Info.
お知らせ
Blog
増加するDDoS攻撃 – 強力な新技術を用いて
2021年10月13日、Tony Burgess このところ、ランサムウェアがサイバーセキュリティの話題の中心となっています。そのため、分散型サービス拒否(DDoS: Distributed Denial of Service)攻撃に関する最新ニュースを把握していなくても、十分に理解できます。しかし、最近いくつかの驚くべき進展がありました。 ここでは、今日のDDoS攻撃者がどのように活動しているか、また、組織を守るために何をすべきかを理解するために、追跡すべき重要な動向について説明します。 DDoS攻撃の新たなターゲット 最近、Bandwidth社、VoIP.ms社、Voip Unlimited社、Voipfone社などのVoIPサービスプロバイダがDDoS攻撃の対象となっています。いくつかのケースでは、これら企業の顧客向けサービスが大幅に低下する結果となりました。 DDoS攻撃の嵐にさらされているもう一つの業界は、ヘルスケア、特に病院です。この傾向は、組織がリモートワークを採用したり、ウイルス検査やワクチン接種のスケジュールや追跡をするために、オンラインサービスに依存し始めたため、新型コロナウイルス (Covid-19) パンデミックと同時期に始まりました。また、医療機関ではIoT医療機器が普及していますが、これらの機器はマルウェア対策が十分でない場合が多く、医療機関は格好の標的となっています。これらのデバイスがネットワークから隔離されていない場合、攻撃の影響を受け、深刻な結果を招く可能性があります。 ブレンド型DDoS攻撃 これまでのDDoS攻撃は、主に悪意のあるものでした。攻撃者は主に、標的となる組織の業務を妨害することで、その組織に損害を与えることを目的としていました。しかし、現在では、攻撃者が攻撃の終了と引き換えに身代金を要求するケースが増えています。これはVoip Unlimitedに対する攻撃の一部でした。 また、DDoS攻撃の中には、ランサムウェアや情報窃盗などの攻撃が同時に行われている間、IT担当者の気を紛らわせることを目的としたものがあることも広く知られています。 厄介な新種の攻撃 いわゆる「ブラックストーム (Black Storm)」と呼ばれる攻撃は、通信サービスプロバイダ(CSP)のネットワークにとって特に危険です。このタイプの攻撃は、大規模なボットネットを必要とせず、従来の増幅攻撃よりも一般的に簡単に実行できます。ブラックストーム攻撃では、攻撃者は、ネットワーク内の多くの異なるクローズドデバイスやサーバに対して、同じネットワーク内の他のデバイスから来ているように偽装したUDP(User Datagram Protocol)リクエストを送信します。 このような不正で誤ったリクエストは、受信側の各デバイスから標準的なICMPレスポンスを引き起こすため、一種の「ピンボール効果」が生じ、内部トラフィックの嵐でCSPネットワークを瞬く間に圧倒してしまいます。この記事を書いている時点では、ブラックストーム攻撃はまだ理論上のものに過ぎませんが、CSPはブラックストームが出現することを想定して計画を立てることを強くお勧めします。 新しいボットネットが記録を更新中 今回発見されたボットネットは、「Meris」と呼ばれ、約25万台の機器が感染しています。これらの機器の大半は、コンピュータではなく、ラトビアのベンダであるMicroTik社が製造・販売するネットワークルータ、スイッチ、Wi-Fiアクセスポイントなどです。 これは重要なことで、同社は2018年に脆弱性を発見しパッチを作成しましたが、デバイスの性質上、所有者は通常MicroTik社と連絡を取ることはなく、多くの場合、パッチが当てられませんでした。誰かがまだ存在する脆弱性を知り、それを悪用してこれらのデバイスを制御した可能性が高いと思われます。 Merisは、記録的なアプリケーション層攻撃に使用されました。偽のトラフィックでターゲットの帯域を詰まらせる従来の帯域攻撃とは異なり、これらの攻撃は、プロセスやトランザクションリクエストの嵐でコンピューティングリソースを圧倒します。この夏、Merisは2回連続で記録的なアプリケーション攻撃を行いました。1つ目は、米国の金融機関を標的としたもので、1秒間に1,720万リクエスト(RPS)という最高記録を達成しました。2回目は、ロシアの銀行をターゲットにしたもので、クラウドホスティングプロバイダを経由して、2,180万RPSを達成しました。 これらの攻撃に対する防御方法 では、何が良いニュースなのでしょうか?堅牢なアプリケーションおよびネットワークセキュリティインフラストラクチャと適切な機能を備えていれば、DDoS攻撃に対して強力な防御が可能です。特に、Barracuda Cloud Application ProtectionとBarracuda Web Application Firewallは、アクティブなDDoSプロテクションを備えており、ボリューム型(帯域幅)DDoS攻撃およびアプリケーションDDoS攻撃の両方に対する優れたセキュリティを実現しています。 バラクーダのDDoS保護機能の詳細については、弊社までお問い合わせください。また、Barracuda Web Application Firewallの無料トライアルも是非ご検討ください。 原文はこちら: DDoS attacks on the rise — using powerful new techniques October 13, 2021 Tony Burgess https://blog.barracuda.com/2021/10/13/ddos-attacks-new-techniques/
大物狙い。ランサムウェアギャングが民族・国家の攻撃モデルを採用
トピック: Ransomware Protection 2021年8月5日、Christine Barry ランサムウェアは何十年も前から存在し、いくつもの変化を経て現在の姿になりました。 1989年の「AIDS」ランサムウェアから2021年のColonial Pipeline攻撃まで、ランサムウェアの犯罪者たちは、その破壊的な巧妙さで我々を度々驚かせてきました。 最近の傾向としては、「国家によるサイバー攻撃」モデルを採用していることが挙げられます。これは、十分に調査された高価値のターゲットを侵害することに多大な労力を注ぐというものです。 ランサムウェアの犯罪者たちは、従来、数の勝負に頼っていました。 大規模なスパムキャンペーンを展開して、できるだけ多くの人に情報を提供し、感染して身代金を支払うターゲットが必ず何割かいることを知っていたのです。 ランサムウェアの「業界」が成熟するにつれ、これらの犯罪者はこの種の犯罪のエキスパートとなりました。 地下経済で実績を上げた個々の脅威アクターは、私たちがキャリアアップのために新しい会社に移るのと同じように、ハッキングギャング間を移動することができます。 また、ギャングはリソースを共有するために「パートナーシップ」を結ぶことでも知られています。 これらのグループは、経験、スキル、革新性を組み合わせることで、非常に慎重かつ機敏な攻撃を行うことができます。 ダークサイドの紹介文。ソースはこちら Krebs on Security 特定の被害者を狙うこの比較的新しい方法は、「大物狙い」として知られており、ハッカーたちに大きな報酬をもたらす効果があります。 また、ランサムウェアに対する社会的認知度が高まり、世界中の多くの政府の対応が強化されました。 ランサムウェアの犯罪者が学校や中小企業、地方自治体を脅迫しても、問題や怒りの矛先はその地域に留まります。 しかし、ランサムウェアがパイプラインや大手食品メーカーを停止させると、世界中が注目します。 ダークサイドの紹介文。ソースはこちら Krebs on Security 大物ハンターは、予算情報を得るために公文書を注意深く分析するかもしれませんが、だからといってターゲットを完全に理解しているわけではありません。Contiギャングは今年の初めにランサムウェア攻撃でBroward County Public Schoolsに4,000万ドルを要求しました。 27万1,000人の生徒を擁するBrowardは、全米で6番目に大きな学区で、年間予算は約40億ドルに上ります。ハッカーたちは、この事実に触れながら、仮想通貨で支払うべき4,000万ドルを要求してきました。 … Contiギャングは、学区の職員との交渉の初期段階で、「それはあなたにとって可能な金額です。」と言っていました。 “ここは公立教育学区だ。“とBrowardの交渉担当者は答えました。“我々がこれに近いものがあるとは到底思えません!“ ランサムウェアへの対応において、緊急性と協調性が高まっていることは喜ばしいことですが、脅威がドアをノックしてきたときには、企業は依然として自力で対処しなければなりません。 ランサムウェア攻撃に備える最善の方法は、身代金を支払わないためのプランを用意しておくことです。 バラクーダは、組織を安全に保つための簡単な1-2-3プロセスを用意しています。 認証情報を守ります。ログイン情報を盗むフィッシング攻撃からユーザを守るメールセキュリティを使用してください。 盗まれた認証情報は、ランサムウェアギャングにとって重要なツールとなります。 アプリケーションを保護します。情報漏洩の大半は、Webフォーム、eコマースサイト、顧客サービスポータル、パートナーポータル、その他のWebアプリケーションの漏洩によるものです。 すべてのデータをバックアップします。クラウドに保存されているデータであっても、脆弱性がある場合があります。 Office 365のデータは、Microsoft標準の保護機能よりも長い保存期間を提供するサードパーティバックアップで保護することができます。 バラクーダは、企業へのランサムウェアやその他の攻撃への対策をサポートするフルラインのソリューションを提供しています。 弊社のWebサイト(www.barracuda.co.jp)にアクセスして、弊社がどのようにお客様を支援できるかご覧ください。 原文はこちら: Big game hunting: Ransomware gangs adopt a nation-state attack model August 5, 2021 Christine Barry https://blog.barracuda.com/2021/08/05/big-game-hunting-ransomware-gangs-adopt-a-nation-state-attack-model/
米国財務省、ランサムウェアの支払いを阻止することを目指す
2021年9月28日、Mike Vizard 米国財務省がランサムウェアの支払いを助長する仮想通貨取引所へ制裁を科す動きは、ランサムウェア攻撃を仕掛けるサイバー犯罪者の要求に企業が屈しないようにするためのものであることは明らかです。しかし、結果的には、支払いの追跡がより困難になるよう意図的に構築された分散型ブロックチェーンプラットフォームを基盤とする仮想通貨取引所に支払いを移行させることにしかならないかもしれません。 外国資産管理局(OFAC)は、米国市民が不正取引を助長している疑いのあるSUEXなどの仮想通貨取引所を利用できないようにする制裁措置を発動したほか、企業がランサムウェアの支払いを行うことをいかに強く思いとどまらせるようになったかを強調する勧告を更新しました。 国際緊急経済権限法(IEEPA)または対敵取引法(TWEA)の権限に基づき、米国市民は通常、特別指定国民・凍結者リスト(SDN List)に記載されている個人または団体、特定の個人、およびキューバや北朝鮮などの特定の国との取引を、直接的または間接的に行うことを禁じられています。また、IEEPAに違反する原因となる取引(米国人の違反の原因となる非米国人による取引を含む)も禁止されています。また、米国市民は、どこにいても、非米国人の行動を助長することが禁止されています。 OFACは、制裁法令で禁止されている取引に従事していることを知らなかった、または知る理由がなかったとしても、米国の司法権の対象となる人物が民事責任を問われる可能性があることを意味する、厳格な責任に基づいて制裁違反に対する民事罰を課すことができます。OFACは、被害者および関連企業に対し、後に制裁違反が発覚した場合に自主的な自己開示クレジットを受けられるよう、これらの事件をできるだけ早く法執行機関に報告し、全面的に協力することを強く勧めています。 取引所に対する初の制裁措置は、SUEXに適用されます。財務省は、制裁対象となったロシアで運営されている仮想通貨取引所での全取引の40%が違法行為に関わっていると推定しています。SUEX自体はチェコ共和国に本社を置いています。また、財務省は、2019年にG7グループの国々によって創設された金融活動作業部会(FATF)が基準を改正し、すべての国が取引所を含む仮想資産サービスプロバイダ(VASP)を規制・監督し、仮想資産取引に従事する際のリスクを軽減することを求めていると指摘しています。各国は、VASP全体に顧客管理(CDD)要件を課し、疑わしい取引の報告義務を課すことが期待されています。 財務省は、ロシアで運営されている制裁対象の仮想通貨取引所での全取引の40%が違法行為に関わっていると推定しています。SUEX自体はチェコ共和国に本社を置いています。 クリックしてツイート しかし、このような動きには、ある問題があります。分散型取引所(DEX)は、分散型台帳を用いて取引を行うため、ユーザの資金や個人情報をサーバに保存することはありません。DEXでは、ユーザの資金や個人情報をサーバに保存せず、資産を売買する際の入札をマッチングするだけです。サイバー犯罪者は間違いなく、支払いの要求をこのタイプの仮想通貨取引所に移すでしょう。制裁リストが時間とともに増えるにつれ、これらの取引所のいずれかを使用することは違法になるかもしれませんが、支払いが行われたかどうかを判断することは非常に困難です。 とはいえ、こうした支払いに伴うリスクが高まっているのは明らかなので、ランサムウェアの被害者は、自分のデータがどれほど貴重なものかを考慮する必要があります。ある日、米国財務省が、ランサムウェアへの支払いそのものよりもはるかにコストがかかりそうな、非常に鋭い質問をし始めるかもしれません。 原文はこちら: U.S. Treasury aims to discourage ransomware payments September 28, 2021 Mike Vizard https://blog.barracuda.com/2021/09/28/u-s-treasury-aims-to-discourage-ransomware-payments/
パスワードの安全性について話し続ける理由
トピック: Email Security, Email Threat Scanner, Series: Back to basics 2021年9月27日、Christine Barry 認証情報を保護することは、ランサムウェアなどのサイバー攻撃から身を守るためにできる最も重要なことの一つです。パスワードマネージャー、ベストプラクティス、多要素認証に関する記事は何千もあります。ネットワークドメイン、SaaSアプリケーション、その他のシステムでは、クレデンシャルセットに複雑なパスワードを要求されることが多く、最も基本的なコンピュータユーザでさえ、パスワードを共有しないように言われています。では、なぜ私たちはいまだにこのトピックについて話しているのでしょうか。 ベライゾンの2021年データ漏洩/侵害調査報告書(DBIR)では、脅威となる人物が社会保障番号などの個人データを含む他のどのデータタイプよりも、認証情報を重視していることが明らかになっています。盗まれた認証情報は、システムへの侵入、データの流出、マルウェアの感染、そして多くの種類の詐欺行為につながります。同報告書によると、基本的なWebアプリケーション攻撃の80%、ランサムウェア攻撃の少なくとも60%が、盗まれた認証情報やブルートフォース攻撃に依存しています。クレデンシャルスタッフィング攻撃は、この報告書のためにモニターした組織におけるセキュリティインシデントの23%の要因となっています。 盗まれた認証情報の中で最も危険なのは、盗まれた後も有効なままの認証情報です。攻撃者は、認証されたユーザとして標的となるシステムにログインしたいと考えます。これにより、認証されたユーザとしてシステムを渡り歩くことができ、多くの場合、侵入検知から隠れることができる時間が長くなります。現在の認証情報は、民族・国家のアクターや大物狙いのハンターにとって特に重要です。 サイバー攻撃での認証情報の利用方法 古くなった認証情報の価値は下がっているかもしれませんが、攻撃者が古いログイン情報を利用する方法はいくつかあります。このことは、盗まれたデータはほとんどの場合、他の攻撃者に販売され、より大きなデータセットは高額で販売されることが多いという事実からも明らかです。ここでは、サイバー攻撃で認証情報が使用されるさまざまな方法を紹介します。 不正なアクセス:クレデンシャルセットの最もわかりやすい使い方は、前述のものです。犯罪者はログイン情報を使ってシステムにアクセスし、攻撃を進めます。 クレデンシャルスタッフィング:これは、盗まれたクレデンシャルセットを回すことで、Webアプリケーションにログインしようとする自動化された攻撃です。クレデンシャルセットは多くの異なるWebアプリケーションで使用されているため、認証情報が最新のものであるか、古いものであるかは関係ありません。 ユーザIDとパスワードは、ロックされたドアの物理的な鍵のようなものだと考えるといいかもしれません。あなたと同じような鍵の入ったバッグを持った犯罪者が、それぞれの鍵をドアに当てて侵入できるかどうか試しているところを想像してみてください。そのドアは、銀行、小売店、医療ポータル、HVAC管理システム、その他のオンラインサービスにつながっているかもしれません。鍵が使えれば、あなたの鍵で開けることができるすべてのものにアクセスできます。鍵が使えなくても、彼らにとっては問題ではありません。彼らは何百万もの鍵を持っていて、それを使って同時に様々なドアを開けるボットの軍隊を持っています。 複数の調査によると、パスワードは再利用され、共有されることが多いことが明らかになっています。つまり、盗まれた認証情報の一部は、複数のシステムで機能する可能性がかなり高いということです。クレデンシャルスタッフィングは、非常に一般的な攻撃です。 パスワードスプレー:この攻撃は、クレデンシャルスタッフィングに似ていますが、同じパスワードを持つユーザアカウントのリストを回して使用します。Handy criminal-door-keyシナリオでは、鍵は完全なクレデンシャルセットではなく、1つのパスワードを表しています。犯罪者は、1つの鍵をすべてのドアで試した後、別の鍵を持って最初の家に戻ります。これは、ルーター、CCTVカメラ、その他のスマートデバイスなど、デフォルトのパスワードを使用するシステムに最も効果的です。この攻撃は、犯罪者が、たとえパスワードが付いていなくても、認証されたユーザ名を重視する理由を示す良い例です。 ブルートフォース:多くの人は、この攻撃をドアを叩くハンマーに例えていますが、私はむしろ鍵を開けることに近いと考えています。ブルートフォース攻撃とは、ユーザ名とパスワードを自動的に発見しようとする試みを組み合わせてシステムにログインしようとするもので、攻撃が成功するまで「文字、数字、記号の可能な限りの組み合わせを体系的に試す」ことで行われます。これらの攻撃のほとんどは、ワードリスト、一般的なパスワード、スマートルールセットから始まり、可能なすべての組み合わせを使ってパスワードを構築しようとします。十分な時間があれば、すべてのブルートフォース攻撃は成功します。パスワードが複雑で、ワードリストに登録されていない場合、ブルートフォース攻撃は、最終的に正しいパスワードを推測するまでに何年もかかることがあります。 これらのタイプの攻撃を防御するには パスワードセキュリティに関する意識の向上と徹底が図られていますが、企業は依然として、脆弱な認証情報や露出した認証情報を利用した攻撃の犠牲になっています。認証情報の保護は、セキュリティ計画の優先事項でなければなりません。パスワード管理のベストプラクティスを導入することは、重要な第一歩ですが、それだけでは十分ではありません。企業は、ユーザをフィッシング攻撃から守る受信トレイの防御機能を導入し、エンドユーザにフィッシングやその他の電子メール攻撃について教えるセキュリティ意識向上トレーニングを実施する必要があります。また、適切なアプリケーションセキュリティとエッジセキュリティを導入することで、「認証情報を推測する」攻撃から企業を守ることができます。 今すぐできる簡単な方法は、潜在的な脅威がないか受信トレイをチェックすることです。無料のBarracuda Email Threat Scannerは、セキュリティを通過し、企業を危険にさらしている悪意のあるメールを特定します。脅威スキャンは高速で安全であり、メールのパフォーマンスに影響を与えません。ここから始めましょう。 原文はこちら: Why we keep talking about password security September 27, 2021 Christine Barry https://blog.barracuda.com/2021/09/27/why-we-keep-talking-about-password-security/
ゼロトラストーより良いネットワークセキュリティー環境の構築のために
クラウドバックアップ – 完全ガイド(Office365バックアップとリストア編)
用語集:メール保護とは
Barracuda Cloud-to-Cloud Backupに関するバラクーダとマイクロソフトの協力
トピック: Barracuda Cloud-to-Cloud Backup、データ保護、Microsoft Azure 2021年1月28日、Anne Campbell Microsoft Teams、Exchange Online、SharePoint、Microsoft OneDriveなど、すべてのOffice 365データを低コストでスケーラブルにバックアップおよびリカバリする新しいプラットフォームを実装するBarracuda Cloud-to-Cloud Backupの最新バージョンを紹介します。