"Cloud and Threat Report: Global Cloud and Web Malware Trends"(クラウドと脅威レポート: グローバルクラウドとWebマルウェア脅威トレンド)というレポートがNetskopeより公開されている。承認を得た実際の顧客の匿名化された2023年1月1日から2023年3月22日までの期間のデータを元に分析してレポートしている。読んでみるとマルウェアの侵手法について対策を行う上で参考となる非常に興味深い内容が書かれていたので簡単に紹介とマルウェア侵入への対策について考察してみたい。

www.netskope.com

悪用されるクラウドアプリケーション

攻撃者の意図としてマルウェアの侵入を検知されてしまう機会をなるべく少なくしようとする。紹介のレポートではクラウドアプリケーションがマルウェアの配布で利用されるケースが多くなっていることを指摘している。企業の多くが一般的に利用を許可、もしくはアクセス制御を行なっていないと思われるクラウドアプリケーションを利用することでマルウェアが検出されにくくしようとしているようだ。実際にどのようなクラウドアプリケーションが利用されたかを割合で示した図がレポート内で公開されている。

突出して多いOneDrive

割合として多いのが"OneDrive"となっていることには少し驚いた。マイクロソフトも恐らくマルウェアの配布元としてOneDriveが利用されていることは認識して対策は行なっていると思われるが、突出して多い。Microsoft 365が幅広く利用されていることもありOneDriveのアクセスURLは基本的にはプロキシなどでアクセスブロックされていないことを想定し悪用したものだと思われる。

その他、悪用されるクラウドアプリケーションとしてはAmazon S3やBOXなどのストレージサービスやGitHubも利用されているようだ。これらも企業で広く一般的に利用されていると想定されるため完全にはアクセスブロックはされていないものと思われる。

クラウドストレージサービスへのアクセス制御は必要

とるべき対策を検討してみたい。対策として社内で利用を許可していないストレージサービス(認可しているもの)とそうではないもの(認可していない)に分類して許可していないストレージサービスはアクセス不可にすべきではないか。さらに認可しているストレージサービスもコンテンツをダウンロードするときはマルウェアのチェックを実施するなどのセキュリティ対策を実施する必要がある。

SSLのインターセプト

クラウドサービスのアクセス制御をURLフィルタ機能でプロキシ上に実装する場合は基本的にはホスト名やURL単位でアクセスを制御する。SSL/TLSで通信が暗号化されている場合はどのURLへアクセスしているかわからないため、昨今では一般的に行われているSSL/TLSのインターセプト機能(いったんプロキシなどでTLSの通信の復号化)を利用してアクセス先URLは正しく把握すべきだと思われる。また、コンテンツのチェックを行う場合も暗号化されていてはできないため、レポートであるような悪用されるクラウドアプリケーションは積極的にSSL/TLSをインターセプトしてコンテンツチェックを行う必要性は高いと思われる。

クラウドアプリケーションのインスタンス識別

クラウドアプリケーションへのアクセス制御を実装してマルウェアのダウンロードのリスクを軽減したいとする。注意すべき点としてクラウドアプリケーションのインスタンスを識別できるかどうかということがある。これはGoogle Driveを例にとるとわかりやすい。会社のツールとしてGoogle Workspaceを利用していて認可するアプリとしマルウェアのダウンロードリスクや個人情報の漏洩の観点からコンシューマ向けのGoogle Driveは認可しないアプリとして会社のデバイスでは利用を禁止したいとする。問題は企業向けのGoogle Workspaceとコンシューマ向けのGoogle DriveのURLは "https://drive.google.com/" で同一になっている。カテゴリによるURLフィルタやURLを指定したアクセス制御では会社のGoogle WorkspaceのGoogle Driveでもコンシューマ向けのGoogle Driveでも双方がアクセスブロックされてしまう。さらに会社のインスタンスなのか？他社が利用しているインスタンスなのか？という問題もある。同様の問題が他のクラウドアプリケーションでも発生する可能性がある。個人利用で使われるクラウドのインスタンスなのか企業で利用されているインスタンスなのかを識別してアクセス制御をしていかないと対策がうまく機能しないので注意が必要だ。一部のクラウドサービスではXヘッダを利用したインスタンス制御機能があるが、SSE/CASBソリューションではサポートしているクラウドアプリケーションのインスタンス識別ができるものがあるため検討してもらうのも良いのではないか。

以上、マルウェアの配布の方法としてクラウドアプリケーションが利用されることがあることとその対策について考察してみた。レポートには他にもマルウェアの検出の回避手法について解説されているので対策の参考にしてみることをお勧めしたい。