ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
かつて、セキュリティは非常に単純なものでした。企業は、堅牢なデータセンターの周りに強力な境界型の防御壁を構築し、ネットワークへの入口を堅固に守ることで、悪意のある攻撃者が内部にアクセスできないようにしていました。ところが、数十年前にデスクトップパソコンがインターネットに接続されたことで、突然攻撃対象がエンドデバイスにまで拡大しました。その時ブラウザーが狙われなかったのは、悪意のある攻撃者が悪用できる機能がそれほど多くなかったからです。そのため企業は、VPNやファイアウォール、サンドボックス、アンチウイルス、EDRなどのネットワークとエンドポイントのセキュリティに焦点を当てたセキュリティソリューションに頼るようになって行きました。
しかしここ数年、企業向けアプリケーションがデータセンターからSaaS(Software as a Service)プラットフォームやパブリッククラウドインフラに分散化したことで、GoogleやMicrosoft、そしてブラウザーへの新規参入者は、ネイティブアプリケーションに迫る高度な機能を備えた堅牢なブラウザーを開発する必要に迫られています。
しかし、結果として行われたネットワークセキュリティへの投資は、ブラウザーを保護するために計画されたものではありませんでした。その一方で、ブラウザーの高度化が進んだことで、悪意のある攻撃者はブラウザーの機能を悪用する新しい革新的な方法を発見しました。また、在宅勤務への移行がブラウザーにさらなるプレッシャーを与えており、高度化する攻撃者への対応が遅れる要因となっています。
今日の業務の75%以上がブラウザーで行われていることを考えれば、攻撃者がブラウザーをターゲットにしようとするのは当然です。Verizon 2022 Data Breach Investigation Reportによると、現在、侵害の90%はブラウザーを通じて発生しています。
堅牢なデータセンターを中心に強固な境界防御を構築する時代はとうに過ぎていることは明らかです。ブラウザーのセキュリティは、企業のセキュリティチームにとって最優先事項であるべきです。
デジタルトランスフォーメーションの進展やハイブリッドワークの普及、クラウドへの移行などによって攻撃対象が拡大しており、ITセキュリティチームはブラウザーを保護するためにあらゆる手段を講じる必要があります。しかし残念ながら、検知と対応のアプローチに依存している従来型のセキュリティソリューションでは、今日の高度に洗練された脅威に対処することは不可能です。今日の悪意のある攻撃者は、HEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)のテクニックを活用してブラウザーのセキュリティを回避し、最初にエンドポイントに侵入します。その後はそこにしばらく潜伏して企業内のより魅力的なターゲットを探し、時が来た段階で攻撃を開始します。
回避的なテクニックは多岐に渡っており、それにはメール以外のチャネルを使ったフィッシング攻撃、信頼されているファイルタイプを使ったマルウェアのデプロイ、人間の特性を利用してユーザーを騙し悪意のあるリンクをクリックさせる攻撃、ファイアウォールを抜けた後にファイルを再構築することで解析ツールを回避する攻撃などが含まれます。
ここでは、これらの回避テクニックを駆使した、現実世界で注目された3つの事例を紹介します:
ランサムウェアグループのOktapusは、現在進行中の悪名高いフィッシングキャンペーンにおいて、奇襲性とスピードを武器に、ユーザーを騙して認証情報を盗むことに成功しました。この攻撃はOktaの顧客を狙って偽のOkta認証ページへのリンクを含むテキストメッセージやメールを送信し、顧客がこのリンクをクリックすると、ユーザー名、パスワード、2FAコードをオンラインフォームに入力するよう要求されます。これは攻撃者がMFAを回避するための手法のひとつの例です。ユニークなコードやプッシュ通知の有効期限(通常2分)以内にネットワークに侵入するためには、迅速な行動が必要ですが、漏洩した認証情報を即座に利用するために、攻撃者はリアルタイムにツールを監視していたようです。
使われている画像やフォント、スクリプトが類似していることが多いため、セキュリティツールが不正なドメインを検知するために時間がかかり、その速度はOktapusを阻止するのに十分ではありませんでした。このグループは、ほぼリアルタイムに活動し、脅威が緩和される前にペイロードを配信してデータを抽出しました。偽のサインインページが発見されてブラックリストに登録された場合でも、ランサムウェアグループはすぐに新しいドメインを作成し、さらに多くの組織内の個人を狙いました。ブラックリスト、URLフィルタリング、フィッシングトレーニングなどの従来のセキュリティ対策では、攻撃者の初期アクセスを阻止することはできませんでした。
Menlo Labsの研究チームが発表した、Oktapusの脅威キャンペーンに関する詳細はこちらをご覧ください。
ある北朝鮮のグループが、エンドデバイスにマルウェアやランサムウェアをインストールする方法として、一般に使われているブラウザーの一連のゼロデイエクスプロイトを使用しました。ユーザーはまず侵害された(未知の、あるいは過去に安全と評価されていた)Webサイトに誘導されました。残念ながら、ほとんどの検知と対応のアプローチでは、ユーザーの生産性を阻害しないようにするため、分類されていないWebサイトをブロックしません。そして、過去に安全だと評価されていたWebサイトが侵害され、別の侵入経路を提供することもあるのです。さらに、悪意のあるファイルはパスワードで保護され、ファイル分析ツールから保護されています。パスワードがないとファイルの内容を分析できないため、ファイル分析ツールは通常、パスワードで保護されたファイルをブロックする代わりにネットワークに受け入れてしまい、生産性を落としてしまいます。このブラウザーセキュリティのチェックポイントを通過すれば、悪意のある攻撃者はネットワーク全体に自由に拡散することができます。
Menlo Labsの研究チームは、このキャンペーンについてこちらの記事で解説しています。
QakbotはQBotまたはPinkslipbotとしても知られており、世界的に蔓延している主要なバンキング型トロイの木馬の1つです。その主な目的はオンラインバンキングの認証情報(ログイン、パスワードなど)を盗むことですが、金融業務のスパイ活動、自己拡散、ランサムウェアのインストールを可能にする機能を獲得して、侵害された組織からの収益を最大化できるようになりました。Qakbotは、Lazarus Groupと同様に複数のレピュテーション回避技術を使用して、侵害されたばかりのWebサイトにユーザーを誘導し、悪意のあるファイルをダウンロードさせます。Menlo Labsの研究チームは、悪意のあるリンクがパスワードで保護されたZIPファイルを通じて送信されることを観察し、これにより検知ベースのセキュリティ技術による検査の対象からリンクが隠蔽されることを確認しました。リンクをクリックすると、悪意のあるペイロードがHTMLスマグリングによって配信されます。これは、HTMLページ内に悪意のあるコードを隠すことで、ブラウザーのセキュリティ対策を回避し、ファイアウォールを通過した後にエンドユーザーのデバイス上でマルウェアを再構築するHEATテクニックです。
Quakbotキャンペーンの詳細な内訳は、こちらでご覧いただけます。
悪意のある攻撃者は、一般に使われているブラウザーの脆弱性を侵害し、高度な回避技術を駆使して、検知と対応に依存する従来のセキュリティソリューションを賢く回避するようになっています。Oktapus、Lazarus Group、Qakbotによる攻撃は、攻撃者が検知を回避して脆弱なエンドポイントに最初の侵入を行い、価値のあるターゲットを求めてネットワーク内を横方向に移動するための方法の3つの例に過ぎません。セキュリティに対する従来型の検知ベースのアプローチが機能していないことは明らかであり、セキュリティスタックへの投資の多くは効果をあげていません。このような攻撃を未然に防ぐには、既存の検知機能の上に防御的なセキュリティ層を設け、攻撃による初期の侵入を阻止する必要があります。
検討すべき技術のひとつは、アイソレーションです。この技術では、悪意の有無に関わらず、すべてのコンテンツをクラウド上の仮想レイヤーで実行し、潜在的な脅威がエンドポイントに接することがないようにすることで、脅威が発生する前にそれを防御することが可能です。回避的な脅威は既存のネットワークやエンドポイントのセキュリティソリューションを凌駕しており、これらに対応することがどんどん難しくなっているため、それを防御する技術は非常に重要です。
