HEAT攻撃：HTTPトラフィック検査の回避

有名な銀行強盗のウィリー・サットンは、銀行を襲うのは「そこにお金があるから」だと言ったそうです。この伝説は真実では無いようですが、的を射ているのも事実でしょう：銀行が狙われるのは、そこにお金があるからなのです。この真理は、デジタル経済にもあてはまります。サイバー攻撃者は、人とデータが存在しているシステムを狙うのです。

攻撃する側と、企業を防御する側にとっての課題は、人々とそのデータが存在する場所もまた変化しているという事実です。かつては、攻撃者はターゲットのネットワーク、エンドポイント、サーバーOS、およびインストールされたアプリケーションに攻撃を集中させていました。しかし、企業のプライベートデータセンターが消滅し、ほとんどの業務がオンラインで行われるようになったため、攻撃者はWebブラウザーをターゲットにするようになっています。ある推定によると、労働者は1日の75％をWebブラウザーで作業することで生産性を高めています。そこには、人とデータ（つまり、「お金」）があります。

このHEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）についての一連のブログでは、攻撃者が如何にして静的および動的なコンテンツ検査や悪質なリンクの解析、オフラインでのカテゴリー分けと脅威検知などを回避するかについて、詳しく解説してきました。HEAT攻撃は増加を続けており、オンプレミスネットワークやプライベートデータセンターの時代に設計された従来型のセキュリティ防御に依存している企業は、その犠牲となる可能性があります。

このブログでは、攻撃者がHTTPトラフィック検査を回避するためにどのような工夫を行っているのかを検証します。

これらの攻撃では、攻撃者はJavaScriptを使用して悪意のあるコンテンツをエンドポイント上のWebブラウザーの中で動的に生成します。これはHTTPトラフィックが検査エンジンを通過した後に行われ、イメージがローカルのJavaScriptエンジン内でレンダリングされたり、コードが実行されたりします。そのためこれらの攻撃コードは、エンドポイントに到達する前に行われるセキュリティ検査を回避できることになります。

これらの攻撃手法の詳細について説明する前に、従来のHTTPトラフィック検査の仕組みについて見ておくと良いでしょう。HTTPトラフィック検査では、HTTPストリームに脅威が含まれていないかどうかを分析するために、HTTP解析エンジンはマルウェアや悪意のあるコンテンツ、フィッシングキットに特徴的なシグネチャ、あるいはブランドを模倣した画像など、ブラウザーに送られてくるエクスプロイトを探し出そうとします。もちろん、攻撃者はこのような検知を回避しようと試みますし、その方法があることも確かです。

HTTPトラフィック検査を回避する最も一般的な方法の1つは、難読化したJavaScriptを利用して、セキュリティ防御に検知される可能性のあるものを隠すことです。そのために、攻撃者は検査後にブラウザーのJavaScriptエンジン内で悪意のあるペイロードを動的に組み立てます。この方法をとられると、シグネチャベースのHTTPトラフィック検査技術では、エンドポイントに送られる攻撃を見つけることはできません。このような攻撃では、多くの場合巧妙なフィッシングページが起点になり、ユーザーはそれを本物だと思いこみます。攻撃者はエクスプロイトコードを難読化または動的に生成し、JavaScriptのシグネチャベースの検知を回避します。また、目視による検知を回避するためにCSSを改ざんしたり、フィッシングのために無害に見える画像を既知のブランドのなりすまし画像に変換することもあります。これらはすべて、ブラウザーレベルで、エンドユーザーの手元で行われるため、それ以前の検査ポイントを回避できるのです。

HEAT攻撃に関する最近のブログ記事で取り上げたように、攻撃者がJavaScriptを使用するのは、それが一般に普及しているからです。HP Threat Researchチームが最近行った分析によると、エンドポイントにリモートアクセス型トロイの木馬を注入してエンドユーザーのデバイスを乗っ取り機密データを盗むために、最近はこのような隠れたJavaScript技術が使用されていることがわかりました。この攻撃では、攻撃者は、ほとんど検知されないJavaScriptの添付ファイルを使用するJavaScriptローダーであるRATDispenserを使用していました。

HTTP検査を回避するために設計されたこれらの難読化技術は、ネットワークトラフィック上で行われる従来のHTTPトラフィック検査では検知することができません。これらの攻撃は従来型のセキュリティ制御をうまく回避し、エンドポイント上で実行されます。この種の攻撃を捕捉するためには、企業はJavaScriptエンジンの実行状況を調べ、エンドポイント上のアクティビティに基づいて悪意のある動作を特定し、攻撃が完全に実行される前に検知してブロックする必要があります。

これらの攻撃に対して最も効果的にセキュリティを適用できるのは、ユーザーの近くでコードが実行されデータが操作される場所であり、それはWebブラウザーです。これは、これまで一般的に実施されてきたセキュリティ戦略：利用規程の適用に注目したり、シグネチャを使用してマルウェアを識別したり、Webブラウザーやアプリケーション内の特定のアクティビティを評価したりしないWebセキュリティプラットフォームなどとは、異なる考え方です。

企業のセキュリティチームがすべきことは、すべてのコンテンツが正しく検査され、従来のセキュリティツールが見落としがちな方法でHEAT（およびその他の）攻撃を阻止することです。リモートワークやハイブリッドワークが一般的になるにつれて、攻撃者はこうした手口を利用し続けるでしょう。企業のセキュリティチームは、予防的なセキュリティ対策に重点を置く必要があるのです。

‍