Mandiantのレッドチームは2024年12月4日、QRコードを使用してブラウザ分離技術をバイパスする新たな攻撃手法を発表した。
攻撃手法の概要
3種類のブラウザ分離(リモート、オンプレミス、ローカル)全てをバイパス可能な手法で、PuppeteerとGoogle Chromeのヘッドレスモードを使用する。QRコードに最大2,189バイトまでのデータを埋め込み可能だが、1回の処理に約5秒を要する。
攻撃の仕組み
攻撃者のC2サーバーが正規のウェブページにQRコードを埋め込んで送信
マルウェアがヘッドレスブラウザでページを表示しスクリーンショットを取得
QRコードを読み取り、埋め込まれた命令を実行
実行結果をURLパラメータとしてC2サーバーに送信
from:Attackers Can Use QR Codes to Bypass Browser Isolation
【編集部解説】
ブラウザ分離技術は、企業のセキュリティ対策として広く採用されている重要な防御手段です。この技術は、ユーザーのローカル環境を保護するために、Webブラウジングを安全な環境で実行する仕組みを提供しています。
今回Mandiantが発見した手法は、この防御の盲点を突いた巧妙な攻撃です。QRコードという視覚情報を利用することで、これまで安全だと考えられていた「ピクセルストリーミング」の仕組みを逆手に取っています。
実用面での評価
この攻撃手法には、実用面で重要な制限があります。1回の通信に5秒もの時間を要し、データ転送速度は約438バイト/秒に制限されます。これは従来の攻撃手法と比較すると非常に遅い速度です。
しかし、この制限は必ずしも安全性を保証するものではありません。小規模なコマンドやデータの送信には十分な性能を持っており、特に長期的な潜伏型の攻撃に利用される可能性があります。
企業への影響
この発見は、特にセキュリティ重視の企業環境に大きな影響を与える可能性があります。ブラウザ分離技術を導入している組織は、この新しい攻撃手法に対する追加の防御策を検討する必要があります。
特に注目すべきは、この手法がCobalt Strikeのような既存の侵入テストツールと統合可能である点です。これは、実際の攻撃者がこの手法を容易に採用できる可能性を示唆しています。
今後の展望
この発見は、単一のセキュリティ対策に依存することの危険性を改めて示しています。Mandiantも指摘しているように、ブラウザ分離は依然として有効な防御手段ですが、包括的なセキュリティ戦略の一部として位置づける必要があります。
今後は、異常なトラフィックパターンの監視や、ヘッドレスブラウザの使用状況の追跡など、複数の防御層を組み合わせたアプローチがより重要になってくるでしょう。
この事例は、セキュリティ技術が進化する一方で、攻撃者も常に新しい手法を開発し続けていることを示しています。技術的な対策と共に、セキュリティ意識の向上や、定期的な防御態勢の見直しが重要となっています。