Zscaler Cloud Platform

Webフィルタリングだけでは安心できない、最新の攻撃手法を解き明かす

Webフィルタリングだけでは安心できない、最新の攻撃手法を解き明かす

 

しばしば、攻撃と防御はいたちごっこと言われます。巧妙な攻撃からシステムやデータを守るべくさまざまな対策を講じても、攻撃者はその策を見越して新たな手口を編み出してきます。そしてまた防御側は、新たな攻撃を防ぐ対策を実装する……その繰り返しは、ネットワークやセキュリティ機能がオンプレミスからクラウドへ移行しても変わりません。

 

今回は、最近どのような攻撃が増えているのか、そして「ZIA」(Zscaler Internet Access)をはじめとするゼットスケーラーのプラットフォームが、どのように独自技術を駆使してそれらを防いでいるかを紹介します。

 

既知の対策をかいくぐり、高度化するWebの仕組みを悪用した攻撃とは

 

新型コロナウイルス感染症(COVID-19)の感染が世界的に拡大した2月後半以降、インターネットの世界ではこれに便乗した攻撃が急増したことは、以前のブログでも紹介した通りです。

 

中でも目立ったのは、「COVID」や「コロナ」といった単語を使ったドメイン名を取得し、いかにも感染症対策や予防に役立ちそうな情報、あるいはマスク販売に関連しそうな「偽サイト」を作成してユーザーをだます手口です。4〜5月頃にピークを迎えた後に減少傾向にありますが、未だに多くの偽サイトが報告されています。

 

実は、あらかじめ作成したデータベースと照合して悪意あるサイトかどうかを判断するWebフィルタリング方式では、こうした偽サイトを見極めるのは困難です。新規に登録されたドメイン名は、その時点では海のものとも山のものともつきません。疑わしいものが大半ですが、中にはもしかすると本当に、医療関係の情報提供のために取得されたドメインが含まれている可能性だってあります。

 

これを補うため、世界中に設置したセンサーや導入ユーザーの情報を元に判断を下す「レピュテーション」というアプローチもありますが、評判を蓄積するにはある程度の時間が必要ですし、一番初めの被害者の発生は避けられません。

 

もう1つ、特に最近浮上してきた問題が「埋め込み型」と呼ばれる脅威です。悪意あるJavaScrpitを埋め込んで、ユーザーが入力したクレジットカード情報を詐取する「Webスキミング」と呼ばれる攻撃が、国内外で増加しています。いくらWebフィルタリングやレピュテーションに照らし合わせて「問題ない」と判断されたサイトでも、被害に遭うリスクがあるのです。

 

問題をさらに複雑にしている要因が、サプライチェーンのリスクです。昨今の高度化したWebサービスのうち、自社で作成したコンテンツのみで完結しているものはほとんどありません。メディアサイトが典型例ですが、来訪者の足取りをトレースしたり、広告を表示するために、第三者が提供するさまざまなスクリプトやコンテンツが埋め込まれています。残念ながら、外部からの改ざんやミスによって、その中に不正なスクリプトが埋め込まれる可能性は否定できません。

 

リアルタイムに分析し、脅威を見つけ出す2つのテクノロジ

 

このように攻撃者は、Webテクノロジの進化も踏まえながら、既存の対策をかいくぐる方法を見つけては試みてきます。もちろん、守る方が手をこまねいているわけではありません。ゼットスケーラーは多くの新技術を開発しては追加しており、特許取得技術は約200種類に上ります。

 

その中で、信頼できるかどうかを判断する材料がまだそろわないWebサイト、あるいは信頼できるWebサイトに埋め込まれた不正なコンテンツからユーザーを保護する上で効果を発揮するのが「Page Risk Index」と「ByteScan」という2つのテクノロジです。

 

Page Risk Indexは、読み込むコンテンツのリスクをさまざまな角度から判断して「リスクスコア」を算出し、それが一定の閾値以上であればアクセスをブロックする仕組みです。ページ内に含まれるスクリプトやiFrameといったページ内の要素に加え、そのサイトがホスティングされている国や利用されているドメインの古さといったドメインリスクを組み合わせ、リスクスコアを算出します。このため、新規に登録された疑わしいドメインを使ったサイト、あるいは昔から使われていたけれど改ざんなど何らかの原因で不正なコンテンツを埋め込まれてしまったサイトについてもブロックできます。ただ、リスクスコアが何ポイント以上ならばブロックするかは利用者側が決められるため、過検知を防ぎ、自社でリスクコントロールできることも特徴です。

 

リアルタイムのリスクに対応するPage Risk Index

 

ByteScanは、名前を見ればおおよその動きの見当がつくかもしれません。たとえ信頼できるサイト、ホワイトリストに載っているサイトであっても、パケット単位で含まれるコンテンツを精査し、JavaScriptやCSS、ゼロピクセルの画像など怪しいものが含まれていないかをチェックします。攻撃の多くのサイトで採用されるようになったSSL/TLS通信も含めて精査することで精度を高め、レピュテーションなどほかの手法を補って攻撃の取りこぼしを減らしています。

 

全パケットの検査を実行するBytescan

 

いずれも、既知の脅威を記した所与のリストと照合するのではなく、リアルタイムに「安全かどうか」を分析することによって、ページに埋め込まれた脅威を見つけ出します。クラウド基盤で複数のプロセスが並行して動作するZIAならではの機能と言えるでしょう。

 

ただ、こうした技術はそれ単体で成立しているわけではありません。ゼットスケーラーでは1日あたり最大1兆ものトランザクションを処理し、その中からZIAのバックエンドでは機械学習技術も活用されており、膨大なデータを学習してリスクのスコアリング、フィルタリング、サンドボックス解析など複数の方向で活用されています。

 

セキュリティと脅威の分析

 

われわれが提供しているダッシュボードから見て取れる通り、日々、世界中で数え切れないほどの脅威が発生し、しかもどんどん変化しています。ゼットスケーラーはこれらに対抗するため、機械学習などの最新技術を活用し、また脅威の動向を踏まえた新たな技術を開発して、終わりのないいたちごっこの中でも顧客を保護し続けていきます。

 

ゼットスケーラーの製品詳細、デモのお問い合わせ等は、フォームからご連絡ください。

 

関連記事

Get the latest Zscaler blog updates in your inbox

Subscription confirmed. More of the latest from Zscaler, coming your way soon!

By submitting the form, you are agreeing to our privacy policy.