Chromeのパッチが再びリリース：一方で83%のユーザーは最新バージョンを利用していない

アイソレーションにより、パッチの状況に関係なくマルウェアフリーのブラウジングを実現

現在の生活で、自由にWebを閲覧できない状況を想像してみてください。手のひらの上のデバイスの中にあらゆる世界が詰まったブラウザーは、検索が簡単な強力でシームレスな操作性を持っています。ブラウザーは、Eメールや共有ファイルの作業でも使用されます。この脆弱だが重要なエントリーポイントを保護することで、悪意のある攻撃者が攻撃を実行できなくなり、攻撃の数も大幅に減少します。簡単に言えば、Chromeは世界中のデバイスの約3分の2で使用されており、ビジネスを遂行する上で不可欠となっています。

改善にかかわらず依然として脆弱なブラウザー。

ブラウザーが1990年代に最初に登場して以降、悪意のある攻撃者にとって魅了的な標的となってきました。ブラウザーの進化に伴い、ハッカーが脆弱性を悪用する方法も進化しました。以前は、攻撃者がマイナー機能の脆弱性を悪用して、ソフトウェアスタック全体に横方向に展開できました。現在では、ハッカーが侵入した後、デバイスのコアOSへのアクセスを試みたり、ブラウザープロセスをハイジャックして、移動する方法を見つける必要があります。このためには、OS、ブラウザー、およびブラウザーの機能レベルで、さまざまなバグを発見し利用する必要があります。

この脅威の面の拡大に対して、ユーザーは継続的にブラウザーにパッチを適用して、悪用されないよう脆弱性を防御する必要があります。ブラウザーは標的にされる場合が多く、多数の機能が含まれているため、数多くのパッチが定期的にリリースされており、場合によってはパッチ疲れを引き起こしています。Googleは過去5週間にわたり、ゼロデイ攻撃で積極的に悪用される、とCISAが指摘する脆弱性に対してパッチをリリースしました。しかしながら、大半の組織やユーザーはブラウザーにパッチを適用していません。詳細は以下をご覧ください。

各CVEがユーザーに及ぼす影響

最初の3つのCVE（以下の番号1と2）は、ブラウザーのレンダリングプロセスに影響を及ぼすことを狙ったもので、ゼロデイ攻撃として分類されました。

• CVE-2020-16009 およびCVE-2020-16013が悪用されると、攻撃者はブラウザーにアクセスできます。具体的には、この脆弱性により、悪意のあるJavaScript（JS）を利用すると、ランタイムによって作成されたサンドボックスが突破されるため、攻撃者はChromeのレンダリングプロセス内でネイティブコードを実行できます。
• CVE-2020-15999は、ユーザーが訪問するWebサイトのフォントの使用に関係します。ダウンロードされているフォントを解析するコンポーネントを利用することで、ハッカーはブラウザーにアクセスできます。
• CVE-2020-16017が悪用されると、攻撃者はブラウザープロセスを制御して、デバイス内のファイルにアクセスできます。
• CVE-2020-16010が悪用されると、攻撃者はAndroidデバイスのブラウザープロセスを制御して、モバイル端末内のファイルにアクセスできます。
• US-CERTが指摘するこれらのCVEに関する情報をご確認ください。

自身のブラウザーを更新する…

Menlo Labsによると、11月17日の時点で、お客様が利用しているChromeのバージョンは49種類あることがわかりました。約3分の2（61%）が最新のビルド（86）を利用していましたが、4分の1以上（28%）が1つ前のバージョン（85）を利用していました。ビルド86を利用するお客様のうち、驚くことに83%が脆弱性のあるChromeのバージョンを利用していました（Chrome/86.0.4240.198未満）。お客様がレガシーの検知アプローチを利用していた場合、ゼロデイ攻撃の危険があります。

以下のチャートは、11月17日時点のMenlo Securityのプラットフォームで確認されたChrome 86の上位5つのバージョンを示しています。このデータでは、パッチが適用されたブラウザーバージョンが利用可能になってから6日以上経っても、お客様はまだ該当のバージョンを利用していないことを示しています。

残念ながら、この傾向は業界の視点で見ると従来から存在します。何度も繰り返し、「定期的にパッチを適用してください」と叫ぶこともできますが、実際、人々には他に考慮する優先事項やリソースがあります（特に新型コロナウイルスの状況）。

Chromeチームにより、企業各社は最終的に最新の優れたビルドに簡単に移行できるようになりましたが、Menlo Labsのデータによると、お客様はさまざまなビジネス上の理由からブラウザーを直ちに更新しないことがわかりました。経験上からも確認しています。私は誰かと画面を共有するZoom通話を何度も行っていますが、その画面上に「再起動して更新」のオレンジ色／赤色のアイコンを確認できます。ぜひ、簡易的なサニティーチェックを実際に実施しましょう。前回ブラウザーをシャットダウンして、すべてのデバイス内のCookieを削除したタイミングを覚えていますか？

次は、これをすべてのデバイスに拡大します。企業の標準に従って、組織の各ユーザーのブラウザーにパッチを確実に適用する方法を見つけることが困難であることは容易にわかると思います。

代わりのアプローチはありますか？

はい。お客様にとってMenlo Securityの最大の価値の1つは、ブラウザーベースのゼロデイ攻撃から保護することです。当社は保護を行うために、レガシーな検知と対応のWebゲートウェイを使用したシンプルなアプローチを採用しており、Webサイトへの影響を検知したり、IOC（セキュリティ侵害インジケータ）を確認したり、機械学習ベースのエンジンをさらに追加する必要はありません。クラウドセキュリティプラットフォームを採用したMenlo Isolationは、攻撃者が脆弱性の悪用を試みる前に、エンドポイントからレンダリングプロセスを切り離して、すべてのアクセスを遮断します。

• セキュリティルームに対する保護：
  • (CVE-2020-16009およびCVE-2020-16013）脆弱性をトリガするには、JSを実行する必要があります。Menlo Securityのお客様は、エンドポイントでアクティブコンテンツが実行されないため、完全に保護されます。アイソレーションする情報やユーザーを選択的に選ぶのではなく、単純にすべてのトラフィックをアイソレーションします。
  • CVE-2020-15999: 攻撃者はエンドポイントでアクティブコンテンツを実行できないため、追加的なOS保護の仕組み（DEP：データ実行防止およびASLR：アドレス空間配置ランダム化）を突破することは非常に困難になります。結果的に、ユーザーは保護されます。攻撃者はクライアントブラウザーをクラッシュさせる可能性がありますが、脆弱性の悪用は実質的に不可能です。
• 攻撃者を阻止：
  • CVE-2020-16017とCVE-2020-16010：アイソレーションにより、攻撃者がブラウザーに足場を築くことを防止し、この脆弱性の悪用を試みることができるポイントに到達することを防止します。

アイソレーションによりパッチの問題を解決。

嘘のような話ですが、Menlo Securityのブラウザーアイソレーションのアプローチにより、ブラウザーの更新やパッチの適用が実施されていない場合でも、企業を攻撃から自動的に保護します。また、クラウドで提供されるセキュリティサービスであるため、Menlo Securityは土台となるハードウェア、OS、ブラウザー、またはネットワーク接続に関係なく、モバイル端末を含めたすべてのデバイスを保護します。当社のお客様は、パッチが適用されていないバージョンや古いバージョンのChromeを利用している可能性がありますが、インターネットアイソレーションにより、保護されます。

CVEの詳細、およびMenlo Securityのアイソレーションを採用したクラウドセキュリティプラットフォームによる、煩わしいパッチ適用をサポートするアプローチの詳細については、当社までお問い合わせください。

インサントおよびデータについては、Menlo Securityの同僚である担当のヴィネイ（セキュリティ調査のインサイトディレクタ）およびライオネル（主任セキュリティアーキテクト）までお問い合わせください。