サイバー犯罪者が、AIを活用したクロークツールを採用し、従来のセキュリティ対策を回避してフィッシングやマルウェアサイトを検知から隠す動きが観測されています。
SlashNextの新たな調査によると、Hoax TechやJS Click Cloakerのようなプラットフォームが「クローク・アズ・ア・サービス」(CaaS)を提供しており、脅威アクターが悪意あるコンテンツを一見無害なウェブサイトの背後に隠すことを可能にしています。
高度なフィンガープリンティング、機械学習、行動ターゲティングを用いて、これらのツールは本物のユーザーにのみ詐欺ページを表示し、自動スキャナーには安全なコンテンツを見せるよう選択的に動作します。
「これは技術やツールが悪用されている明確な例だと思います」とApollo Information SystemsのCISO、アンディ・ベネット氏は述べています。
「脅威アクターが暗号化を利用するのと同様に、機会主義的なマーケターを支援するために設計されたアプローチを、特定の被害者を狙ったり検知を回避したりするために使うのは驚くことではありません。」
クロークと呼ばれるこの手法自体は新しいものではありませんが、AIの活用は大きな進化を示しています。Hoax Techは、フィンガープリントベースのプロファイリングと自己学習型AIエンジンを用いて、数百の訪問者データポイントをリアルタイムで分析します。疑わしいトラフィックは無害なページにリダイレクトされ、本物のユーザーには意図した詐欺が表示されます。
クローク攻撃手法の詳細はこちら:研究者が新たな「会話オーバーフロー」戦術を発見
高度なクロークサービスの商用化
JS Click Cloakerも同様の機能を提供しており、クリックごとに900以上のシグナルを評価して正当性を判断します。JavaScriptベースのツールと謳いながらも、Googleなどの検索エンジン対策としてJavaScriptへの依存を避けていると報告されています。
両サービスとも、A/Bテスト、地理的フィルタリング、リアルタイムリダイレクトなどの機能を宣伝しています。
「この調査は、サイバー脅威の状況における重要な進化を示しています」とQualysのセキュリティリサーチマネージャー、マユレシュ・ダニ氏は述べています。
「Hoax TechやJS Click Cloakerのようなプラットフォームは、脅威アクターの能力が大幅にエスカレートしていることを示しています。」
これらのシステムに対抗するため、ダニ氏は次の対策を推奨しています:
-
行動分析および実行時分析ツールの導入
-
多角的かつ差分的なスキャンの実施
-
適応型AI搭載防御技術への投資
-
ネットワーク全体でのゼロトラストフレームワークの採用
-
AIベースの脅威に対するインシデント対応計画の策定
ベネット氏は、リスクは検知回避だけにとどまらないと警告しています。
「AIを使って、メール内のリンクが悪意あるものかを確認するツールと、メールフィルターをすり抜けて実際にリンクをクリックした本物のユーザーとを見分けるのは、まさに次のレベルです」とベネット氏は述べています。
また、攻撃者が訪問者ごとにリアルタイムでコンテンツをよりパーソナライズする可能性が高まり、検知がさらに困難になるとも付け加えました。
セキュリティ専門家はより広範な防御策を提唱
BugcrowdのCISO、トレイ・フォード氏は、いくつかの歴史的な類似点に言及しました。
「これは昔からある問題です。20年前、攻撃者はFastFlux DNSを使ってターゲットをプロファイリングし、リスクやエクスプロイトのマッピングを行っていました。今やAI搭載のクロークサービスがその現代版となっています」とフォード氏は説明しています。
「検知と対応の軍拡競争は、単一のツールや階層に任せておくことはできません。エンドポイントのパッチ適用、強化、ブラウザ保護は依然として重要な管理・監視ポイントです。」
クローク技術が進化する中で、セキュリティチームには適応が求められています。多層的かつ行動認識型の防御がなければ、悪意あるサイトは検知を逃れてユーザーに到達し続ける可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/ai-cloaking-tools-enable-complex/