マクニカと米Menlo Securityは6月28日、「HEAT」(Highly Evasive Adaptive Threat:検知回避型脅威)に対応するウェブセキュリティサービス「Menlo Security HEAT Shield」(HEAT Shield)を日本で提供すると発表した。今後3年間で100組織以上での導入を見込んでいる。
Menloは、クラウド上に用意する仮想化環境を利用して、ユーザーのインターネット利用に含まれるコンテンツを解析し、有害なコンテンツを除去してユーザーに提供するウェブ分離・無害化サービスを提供する。マクニカは、Menloの日本での一次代理店として、2015年からMenlo製品を販売し、これまで金融庁や日本郵政など約250組織でのべ70万ユーザーほどに納入しているという。
「HEAT」(Highly Evasive Adaptive Threat:検知回避型脅威)の特徴
HEATは、セキュリティ対策システムによる検知を回避するためのさまざまな手法を駆使する脅威の総称になる。例えば、巧妙なフィッシングやユーザーと正規サイト間の通信に攻撃者が介入して多要素認証などを突破する「Adversary in the middle」(AiTM)、細工したHTMLファイルやJavaScript、難読化したファイルなどを組み合わせてマルウェアに感染させるHTMLスマグリングなどがある。
記者会見したMenloの共同創業者で最高経営責任者(CEO)を務めるAmir Ben-Efraim氏によると、近年は同社でもHEATに含まれる攻撃を発見する機会が増えているという。同社が分類するウェブサイトの48%で1つ以上のHEATの手法が使われ、攻撃の50%が既知の評価済みサイトから実行されていた。マルウェアの42%で難読化手法が使われ、マルウェア感染に至るファイルの20%にHTMLスマグリングが使われていた。
「日本でも過去90日間において毎日100件以上のアラートがあり、35%がHTMLスマグリング手法によるものだ。特にマルウェアの『Emotet』や『SolarMaker』の拡散に使われている」(Ben-Efraim氏)
日本法人のシニアシステムエンジニアマネージャーの寺田大地氏によれば、マルウェアダウンロードを誘発する典型的な手法だった「Microsoft Office」形式のファイルに悪質なマクロを埋め込む方法にMicrosoftが対策を講じたことで通用しづらくなり、攻撃者がHEATの手法を駆使するようになってきているという。
Menlo SecurityのHEAT対策サービス
今回両社は、HEATへの対応として、現行のウェブ分離・無害化サービスでHEATの検出状況などの可視化機能やアラート管理機能、セキュリティ監視センター(SOC)への通知機能などを備えるダッシュボードの「HEAT Visibility」を追加し、HEATの攻撃を防御するHEAT Shieldを新たに提供する。HEAT Visibilityは無償利用できる追加機能、HEAT Shieldは有償の新サービスとなる。
HEAT Shieldでは、ユーザーがアクセスしたサイトについて、まずウェブ分離・無害化の仕組みで分析を行い、Menloが分類していない場合に隔離を実行する。次に、Menloが独自に整備・保有しているサイトブランドに関するデータベースや、ウェブコンテンツの構造、入力フォームなどを詳細に解析し、リスクの度合いを数値化して悪性サイト(フィッシングサイト)の判定を行い、接続の遮断や書き込み禁止といった措置を講じる。
Menloの共同創業者で最高製品責任者のPoornima DeBolle氏によれば、約2年をかけてサイトブランドに関するデータベースを整備し、既に数千種類のブランドについて独自に評価を行っているとのこと。同社の顧客に関するブランドについて情報収集を行ったり、顧客から提供される正規のブランドロゴの高精細なデータを解析したりすることで、評価・登録を行うという。今後はHEAT Shieldで顧客のブランド保護にもつながる仕組みを整備していく考えだという。
マクニカによる国内提供の体制
日本での展開についてマクニカ ネットワークスカンパニー プレジデントの小林雄祐氏は、これまでMenloのサービス導入が多い金融に加え、製造などにも導入を訴求していくとした。
また、マクニカ セキュリティ研究センター 主席の勅使河原猛氏は、国内企業においてフィッシングが大きな脅威になっていると指摘した。かつてのフィッシングは、ユーザーをだます文言に日本語として不自然な点が見られるなどしたが、昨今では生成AIを悪用する恐れが出てきており、「英語圏では生成AIを悪用したフィッシングを開封してしまう傾向が高まっている。攻撃者がこのノウハウを基に生成AIで巧妙な日本語文章による攻撃を展開する可能性がある」とした。
勅使河原氏によれば、ユーザーをだますソーシャルエンジニアリングもより洗練されてきており、AiTMによる多要素認証を回避する手法も台頭している。もはや、「あやしいメールを開かない」といったユーザーの意識やリテラシーに依存するフィッシング対策では通用せず、認証情報の窃取や金銭的な被害なども影響が大きくなっていることから、技術的、多層的な防御策を講じることが重要などと解説した。
新サービスを発表したマクニカとMenlo Securityの関係者
