検知回避型脅威 (HEAT)

回避力が高く適応性の高い脅威とは？

高回避型・適応型脅威（HEAT）はサイバーセキュリティ脅威の一種で、検出を回避して従来のセキュリティ対策を回避するために、動的挙動、ファイルレス攻撃、遅延実行などの高度な手法がよく使用されます。これらの脅威は目に見えないように設計されており、特にセキュリティ専門家が特定して軽減するのが難しい場合があります。攻撃者がユーザーのシステムや組織のネットワークに初めてアクセスするときの成功率を高めようとしているため、回避型の脅威は以前から存在していました。企業のセキュリティ統制が進化し続ける中でも、脅威アクターはユーザーやそのシステムに侵入しようとする回避手法を加速させています。

毎年サイバーセキュリティへの投資が続いているにもかかわらず、脅威は依然として侵入し、ユーザーは日々影響を受けています。実際、フィッシング防止の業界全体がこのために生まれたのです。フィッシングの脅威を 100% 排除できれば、今日のセキュリティ意識向上トレーニングは存在しなかったでしょう。単純な攻撃手法は、一般的に導入されているセキュリティソリューションに対しても有効であり、現在も有効です。

その結果、業界は変化し、脆弱性を軽減するためにベストプラクティスを採用しています。たとえば、攻撃者は検出を回避して被害者に手を差し伸べる手段としてマクロを使用していたため、マイクロソフトはデフォルトですべてのマクロを無効にしました。企業は、ユーザーが一般的なマルウェアスキームの被害に遭う可能性が低くなることを期待して、マルウェアのリスクやフィッシングの一般的な兆候 (不明な送信者のアドレス、緊急または憂慮すべき言葉、さらにはスペルや文法の誤りなど) についてユーザーを教育するのに役立つ広範なセキュリティ啓発ツールに投資してきました。登場当初から侵入不可能なシステムと考えられてきた二要素認証や多要素認証でさえ、ユーザーアカウントへの不正アクセスや機密情報の盗難による変化を減らすためのセキュリティレイヤーを追加するために広く採用されています。

すべての企業ユーザーは、Web、エンタープライズクラウド、SaaS アプリケーション、さらには電子メールにアクセスするために使用するブラウザを少なくとも 1 つ持っています。そのため、このブラウザはフィッシングやマルウェア攻撃の標的として最も人気の高いものの1つになっています。残念なことに、SWG、EDR、ファイアウォールなどの既存のセキュリティコントロールでは、これらの攻撃を阻止するには至りませんでした。脅威アクターは、回避性の高い適応性の高い手法を取り入れるように戦術を進化させたためです。こうした一般的なセキュリティ・ソリューションがどのように機能するか、また回避する方法については、非常に低いレベルでは理解していません。そのため、企業がセキュリティスタックへの投資を増やしているにもかかわらず、ユーザーはこれまで以上に危険にさらされています。

現在、攻撃者はウェブブラウザを攻撃ベクトルとして標的とする回避能力が高く適応性の高い脅威を、一般的に導入されているセキュリティを回避するために設計されたさまざまな手法を用いています。そのため、これらの回避能力が高く適応性の高い脅威は、マルウェアの伝達、ユーザーシステムの侵害、機密データの盗用などに利用されています。

回避率の高い攻撃の例としては、次のようなものがあります。

• パスワードで保護された悪質なファイル — 電子メールをスキャンするときに、添付ファイルがパスワードで保護されている場合、開いたりスキャンしたりすることはできません。多くの場合、セキュリティポリシーでは、生産性が損なわれないように、これらの添付ファイルはスキャンされなくても読み取ることが許可されています。攻撃者はこの抜け穴を悪用して、企業と対象となる被害者のエンドポイントにマルウェアを配信します。
• HTML の密輸について — HTML スマグリングとは、攻撃者が悪意のあるファイルを一見無害に見える小さな情報に分割し、Web サイト自体の HTML コードに埋め込む、ドライブバイダウンロードの一種です。これにより、プロキシ、サンドボックス、ファイアウォールなど、一般的に導入されているセキュリティソリューションによる検出が回避されます。ブラウザが受信すると、これらの小さな情報が再構成され、悪意のある実行ファイルがエンドユーザーのブラウザ内に取り込まれます。HTML スマグリングは、攻撃者がバンキング型トロイの木馬、ランサムウェア、データ偵察ツールを配信するための非常に効果的な方法です。
• 多要素認証 (MFA) バイパス — MFA バイパスは、攻撃者が多要素認証を回避するフィッシング攻撃の一種です。承認されるまでユーザーに MFA リクエストを大量に送るか、MFA トークンや認証情報を傍受します。通常、拒否リスト、URL フィルタリング、フィッシングトレーニングなどの標準的なセキュリティ対策は、これらの攻撃に対しては効果がありません。さらに悪いことに、MFA 攻撃は通常 SMS 経由で配信され、企業のセキュリティを完全に回避します。
• レガシーレピュテーション URL 回避 (LURE) — レガシー URL レピュテーション回避は、Web 分類をバイパスするために使用される攻撃手法です。LURE 攻撃は、セキュアな Web ゲートウェイと URL フィルタ上の URL のバイナリ分類を悪用します。SWG や URL フィルタは、URL やドメインに「信頼できる」か「信頼できない」かのフラグを付けます。攻撃者はこれを悪用して、信頼できるサイトを乗っ取ったり、新しいサイトを作成してその URL やドメインが信頼されるまでそのサイトを休止状態にしたりします。これらの URL と宛先サイトを利用してフィッシング攻撃を仕掛けます。ユーザーは Web URL が本物であると信じて開きます。その URL は安全なカテゴリに属しているため、SWG や URL フィルターによってブロックされることはありません。その後、ユーザーはマルウェアに攻撃されたり、認証情報盗難攻撃で認証情報を入力するように誘導されたりします。さらに悪いことに、脅威アクターは、現在使用されているドメインがブロックされたり、信頼できないものとして分類されたりすると、無数のドメインを手元に置き、新しいドメインを用意することになります。

一般的に導入されているセキュリティソリューションを回避するために、回避能力が高く適応性の高い脅威に使われている主な回避特性にはどのようなものがありますか？

1。URL フィルタリングを回避します。

前述のように、LUREサイトは攻撃者がURLフィルタリングをバイパスするための一般的で簡単な方法です。もう 1 つの一般的な手法は、キャプチャの使用です。キャプチャは、ウェブサイト管理者がサイトを利用しているのが人間であり、悪意を持ったボットではないことを確認するために使用される一般的で便利なツールです。脅威アクターは、キャプチャを使用してLUREサイトの信頼性を高めるだけでなく、サイトを分類しようとするURLクローラーをかわすこともできます。攻撃者は、被害者がキャプチャの存在を見て、そのサイトが正当なものであると想定することを計画しています（「不正なサイトがなぜキャプチャに煩わされるのか」という考えです）。また、キャプチャを使用して、URL クローラーが LURE サイトの怪しげなコンテンツを見られないようにすることもできます。

2。メールセキュリティツールを回避します

これまで、フィッシングは 100% メールの問題でした。そのため、脅威アクターはユーザーを攻撃する新しい方法を模索しています。現在、脅威アクターは回避手法を使用してフィッシング攻撃を仕掛けています。ユーザーは、ソーシャルメディア、プロフェッショナルWebネットワーク、コラボレーションアプリケーション、SMS、共有ドキュメント、その他の媒体など、電子メール以外の通信チャネルを介して悪意のあるリンクで標的にされる（またはスピアされる）。これらの悪質なリンクは、マルウェアを企業のエンドポイントに届けるため、ひいては企業のセキュリティを回避するために、個人の認証情報ではなく企業の認証情報を盗むために使用されるケースが増えています。

で 最近のサイバー脅威キャンペーン、攻撃者はLinkedInのビジネスプロフェッショナルに対してスピアフィッシング戦術を使用しました。攻撃者はプラットフォームのダイレクトメッセージ機能を通じて、悪意のあるリンクを使って偽の求人情報を提示し、最終的にユーザーにバックドア型のトロイの木馬を感染させ、攻撃者が被害者のコンピューターを完全にリモート制御できるようにしました。このスピアフィッシング攻撃はメールパスに現れることはなく、そこで行われるはずの分析をすり抜けてしまいました。

3。ファイルベースの検査を回避します

従来のSecure Web Gateway（SWG）アンチウイルスまたはサンドボックスソリューションは通常、既知のマルウェアのシグネチャをスキャンし、疑わしい動作がないかファイルの実行とリモートファイルリクエストを監視することにより、悪意のあるコンテンツを特定するために使用されます。

サンドボックスを回避するのは、サンドボックスのファイル制限よりも大きいサイズのファイル、またはスキャンできないパスワードで保護されたアーカイブファイルを送信するのと同じくらい簡単です。攻撃者の側では少し試行錯誤が必要かもしれませんが、比較的簡単に実行できます。脅威アクターは通常、(前述のように) HTML スマグリングも利用することでサンドボックスを回避します。これは検査ツールをすり抜けるのに非常に効果的な方法です。

4。HTTP コンテンツ/ページ検査を回避します。

スクリプトを難読化して、スクリプトのソースコードを表示できないようにしている合法的なWebサイトはたくさんあります。

また、攻撃者はコードの難読化を利用してブラウザのエクスプロイトやフィッシングキットのコードを配信し、検出を回避します。その後、エンドポイントでアクティブなコンテンツを実行しているときに、悪意のあるコード（通常はJavascript）がブラウザに表示されます。また、攻撃者は Web サイトの操作を利用して、偽装ロゴをモーフィングされた画像の背後に隠し、検査エンジンで視覚的に検出されないようにします。

セキュリティスタックの人工知能 — AI がモデルをトレーニングする場所が重要

大多数ではないにしても、多くのセキュリティベンダーが人工知能 (AI) ベースの機能を活用してソリューションの有効性を高め、大きな成果を上げています。前提は単純です。AI は開発した機能をさらに拡張し、生産データやテレメトリを調べて新しい脅威を発見します。これこそが、サイバーセキュリティだけでなく他の業界においても AI が真に期待できることです。ただし、AIの性能はトレーニングされたデータによって決まるということに注意することが重要です。ファイアウォール、SWG、CASB、DLP といった共通のセキュリティスタックでは、これらのコンポーネントが生成するデータ、ロギング、テレメトリを使用して AI モデルをトレーニングすることしかできません。ターゲットがブラウザであるフィッシング攻撃やマルウェア/ランサムウェア攻撃の場合、ブラウザ内部からのテレメトリは役立つだけでなく、ブラウザベースの脅威をより適切に検出する方法についてAIモデルをトレーニングする際にも必須です。一般的なセキュリティスタックには、そのテレメトリを受信して利用するためのブラウザへのフックがないため、AI ソリューションがもたらすメリットと改善はごくわずかです。HEATポートフォリオを支えるAIモデルは、Menlo SecurityのIsolation Coreから派生したディープ・ブラウザ・テレメトリを使ってトレーニングを行っています。これが、HEAT ShieldとHEAT Visibilityが、ゼロアワーフィッシングやマルウェア攻撃の防止とブロックにおいて非常に強力で効果的な理由です。

ジェネレーティブAIは脅威アクターの攻撃対象領域をどのように拡大したのでしょうか？

組織は、ジェネレーティブAIプラットフォームやChatGPTのようなチャットボットがサイバーセキュリティに与える影響を認識し始めています。多くの人々は、当然のことながら、これらのツールによって、インターネットに接続していて悪意のある動機を持つ人なら誰でも、これらのツールによってそれが可能になるのではないかと心配しています。 回避可能な脅威を驚くべき規模で開発する。ボタンをクリックするだけで、個別に標的を絞った何千ものマルウェア、フィッシングメール、その他の脅威を数分以内に作成してリリースできることを想像してみてください。さらに恐ろしいのは、脅威アクターが AI を使用して特定のペイロード内のコード行を変更することさえできるという事実です。その結果、ゼロデイフィッシングやマルウェアの新しい脅威が次々と発生し、企業のセキュリティ部門がこれらの攻撃を阻止することが極めて困難になっています。

Menlo Securityは、回避性が高く適応性の高い脅威をどのように防ぎますか？

回避性が高く適応性の高い脅威攻撃には、次の 3 つの段階があります。

1. 最初の足場を固める
2. 他のマシンが危険にさらされることを期待して、ネットワーク全体に横方向に広がっている
3. 最終ペイロードを実行して、重要なビジネスシステムを制御します。

ステージ2と3は、ステージ1（初期アクセス権）に完全に依存しています。Menlo Securityは、フィッシング攻撃やマルウェアを効果的にブロックすることで、回避力が高く適応性の高い脅威が初期アクセスを可能にする前に阻止することに重点を置いています。アクセスできなければ、マルウェアがネットワーク全体に拡散したり、制御を得たり、データを流出させたり、システムに身代金を要求したりすることはできません。