Palo Alto Networksがブラウザマルウェアのリスクを認め、SquareXのLMR攻撃の発見を裏付ける

DEF CON 32でブラウザネイティブのサイバーセキュリティ企業であるSquareXが公開したLast Mile Reassembly（LMR）攻撃に関する研究が、ついに待望の正当性を得ました。

1年以上にわたる警告の後、Palo Alto Networksは、Secure Web Gateways（SWG）がこれらの回避型ブラウザベースのマルウェア攻撃を阻止できないことを公に認めた最初の主要SASEベンダーとなりました。

SquareXは、月曜日の公開に先立ちCSOに共有したブログ記事で、LMR攻撃を「SWGの限界を突いてマルウェアが検査をすり抜け、ブラウザ内で機能するマルウェアとして再構成される技術」と定義しました。

今月初め、Palo Alto NetworksはLMR攻撃を明示的に名指しはしなかったものの、「ブラウザ内で組み立てられ、SWGの防御を回避する回避型攻撃」を封じ込めるための新機能を発表しました。

「これを公に認めることは、（ベンダーの）SASE/SSEビジネスにとって大きな打撃となるでしょう。特に多くのベンダーが既知のマルウェア100％防御を約束するSLAを掲げているからです」と、SquareX創業者オフィスのオードリー・アデリン氏は説明します。「私たちの推測では、Palo Alto Networksの顧客がLMR技術を使った攻撃を受けるケースが増えているのでしょう。これは大手既存ベンダーに典型的な現象で、顧客からの強い要望に動かされるものです。」

なぜプロキシ防御はブラウザで失敗するのか

LMR攻撃は単一の手口ではなく、20以上のバイパス手法を備えたツールキットです。ある手法では、マルウェアを分割してプロキシ検査をすり抜け、被害者のブラウザ内で再構成して動作するペイロードとなります。他のバリエーションでは、WebRTCやgRPCといった監視されていないバイナリチャネルを利用します。これらは会議アプリやクラウドワークフローを支える通信経路です。その結果、SWGの設計上の防御を無力化する攻撃手法が生まれています。

アデリン氏は、この脅威は理論上のものではなく、SquareXが実際に検知し顧客を保護していると述べています。「LMRは、既知のフィッシングサイトやマルウェアを含む、あらゆる悪意あるスクリプト、サイト、ファイルをSWGを完全に回避して密輸することを可能にします」と彼女は説明します。「一度ブラウザ内に入れば、企業は既存のツールでは監視できない認証情報の窃取、データ流出、監視攻撃に直面します。」

SquareXの研究者たちは、これらの知見を「データスプライシング攻撃」にまで拡張し、攻撃者や内部関係者が同様の手法で機密データを流出させることができることを示しました。コピー＆ペースト操作やP2Pファイル共有サイトを通じて、データは従来のデータ損失防止（DLP）制御をすり抜けてしまいます。

アデリン氏によれば、WebRTCやgRPCのようなチャネルを従来のSASEやSSEツールで保護するのは困難であり、これらはブラウザレベルの可視性がなく、企業はしばしば全面的にブロックせざるを得ません。彼女は、ブラウザネイティブのセキュリティなら、ブラウザ内の「ラストマイル」で悪意あるダウンロードのブロックや、フィッシングサイトや悪意あるスクリプトのリアルタイム検査が可能だと述べています。

Palo Alto Networksが沈黙を破る最初の企業に

「Palo Alto Networksは、SASE/SSEベンダーの中で初めて、ブラウザネイティブの脅威へのシフトとブラウザネイティブセキュリティの必要性が不可避であることを認識しました（そのためTalonを6億2500万ドルで買収したのでしょう）。今後、他のSASE/SSEベンダーも追随すると予想しています。既存の収益源を食い潰すことにはなりますが、ブラウザが新たなエンドポイントとなるため、近いうちにブラウザセキュリティ企業を自社で開発・買収・提携しなければ生き残れないでしょう」とアデリン氏は付け加えました。

Prisma Browserの強化がLMR攻撃自体を対象としているかは不明ですが、同社の説明はSquareXが定義するLMRの内容と密接に一致しています。Palo Alto NetworksはCSOからのコメント要請にはすぐには応じませんでした。