URLフィルタリングを回避する脅威「HEAT」とは 求められる対策は？：NEWS

脅威検知の手法をすり抜けてユーザーに攻撃を仕掛ける手法が広がっている。ブラウザアイソレーションツールを提供するMenlo Securityとマクニカは、検知と防御機能を高めた新しいツールを提供開始した。

[松本一郎，TechTargetジャパン]

　セキュリティベンダーのMenlo Securityとマクニカは2023年6月28日、記者説明会を開催し、最新脅威「HEAT」から企業を守るための対策を発表した。HEATとはMenlo securityが提唱した脅威の概念で、「検知回避型脅威」（Highly Evasive Adaptive Threat）という意味だ。

Menlo Securityのプールニマ・デボーロ氏

　サイバー攻撃にはメールにマルウェアを添付する攻撃やフィッシングサイトにアクセスさせる攻撃がある。「近年これらの脅威は洗練されており、検知するのが困難になっている」と、Menlo Securityの共同創業者で最高製品責任者（CPO）のプールニマ・デボーロ氏は話す。

検知を回避する「HEAT」の仕組みとは？

併せて読みたいお薦め記事

「検知」に試行錯誤する企業セキュリティ

• “次世代EDR”「XDR」は何が期待できるのか？　調査で明らかに
• 金融機関のコンプライアンスを阻む「過検知」とは？　機械学習が対策に
• 侵入しても「暗号化に着手しないランサムウェア」も　その狙いとは？

　HEATの一例として、URLフィルタリング機能を回避する脅威が挙げられる。一般的に、フィッシングサイトによるデータ侵害を防ぐため、URLフィルタリングのツールはブラックリストと照合したり、ツール内のbotがURLにアクセスしたりしてサイト内の脅威を解析する。

マクニカの勅使河原 猛氏

　こうしたURLフィルタリングの対策を、HEATはすり抜ける可能性がある。「新規URLのWebサイトを生成する他、画像内のパズルを解かせるCAPTCHA（Completely Automated Public Turing Test to Tell Computers and Humans Apart）認証を用意することなどによって、botのアクセスを防ぐようになった」。マクニカのセキュリティ研究センターで主任を務める勅使河原 猛氏はそう解説する。

　他にも以下のような手法がある。

• メールに添付したURLで正規のWebサイトに遷移させる間に、攻撃者が用意したプロキシサーバを経由させて認証情報を盗む
• マルウェアを仕込んだPDFを暗号化することによって、ウイルス対策ソフトウェアによる解析を阻む

　こうした脅威をMenlo Securityは独自にHEATと名付けた。「セキュリティベンダーの間では、従来の検知方法では回避されてしまうという認識は広がっている」と、デボーロ氏は話す。

　これらの脅威に対処するため、同社および販売代理店のマクニカは、Webサイトへの接続を仮想空間で代替するブラウザアアイソレーションツール「HEAT Shield」を2023年6月28日に国内で提供開始した。

　HEAT Shieldは、ユーザーがWebサイトにアクセスする際、Menlo Securityが用意したクラウドインフラのコンテナ経由でリアルタイムに脅威を解析する。ユーザーは無害と判定された表示結果だけを受け取る。

図　Heat Shieldによる有害サイト判定のイメージ（出典：マクニカ）

　一般的なブラウザアイソレーションとの違いとしては、正規のWebサイトか否かを判定する際に、URLだけでなくWebサイト内に使われている企業ロゴの画像からも判定する。同社は4000社以上の企業のロゴデータを保有しており、Webサイト内のロゴと相違がないかどうかを確認する。

　Heat ShieledはユーザーのアクセスしたWebサイトの脅威をリアルタイムに解析し続けるため、前述のCAPTCHAによる脅威検知の回避を防ぐことができる。Webサイト内の、マークアップ言語「HTML」やプログラミング言語「JavaScript」で生成されたコンテンツに潜む脅威も検知するという。