サイバーセキュリティ脅威に関する注意喚起:世界的な紛争激化に伴う、脅威アクティビティ活性化の可能性
トピック:Attacks and Threat Actors 2022年2月24日、Daniel Park ロシアとウクライナの緊張が高まる中、脅威アクターはウクライナ政府と他のウクライナ組織の両方を標的にしています。DoS攻撃によりウクライナ国防省と軍部のウェブサイトがダウンしました。また、ウクライナの大手銀行であるPrivatBankとOschadbankに対しても、同様の攻撃が展開されました。現在のところセキュリティの専門家はこれらの攻撃にロシアが関わっていることを確認していませんが、ウクライナはロシア国家の脅威アクターが関与していると確信しています。 技術的な詳細と追加情報 どんな脅威か? DoS攻撃は、攻撃者がサービス、ウェブサイト、もしくはデバイスを使用不可能な状態にすることに成功した場合に発生します。今回のケースでは、Webサイトに対して、クラッシュするほどトラフィックを殺到させることでこの攻撃を展開しました。これによって、ウクライナの銀行のウェブサイトは使用不能となり、銀行のすべての活動や顧客に直接影響を与えています。 注目する理由 ある国が他の国に対してサイバー攻撃を行うことは、関係する国のサイバーリスクを高めるだけでなく、世界のサイバーリスクにも影響を与えることになります。今回事例として挙げた攻撃は高度なものではなく、軽減することも困難ではありませんでしたが、脅威アクターは以前から、より巧妙で潜在的な被害が大きい攻撃に向けた土台をつくるために、陽動作戦としてこれらの攻撃を利用してきました。したがって、特に2020年と2021年に起きたSolarWindsやパイプラインに対するサイバー攻撃にロシアが関与していると考えられていることも鑑みて、ユーザーは警戒を怠らず、今後の動向にも細心の注意を払う必要があります。 エクスポージャのリスク 現時点で組織が警戒したり、パッチを適用したりする必要のあるアクティブな脅威はありませんが、現況下でそのような事態になる可能性は常に存在します。ジョンズ・ホプキンズ情報セキュリティ研究所が作成したツール「サイバー攻撃予測指数(CAPI)」において、今の状況は最大スコアである25がスコア付けされています。この状況が進むにつれて新たな脆弱性や攻撃が発生する可能性がありますので、新しい脅威に目を光らせておくことが重要です。Barracudaは今後も不審な動きがないかを監視し続けていきます。 対処方法 この状況に関連するニュース、特にどういったタイプの攻撃が起こる可能性があるかを注視しておくことをBarracudaは推奨します。組織で使用していた製品が脆弱性にさらされた場合パッチが適用されるように、必ずアップデートを行ってください。さらに、国外からの不審なトラフィックに常に注意を払っておいてください。Barracudaはこのような状況を注意深く監視し、潜在的な脅威に関する情報を共有していく予定です。 参照資料 対処方法をより詳しく知りたい方は、以下のリンク先をご参照ください。 https://hub.jhu.edu/2022/02/15/russia-ukraine-maxes-out-cyber-attack-predictive-index/ https://fortune.com/2022/02/16/ukraine-russia-cyberattack-banks-crisis/ https://fortune.com/2022/02/15/markets-rally-russia-troops-ukraine-ruble-bitcoin-stocks/ https://cyberheatmap.isi.jhu.edu/ https://fortune.com/2022/02/15/russia-duma-putin-ukraine-donetsk-luhansk-donbas-recognition-georgia-south-ossetia/ この投稿は、弊社の Barracuda Managed XDRチームが発行した脅威に関する注意喚起に基づいています。 原文はこちら:Cybersecurity Threat Advisory: Heightened threat activity expected as global conflicts surgeFebruary 24, 2022 Daniel Parkhttps://blog.barracuda.com/2022/02/24/cybersecurity-threat-advisory-heightened-threat-activity-expected-as-global-conflicts-surge/
海外ブログ
2022.03.08
フィッシング詐欺はWeb3時代にも続く
2022年2月22日、Mike Vizard ブロックチェーン技術を採用し、分散型ネットワーク上で共有・アクセス可能なデータの不変インスタンスを作成するWeb3技術の台頭が最近話題になっています。Web 2.0技術を利用して構築された中央集権型サービスにも、少数の極めて大規模なエンティティによって制御されている中央集権型クラウドサービスにも依存することなく、データをより安全にすることを目的としています。 それは立派な試みである一方で、Web3プラットフォームは依然として、さまざまな種類のクレデンシャルを使用してアクセスされています。そのため、現在 Web2.0 プラットフォームを悩ませているのと同じように、フィッシング攻撃の対象となる可能性があります。例えば、マイクロソフトは、Web3プラットフォームへのアクセスに依存する暗号鍵が、デジタルウォレットソフトウェアになりすまし、被害者のデバイスにマルウェアを展開し、正規のスマートコントラクトのフロントエンドにタイポスクワッティングを行い、不正なデジタルトークンを製造し、ユーザーが謎のトークンが何であるかを調べて、認証情報を盗まれるエアドロップ詐欺に利用できることを説明した警告を発表しています。 これらのいわゆる「アイスフィッシング」技術は、何らかの方法でエンドユーザーを騙し、サイバー犯罪者にトークンの制御を密かに与えるような取引にサインさせるものです。 Web3の研究開発には、既に数十億円が注ぎ込まれています。Web3という言葉は2014年にポルカドットの創業者でイーサリアムの共同創業者であるギャビン・ウッドが作った造語です。その中核となるWeb3は、中央当局を介さないデジタル資産のあらゆる交換を表します。デジタル資産の交換を管理するエンティティは、分散型自律組織(DAO)と呼ばれます。既存のWeb2.0の枠組みに取って代わるというよりも、中央集権的なインターネットサービスに依存する必要性が少なくなる中で、ユーザーや組織が取引だけでなくデータもよりコントロールできるような別の枠組みを横に重ねていくことが、その核となる考え方です。 ブロックチェーンプラットフォームは、分散型台帳を使用してネットワークの各メンバーに全く同じデータのコピーを提供するため、分散化が可能になります。ある台帳が何らかの形で改ざんされたり、破損したりすると、ネットワーク上の他の台帳から自動的に拒否されます。ネットワーク上のすべてのエンティティは、台帳に格納されたデータの共有リアルタイムビューにアクセスすることができます。 分散化の大きなメリットの一つは、システム停止や障害に繋がりかねない特定のプラットフォームへの依存を減らすことです。また、リソースの配分を最適化することでより良いパフォーマンスと一貫性を実現し、全体的により安全なアプリケーション体験を可能にします。しかし、克服すべき課題も残されています。例えば、ブロックチェーンプラットフォームは大量のエネルギーを消費するため、分散化へのアプローチは、気候変動政策や要件に沿ったものである必要があります。 また、様々な違法行為の資金源として使用されるため、法執行機関による金銭的な支払いの追跡が非常に困難になっています。サイバー犯罪者が身代金の支払いを暗号通貨で行うよう要求するのはこういった背景があるからです。 どのようなプラットフォームであっても、サイバー犯罪者は認証情報を侵害するためにあらゆるフィッシング攻撃の技術を用いてきます。どんなに優れたプラットフォームであっても、完璧なセキュリティはありえないということを覚えておいてください。 原文はこちら:Phishing scams continue into the Web3 eraFebruary 22, 2022 Mike Vizardhttps://blog.barracuda.com/2022/02/22/phishing-scams-continue-into-the-web3-era/
海外ブログ
2022.03.07
進化を遂げるメールの脅威
トピック:Advanced Threat Protection、 Attacks and Threat Actors 2022年2月14日、Christine Barry 1日に送信されるメールの数は、2024年には3,620億通近くに達すると予測されています。この数字には消費者向けのメッセージだけでなく、スパムや勝手に送られてくるマーケティングも含まれていますが、メールの利用が世界中で毎年持続的に増加していることを表しています。全米経済研究所は、コロナ禍でリモートワークへ働き方がシフトした後、職場におけるメッセージが5%増加したことを確認しました。SlackやMicrosoft Teamsのようなメッセージアプリケーションの利用が増えても、メールは企業や個人にとって極めて重要なコミュニケーション手段であることに変わりはありません。 そのメッセージの量と、「疑わしいメッセージ」のクリック率が高いことが、メールが依然として第一の脅威ベクタである理由です。サイバー攻撃の90%以上は、ユーザの認証情報を盗んだり、ネットワークにマルウェアを感染させたりすることを目的としたメールから始まります。サイバー犯罪者がメール攻撃を好むのは、それが有効だからです。 現代のメール脅威における課題 Nishant Tanejahは最近Tracy Holtzと共に、現代のメール脅威から身を守るための課題について議論しました。Nishantはメールセキュリティの専門家であり、現在BarracudaのProduct MarketingでSenior Directorを務めています。TracyはTech Data社の北米事業におけるセキュリティソリューションのVice Presidentです。The Holtz StoryのEpisode 16では以下の内容をお聞きいただけます: いかにしてメール脅威が量的攻撃からソーシャルエンジニアリングなどの高度な攻撃へと進化したか 犯罪者がメールを利用してアプリケーションやデータを攻撃する理由 13種類のメール脅威が企業に毎年何十億ドルもの損害を与えている理由 ダークウェブやソーシャルメディアなど、ネット上の情報がメール攻撃をどう変えたか なぜサイバー犯罪者はサプライチェーンと中小企業(SME)を狙うのか 社内の高価値な個人ターゲットの特定 意識改革、トレーニング、実践を通じてもたらす人間の行動変化 メール利用の増加とクラウドベースの高生産性プラットフォーム メールセキュリティプログラムと組織におけるベストプラクティスの構築 リアルなメール攻撃シミュレーション作成 Barracudaのメール攻撃スキャナでリスクとエクスポージャを特定 Office 365のネイティブなセキュリティを理解し、追加プロテクションを評価する Barracudaが攻撃を識別し、受信トレイを保護する方法 メールセキュリティにおけるAI、機械学習、API統合の役割 Barracudaのアイデンティティグラフが高度なメール脅威からユーザを保護する方法 エピソードページには主なテーマのタイムスタンプ付きの番組解説があります。 Barracudaはゲートウェイから受信トレイ、メールユーザまで、複数レイヤのセキュリティで毎日10億通以上のメッセージを保護しています。Barracuda Email Protectionや無料のBarracuda Email Threat Scannerについて詳しい情報を知りたい方は、ぜひ弊社のWebサイトをご覧ください。 原文はこちら:How email threats are evolvingFebruary 14, 2022 Christine Barryhttps://blog.barracuda.com/2022/02/14/how-email-threats-are-evolving/
Blog
2022.03.01
2022年版ランサムウェア:予測と対策
2022年2月10日、Tony Burgess あらゆる業界や規模の組織にとって、ランサムウェアは最大のサイバー脅威であることに以前変わりはありません。そしてその技巧は進化し続け、要求する身代金も数千ドルではなく数百万ドルにまで上っています。 もちろんランサムウェアだけが脅威なわけではありません。APIベースのアプリケーションの脅威、高度な第5世代ボットなどとともに、ソフトウェアサプライチェーンへの攻撃も増加しています。 先見の明が身を守る 今後何が起こるのかといった予測やその対策について、弊社は2022年2月16日にライブウェビナーを開催しました。このセミナーでは、過去1年間に発生したランサムウェアの全容と、2022年に予想されるランサムウェアの動向について解説しました。さらに、ライブイベントに参加された方は、2月末に公開される弊社の新たなレポート「Threat Spotlight:あなたのビジネスを守るために」にいち早くアクセスすることができるようになっています。このレポートでは過去1年間の主な脅威の傾向と、それが示唆する今年の脅威について解説しています。 さらにこのセッションでは、最も進化した巧妙なサイバー脅威から組織を保護するための最新の戦略やテクノロジについて深く掘り下げた話が繰り広げられました。講演者の一人は、ランサムウェアのインシデント対応の経験が豊富なBarracuda Security Platform Engineers ManagerのMerium Khalidであり、最新の複数段階のランサムウェア攻撃の実例と、Barracuda SKOUTのような高度な拡張検出・応答(XDR)プラットフォームを搭載した外部のセキュリティ運用センターの使用における潜在的なメリットを説明しました。 仕事に最適なツール このパネルディスカッションにはBarracuda CTOのFleming ShiとSenior Product Marketing ManagerのStasia Hurleyも参加しました。ランサムウェアの傾向と、いかに最新のそうした脅威がメール、ネットワーク、アプリケーション、データ保護など複数の方面で脆弱性を悪用するかという点に焦点を当てて解説しました。効果的なランサムウェアへのセキュリティインフラには以下のものが必要です: Barracuda Email Protectionのように、AIや機械学習を利用して、高度で発見が困難なフィッシング攻撃を検知する最新のメールセキュリティ Barracuda Cloud Application Protectionのような、高度なボット検出、サプライチェーン攻撃防御など、強力で多機能なWebアプリケーションやAPIセキュリティ Barracuda CloudGen WANやBarracuda CloudGen Accessのような、高度なネットワークセキュリティ、SD-WAN機能、ゼロトラストアクセス制御を組み合わせたSASE (Secure Access Service Edge)ソリューション Barracuda Cloud-to-Cloud Backupのような、バックアップを見つけて感染するように設計された最新のランサムウェアから能動的に保護する高度なクラウドベースのデータ保護 2022年2月16日に開催されたWebinarのオンデマンド視聴はこちら(英語): 原文はこちら:Ransomware 2022: What to expect, how to fight backFebruary 10, 2022 Tony Burgesshttps://blog.barracuda.com/2022/02/10/ransomware-2022-what-to-expect-how-to-fight-back/
Blog
2022.02.28
内部脅威の理解と対策
トピック:Attacks and Threat Actors 2022年2月4日、Tony Burgess 「内部脅威」という言葉を聞くと、不満を抱えた社員が鬱憤を晴らすためにシステムを破壊したり、会社に危害を加えたりすることをすぐに思い浮かべる人が多いと思います。そのような悪意のある内部関係者は、内部脅威における問題の重要な要素であることは間違いありません。しかしセキュリティの観点からは、こうした内部脅威がどのように構成されているかをより広く包括的に理解する必要があります。内部脅威の種類を明確に把握することで、その脅威に対してより効果的な戦略を立案し、実行することができます。 悪意のある内部関係者 まず、悪意のある内部関係者について詳しく見ていきましょう。確かにこれには、会社に恨みを抱いている人たちも含まれます。例えば、従業員が昇進を見送られたと感じたりした場合です。 このように憤りを感じた従業員が会社に損害を与えるような行動を自ら意図的に取ることもありますが、外部の脅威者からランサムウェア攻撃やその他の脅威を行うため助けを求められることもあります。実際、2021年から2022年初頭にかけてHitachi IDが収集したデータによると、調査対象の経営者の65%が、自身もしくは自身の企業に勤める従業員がランサムウェア攻撃の計画支援を持ちかけられたことがあると回答しています。特にコロナ禍に入って以降、定期的に行われている調査でこの数字は右肩上がりになっています。 従業員がソーシャルメディアで不満をこぼした場合、外部のハッカーから接触される可能性が特に高いと推定してよいでしょう。つまり、不満を持つ従業員が高度な技術を使ったサイバー攻撃を遂行するために特別な技術やノウハウを熟知している必要はないということです。 また、自分のキャリアアップのために常にチャンスを伺っている野心的な従業員が情報を盗んだり、他の従業員のプロジェクトを妨害したりする場合もあります。 最後に、悪意のある内部関係者は産業スパイに加担し、単に金銭的な理由で競合他社に機密情報を売り渡すこともあります。自分自身でそうしたスパイ行為を始めることもあれば、競合他社からのオファーに応じる場合もあります。 ずさんな内部関係者 他には、内部関係者の過失もあります。この中には、気が散ってしまったことが理由でセキュリティ手順やポリシーに違反してしまうことや、セキュリティプロトコルについて従業員が訓練を受けていないこと、セキュリティ手順を不要と考える、もしくはあまりに面倒くさいと思って無視してしまうケースが含まれます。 侵害された内部関係者 最後になりますが、実に重大なのは内部関係者への侵害です。多くの場合、こうした従業員というのはフィッシング詐欺の被害に遭い、自分のコンピュータにマルウェアをダウンロードしたり、知らないうちに攻撃者にアクセス情報を渡してしまっています。このような従業員が騙されたことに気づかない場合、そのネットワークアカウントやコンピュータは、外部の悪意あるハッカーにとってネットワーク内の足がかりになる可能性があります。 このようなハッカーは時間をかけて好きなように行動することができます。デバイスをボットネットに追加してDDoS攻撃に利用することもできます。暗号通貨を盗み出すことにも使うかもしれません。しかし最も一般的なのは、このデバイスを本拠地として企業ネットワークを探索することです。他のデバイスやアカウントに移動し、認証情報を取得してアクセス権限を増やし、貴重なデータを見つけて盗み出したり、身代金を要求したり、重要なシステムにアクセスして破壊工作を行うこともあります。 内部脅威への対策 ここまでは内部脅威の種類とその動機について考察してきました。では次に、内部脅威の数を減らし、残っているものを検知してブロックするために実施可能なあらゆる対策をみていきましょう。 従業員の不満を解消する 誰かの「不満を解消する」とは私のお気に入りの言葉の一つです。今回の対策といった意味合いでは、人事や経営のベストプラクティスを実行することで、それができるようになります。会社にとって脅威となりうる悪意のある内部関係者の数を減らすために、昇進・昇給の決定における透明性と公平性、明確で誠実な経営陣とのコミュニケーションなどは大きな役割を果たすことができます。 人事部とIT部の足並みを揃える また、人事部とIT部が、悪意のある内部脅威の可能性について緊密に連絡を取り合い、定期的にミーティングを開いて情報交換を行うことも非常に有効です。最近懲戒処分を受けた従業員や昇給・昇進を見送られたと思っているような従業員のリストを人事部が準備することで、IT部がそうした従業員のオンラインでの行動をより注視し、彼らのデバイスやアカウントに特別なポリシーを適用する可能性を高めることができます。 同様に、IT部は、通常とは異なる時間にログインやバッジングを行ったり、自分の役割に関係のないデータにアクセスしたりする従業員や、その他の疑わしい行動を検知する方法を確立し、さらなる措置が必要とされる場合に備えてそのリストを人事部と共有する必要があります。 とにかく訓練あるのみ セキュリティ意識向上トレーニングといえば、ひと昔前は年2回退屈なビデオを見て試験に合格するというプログラムでしたが、その時と比較すると Barracuda Security Awareness Trainingのようなものにかなり進化を遂げました。今はとても簡単な手法がとられています。フィッシング攻撃のシミュレーションを利用することで常に脆弱性を測定し、トレーニングを最も必要とする従業員を特定することや、その従業員向けの個別トレーニング教材とプログラムを提供することが可能となっています。 会社がゲーミフィケーションの手法を用いて、フィッシングの類似体験の特定と報告を最もちゃんとこなした人に賞を授与するといった機会を毎月もしくは四半期ごとに行うことで、ひねくれた態度の従業員でさえも積極的に参加しエンゲージメントを高めることができるでしょう。強力で効果的なトレーニングプランは、ずさんな、もしくは侵害された内部関係者の脅威を軽減する唯一にして最良の方法です。 信頼しつつ、きちんと確かめる 冷戦時代の核軍備管理取引と同様、「信頼しつつ、きちんと確かめる」は、「信じるな」のうわべの表現だと言えましょう。そしてアクセスコントロールに関して言えば、絶対に信頼すべきではありません。 シングルサインオン(SSO)、ロールベースの権限、多要素認証(MFA)は、効果的で安全なアクセス制御のための黄金ルールとして長い間利用されてきました。しかし結局のところ、こうした対策はあまりに信頼しすぎてしまうのが問題です。一旦正しい認証情報が提示されれば、すべてあなたの思う通りに操作できるようになり、あなたが本人であることにも、あなたがやりたいように行動することにも何の疑いももたなくなってしまうのです。 つまり、悪意のある内部関係者は自由に悪さをすることができますし、侵害された(もしくはログイン時に侵害されてしまった)内部関係者であれば、知らず知らずのうちに脅威アクターをネットワークに取り込んでいることになるのです。 現在、Barracuda CloudGen AccessなどのZTNA(Zero Trust Network Access)ソリューションは、そのような信頼の必要性を排除しています。ZTNAは、入口でIDを確認する用心棒の役割を果たすというよりも、専門の監視チームのような役割を担っています。ZTNAは各ユーザの行動を監視・分析することで、漏えいなどの有害事象につながる前に、異常な行動やリスクのある行動を特定するのに役立ちます。 最後のまとめ 内部脅威の心配がなくなることはないでしょうが、満足度を高める文化や管理手法を確立し、リスクの高い個人を対象としたセキュリティ意識トレーニングを継続的に実施し、最新のZTNAアクセスコントロールソリューションを導入すれば、あらゆる種類の内部脅威からのリスクをかなり軽減することができるでしょう。 当社レポート「自宅のデバイスを保護し、リモートワークの生産性を上げる5つのステップ」もぜひご覧ください 原文はこちら: Understand and combat insider threats February 4, 2022 Tony Burgess https://blog.barracuda.com/2022/02/04/understand-and-combat-insider-threats/
海外ブログ
2022.02.21
次世代ファイアウォールからFirewall-as-a-Serviceへ
海外ブログ
2022.02.14
2022年にはクラウド、メール、ネットワーク等、脅威アクターによる攻撃がますます激化
Others
2022.02.07
情報漏えい件数、2021年に再び過去最高を記録
2022年1月11日、Mike Vizard 2021年に起きた情報漏えいが記録的な数になることは現時点で間違いないでしょう。米国のIdentity Theft Resource Center(ITRC)の報告によると、2021年9月30日までに発生した情報漏えいの総件数が、すでに2020年の総件数を17%上回っています。Log4jのようなゼロデイ脆弱性により、この数字はさらに増えると考えられます。 2021年で最も深刻だった情報漏えいは、サイバーセキュリティアナリティクス企業Cognyteが収集したデータが50億件も流出していたこと、そしてLinkedInユーザー約7億人の個人データがダークウェブで売りに出されていたことです。これまでの漏えい件数を見ても、この2件はいずれも上位10位以内に入るほど記録的な数字となっています。 Providence社によるITソリューションの恩恵がなければ、今日、あらゆる組織が大規模な情報漏えいに見舞われていたでしょう。サイバーリスク管理プラットフォームを提供するVulcan Cyberに代わって、調査会社Pulseが企業で働くIT・セキュリティ専門家を対象に実施した調査によると、現在組織にとって機密情報の公開に関する大きな懸念はアプリケーションの脆弱性(54%)で、次いで認証の突破(44%)、セキュリティの設定ミス(39%)、不十分なロギングと監視(35%)、インジェクション(32%)が上位を占めています。また、組織が最も懸念しているのはMS14-068というMicrosoft Kerberos認証の特権のないユーザアカウントに対する脆弱性であるということが、この調査でわかりました。 しかし、今回の調査では、脆弱性の重要度が正確でないことも明らかになりました。4分の3以上(78%)の回答者が、サードパーティーが特定した優先度の高い脆弱性は、組織に与え得る影響度合いを考慮すると、実際にはもっと低くランク付けされるべきだと答えています。また逆に、3分の2以上(69%)の回答者が、ランクの低い脆弱性はより上位に位置付けるべきとも指摘しています。80%以上の回答者が、脆弱性の重要度を決定する際、特定のリスク環境に基づいて、直感などといった柔軟な考え方を採用することが有益であると答えています。 どの国の政府からも罰金や罰則が科せられる可能性がある中、セキュリティに関する膨大な懸念事項をよそに、企業はデータ管理の仕方を変えようとしていません。情報の漏えいをできる限り防ぐために、機密データの保存量を減らすことが企業にとって賢明な策となります。エンドユーザーがあらゆる個人情報(PII)を入力しがちなスプレッドシートに見られるように、企業は必要以上に多くのデータを保存する傾向があります。サイバー犯罪者とそのデータを隔てるものは、いとも簡単に破ることのできるパスワードのみです。データを蓄積しがちな組織にとって、サイバーセキュリティにおける最大の敵は自分自身であるということがよくあります。 2022年がどういった年になるかを断定することはできませんが、サイバーセキュリティ攻撃の質が上がり、量的にも増えるであろうことは確かです。しかし、もし企業が2021年の体制のままで異なる結果を期待し続けるのなら、アルバート・アインシュタインが予測したように、2021年に私たちが成し遂げた偉業は、サイバーセキュリティにおける新たなレベルの狂気をもたらしたことでしょう。 原文はこちら: Data breaches reached another all-time high in 2021 January 11, 2022 Mike Vizard https://blog.barracuda.com/2022/01/11/data-breaches-reached-another-all-time-high-in-2021/
海外ブログ
2022.01.24
Barracuda Cloud-to-Cloud Backupが「2021 CRN Products of the Year」を受賞
海外ブログ
2022.01.12
Barracuda Threat Spotlight(バラクーダが注目する脅威):ログインジェクション攻撃
トピック:Attacks and Threat Actors 2021年12月22日、Jonathan Tanner インジェクション攻撃は、OWASPの「Webアプリケーションの脆弱性トップ10」に恒常的にランクインしています。SQLインジェクション、コマンドインジェクション、クロスサイトスクリプティング(XSS)攻撃は、一般的に最初に思い浮かぶインジェクション攻撃の形態ですが、ログインジェクションにもリスクがあり、見過ごされている場合があります。 ログインジェクションとは、ユーザが操作した入力内容が無害化されずに記録された場合に発生するもので、リモートコード実行(RCE)など、さまざまな影響を及ぼす可能性があります。これは、最近公開されたCVE-2021-44228(別名「log4shell」)log4jに対する攻撃のように、2.15.0より前のバージョンのlog4jや、2.16.0以上で機能が完全に削除される前の2.15.xバージョンでデフォルトのformatMsgNoLookupsプロパティを無視した攻撃がそうでした。 脅威のハイライト Log4j ログインジェクション RCE – 攻撃者がログインジェクション攻撃に成功したと仮定すると、JNDIを使ってLDAP検索を行う特別に細工された文字列置換を使って、攻撃者が制御するリモートLDAPサーバから読み込まれたコードを実行することができます。Javaアプリケーションにおけるlog4jの人気の高さと、任意のコードを実行できる能力を考慮して、Apacheはこの脆弱性が公開された際に可能な限り高い深刻度の評価を与えました。この脆弱性により、多くの著名な企業が影響を受けました。 詳細 開発者やシステム管理者は、ソフトウェアが正常に動作しているかどうかを確認したり、動作していない場合にはより具体的な内容を特定するために、ログの記録はほとんどのアプリケーションやシステムにとって重要な要素です。しかし、ログインジェクションは、アプリケーションやシステム自体のリスクだけではありません。なぜなら、ログが他のソフトウェアによって処理されることはよくあることで、そのソフトウェアもログインジェクションの試みに対して脆弱である可能性があるからです。基本的に、ログファイルに書き込んだり、ログファイルから読み取ったりするものはすべて、ログインジェクション攻撃の標的になる可能性があります。また、ログを読んでいる人も、ログインジェクション攻撃の標的になる可能性があります。ログインジェクション攻撃としては、ログの偽造、サービス拒否、悪意のある文字列のインジェクションなどが考えられますが、これらの攻撃自体にもいくつかの可能性があります。 ログの偽造とは、ログに記録されるペイロードを細工して、見た目は正当だが偽のログ行を追加することです。これは、ログ分析システムや、手動でログを読む人(またはイベントシステムを通じてログを読む人)を騙して、実際には起こっていないイベントが起こったと思わせたり、特定のイベントの発生頻度の分析を歪めたりするために使用されます。サービス拒否攻撃では、攻撃者が大量のデータでログファイルを圧倒します。これにより、メモリの枯渇、ディスクスペースの肥大化、あるいは、サイズに基づいてロールバックされ、ファイルのサブセットのみが保持されるログの場合には、ログシステムによってログエントリが早期に削除されることになります。これらのログインジェクション攻撃は、特定のプログラミング言語やテンプレートエンジンを利用する必要はありません。 悪意のある文字列インジェクションは、最近公開されたlog4jの脆弱性の場合、リモートコード実行を含め、様々な形態やペイロードを取ることができます。これらの悪意のある文字列は、ロガーやログを読み取るソフトウェアの組み込み機能を悪用することができます。log4shellの場合、文字列置換の側面が悪用されます。具体的には、log4jの式言語を使用して変数を検索し、ログ出力に置換することができる機能です。ログを表示または処理するソフトウェアでテンプレートエンジンが使用されている場合、使用されているテンプレートエンジンの構文を使用してテンプレートインジェクションが可能な場合があります。ログがWebブラウザに表示される場合、テンプレートインジェクションに加えて、Webサービスで使用されているプログラミング言語でコードを注入することが可能な場合があります。例えば、ログが必ずしも攻撃者でなくてもよいユーザに表示されるときに実行されるPHPコードをログに注入することができます。また、ログにJavaScriptを書き込んで、ユーザがWebアプリケーションを介してログエントリを閲覧したときにレンダリングされて実行されるようにする、つまりストアドクロスサイトスクリプティング攻撃も可能です。 インジェクション攻撃では、情報漏えいなど様々な結果やリスクが考えられますが、リモートコード実行(RCE)は、脆弱性のより深刻な結果の一つです。RCEは、攻撃者がアプリケーション内のコードを、あたかもアプリケーションの一部であるかのように実行し、アプリケーション自身が利用可能なあらゆるアクセス権や特権を得ることを可能にします。これにより、アプリケーションが利用可能なファイルや、アプリケーションが通信するデータベースへのアクセス、さらにはリバースシェルを介したホストシステム自体へのアクセスが可能になります。ファイルやデータベースへのアクセスは情報漏えいの原因となりますが、シェルは、攻撃者がネットワークにさらに侵入し、アプリケーションがアクセスできる範囲外のシステムやリソースを侵害するための出発点となります。このように、log4shell攻撃が悪用された場合、データとネットワークの両方のセキュリティに深刻な影響を与える可能性があります。 ロギングソフトウェアを構築・保守しているグループにとっては、今回の脆弱性により、データサニタイズ機能を組み込む必要性と、セキュリティリスクを考慮してどの程度の機能が有用であるかを検討する必要性が浮き彫りになりました。ほとんどのデータベースクライアントライブラリは、SQLライブラリの「プリペアドステートメント」のようなインジェクション攻撃から保護するために、データサニタイズ機能を提供しています。独自の式言語やテンプレートを持つロギングライブラリの場合、安全ではない可能性のある文字列をロギングする際、ライブラリのユーザに同様の機能を提供することは大変役立ちます。log4shellのような深刻な脆弱性につながる可能性のある機能を数多く利用している場合、保守管理者が検討すべき課題かもしれません。このRCEを可能にする機能が2.16.0で削除されたことを考えると、log4jの保守管理者はすでにこの点に気づいているかもしれません。 log4shellからの保護方法 log4shellから保護するための最善の方法は、少なくともlog4jのバージョン 2.15.0、理想的には2.16.0以上にアップグレードして、この特定のRCEを軽減することです。log4jは直接の依存関係の外でアプリケーションに含まれているかもしれないので、ビルドシステムを使用して依存関係ツリーを入手し、間接的な依存関係としてのlog4jの脆弱なバージョンを確認することができます。「Maven」と「Gradle」は、プロジェクトの依存関係ツリーを印刷するコマンドラインツールを含んでいます。log4jのバージョンが2.10.0以上、2.15.0未満の場合、2.15.0でデフォルトで無効化された機能は、javaコマンドを使用してアプリケーションを実行する際「-Dlog4j2.formatMsgNoLookups=true」フラグを追加することで手動で無効化できます。バージョン2.15.xを使用している場合は、アプリケーションやコマンドのどこかでこのフラグがfalseに上書きされていないかどうかを確認する必要があります。 ファイアウォール(ネットワーク、Webアプリケーションを問わず)は、アップグレードの計画と実行に時間がかかる場合の暫定的な対策として、LDAPトラフィックの送信をブロックできる可能性があります。しかし、これらの対策は、この特定の脅威を保護するだけで、ログインジェクション全般を保護するものではありません。Barracuda Web Application FirewallとWAF-as-a-Serviceは、log4shellに関連するものを含むログインジェクションの試みを保護します。 ログを使用するすべてのアプリケーションは、たとえそれがlog4jやJavaを使用していなくても、外部からユーザが提供した入力がログに記録されるときに、ログインジェクション攻撃の可能性と、ログの特定の用途に関連する適切なデータサニタイズの実践を確認すべきです。これにより、ログインジェクションに関連して存在する可能性のある他のまたは将来の脆弱性を軽減することができます。サニタイズは、アプリケーションやログシステムの機能を考慮するだけではなく、ログから読み取るものがさらに別の可能性のある脆弱性を引き起こす可能性があるため、単純ではありません。同様に、そもそも何がログに記録されているかということも考慮しなければなりません。例えば、ユーザ名やメールは、インジェクション攻撃を可能にするような特殊文字を許可するケースとしてはリクエストヘッダに比べて妥当性が低いと言えますが、これらの文字を必要とするケースもあります。 ログが実際にどのようなシステムで処理されているのか、そのシステムにはどのような脆弱性が存在するのかを考慮することで、ログがもたらすリスクを適切に評価することができます。これは、ログインジェクション攻撃が発生する場所をすべて把握しなくても、その潜在的な影響を理解するのに役立ちます。ログインジェクションは、ログを読み取るすべてのシステムに影響を与える可能性があるため、ログを読み取ったり処理したりしているシステムを追跡することは、ログの記録に関連する特定のリスクを理解するのに役立ちます。また、セキュリティチームや開発チームにとっては、攻撃者がコントロールできるログの内容に関して、どのようなプログラミング、テンプレート、式言語を考慮する必要があるのか絞り込むことができます。 レポート:2021年のアプリケーションセキュリティの状況 原文はこちら: Threat Spotlight: Log injection attacks December 22, 2021 Jonathan Tanner https://blog.barracuda.com/2021/12/22/threat-spotlight-log-injection-attacks/
海外ブログ
2021.12.28