HTMLスマグリングとは?

HTMLスマグリング

HTMLスマグリングは、正規のHTML5およびJavaScriptの機能を利用して、バンキングマルウェアやリモートアクセス型トロイの木馬（RAT）、および標的型サイバーセキュリティ攻撃に関連するその他のペイロードを展開する、高度に回避的なマルウェアの配信手法です。

HTMLスマグリングとは?

企業はセキュリティテクノロジーに継続的に投資していますが、フィッシングやマルウェア攻撃は無くなりません。ブラウザーの利用が増加していることで特に増えている攻撃手法の1つが、HTMLスマグリングです。これは、正規のHTML5およびJavaScriptの機能を利用して、バンキングマルウェアやリモートアクセス型トロイの木馬（RAT）、および標的型サイバーセキュリティ攻撃に関連するその他のペイロードを展開する、高度に回避的なマルウェアの配信手法です。この手法は、悪名高いNOBELIUMグループによって標的型スピアフィッシングキャンペーンに使用されていることが観測されています。

HTMLスマグリングはどのように行われるのでしょうか?

HTMLスマグリングは、攻撃者が特別に細工したHTML添付ファイルやWebページ内にエンコードした悪意のあるスクリプトをエンドポイントに「スマグル（Smuggle：密輸）」する、ドライブバイダウンロード（悪意のあるコードの意図しないダウンロード）の1種です。攻撃者は、HTMLの多機能性を利用し、ソーシャルエンジニアリングと組み合わせることでユーザーを騙し、悪意のあるペイロードを開かせようとします。これらの攻撃はDropboxやAdobe Acrobat、Google Driveなどの信頼されている有名ブランドになりすますため、ユーザーがWebブラウザーでHTMLを開く際に疑問を抱かせません。

この手法では、攻撃者がWebページのHTMLソースにファイルの断片を埋め込みます。ブラウザーがページをレンダリングする際に悪意のあるファイルが再構築され、実行可能なマルウェアがホストOSに転送されるのです。そのため、ネットワークファイアウォールやセキュリティソリューション（サンドボックスや従来型プロキシでのウイルス対策など）を効果的に回避できます。さらに、セキュアWebゲートウェイのポリシーによって止められるはずのファイルタイプでも、HTML経由でエンドポイントに到達できる可能性があります。

組織に与える影響はどのようなものでしょうか?

Webプロキシ、メールゲートウェイ、サンドボックスなどの従来型のセキュリティソリューションは通常、既知のシグネチャや脅威パターンとのマッチングに基づいて、不審な添付ファイルや異常なトラフィックをチェックします。HTMLスマグリングでは、実行可能ファイルがエンコードされてテキストに変換され、そのテキストがページのHTMLソースに埋め込まれるため、多くの場合検査エンジンで読み取ることができず、検知できません。ファイルは無害に見えるため、簡単に検査を通過します。ソースは正規のもののように見え、有効なHTMLおよびJavaScriptリクエストのように動作し、効果的に自身を偽装します。そして、ユーザーのエンドポイント上で完全に実行可能なマルウェアに再構築されるのです。

HTMLスマグリングを阻止するにはどうすれば良いですか?

HTMLスマグリングを阻止することは可能ですが、そのためにはブラウザー内部を可視化して制御する必要があります。クラウドベースのブラウザーセキュリティのようなソリューションは、これらのWebリクエストの実行をエンドポイントからクラウド上の仮想コンテナに移動し、悪意のあるコンテンツからエンドユーザーを効果的に分離することができます。エンドポイントにエージェントが不要で、ユーザーのパフォーマンスに影響を与えないため、アイソレーションによってエンドユーザーが安全かつ確実なブラウジングを行えると同時に、スムーズなエクスペリエンスを得られます。