KeepAware header image

何年もの間、防御的なセキュリティ戦略は、ネットワーク、エンドポイント、電子メールという3つの中核分野に焦点を当ててきた。一方、現代的な作業の大半を担うブラウザは、これらすべてにまたがっている。サイバー犯罪者はこれに適応し、攻撃を境界防御からブラウザ自体にシフトさせている。

ブラウザベースの脅威はリアルタイムでウェブ・アプリケーションを操作し、ファイアウォール、セキュア・ウェブ・ゲートウェイ(SWG)、エンドポイント検知・応答(EDR)ソリューションによる検知を回避する。マルチステップ・フィッシングからマルウェアの再アセンブルに至るまで、新たな攻撃手法により、セキュリティ・チームはブラウザ・レイヤーにおける検知と対応を再考することが重要となっています。

この記事では、攻撃者が力を注ぐ3つの主要な領域と、ブラウザベースの攻撃がどのように進化しているかについて検証します。

新しいクラスの脅威

マルウェアの再アセンブルファイルレス攻撃の新種

従来のセキュリティ・モデルは、ファイルベースのマルウェアを検出してブロックするように設計されています。しかし、攻撃者は従来のペイロードから離れ、ブラウザ内で動的に自己を再構築するマルウェアに移行しています。これらの攻撃は、エンドポイントやネットワークのセキュリティ・ツールからは事実上見えません。

ClearFakeやSocGolishのようなキャンペーンは、JavaScriptローダーやHTMLインジェクションを使用してウェブページを変更し、ブラウザのタブ内で直接悪意のあるコードやファイルのダウンロードを再組み立てします。

ブラウザの実行環境内で動作することで、これらの脅威は従来の検出メカニズムを回避し、サイバー犯罪者がユーザーセッションを乗っ取り、ドライブバイダウンロードを行い、認証情報を盗み、機密データを侵害することを可能にします。

ClearFake reconstructs malicious Javascript directly in a compromised webpage
ClearFake は、侵害されたウェブページ内で悪意のある Javascript を直接再構築します。

ウェブページやスクリプトがブラウザ内でどのように動作するかをリアルタイムで可視化できなければ、組織はこのような新たな攻撃手法を見抜くことができません。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Keep Awareによるリアルタイムのブラウザ脅威対応

Keep Awareは、セキュリティチームにブラウザのアクティビティを即座に可視化します。クリックごとの遠隔測定、DOMツリー分析、脅威ブロック機能により、悪意のあるアクティビティが開始された時点で検出し、阻止することができます。

完全な調査能力を獲得し、ブラウザの脅威がユーザー、データ、アプリケーションに害を及ぼす前に阻止できるようにします。

デモのリクエスト

フィッシングと信頼済みサイトの悪用:ソーシャルエンジニアリングの進化

攻撃者は、洗練されたマルチステップの手口を採用することで、自動検出を回避するフィッシング技術を改良してきました。これには以下のようなものがあります:

  • URLベースの検知や隔離メカニズムを回避するための複数のリダイレクト。
  • オンデマンドで悪意のあるコンテンツを動的に生成するJavaScriptレンダリングのフィッシング・ページ。
  • CAPTCHA、フィンガープリンティング、セッション・ベースのアクセス・コントロールにより、セキュリティ・ツールによる不正サイトのスキャンをブロックする。
Examples of chain link phishing that use trusted intermediary sites to avoid suspicion
疑惑を避けるために信頼できる仲介サイトを利用したチェーンリンク・フィッシングの例

Keep Awareの最近のブラウザセキュリティレポートでは、マルチステップフィッシングキャンペーンの実に70%がMicrosoft、OneDrive、またはOffice 365アプリケーションになりすましていることが強調されている。

これらは以前から主要な標的でしたが、攻撃者は現在、Google Docs、Dropbox、AWSのような本質的に信頼できるプラットフォームを悪意のあるコンテンツのホスティングに活用しており、検出を著しく困難にしています。

従来のレピュテーション分析や隔離は、このような手口に対しては効果がないため、セキュリティチームには、ページ構造を監視し、URLに関係なく経時的な変化を検出するために、ブラウザ自体で動作する検出モデルが必要です。

ブラウザ拡張機能の死角:拡大する攻撃対象

ブラウザ拡張機能は、単純な生産性向上ツールから、ブラウザで起こっていることすべてにアクセスできる、深く統合されたアプリケーションへと進化してきました。その複雑さにもかかわらず、拡張機能のセキュリティはほとんど監視されていないため、サイバー犯罪者にとって巨大な攻撃対象になっています。

  • Info-Stealerやその他の悪意のある拡張機能は、正規のツールを装って、静かにデータを流出させます。
  • Chrome ウェブストアのアカウントが侵害されると、標準的なセキュリティ レビューを回避して、不正な拡張機能が大量に配布されます。
  • 拡張機能の再有効化またはバージョン更新は、新しい権限、所有者の変更、および新しいソースコードが組織に提示されるため、即座にセキュリティリスクをもたらす可能性があります。

最近、あるサイバーセキュリティ企業が、侵害された Chrome ウェブストアのアカウントによって、悪意のあるブラウザ拡張機能が顧客に配布されるという攻撃を受けました

これは、リアルタイムの拡張機能監視、強制可能なポリシー、拡張機能のリスクに関する自動アラートの緊急の必要性を浮き彫りにしている。

セキュリティギャップ:従来のツールでは不十分な理由

ブラウザセキュリティの根本的な課題は、ウェブページのレンダリングと操作方法を管理する独自のデータモデルであるドキュメントオブジェクトモデル(DOM)にあります。

トラフィックやプロセスの実行を監視するネットワークやエンドポイントのセキュリティとは異なり、ブラウザはコンテンツやスクリプトが動的に変化するアクティブな実行環境です。

Threat trail for web-based mail phishing attack in Keep Aware
Keep Awareにおけるウェブベースのメールフィッシング攻撃の脅威の痕跡

組織はブラウザ・ネイティブの脅威検知モデルを採用し、セッションの振る舞い、クレデンシャルの入力パターン、リスクの高いインタラクションをリアルタイムで監視しなければならない。ブロックリストやURLフィルタリングだけでなく、コンテキストを意識した検知を取り入れることで、セキュリティ管理を進化させる必要があります。

EDR がエンドポイントセキュリティを変革したように、ブラウザ検出と応答BDR)は、リアルタイム遠隔測定、JavaScript 実行分析、およびブラウザ層の脅威インテリジェンスのセキュリティ運用への統合を可能にする、企業セキュリティの中核的なコンポーネントにならなければなりません。

ブラウザは企業全体のリスクである

検知と対応はブラウザ・セキュリティにとって重要ですが、組織は以下のような広範な企業リスクも考慮する必要があります:

  • データ漏洩リスク:データ漏洩リスク:監視されていない SaaS アプリケーション内で機密情報がコピー、ペースト、アップロード、共有される可能性がある。
  • シャドーITの拡散:従業員は、IT統制をバイパスして、ブラウザで承認されていないツールやAIを搭載したアプリケーションを日常的に使用している。
  • ジェネレーティブAIのリスク:従業員がセキュリティの意味を理解せずに、AIを搭載したチャットボットやアシスタントに機密データを貼り付ける。
  • インサイダーの脅威:不正なアカウントや悪意のある内部関係者が、ブラウザ内で直接企業データを流出させる可能性がある。

これらの課題は、ネットワーク、エンドポイント、電子メールにとどまらない継続的な可視化と脅威防止の必要性を強調している。セキュリティ・チームは、全体的な企業セキュリティ戦略の一環として、ブラウザ・ガバナンス、データ・セキュリティ、インサイダー・リスク管理を再考する必要があります。

ブラウザベースの脅威と新たなセキュリティトレンドの詳細については、Keep Awareの最新レポート「State of Browser Security をご覧ください。

新たな現実

ブラウザはもはや単なる生産性向上ツールではなく、攻撃者が従来のセキュリティ防御を迂回するために武器化した主要な攻撃対象です。

フィッシング・キャンペーンが進化し、マルウェアの再構築がより巧妙になり、ブラウザの拡張機能がチェックされないままであるため、適応できない組織は脆弱性を維持することになります。

セキュリティチームは、リアルタイムで可視化し、ブラウザネイティブの脅威を検出し、人々が働く場所を保護するために、ブラウザの検出と対応機能を企業のセキュリティスタックに統合する必要があります。

Keep Awareのチームメンバーによる無料デモをリクエストして、セキュリティツールが見逃しているブラウザベースの脅威を発見し、従業員の安全を確保するための次のステップを踏み出しましょう。

作成者 ライアン・ボアナー

コンピュータ・エンジニアからサイバー・セキュリティの実務家に転身したボアナーは、SOCアナリストとしてテキサス州政府機関のネットワーク脅威に取り組むことからスタートした。ネットワークと電子メールのセキュリティを専門とし、その後IBMとDarktraceで専門知識を磨き、あらゆる規模の組織と仕事をした。セキュリティ・チームと従業員との間に決定的なギャップがあり、そこでは強力な防御が依然として脅威を通過させていると考えた彼は、ブラウザを企業セキュリティの礎石にするためにKeep Awareを設立した。

主催・執筆:Keep Aware