HEATとAPTは何が違うのか?

目まぐるしく変化するセキュリティの世界において、この2年間はかつてないほどの変化の渦が巻き起こりました。リモートワーク、クラウドへの移行、SaaS（Software-as-a-Service）アプリケーションの台頭が私たちのビジネスの進め方を大きく変えましたが、同時にセキュリティにおける脆弱性のパンドラの箱も開けてしまいました。ナレッジワーカーにとって最も重要なツールであるWebブラウザーを武器化してしまう、新しいタイプの攻撃が出現したのです。これはHEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）と呼ばれ、検知を回避する能力が極めて高いのが特徴です。HEATによって、攻撃者はブラウザーを侵害してエンドポイントへの最初のアクセスを獲得することができ、最終的にはランサムウェアやマルウェアなどの脅威を展開することができます。

検知を回避して悪意のあるペイロードをエンドポイントに送り込むという点を考えると、HEAT攻撃とAPT（Advanced Persistent Threats：持続的標的型脅威）を混同してしまうのは仕方のないことかも知れません。しかしこの2つには重要な違いがあり、攻撃のキルチェーンにおいては全く異なるステージに属しています。

では、HEAT攻撃とAPTは一体どのように違うのでしょうか? 私たちは最近、Menlo Securityのサイバーセキュリティ戦略担当シニアディレクターのMark Guntripと対談し、その真相を探りました。インタビューでは、HEAT攻撃とAPTの仕組み、攻撃者がHEAT攻撃をどのように使い分けているのか、そしてこれらの攻撃に対する防御のために気をつけるべき弱点について詳しく解説してもらいました。

HEATとは何ですか?

名前がすべてを説明していると思います。攻撃の量という観点でみれば、世の中には数多くの脅威が存在しますが、HEAT（Highly Evasive Adaptive Threats：高度に回避的で適応型の脅威）について言えば、攻撃者にとって重要なのは成功の可能性を最大化できるかどうかです。HEATという名前には、「回避的」と「適応型」という2つの重要な言葉が含まれており、攻撃者にとってはそれが非常に重要です。攻撃者は、攻撃ができるだけ回避的で、なるべく発見されないことを望んでいます。

つまり、攻撃者は一般的に使われる特定の技術やセキュリティテクニックを回避する方法をよく知っているということです。メールのフィッシング検知やサンドボックスなどの、組織を保護するための「標準的な技術」の理解は十分に進んでいます。これらのタイプの検知を回避できることがわかっていれば、攻撃者はより高いレベルの成功を収めることができます。

そして、回避的な特性を維持するために、時間と共に変化させる部分が適応ということになります。URLレピュテーションの回避がその良い例で、攻撃者はコンテンツやマルウェアを仕込んだドメインを登録して、それをすぐに攻撃に使うようなことはしません。攻撃者はURLレピュテーションシステムが悪意のあるサイトかどうかを判定する方法を調べてそれに適応し、正規のサイトとして分類されるように振る舞います。攻撃者はまた、新しいドメインとして分類されないように、ドメインを登録してから十分な時間を置いてそれを使用します。そして、同じテーマで関連性の高いコンテンツをアップし、特定のジャンルに分類させるのです。そして、そのサイトが良いレピュテーションを獲得した後で、やっと攻撃に使うことができます。URLレピュテーションのソリューションやエンジンに変更があればそれを監視し、そのWebサイトでの振る舞いを修正し、HEAT攻撃に使うのです。

もう1つ重要なのは、これは初期アクセスのための手法であるということです。そこで使われるのが新しいクラスのマルウェアである必要はありません。これは悪意のあるコンテンツを被害者のマシンに送り込む、非常に効果的な方法なのです。つまりHEAT攻撃は、ランサムウェアやキーロガー、その他あらゆるタイプのマルウェアを被害マシンに送り込むことができるのです。

なぜセキュリティチームはHEAT攻撃に注意する必要があるのでしょうか?

まずは、攻撃の量です。一般的に脅威は増加していますが、HEAT攻撃について調べると、その使用頻度が増加していることがわかります。HEAT攻撃を気にしない人もいるかもしれませんし、HEATとして認知していないかもしれません。しかし、問題であることに変わりはありません。

もう1つの大きな問題は、Ransomware as a Service（RaaS）事業者が初期アクセスを容易にするためにHEAT攻撃を利用することです。サイバー犯罪者のビジネスモデルの中には、できるだけ多くのネットワークへの初期アクセスを獲得し、そのネットワークにマルウェアを展開したい別の攻撃者に販売するというものがあります。しかも1人に売るのではなく複数の攻撃者に売るので、侵害の影響は複数倍になります。1回の侵害で、5人、10人、100人、あるいはそれ以上の攻撃者が、そのネットワークにマルウェアを仕掛けることができるのです。マルウェアが侵入しても、何も起こらず、何も見えず、何も感じないかもしれませんが、これは本当に深刻な問題であり、対応策を考える必要があるのです。

APTとは何ですか?

APTとは、検知されないように設計された脅威です。一旦ネットワークに侵入すると、長い間そこに留まり、データを探して動き回り、データを盗み、認証情報を盗み、ランサムウェアを展開するなど、攻撃者が行いたいことを実行します。このような脅威は、国や国家が支援する犯罪グループが高い価値を持つ標的を狙うために使用するものですが、最近ではこの言葉がより広範囲に適用され、一部のクライムウェアグループを含むようになっています。

HEAT攻撃とAPTの違いは何ですか?

HEAT攻撃はネットワークに侵入するための初期アクセスのステージで使用され、その後にAPTが配信されます。つまり、この2つは同じコインの表と裏、あるいは同じプロセスの2つの部分なのです。HEAT攻撃でターゲットネットワークへのアクセスを獲得し、APTでダメージを与えるのです。HEAT攻撃は、それ自体がダメージを与えるのではなく、ダメージを与えるものを届けるものです。これが両者の大きな違いだと思います。しかし、両者は必ずしも区別して考える必要はなく、組み合わせて使用されたり、同じ攻撃で使われたりすることもあります。例えばNobelium攻撃では、HEATの特性であるHTMLスマグリングを利用してAPTを被害者に送り届けました。これは、両者が重なり合ったり別々であるのとは対照的に、互いに協力して使用されている良い例です。

サイバーセキュリティチームがHEAT攻撃と現代の仕事について知っておくべきことは何だと思われますか?

ここで重要なのは、企業ネットワークに接続されたあらゆるデバイス（それが携帯電話であろうと何であろうと）を使ってハイブリッドワークやリモートワークをする人たちに注目し、それらすべてを単一のシステムとして扱わなければならないということです。MacであればiCloudに接続されていますから、そこを経由して一般の消費者としてあなた個人を攻撃する脅威が送り込まれたり、あるいはあなたの勤務先を知った上でそれを狙う「何か」が、会社のデバイスに中継されることがあります。

特にHEAT攻撃に関連した潜在的な露出の影響は甚大なものになる可能性があります。HEATが初期アクセスに関わるものであることを思い出してください。もし誰かが私の個人的なデバイス（管理されていないデバイス）への初期アクセスを獲得できれば、それを使って企業内の他のリソースにアクセスできることになります。これは同じ権限を持つ企業所有のデバイスに初期アクセスされるのとほとんど同じことと言えます。そうでないとしても、少なくとも同じくらい悪い結果をもたらすでしょう。

もう1つ注意しなければならないのは、適応性です。状況は確実に変化します。攻撃者は組織を保護するためのテクノロジーを騙すことに長けていますが、人間（リンクをクリックさせたりファイルをダウンロードさせて脅威を起動させる）を騙すことも得意です。そのため、HEAT攻撃について何に注意すべきか、それがどのように動作するのかについての教育を強化するだけでなく、HEAT攻撃が侵入しようとする際に見つけられるように可視化制御を改善する必要があると思います。私たちは防御について話すことが多いですが、検知のレベルも向上させる必要があるでしょう。

3つ目は、これが最も重要かもしれませんが、ブラウザー内部の可視化です。HEAT攻撃はWebトラフィックの中に存在します。ブラウザーはエンドポイントに存在しますが、エンドポイントセキュリティソリューションは、ブラウザーの内部で起こっていることをすべて可視化できるわけではありません。ブラウザーは、スクリプトを実行したりコードを実行したりすることができる、非常に強力なプラットフォームなのです。気づかないうちに、アプリケーションの内部であらゆることを行うことができるのです。これは大きな盲点となる可能性があります。ブラウザーは盲点であるだけでなく、最も狙われているアクセスポイントでもあります。

私たちはオンラインでの業務の多くの時間をブラウザー経由で費やしています。すべてのデバイスにブラウザーがあり、おそらくデバイスの数よりもブラウザーの数の方が多いでしょう。ブラウザーは、最も広く導入されている企業向けアプリケーションなのです。ブラウザーはWebサイトだけでなく、アプリケーションなどあらゆるものにアクセスするために使用されます。ブラウザーは、私たちが生活や仕事をするために使用するすべてを包含していますが、EDR（Endpoint Detection and Response）のような従来のセキュリティソリューションにとっては、可視性のブラックホールとなっています。しかし、それではいけないのです。