出典: Robert Avgustin via Shutterstock
攻撃者は簡単な標的を好み、現在それはWebブラウザのようです。今こそ、その防御を強化する時です。
業務の中心はブラウザです。従業員はWebやクラウドアプリケーションへのアクセス、バーチャル会議への参加、調査目的などでブラウザを利用します。そのため、認証情報やセッション情報など、非常に機密性の高いデータが保存されています。
脅威アクターは、脆弱性の悪用、悪意のあるブラウザ拡張機能、またはセッションハイジャックなど、さまざまな方法でブラウザ攻撃を行います。彼らはフィッシング攻撃などに利用できる貴重なデータを盗み出し、それが最終的に情報漏えいにつながる可能性もあります。
昨年Snowflakeを標的とした攻撃のような大規模な攻撃は、下流のデータベース顧客に影響を与え、深刻なサードパーティリスクを明らかにし、より強固なブラウザセキュリティの必要性を強調しました。このケースでは、攻撃者はマルウェアを展開したり、高度な手法を使ったわけではありません。代わりに、盗まれた認証情報を使い、セキュリティチームが追跡できる痕跡を残しませんでした。
Snowflake攻撃:目覚めの警鐘
Snowflake攻撃は、ブラウザセキュリティにとって大きな警鐘となったと、本日ブラウザベースのセキュリティ企業Push Securityの新しいフィールドCTOに就任したMark Orlando氏は語ります。
攻撃者は、Secure Access Service Edge(SASE)やクラウドプロバイダーを標的とした下流顧客への攻撃という、似たような手法を持っているとOrlando氏はDark Readingに語ります。この傾向は今後も続くと彼は説明します。最近の例としては、Scattered SpiderやShinyHunterの活動が挙げられます。
「それが新たな活動領域であり、参入障壁が低く、リターンが大きい」と彼は言います。「論理的な選択肢です。」
利用や標的が増加していることから、ブラウザが新たなエンドポイントなのかという議論が続いていますが、この2つは密接に関連しています。Webブラウザが必ずしも新しいエンドポイントになっているわけではありませんが、多くのプロフェッショナルの業務の大部分がここで行われているのは事実だと、Enterprise Strategy Groupのサイバーセキュリティ主任アナリスト、John Grady氏は述べています。
利用が増えれば標的も増えますが、防御側はこれまでと同様に対応する時間が必要です。以前は攻撃者がネットワークを狙っていたため、業界はファイアウォールやプロキシによる強固な境界を構築しました。脅威アクターがユーザーエンドポイントにシフトすると、エンドポイント検知・対応(EDR)ツールが登場しました。ソーシャルエンジニアリングやフィッシング攻撃が増加すると、メールセキュリティの強化が進みました。
「今私たちが直面しているのは、その最新の進化形です」とOrlando氏は言います。「私たちも発想を転換し、そのことについて考える時期です。」
「今や誰でもできる」
ブラウザのセキュリティ脅威は数多く存在します。まず、ユーザーがファイルを保存したり実行したりする必要がありません。次に、ユーザーはEDRサービスが提供する多くの保護を失います。また、攻撃者がより巧妙なソーシャルエンジニアリング技術を素早く開発できる点でも有利です。
脅威が何であれ、攻撃者の最終目標は変わらないとOrlando氏は言います。彼らの目的は、ユーザーに何かを実行させること、認証情報を取得すること、または後で利用するためにセッションデータへアクセスすることです。
しっかり訓練されたユーザーでさえ、認証情報を渡してしまうことがあります。10年前なら、こうした高度な攻撃は資金力のあるサイバー犯罪者や国家支援の攻撃者だけが可能でしたが、今や誰でもできるようになったとOrlando氏は付け加えます。彼らは説得力のあるフィッシングページや、ユーザーに認証情報を入力させる中間ページを作成できます。
「彼らは、その目的を達成するための手段を非常に説得力のあるものにするほど高度になっています」とOrlando氏は警告します。「そのような攻撃の参入障壁は本当に低くなっています。」
企業は、ブラウザを安全なエージェントとして利用する方向にシフトしていくとOrlando氏は予測しています。企業の業務がますますブラウザ中心になるにつれ、これは大きな注目分野となるでしょう。
検知は難しいが、セキュリティは難しくない
Grady氏によれば、利用の急増と、それに伴い攻撃者がブラウザを侵入口として狙うようになった事実を受けて、企業は安全なブラウザへの関心を大きく高めています。攻撃は脆弱性の悪用やブラウザ拡張機能の悪用を利用しますが、マルウェアは使わないため、検知がより困難です。
各ベンダーがさまざまな方法でブラウザセキュリティの問題に取り組んでいますが、Orlando氏は、ユーザーの利便性を損なわず、すでに膨大なアラートを処理しているセキュリティチームに過度な負担をかけないことが重要だと推奨しています。
企業は、脅威を封じ込めるためにブラウザの活動をエンドポイントから隔離することでセキュリティを強化しつつあります。最近では、ブラウザとネットワークセキュリティ機能の統合、特にSASEとの連携が大きな注目を集めているとGrady氏は指摘します。
「Webセキュリティが伝統的にこの分野の一部であったことを考えると、多くの点で理にかなっています」とGrady氏は述べます。しかし、セキュリティチームはブラウザ、ネットワーク、エンドポイントのいずれか一つに偏りすぎてはいけないと警告します。これらを連携させ、共通の脅威経路全体で一貫した脅威防止とカバレッジを実現する方法を見つけるべきです。