Web Browser Security Report 2023：ブラウザのリスクと検証の盲点について詳述する

2023 Browser Security Report Uncovers Major Browsing Risks and Blind Spots

2023/03/02 TheHackerNews — 今日の企業環境における主要な作業用インターフェースとして、Web ブラウザが重要な役割を担っている。Web ブラウザは、従業員の管理／非管理デバイスで使用され、Web ブサイト／SaaS アプリケーション／社内アプリケーションへのアクセスを実現している。ブラウザ・セキュリティ・ベンダーである LayerX が発表した最新レポートによると、この現実を悪用する攻撃者たちは、数多くのブラウザを標的にし、ユーザー組織におけるリスクが高まっていることが判明した 。

レポートの主な調査結果

企業環境に存在する Web ブラウザの半数以上には、ミスコンフィグレーションがある。正しく設定された Web ブラウザを侵害することはほぼ不可能だが、誤った設定の Web ブラウザからデータを盗むことは、赤子の手をひねるようなものだ。主な設定ミスは、業務用デバイス上での個人用ブラウザ・プロファイルの不適切な使用 (29%) 、パッチ適用ルーチンの不備 (50%)、非管理デバイス上での企業用ブラウザ・プロファイルの使用となる。

SaaS アプリケーションの約 30% は、企業として採用していない シャドー SaaS であり、どのような SaaS Discovery/Security ソリューションを用いても、そのリスクには対処できない。つまりシャドー SaaS は、それ以上にシャドー ID は、企業のデータ損失の第一の原因となっている。既存のデータ・セキュリティ・ツール (従来からの DLP であろうと DSPM であろうと) にとって、個人的なアプリケーションで従業員が行っていることに、アクセス／コントロールすることは不可能だ。

攻撃者たちは、メール・セキュリティやネットワーク・セキュリティのツールでは検知できない、回避的な攻撃技術を採用している。 SaaS アプリケーションを悪用したマルウェア配布や、評判の高いサイトを悪用したフィッシングなど、Web ブラウザを経由した、高度な攻撃手法が商品化されている。

従来のセキュリティ・ツールは、決定的な瞬間において、これらの攻撃ベクターの半分以上を見逃すため、標的型ブラウザ攻撃は企業侵入の主要因となっている。

Web ブラウザにおけるリスクの大半は、個人情報の窃取につながる可能性がある。それらの情報に含まれるのは、脆弱なパスワード／設定ミス／SaaS セキュリティ問題といった、デジタル ID をめぐる全ての問題である。この、気の滅入るような調査結果は、依然として デジタル ID が、企業のアキレス腱であるという重要な問題を示している。

このレポートでは、2022年の Web ブラウザ・セキュリティにおける、主要な脅威についても詳しく説明している。この種の脅威として挙げられるのは、高評価を得ているドメインを経由したフィッシング攻撃、および、ファイル共有システム経由のマルウェア配布、個人のブラウザ・プロファイルを悪用したデータ漏洩、資格情報を使ったアカウント乗っ取りなどがある。また、古いブラウザ、漏洩したパスワード、脆弱な非管理デバイス、リスクの高い拡張機能、シャドー IT、フィッシングなどの問題点についても触れられている。

このレポートでは、著名な脅威の統計／分析に加えて、2022年にブラウザ・セキュリティの世界に足跡を残した、主なニュースを振り返っている。2022年に生じた最初の Chrome ブラウザのゼロデイハックや、Internet Explorer の終焉、悪名高い Lastpass 顧客データの流出といったストーリーが取り上げられている。

Web ブラウザ・セキュリティの新たな視点

本レポートには、２つの効果と価値がある。１つ目は、台頭する新しいセキュリティのカテゴリーである、Web ブラウザ・セキュリティに関する知識を読者に提供することである。２つ目は、読者が本レポートにあるリスクやトレンドに精通しているかどうか、それらの脅威を検出／防止するための保護手段を備えているかどうかを、自問するキッカケを作ることである。

このレポートは、Web ブラウザ・セキュリティのリスクについて、新たな視点を提供する。企業の従業員たちによる、Web ブラウザの使用方法や、Web ブラウザ関連の脆弱性悪用の可能性についての洞察と、それらに対処するための推奨事項を示していつ。このレポートは、LayerX の環境から得たデータに基づく独自のリサーチと、一般に公開されている情報の分析を組み合わせたものである。

このレポートの推奨事項は、セキュリティ専門家が自社のセキュリティ・スタックを評価し、予算を検討する際の参考資料として利用できる。それぞれの企業環境において、主要な作業インターフェースとしての、Web ブラウザへの依存度が高まり続けている。したがって、Web ブラウザの誤用に関連するリスクを認識し、それらの脅威から保護するための対策を講じることが重要となる。

2022件〜2023年の Web ブラウザ・セキュリティの状況について、より詳細な洞察と詳細を得るために、完全版レポートの参照を推奨する。

この記事をサッと眺めるだけでも、「企業環境に存在する Web ブラウザの半数以上には、ミスコンフィグレーションがある」、「SaaS アプリケーションの約 30% は、企業として採用していない シャドー SaaS である」、「Web ブラウザにおけるリスクの大半は、個人情報の窃取につながる可能性がある」、「従来のセキュリティ・ツールは、決定的な瞬間において、これらの攻撃ベクターの半分以上を見逃す」というふうに、頭の痛くなる指摘が連なっています。これまでとは、ちょっと視点で眺めてみることが、Web ブラウザのセキュリティには必要なのでしょう。この記事の参照先である LayerxSecurity の Uncovering Browser Security Risks and Blind Spots は、さまざまな統計データで、Web ブラウザのセキュリティを考えさせてくれます。お薦めです。