WhatsApp：データ流出のリスクがあるサービス

Guermellou Mohammed 著 - Skyhigh Security クラウドセキュリティアーキテクト

2022年9月2日 5 分で読めます

今日、私たちは仕事と個人の両方の目的で、WhatsApp のような多くの正規の個人向けクラウド通信サービスにアクセスしています。しかし、これらの正規のクラウドサービスが悪用され、企業データの危険にさらされる可能性があります。このブログでは、プロキシ技術を迂回してデータを抜き出し、マルウェアを注入する個人向けウェブアプリケーションの課題と、Remote Browser Isolation (RBI) を備えた Skyhigh の Security Service Edge (SSE) ポートフォリオが、攻撃対象領域を減らし、データ漏洩を制限する方法について議論します。

今日、コミュニケーションプラットフォームは不可欠です。これらのプラットフォームは、家族や同僚とのつながりを維持し、新しい友人を作るために使用されます。その利用は、COVID-19と、チームメイトや友人と交流できるオフィススペースの外で働くことが多い新しい現代の職場によって加速されました。自宅やその他のリモートロケーションでのみ働くことで、互いに会う時間が減り、その結果、WhatsApp、Signal、Telegramのようなコミュニケーション技術が個人的な目的と仕事の目的の両方で使用されています。

現代の職場にもたらされる新たなリスク

WhatsAppは、コミュニケーションのために広く利用されているモバイルアプリケーションです。ユーザーが個人のデバイスでサービスにアクセスするため、アプリケーション自体が組織にセキュリティリスクをもたらすことはありません。しかし、管理対象デバイスからWhatsAppのウェブ版を使用するなど、企業管理デバイスと個人デバイスを連携させる場合はどうでしょうか？このような使用は、企業デバイスにとってリスクと見なされます。WhatsAppサービスがどのように機能し、どこにリスクがあるのかを詳しく見ていきましょう。

ユーザーがwhatsapp.comにアクセスすると、モバイルデバイスをウェブポータルとペアリングするよう求められ、その結果、ウェブサービスがローカルブラウザを介して会話を表示します。技術的には、ローカルマシン上のブラウザがWhatsAppウェブサービスとのセキュアな通信を確立します。この通信は、ウェブソケットと呼ばれる双方向メッセージです。プロキシ技術の役割は、HTTP通信を検査することでウェブトラフィックを保護することですが、図1に示すように、ウェブソケット通信の内容を検査することはできません。

図1。WebSocketセッションを説明する図

WhatsAppウェブアプリケーションが企業デバイスにインストールされると、ユーザーは機密性の高い企業データをアップロードしたり、外部に持ち出したりすることができます。データが暗号化されており検査されないため、クラウドプロキシのDLPポリシーの適用が不可能になります。図2に示すように、データはクラウドプロキシの制御を迂回します。

図2。双方向メッセージはフォワードプロキシの検査をバイパスします

WhatsAppを介してデータが持ち出されるデモビデオでは、ユーザーが個人メールを使用してクレジットカード情報を含む機密文書を共有しようとしますが、クラウドプロキシDLPポリシーに基づき、ファイルに含まれる情報が個人メールボックスにアップロードするには機密性が高すぎるため、ブロックされます。次に、この制限を回避するために、ユーザーはファイルのコンテンツをブラウザに直接コピー＆ペーストしようとします。以前と同様に、クラウドプロキシDLPポリシーがトリガーされ、コピーの試みは再びブロックされます。最後の試みとして、ユーザーはWhatsApp Webを使用し、デバイスをペアリングします。今回は、クラウドウェブプロキシDLPがコンテンツを検査することなくファイルをアップロードできます。

課題の克服

このリスクを理解することは、管理者にとってジレンマを生み出します。管理者は、在宅勤務中にこれらのコミュニケーションサービスへのユーザーアクセスを許可するか、またはWhatsAppをブロックしてこのリスクから保護しつつ、ユーザーの業務能力を妨げるか、を決定する必要があります。理想的な解決策は、企業データを安全に保ちながら、ユーザーがこのサービス（または他のサービス）を使用できるようにすることです。したがって、アイソレーション技術は、管理者に常に必要なレベルのセキュリティをもたらし、同時にユーザーがウェブサービスにアクセスする際の制限を少なくします。

分離技術は、ウェブサイトのコンテンツを安全なリモートロケーションに移動させることで、ユーザーのマシンのローカルブラウザで実行されるのを防ぎます。その後、ターゲットウェブサイトのコンテンツの画像のみがローカルマシンのブラウザに表示されます。ウェブサイトの潜在的に危険なコンテンツはローカルマシンで実行されないため、ブラウザの脆弱性露出とクッキーハイジャックのリスクが自動的に軽減されます。Gartner の Innovation Insight for Remote Browser Isolation の調査（購読が必要）によると、分離技術を使用する組織は攻撃対象領域を70%削減できます。図3のダイアグラムは、Skyhigh Security Remote Browser Isolation (RBI) 技術と、それがローカルブラウザと WhatsApp サービス間にどのように位置するかを示しています。

図3。WhatsAppを分離し、WebSocket通信に入る前に検査する

当社の WhatsApp Secured with RBI デモビデオ は、ユーザーが WhatsApp ウェブサービスにアクセスしようとする例を示しています。WhatsApp ウェブは Skyhigh Security Cloud 上の分離クラウド環境内で開かれ、会話の画像のみがローカルブラウザに送信されます。RBI で保護された WhatsApp サービスを備えた分離クラウド環境との間にウェブソケットが確立され、管理者は分離セッションから実行されるすべてのアクティビティを制御できます。

主要なポイント

アイソレーション技術は、ウェブプロキシに、単に許可したりブロックしたりするだけでなく、より自由なアクションを適用する機会をもたらします。これは自動車産業に似ています。ブレーキの発明により、自動車の速度を安全に上げることが可能になりました。ブレーキが車の暴走や制御不能を防ぐことができるため、エンジニアはより高速で走行できる強力なエンジンを開発し、その速度をより安全に制御できるという自信を持っています。

同様に、アイソレーション技術は、すべての実行をローカルマシンからセキュアな隔離されたブラウザに移すことで、ウェブプロキシ制御の可能性を広げます。これにより、管理者が膨大な例外リストを維持する必要が減り、在宅勤務中のユーザーにより多くの自由が与えられます。このアプローチは、ゼロトラストセキュリティアーキテクチャの原則もサポートします。なぜなら、私たちは宛先サイトやその中のコンテンツを信頼せず、潜在的なリスクの実行を企業マシンからセキュアなリモートブラウザへ継続的に評価し、除去するからです。

関連リンク

• ウェブセキュリティ製品
• ブラウザーアイソレーションとは？
• Secure Web Gateway データシート 

ブログへ戻る