ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
Software as a Service(SaaS)は世界を変えつつあります。ほぼすべての新規ビジネスが「サービスとして」ソリューションを使用して、社内外のさまざまな機能にわたるビジネスの生産性とシームレスなコラボレーションを確保しているためです。では、なぜ攻撃者はこのオープンアクセスを利用して、被害者を危険にさらそうとすべきではないのでしょうか。もちろん、彼らはまさにそれをしました。当社のデータによると、攻撃者は現在、信頼できるSaaSブランドを経由してマルウェアやクレデンシャルフィッシングを配信するという流れに乗り出しています。Menlo Labs(Menlo Securityのリサーチ部門)の私のチームは、過去3四半期のデータを分析して、悪意のあるWebサイトがホストされている場所を突き止めてきました。隔離プラットフォームを介してプロキシされるすべてのサイトを監視しているため、保護対象の何百万ものユーザーからのすべてのクリックとウェブサイト訪問を可視化できます。(そして、これらのクリックと訪問を切り離したことで、お客様はいかなる攻撃からも保護されました)。私たちが得た独自の洞察は、クリック時に無害と見なされ、後に悪質であることが判明したウェブサイトを知ることです。攻撃者がOneDriveやG Driveなどのクラウドストレージプラットフォームを悪用してペイロードをホストしているため、脅威の状況は明らかに変化しています。この変化は、企業にとって次のような困難な課題を提示しています。
これらの攻撃はすべて、企業が定期的に使用する正規のサイトでホストされているため、ホワイトリストに依存するセキュリティベンダーはさらなる課題に直面しています。クレデンシャルフィッシング攻撃の場合、問題はさらに深刻になります。レガシーベンダーは共有ドキュメントに埋め込まれた URL を可視化できないため、また、クレデンシャルフィッシング攻撃はその性質上、特定が難しいためです。クレデンシャルフィッシングは、人間は本質的に信頼しているため、その信頼を悪用することを目的とした攻撃に対して脆弱であるという事実を利用します。このブログでは、パブリッククラウドプラットフォームでホストされたMenlo Labsが特定したいくつかの攻撃について詳しく説明します。以下の図は、これらの攻撃の仕組みを大まかに示しています。
Menlo Labsは、特に金融業界と航空業界を標的としたフィッシングキャンペーンを観察しました。クラウドファイル共有プラットフォーム (Egnyte) でホストされている悪意のある文書が、標的となった被害者に共有されました。被害者は、文書が共有されたことを知らせるメッセージを Egnyte から受け取ったようです。メッセージ内のリンクをクリックすると、被害者は Egnyte でホストされている PDF ファイルに移動しました。以下は悪意のある PDF のスクリーンショットです。PDF ファイル内の「ドキュメントへのアクセス」をクリックすると、ユーザーは別のリンクに移動します。hxxps [://] CoatofTheSmile.info/henry/index.php?unionmars=jupitortea/。これは、実際の Microsoft ログインページになりすました認証情報フィッシングページです。これらの文書は、企業のニーズに合わせて Egnyte を使用している企業の、侵害を受けたユーザーのアカウントから共有されたものだと考えています。
当社が確認した最新のクレデンシャルフィッシングキャンペーンは、Microsoft OneDriveで行われていました。この URL は電子メールで共有され、クリックするとドキュメントが開きました。下の画像は、OneDriveでホストされていた実際の悪意のあるドキュメントを示しています。[プレビュー] または [ダウンロード] ボタンをクリックすると、被害者は正規のマイクロソフトログインページのように見えるように設計された hxxps: //nwx.pt/Office365/ にアクセスしました。
Menlo Labs では、OneDrive でホストされている悪意のあるペイロードが顧客ベース全体で増加していることを確認しています。OneDrive が明らかに勝者です。以下は、Menlo Security がブロックした、人気のクラウドストレージプラットフォームでホストされていたマルウェアファミリーの一覧の抜粋です。
