The Hacker Newsは5月13日(現地時間)、「The 2024 Browser Security Report Uncovers How Every Web Session Could be a Security Minefield」において、イスラエルのネットワークセキュリティ企業「LayerX Security」が公開した「2024 Browser Security Report」の概要を伝えた。

  • The 2024 Browser Security Report Uncovers How Every Web Session Could be a Security Minefield

    The 2024 Browser Security Report Uncovers How Every Web Session Could be a Security Minefield

レポートの主な内容

同レポートが指摘しているWebブラウザにまつわる脅威は以下の通り。

  • 管理されていないデバイスや個人のWebブラウザプロファイルはサイバー攻撃の主な仲介役となる。従業員の62%は管理されていないデバイスを使用して企業データにアクセスし、企業内のWebブラウザの45%は個人プロファイルを使用している
  • 企業内で使用されているWebブラウザ拡張機能の33%は高いリスクをもたらし、1%は悪意がある。攻撃者は悪意のある拡張機能を使用して、ユーザーデータを侵害し、ユーザーをフィッシングサイトに誘導する
  • 従業員による隠れたSaaS(Software-as-a-Service)の使用により、未知の問題やID管理に重大な脆弱性が生じる
  • 共有アカウントおよびシングルサインオン(SSO: Single Sign On)を使用すると不正アクセスのリスクが増加する
  • 従業員の7.5%はChatGPTなどの生成AIに機密情報を入力しており、データ流出の危険にさらされている。企業内のAIツールに対するリスクの理解には格差がある
  • AI(Artificial Intelligence)はマルウェア開発、フィッシング攻撃、Webブラウザ拡張機能の悪用、サプライチェーン攻撃の強化に活用できる
  • Webブラウザのセキュリティアップデートは重要

Webブラウザを取り巻く脅威への対抗策

The Hacker Newsは、同レポートからWebブラウザを取り巻く脅威に対抗するための策として、以下を推奨している。

  • Webブラウザを定期的にアップデートする。セキュリティアップデートが公開された場合は速やかに適用する
  • 不正な拡張機能を制限し、定期的に拡張機能の権限を確認する
  • 疑わしいメールやWebサイトを報告できるように従業員を教育する
  • 条件付きアクセス制御を実装し、明確なBYOD(Bring Your Own Device)のポリシーを推進する
  • 多要素認証(MFA: Multi-Factor Authentication)を導入し、パスワード管理について従業員教育を実施する
  • 安全な構成と拡張機能のホワイトリスト登録を強制する
  • 最小権限の原則を実践し、機密情報へのアクセスを制限する
  • 高度なツールを使用してWebブラウザデータを検証し、脅威を分析することでプロアクティブな脅威の緩和を実現する

The Hacker Newsは、Webブラウザによる脅威を理解し軽減するために、このレポートは重要な資料になるとしている。また、レポートが推奨する戦略を採用することで、企業や組織はWebブラウザを標的とするさまざまな脅威に対抗する防御策を強化できるとして、セキュリティ担当者に閲覧を推奨している。