レガシーレピュテーションURL回避(LURE)攻撃は、暗黙の信頼に基づいてドメインを分類しようとするWebフィルターを回避します。
レガシーレピュテーションURL回避(LURE)攻撃は、暗黙の信頼に基づいてドメインを分類しようとするWebフィルターを回避します。攻撃者は、一般的に導入されているセキュリティシステムですでに信頼されている、セキュリティが不十分な Web サイトを侵害し、それらを利用してマルウェアを提供したり、ユーザーの認証情報を盗んだりします。Menlo Labs の調査チームによると、LURE 攻撃の増加は驚くべきもので、過去 2 年間で 950 パーセント以上増加しています。ブラウザに対する適切な可視性と制御がなければ、この回避性と適応性が高いこの脅威は引き続き成功し、エンドユーザーにも影響を及ぼすことになるでしょう。
攻撃者は、WordPressなどのサイトビルダーの脆弱性を簡単に見つけて、これらのWebサイトを多数悪用して、次のような手法を使用できます。 SEO (検索エンジン最適化) 中毒 悪意のある Web サイトの認知度を高めるためです。SEOポイズニングでは、よく使われる用語の入力ミスやキーワードの乱用など、さまざまな手法を用いて、被害者のクリック数が最も多い検索エンジンのランキングで悪意のある Web サイトが上位に表示されるようにします。
これらのキャンペーンは通常、短時間、通常は数日しか続きません。その頃には、従来のセキュリティソリューションではWebサイトの分類が「悪意のある」ものに変更されています。これが回避性と適応性の高い脅威の本質です。LUREサイトは手入れが行き届いており、検出を回避して意図したターゲットを覆しますが、いったん検出されると、脅威アクターは潜伏していた次のLUREサイトに適応して使用し、疑いを持たない次の被害者に同様の攻撃を仕掛けることができます。
小規模な標的型攻撃の場合、攻撃者は、ほとんどの分類エンジンのウェブクローラーがそれらを識別して無害なものとして分類するまで、しばらくの間、正常に動作する新しいWebサイトを辛抱強く作成することさえあります。この時点で、攻撃者は意図した被害者をスピアフィッシングして、すでに悪意のあるコンテンツで攻撃されていたこれらの Web サイトに誘導します。
キャンペーンに悪意のあるファイルの配布が含まれる場合、このファイルをDiscord、Google Drive、Boxなどの信頼できるコラボレーションサービスでホストすると、悪意のあるWebサイトへのアクセスを防ぐためにWebサイトの評判に依存するセキュリティに対して効果的である可能性があります。
もう1つの半心理学的手法は、CAPTCHAの使用です。これらのセキュリティバリアは、実際には真実とはほど遠いものの、攻撃者がサイトの安全性が高いとユーザーを誤解させるために利用することがあります。実際、多くのサイトはAPIボットから身を守るためにCAPTCHAを使用していますが、Webサイトの前にCAPTCHAを配置すると、Web分類クローラーがサイトをクロールできなくなり、WebフィルタリングやURLレピュテーションソリューションが実際のWebコンテンツから見えなくなります。脅威アクターはCAPTCHAを使用して、このような分類クローラーからサイトの本来の性質を隠します。
ヒートチェックセキュリティアセスメント
LURE技術など、回避性が高く適応性の高い脅威は絶えず進化しており、ブラウザ内で発生するアクティビティを可視化できないため、従来のネットワークセキュリティが妨げられています。これが、これらが非常に強力な脅威である理由です。ウェブプロキシやファイアウォールなどの従来のセキュリティソリューションは、主に、既知の脅威の既存のシグネチャやパターンに基づいて、疑わしい添付ファイルや異常なトラフィックをチェックします。また、リモートワークやハイブリッド環境の増加により、ユーザーや組織は回避性の高い脅威にさらされやすくなっています。フィッシングやソーシャルエンジニアリングが頻発し、個人を騙すために利用されるようになり、ユーザーを納得させる一見無害な Web サイトに誘導されるようになっています。
ブラウザを標的とするLURE攻撃やその他の回避型の脅威に効果的に対抗するためには、企業はクラウドベースのブラウザセキュリティソリューションなどの予防策を優先して、既存のセキュリティ層を強化する必要があります。ブラウザセキュリティソリューションを使用すると、ブラウザ内部の可視化と制御が可能になり、検出ベースのアプローチでは見落とされがちなブラウザ固有の動作に関する洞察が得られます。組織にとって、回避型攻撃をリアルタイムで迅速に認識して阻止することは極めて重要であり、セキュリティチームは動的なポリシー適用をブラウザ内で直接実施する必要があります。脅威アクターが絶えず戦術を適応させているのと同様に、企業もウェブブラウザ内で防御メカニズムを積極的に適用できる適応型セキュリティ制御を採用する必要があります。検出できない脅威がデバイス、ユーザー、機密データを危険にさらすのを防ぐには、この予防的なアプローチが重要です。