HTML スマグリング

HTML スマグリングとは何ですか?

セキュリティ技術への継続的な投資にもかかわらず、企業に対するフィッシング攻撃やマルウェア攻撃は引き続き成功しています。ブラウザの使用が増えたことで特に人気が高まっている手法の 1 つが、HTML スマグリングです。これは回避性の高いマルウェア配信手法で、正規の HTML5 と JavaScript の機能を活用して、標的型サイバーセキュリティ攻撃に関連するバンキングマルウェア、リモートアクセス型トロイの木馬 (RAT)、その他のペイロードをデプロイします。特に、悪名高いNOBELIUMグループが標的型スピアフィッシングキャンペーンを通じてこの手法を使用していることが確認されました。

HTMLの密輸はどのように機能しますか?

HTML スマグリングとは、攻撃者が特別に細工された HTML 添付ファイルや Web ページ内のエンコードされた悪意のあるスクリプトを「密輸」する、ドライブバイダウンロード（悪意のあるコードの意図しないダウンロード）の一種です。攻撃者は HTML の多様性を利用し、ソーシャルエンジニアリングと組み合わせて、ユーザーを騙して悪意のあるペイロードを開かせます。これらの攻撃は Dropbox、Adobe Acrobat、Google Drive などの信頼できる有名ブランドになりすますため、ユーザーが Web ブラウザーで HTML を開くことに疑問を抱く可能性は低くなります。

この手法は、脅威アクターがWebページのHTMLソースにファイルバイナリを埋め込むことに依存しています。ページがレンダリングされると、ブラウザは悪意のあるファイルを再構築し、新しく組み立てられたマルウェアの実行ファイルをホスト OS に転送し、ネットワークファイアウォールとセキュリティソリューション (レガシープロキシのサンドボックスやアンチウイルスなど) を効果的にバイパスします。さらに、Secure Web Gatewayのポリシーによってブロックされているはずのファイルタイプでも、HTML経由でエンドポイントに届く可能性があります。

企業が影響を受けやすい理由は何か？

Webプロキシ、メールゲートウェイ、サンドボックスなどの従来のセキュリティソリューションは、通常、既存のシグネチャと既知の脅威のパターンマッチングに基づいて、疑わしい添付ファイルや異常なトラフィックのみをチェックします。HTML スマグリングは、実行ファイルをエンコードされたテキストに変換し、そのテキストをページの HTML ソースに埋め込むため、検出できず、多くの場合、検査エンジンでは読み取ることができません。このファイルは見た目は無害で、簡単に検査を通過できます。ソースは正規のように見え、有効な HTML や Javascript リクエストのように振る舞い、事実上、それ自体を偽装していますが、ユーザーエンドポイントで完全に実行可能なマルウェアに再構築することは可能です。

HTMLの密輸を止めるにはどうすればいいですか？

HTML の密輸を阻止することはできますが、そのためにはブラウザ内での可視性と制御が必要です。クラウドベースのBrowser Securityのようなソリューションは、これらのウェブリクエストの実行をエンドポイントからクラウド上の仮想コンテナに移し、エンドユーザーを悪意のあるコンテンツから効果的に分離するのに役立ちます。エンドポイントエージェントが不要で、ユーザーのパフォーマンスに目立った影響もないため、隔離によってユーザーは安全でセキュアなブラウジングを実現できると同時に、エンドユーザーにはスムーズなエクスペリエンスが提供されます。