多層防御戦略にもかかわらず、フィッシング攻撃やランサムウェア攻撃は急増し続けています。侵害後の検知および対応手法は、定義上、ゼロデイ型フィッシング攻撃の前では機能しません。これは深刻な問題です。現在、全フィッシング攻撃の80％がゼロデイ型であり、シグネチャベースの防御を回避しています。
‍

これらは検知回避型攻撃として知られています。HEATとは、「Highly Evasive, Adaptive Threats（検知回避型攻撃）」の略です。残念ながら、ブラウザおよびそれが処理するWebトラフィックは、回避型および適応型の両方の攻撃を受けやすい構造になっています。

しかし朗報もあります。ブラウザセキュリティは、もはや未解決の問題ではありません。

この記事は、ブラウザセキュリティの課題を解決するにあたって、関係者が検討すべきさまざまな考慮事項を取り上げるシリーズの第1回です。今回取り上げる主なテーマは以下のとおりです。

• 建築
• ブラウザの選択とその影響
• GenAIセキュリティの重要性の高まり
• セキュアアプリアクセスとVDIの削減
• クラウドベースのブラウザセキュリティとレガシRBIの比較

この最初の回では、アーキテクチャに取り組みます。まず戦場を詳しく見てみましょう。
‍

検知回避型攻撃

高度に回避的で適応型の脅威（検知回避型脅威）は、サイバーセキュリティ上の脅威の一種であり、動的な挙動、ファイルレス攻撃、検出を回避するための遅延実行など、高度な手法を用いて従来のセキュリティ対策をすり抜ける特徴があります。これらの脅威は、レーダーの下を飛ぶように検出を逃れるよう設計されており、セキュリティ専門家が特定および軽減するのが極めて困難です。

HTMLスマグリングという検知回避型攻撃を考えてみましょう。これは、ファイル転送を最適化するHTTPメソッド、例えばチャンクファイル転送（ストリーミング）、範囲リクエスト（部分コンテンツ）、自動ダウンロードによって可能になります。攻撃者はこれらのファイルにマルウェアを埋め込みます。その後、JavaScriptのようなアクティブコードがダウンロードを検知し、マルウェアを起動することができます。HTMLスマグリングは、ネットワークベースの検知をすり抜けます。これは、アーキテクチャ上の制約により、HTML経由で転送されるファイルの内容全体を確認できないためです。また、悪意のあるJavaScriptがマルウェアを起動できる場合、エンドポイント検知も機能しません。AVスキャンが検知する前に実行されてしまうのです。Mitreはこれについてのより技術的な優れた議論をここで提供しています。

さらに、フィッシング攻撃の分野ではAIによる巧妙化が進んでいます。以前は、スペルミスや文法の誤り、送信者への不信感などからフィッシングメールを見抜くことが容易でしたが、今ではそうした手がかりがほとんど通用しなくなっています。そうした時代は過去のものとなりました。攻撃者は、GenAIの高度な機能を最大限に活用し、文法や文章を自然かつ洗練されたものにしています。以前は、出来の悪いフィッシングキャンペーンであっても実行には時間がかかりましたが、GenAIを使えば攻撃者は数分で攻撃を繰り返し改良できるようになっています。

そして現在、ニュースでも頻繁に取り上げられている新しい攻撃手法の1つが音声フィッシングまたはビッシングです。攻撃者が使用する、ビッシングの手口や手法は数え切れないほど存在し、絶えず変化しています。

ここで、単純な例を挙げましょう。

1. 私は自分のノートパソコンでストリーミングサービスを視聴しています。
2. 攻撃者は自分のコンピューターで同じストリーミングサービスを開始します。
3. 攻撃者は事前に調査を行い、私のプロバイダー情報を知っているため、まるでISPの担当者であるかのように信じ込ませることができます。攻撃者は私に「お客様のサービスをテストする必要があります」と言います。「service/device_authにアクセスして、画面に表示されているコードを送信してください。」
4. 攻撃者は、私のログイン情報を使用して自分たちのストリーミングサービスにアクセスしています。

この種の攻撃は消費者個人にとって痛手となるだけでなく、同じ手法がより重大で深刻な目的にも転用される可能性があります。Salesforce.comは現在、ビッシング攻撃によって盗まれた10億件以上の顧客記録の返還を要求する恐喝に直面しています。

では、ブラウザセキュリティソリューションのアーキテクチャが、こうした脅威への対策をどのように支援または阻害するかを考えてみましょう。
‍

アーキテクチャの選択

簡単に言えば、ブラウザセキュリティは次の2つの場所のいずれかで発生します。

1. エンドポイントでの実装。通常、これはブラウザプラグインを介して実行されるか、または組織内の標準ブラウザをIslandやPalo AltoのPrisma Browserなどの代替ブラウザに置き換えることによって実現されます。

2. クラウドでの実装。Menlo Securityのソリューションは、ユーザーのブラウザ、エンドポイント、または場所に関係なく、クラウド上でブラウジングセッションを分離します
   ‍

代替ブラウザは誤った安全性をもたらす

企業ブラウザの「手軽さ」に惹かれてはいけません。アーキテクチャ上、それらは多くの点で組織を脆弱な状態にさらすことになります。

1. ブラウザ自体は、ゼロデイのフィッシング攻撃やマルウェア攻撃に対して特有の脆弱性を抱えており、この脆弱性は、組織が標準ブラウザ（ChromeやEdgeなど）を代替ブラウザに置き換えた場合でも残ります。脆弱な箇所は依然として存在します。代替ブラウザは、ChromeやEdgeを動作させているエンジンであるChromiumをベースに構築されています。つまり、ChromeやChromiumに存在するすべての一般的な脆弱性および露出（CVE）は、Chromiumベースのあらゆるブラウザにも存在するということです。実際、Chromeを別のChromiumベースのブラウザ（例：Island）に置き換えることは、リスクを減らすどころか、むしろ高める可能性があると言えます。Chromeチームには、数千人規模のエンジニアがコードを精査し、CVEの修正に迅速に取り組んでいます。一方で、代替ブラウザのベンダーには、こうした人的リソースを確保することは到底できません。そのため、パッチの提供は常に遅れがちであり、その遅延が顧客に対するリスク曝露の拡大につながります。

2. また、管理されていないエンドポイントによって生じる大きなギャップも存在します。管理されたブラウザアプリケーションを、管理外で潜在的に侵害されたエンドポイント上に配置すると、新たな脅威ベクトルが生じます。ここでは、特権攻撃者がセッショントークンを盗んだり、ブラウザメモリをダンプしたりする可能性があり、深刻な結果を招くおそれがあります。

これに対し、クラウドベースのブラウザセキュリティアーキテクチャを採用することで、代替ブラウザやブラウザプラグインでは検知できない種類のゼロデイ脅威を軽減できます。

• ChromeおよびChromiumのCVEはクラウド上で修正され、管理対象・非管理対象を問わず、すべての露出したブラウザを保護します。これにより、デバイス上のブラウザが更新されていない場合でも、エンドポイントはリスクから守られます。なぜでしょうか。すべてのブラウザトラフィックは、Menlo Secure Cloud内で代理ブラウザインスタンスを通じて無害化され、エンドポイントを脆弱性から遮断しているためです。

• クラウドでは、事前対応型防御が可能です。どのように実現するのかクラウドでは、代理ブラウザがユーザーのトラフィックを傍受し、脅威がエンドポイントに到達するのを防ぎます。クラウドを使用しない場合、脅威はエンドポイント上で実行されます。

• クラウド内では、データ損失防止などのサービスが、機密データがエンドポイント上に物理的に存在する前に機能します。エンドポイントのセキュリティソリューションは、セキュリティチェーンの中で弱点となり得ます。その有効性はユーザーの訓練や行動に依存しており、ポリシー遵守や完璧な判断力をユーザーに100%求めるのは、現実的な戦略とは言えません。

• クラウドでは、データが一元管理されます。数百万件に及ぶブラウザセッションのログが、機械学習ベースのセキュリティ機能に活用されます。

‍

AIは役に立ちますか？

クラウドであれば、可能です。AIを適切に活用することで、ゼロデイ脅威を特定し、無効化することができます。これは、依然として代替ブラウザソリューションでは実現できていない理想の領域です。

まず、このレポートをご覧ください。悪意のある攻撃者が、AIを悪用して、AIによってカスタマイズされたフィッシング、スピアフィッシング、ホエーリング攻撃などを行っていることが分かります。

Menloは、詐欺サイトを検出するための機械学習ベースのアルゴリズムを幅広く開発しています。

• ロゴ検出（Menloのお客様は、自社のロゴの高解像度バージョンを提出し、詐欺サイト検出に使用されるMenloのロゴデータベースに追加することができます）

• ページ構造（各ページのDocument Object Modelの理解を含む）

• 入力フィールド

• URLパス全体の分析

Googleとのパートナーシップはこの分野で成果を上げ続けています。Menlo Heat Shield AIは現在、Google VertexプラットフォームおよびGeminiモデルを活用して、不正なフィッシングサイトの検出を大幅に強化しています。
‍

分岐点

ここまで説明してきたとおり、クラウドベースとエンドポイントベースのブラウザセキュリティの基本的なアーキテクチャ上の選択は、組織がHEAT攻撃の指数的な拡大から自らを守る能力に極めて大きな影響を与えます。しかし、本記事の冒頭で述べたように、これは唯一の検討要素ではありません。次回の掲載では、ブラウザの選択を維持することの重要性と、それがビジネスやユーザーに対して生成系AI（GenAI）機能を提供する能力にどのような意味を持つのかを取り上げます。

‍

‍