1. HOME
  2. Blog
  3. Blog

Info.

お知らせ

Blog

SASEのエンドポイント保護とセキュアリモートアクセス のページ写真 1

SASEのエンドポイント保護とセキュアリモートアクセス

2023年4月27日、Stefan Schachinger セキュア・アクセス・サービス・エッジ(SASE)に関するこれまでの深堀りブログでは、SD-WANなどの接続性、ファイアウォール・アズ・ア・サービス(FWaaS)やセキュア Web ゲートウェイ(SWG)が提供するセキュリティ機能などについて紹介しました。今回は、SASE 環境におけるエンドポイント保護について紹介します。 ご記憶にあるとおり、 SASE のコンセプトは、ネットワーク(WAN エッジ)とセキュリティ(セキュリティサービスエッジ)のコンポーネントを統合するものです。この記事では、リモートアクセス、ZTNA(ゼロトラスト・ネットワークアクセス)、および SIA(セキュアインターネットアクセス)を取り上げます。これらは SASE の展開に密接に関係しており、通常、エンドポイントソフトウェアコンポーネントが関与しています。 ここでは、SASEのネットワークとセキュリティのコンポーネントを簡単に紹介します。 SASE WAN エッジ セキュリティサービスエッジ SD-WAN FWaaS 前方誤り訂正 ZTNA ルーティング VPN 最適経路指定 CASB トラフィックフェイルオーバー SWG … SIA   お気づきの通り、SASE プラットフォームに含まれるセキュリティ機能のほとんどは、かつて別の製品として展開されていたものです。これは、ここ数年の要件やユースケースの変化による自然ななりゆきです。メインオフィスとデータセンターが真ん中にある城と堀のようなアーキテクチャでは、もはや十分ではありません。ペリメーターは消え去ったか、あるいはソフトウェアで定義されるようになりました。しかし、ひとつだけ非常に簡単になったことがあります。これまでは FTP や SSH などのさまざまなネットワーク・プロトコルが使われていましたが、現在ではエンドユーザーのトラフィックはほとんどすべて Web ベースになっています。Microsoft 365のような一般に公開されているサービスでも、イントラネットのような社内のプライベートなリソースでも、使用されているプロトコルはほぼ常に HTTPS です。 パンデミックによるロックダウンで働き方が変化したことで、それまで見過ごされていた脆弱性が露呈しました。エンドポイントでの保護が十分でなく、ビジネスネットワーク VPN 上で会社のリソースへの無制限の信頼とアクセスが行われていたのです。この2つの条件が、多要素認証(MFA)の欠如やパスワードのセキュリティの低さと組み合わさると、致命的なことになりかねません。脅威者は、技術的な脆弱性を容易に利用したり、ソーシャルエンジニアリング攻撃を使って、被害者のネットワークやワークロードにアクセスすることができます。 セキュアインターネットアクセス (SIA) SIAは、セキュア Web ゲートウェイ(SWG)をエンドポイントに拡張したものです。SWG クラウドサービスが提供する詳細な Web トラフィック検査は、トラフィックのバックホールやリダイレクトを伴いますが、それらが常に必要というわけではありません。エンドポイントに Web セキュリティ機能を追加することで、この追加ステップを回避できます。これにより、クラウドに置いてある大がかりなツールを持ち出さずとも、デバイスが Web トラフィックについて簡単な判断を下すことができます。たとえば、シンプルな DNS ベースのフィルタリングを使用することで、禁止されていたり不要だったりする Web カテゴリをそれ以上検査することなく直ちにブロックできます。規制や企業のコンプライアンス、企業倫理や行動規範に抵触するコンテンツや、悪意があるとして知られている Web サイトなどが考えられます。このフィルタリングは、すでにデバイス上にあり、コマンド&コントロールサーバーに電話をかけようとする悪意のあるソフトウェアの「発信」をブロックすることもできます。この種のトラフィックは、エンドポイントでブロックできるのですから検査のためにわざわざクラウドに送信しなければならない理由はありません。 一方、信頼できるアプリもあります。なかには、トラフィックがリダイレクトされ、直接のブレイクアウトが必要な場合はうまく機能しないものも少なくありません。Microsoft 365 は、詳細な Web トラフィック検査が不要といえる例の1つです。アプリケーションに接続する前に Microsoft 365 のトラフィックを SWG に誘導すると、パフォーマンスも低下する可能性があります。このシナリオでは、エンドポイントセキュリティで十分な場合があるため、SWG のクラウド検査を回避することができます。...

海外ブログ

Barracuda Application Protection の新しいプランがサポートする3つの方法 のページ写真 2

Barracuda Application Protection の新しいプランがサポートする3つの方法

2023年4月19日、Tushar Richabadas 本日は、2つの新しい Barracuda Application Protection プランに関するニュースを共有します。この新プランでは、Webサイトとアプリケーション、および API をエンタープライズクラスの包括的な保護で簡単に保護できます。 しかも、この新しいパッケージのメリットは目を見張るものがあります。Barracuda 経営陣とパートナーから意見を聞き、このパッケージがビジネスに貢献する主な方法を詳しく調べました。 顧客にとって最大のメリット 1.洗練された保護機能 WAF-as-a-Service は、高度なボット攻撃からの保護、API ディスカバリー機能、アクティブ脅威インテリジェンスを提供し、これらが連携して、今日の最も高度な脅威からの防御を支援します。自動設定エンジンやシャドー API ディスカバリーなど、機械学習を活用した機能により、管理者は未知の攻撃対象領域を減らすことができます。 「新プランは、脆弱性や API 攻撃、DDoS 攻撃、およびボット攻撃からの機械学習を駆使した保護と、ゼロトラストセキュリティを組み合わせた独自の機能で、今日の最も困難な脅威に対抗できるよう支援します」と述べるのは、バラクーダネットワークスSVP(エンジニアリング&プロダクトマネジメント、データ・ネットワーク・アプリケーションプロテクション担当)のティム・ジェファーソンです。   2.柔軟性 今求められているのはオンプレミス、ハイブリッド、マルチクラウドなど、アプリケーションの設置場所を問わず、Web  アプリケーションと API の保護(WAAP)を提供するソリューションです。新プランは、顧客が必要なセキュリティ機能を選択し、アプリケーションの数を入力し、開始できるように設計されています。 「新しいアドバンスプランとプレミアムプランでは、Web アプリケーションと API のセキュリティを確保する際に、より多くのオプションのなかから選べます」と語るのは、パートナー会社 ilionx のケヴィン・フィーンストラです。「Barracuda WAF-as-a-Serviceがあれば顧客はこれまで以上に容易に、既知または未知の攻撃に対してアプリケーションを保護できます。またこの WAF-as-a-Service は、完全なデータ駆動型の保護も提供します」 3.購入・導入・使用がすべて容易な包括的ソリューション バラクーダでは、容易に購入・導入・使用できるクラウド対応のエンタープライズクラスのセキュリティソリューションにはどんな企業でもアクセスできるべきだと信じています。Barracuda WAF-as-a-Service は、あらゆる規模の Web アプリケーションと API に包括的なアプリケーションセキュリティを提供します。アプリケーションは、3つのステップのオンボーディングウィザードで迅速に導入し、なおかつセキュリティを確保できます。 「私たちが新プランで目指したのは、顧客がこれまで以上に容易に Barracuda Application Protection を導入できるようにするここと、そして同時に顧客が必要な包括的セキュリティを確保できるようにすることでした。その2つのゴールを見事に達成できたと思っています」と、バラクーダ VP (プロダクトマネジメント、アプリケーションプロテクション担当)のニッツァン・ミロンは述べています。   Barracuda Application Protection の新プランの詳細については、プレスリリースをご覧ください。   原文はこちら 3 ways the new Barracuda Application Protection plans help customers Apr. 19, 2023 Tushar Richabadas...

海外ブログ

OWASP Top 10 APIセキュリティリスク:壊れたオブジェクトレベル認可 のページ写真 3

OWASP Top 10 APIセキュリティリスク:壊れたオブジェクトレベル認可

2023年4月12日、Paul Dughi 2023年のリストはまだ確定していませんが、Open Worldwide Application Security Project® (OWASP) のGithubサイトでは、API セキュリティリスク TOP 10 をすべて確認し、コメントすることができます。リストのNo.1リスクは、壊れたオブジェクトレベル認可(BOLA、broken object level authorization)です。 BOLA は、脅威アクターが本来ならば制限されるべきデータオブジェクトのリクエストに成功した場合に発生します。 攻撃ベクトル 攻撃者は、リクエストに含まれるオブジェクトのIDを操作してAPI エンドポイントを悪用し、API を騙して機密データや保護データを返させます。BOLA は、サーバーコンポーネントがクライアントの状態を完全に把握しておらず、どのオブジェクトにアクセスすべきかをオブジェクト ID に依存しているようなアプリケーションで発生する可能性があります。 OWASPは、ハッカーによって容易に悪用されることを意味する悪用可能性スコアを 2 点としました。 セキュリティの弱点 OWASPによると、これは API に対する最も一般的かつインパクトの大きな攻撃の1つです。 アプリケーションが認可をチェックする適切なインフラストラクチャを実装していても、開発者がそのチェックを使用することを忘れて機密性の高いオブジェクトへのアクセスを許可してしまうことがあります。アクセス制御の検出は、自動化された静的テストや動的テストに必ずしも反応しないため、欠陥が検出されないことがあります。 OWASPもBOLAを普及度の点で3点としています。このセキュリティ脅威は、さまざまなドメインやアプリで見受けられます。 ビジネスへのインパクト 機密データへの不正アクセスは常に、暴露と責任のリスクを伴います。また、あるオブジェクトへの不正アクセスから、アカウントの乗っ取りなど、さらなる侵害へつながっていく可能性があります。 BOLAエクスプロイトは、以下のようなインシデントを引き起こす可能性があります。 機密記録の大規模な流出 閲覧、修正、削除を含む記録の操作 特権のエスカレーション 管理者アカウントのフルテイクオーバー   BOLA 攻撃の仕組み 攻撃者は、リクエストのコードにパターンを使っているシステムを探ります。たとえば、ユーザー ID やオブジェクト ID を変更し、API がどのように応答するかを確認することで、BOLAの欠陥を探り当てます。こうして見つかった欠陥からアクセスされると、適切なセキュリティプロトコルが導入されていないAPI は大きなリスクにさらされます。脅威アクターが API を通じてアクセスすると、すべてのデータが危険にさらされるのです。 実際にどのようなシナリオが想定されるかを説明しましょう。ある人が、顧客 ID を使用して合法的または非合法的に企業のシステムにアクセスしたとします。アクセスがいったん認証されると、その人のアイデンティティはトークンで表現されます。API リクエストでアクセスに使用した顧客 ID をほかのユーザーの ID に置き換えて、ほかのユーザーの個人情報にアクセスします。 これがうまくいくことを確認した攻撃者は、その後のリクエストで顧客 ID 番号を代用するプロセスを自動化し、さらに記録を流出させられます。 たとえば金融機関への侵入には、クレデンシャルスタッフィング攻撃が使われるかもしれません。リクエストの識別子を変更することで、攻撃者は異なるユーザーアカウントにアクセスでき、送金やデータのリダイレクトを異なるエンドポイントに行うこともできるかもしれません。 OWASPは、自動車メーカーが、車両の車体番号を用いてドライバーの携帯電話から API 経由で車両のリモートコントロールを可能にした例を挙げています。脅威者は理論上、デバイスを認証し、オンラインまたは車両本体で容易に入手できる別の車両の車体番号をすり替えることができます。実際の所有者の認証ではないことを API が検出できなければ、攻撃者は車両へのアクセスや始動、窃盗を行うことができるかもしれません。 実社会における例 このような侵害が、2018年に約230万人の加入者に影響を与えたT-Mobileの顧客データ漏洩の原因とされています。また、別のAPIベースの攻撃でも、2023年に3700万人のT-Mobileユーザーに影響が及んだ可能性があります。 Facebook および...

海外ブログ

電子メールを媒介とする大規模な攻撃の実質的なコスト のページ写真 4

電子メールを媒介とする大規模な攻撃の実質的なコスト

2023年2月8日、Tilly Travers 最新の国際的な調査から、電子メールを利用したセキュリティ攻撃が引き起こす多大な金銭的コストと混乱が浮き彫りになりました。 「2023 電子メール動向レポート」の調査対象となった組織の 4 分の 3(75%)が、過去12カ月の間に少なくとも1回はメール攻撃の実害をこうむったと回答しており、なかでも最も被害額が高額だった攻撃からの回復には平均100万ドル以上の費用がかかったといいます。 しかもこの高額のコストは、上昇の一途をたどっています。被害を受けた企業の23%によると、攻撃による経済的な影響は、昨年に比べて劇的に増加しています。 電子メールは、依然として強力な攻撃チャネルです。サイバー犯罪者が利用しやすく、効果的で、低コストなツールだからです。また、電子メールを使った攻撃は進化を続けており、AI や高度なソーシャルエンジニアリングの技術を活用し、ますます高度でステルス性の高い攻撃を行っています。バラクーダの調査チームは、13タイプのメール攻撃を特定しています。 混乱、損害、そして損失 この調査結果から、電子メールによるセキュリティ攻撃の成功がもたらす影響は甚大かつ深刻であることが浮き彫りになりました。 最も多く報告された影響は、最も深刻なものでもありました。ダウンタイムとビジネスの中断(被害を受けた企業の 44 %が影響を受けた)、機密データや事業にとってクリティカルなデータの損失(43%)、ブランドイメージへの損害(41%)などです。 業界によって、その影響はさまざまでした。金融業界では貴重なデータと資金を犯罪者に奪われ、医療業界ではシステムの迅速な復旧に多大なコストがかかりました。製造業界では、業務が中断されたことによる影響がとりわけ大きかったのです。 小規模な企業ほど、機密データや重要データの損失による影響が大きく、次いでブランドイメージの低下による影響が大きいことがわかりました。しかし、調査対象となった中規模以上の組織では、最も一般的な影響は、ダウンタイム/ビジネスの中断と従業員の生産性の損失でした。これはすなわち、大規模な組織は、攻撃に耐えられるブランドイメージが確立されているものの、事業継続の面ではより大きな打撃を受けていることを示しています。 リモートワークのリスク しかし、企業規模や業種に関係なく、従業員の半分以上がリモートで働く企業は、より高いレベルのリスクと回復コストに直面しています。 というのも、リモートワーカーに対して、常時一貫してセキュリティポリシーを適用させ、最大限の防御を確保することが企業にはなかなかできないためと考えられます。また、従業員が日々の業務を遂行できるよう、ビジネスアプリケーションや重要なデータへのリモートアクセスを可能にする必要があります。結果的に、サイバー犯罪者が利用できる攻撃対象領域を増やすうえ、サイバー攻撃の検知や対応、回復を大幅に遅らせることになります。 組織は準備が足りないと感じている 調査対象となった組織の大半(97%)は、最大級のセキュリティ脅威への対策が十分でないと感じています。約 3 分の 1(34%)がデータ損失やマルウェアへの対策が不十分であると感じており、4 分の 1 以上(27%)がランサムウェアについても同じように感じています。さらに、28%はスパムのような複雑ではない脅威への対策もできていないと感じています。大規模な組織ほど、ほぼすべての脅威への対策が遅れていると感じています。 悪いニュースばかりではない 全体として組織は、フィッシング、スピアフィッシング、ランサムウェアなどの高度な脅威への対策は、3年前に電子メール攻撃の影響について調査したときよりも進んでいると感じているようです。 また今回の調査では、全体の 26 %がメールセキュリティへの投資を増やし、89 %が 12 カ月前よりもシステムやデータの安全性が高まったと感じていることがわかりました。電子メールのリスクと強固な保護の必要性に対する認識と理解の高まりは、2023年の電子メールセキュリティにとってポジティブな出発点です。 「メールは信頼できるユビキタスな通信チャネルであり、そのためサイバー犯罪者にとって魅力的なターゲットとなっています。メールベースの攻撃は、AI と高度なソーシャルエンジニアリングを活用して、目的のデータやアクセスを取得し、セキュリティ対策を回避しようとするため、ますます高度化していると思われます」と、バラクーダのメールプロテクション、エンジニアリング&プロダクトマネジメント担当SVPのドン・マクレナンは述べています。「電子メールによる攻撃は、ランサムウェアや情報窃盗、スパイウェア、暗号マイニング、その他のマルウェアなど、さまざまなサイバー脅威の最初のアクセスポイントになる可能性があります。世界中の IT チームが、多くの電子メールベースの脅威に対する防御対策が不十分だと感じているのも無理はありません。電子メールのリスクと安全性を保つために必要な強固な保護機能に対する認識と理解を深めることが、2023年以降も組織とその従業員を守り続けるための重要な鍵となるでしょう」 この調査は、独立系調査会社のヴァンソン・ボーン社(Vanson Bourne)がバラクーダのために実施したもので、米国、欧州、中東、アフリカおよびAPAC諸国のさまざまな業界の従業員100~2,500人規模の企業の現場担当から最高位の役割の IT 専門家に質問しています。 レポートはこちらから 原文はこちらThe real cost of a major email-borne attackFeb. 8, 2023 Tilly Travershttps://blog.barracuda.com/2023/02/08/real-cost-email-attack/

海外ブログ

繰り返されるランサムウェア攻撃:何が被害者を危険にさらしているのか のページ写真 5

繰り返されるランサムウェア攻撃:何が被害者を危険にさらしているのか

2023年3月28日、Tilly Travers ランサムウェアのリスクと影響に対する認識は高まり、より効果的なセキュリティ対策や、攻撃グループをとらえ犯罪活動を阻止するための国際協力の理解も進んでいます。にもかかわらず、ランサムウェアは依然として進化し続けているサイバー脅威です。すべての組織が潜在的な標的なのです。 新たな国際調査によると、調査対象となった組織の4分の3弱(73%)が、2022年に少なくとも1回はランサムウェア攻撃を受け、実害を被っていることが明らかになりました。被害数が多いのは、ランサムウェア・アズ・ア・サービスの提供により、低コストでアクセス可能な攻撃ツールが普及し、多くのサイバー犯罪者がランサムウェア攻撃をしやすくなったことを反映していると思われます。 しかし、懸念事項はそれだけではありません。この調査では、調査対象組織の3分の1以上(38%)が、2022年にランサムウェア攻撃を繰り返し受けていたという結果も出ています。つまり、同じ攻撃者または異なる攻撃者から、2回以上ランサムウェア攻撃を受けたということです。近年、多くの調査レポートがこのリスクを取り上げているとはいえ、もっと注目されるべきでしょう。 ランサムウェアの攻撃は、1回受けただけでも日常業務や顧客のサプライチェーンがマヒし、混乱と経済的損失が生じ、企業の評判や顧客との関係も損なわれることがあります。攻撃を繰り返し受けることが、特に前回のインシデントの影響から完全に回復していない場合などは、どれほど大きな破壊力を受けることになるのかは容易に想像できることでしょう。 繰り返しの攻撃から組織を守るためには、何が最初のリスクとなり得るかを探ることが重要です。調査結果によると、セキュリティやインシデント対応策が効果的でないこと、自ら進んで、あるいはほかに手段がないという理由で身代金を支払う意思があることなど、いくつかの要因が重なっている可能性が高いようです。 組織が繰り返し攻撃にさらされる可能性のあるリスク要因 不十分なセキュリティ対策:調査によると、ランサムウェアの被害にあった組織の69%は、攻撃者がネットワークに侵入するための認証情報を盗むために設計されたフィッシングメールなど、悪意のあるメールから攻撃が始まっていることがわかりました。WebアプリケーションとWebトラフィックは、2番目に多く見られる開始点であり、拡大し続ける脅威がおよぶ範囲として、リスクが高まっている領域です。組織は、これらの点をカバーしておく必要があります。 攻撃時および攻撃後のインシデント対応と無力化が不十分であること:複数回の攻撃が可能であるということは、最初のインシデントの後、セキュリティギャップに十分に対処していないことを示唆しています。これにはいくつかの理由が考えられます。たとえば、セキュリティ管理やインシデントレスポンス、調査能力の不足です。そこに、攻撃者の高度化、ステルス化が加わると、攻撃者が残したバックドアやその他の永続的なツールが特定・削除されない可能性があります。アクセスポイントが開かれたままになっていたり、アカウントのパスワードがリセットされていなかったりして、盗まれた認証情報が再び悪用される可能性があるのです。攻撃を完全に無効化することをさらに難しくしているのは、攻撃者がしばしば組織のIT管理ツールを悪用することです。同じIT管理ツールをITチームが日常業務で使用しているため、ネットワークに出現してもすぐに疑われない可能性があるのです。 身代金を支払うこと:複数回被害を受けた組織では、暗号化されたデータを復元するために身代金を支払ったことがあると回答する傾向があることが調査から明らかになっています。3回以上被害にあった組織の42%が暗号化されたデータを復元するために身代金を支払ったのに対し、2回被害にあった組織の34%、1回だけ被害にあった組織の31%が身代金を支払っています。また、繰り返し被害にあった組織は、復旧のためにデータバックアップシステムを利用する割合も低くなっています。ある組織が身代金の支払いに応じることが知られると、ほかの攻撃者が同じ被害者を狙うというリスクもあります。 サイバー保険に加入していること:調査によると、サイバー保険に加入している組織の77%が少なくとも1回のランサムウェア攻撃の被害を受けているのに対し、サイバー保険に加入していない組織は65%であることが判明しました。これはサイバー犯罪者が、保険をかけている組織を標的にする可能性が高いことを意味します。保険会社が迅速な復旧のために身代金の費用を肩代わりするだろうと踏んでいるのです。また、2回以上のランサムウェア攻撃の影響を受けた組織は、サイバー保険を導入している割合が高いです(70%)。 ランサムウェアに対する防御 多くの組織は、自分たちがどれほど危険にさらされているかを過小評価しているのではないでしょうか。調査結果によると、ランサムウェア攻撃に取り組む準備が不十分だと感じている組織は、調査対象者のうちわずか27%でした。 セキュリティ業界は、組織がランサムウェアの課題に対処するために、深く、多層的なセキュリティ技術を駆使するという不可欠な役割を担っています。深く、多層的なセキュリティ技術とはすなわち、AIを活用したメール保護やゼロトラストアクセス対策、アプリケーションセキュリティ、脅威ハンティング、拡張検知・応答(XDR)機能、侵入者を発見し攻撃者が容易に侵入できないようにギャップを埋める効果的なインシデントレスポンスなどです。 主要なセキュリティ対策については、当社のガイド『身代金を支払わないために ~ランサムウェア対策のための3ステップ~』をご覧ください。ランサムウェア対策のチェックリストもダウンロードできますので、ぜひご活用ください。 調査の詳細は、「2023 Ransomware Insights」レポートに記載されています。 この調査は、独立系調査会社Vanson Bourneがバラクーダのために実施したもので、米国、欧州、中東、アフリカ、およびAPAC諸国のさまざまな業種の従業員100~2500人の企業において、第一線から最上級の役割を担うIT担当者を対象としています。 Get the report 原文はこちら Repeat ransomware attacks: What’s putting victims at risk? Mar. 28, 2023 Tilly Travers https://blog.barracuda.com/2023/03/28/repeat-ransomware-attacks/

海外ブログ

セキュア SD-WAN の威力:ネットワークとセキュリティの統合によるメリットを生かす のページ写真 6

セキュア SD-WAN の威力:ネットワークとセキュリティの統合によるメリットを生かす

2023年3月23日、Stefan Schachinger バラクーダがネットワークセキュリティの状況について調査した結果、過半数の企業がソフトウェア定義型広域ネットワーク(SD-WAN)を導入しているか、導入する予定であることが判明しました。このタイプのネットワークは、分散したネットワークに伴うパフォーマンス、セキュリティ、その他の課題に対するソリューションとして人気があります。SD-WAN のごく基本的な定義は、「広域ネットワークの管理を簡素化するソフトウェアベースのネットワークへのアプローチ」です。 SD-WANの基礎知識 SD-WAN の当初の目的は、支店を本社やデータセンターのサーバーリソースに安価に接続することでした。SD-WAN によって、企業は高価でしばしば低速な MPLS 接続をシンプルなインターネット接続に置き換え、なおかつ企業が専用線を使っていたときよりも高いレベルのセキュリティと信頼性を達成することができました。 サイト間 VPN 接続の暗号化により、費用対効果が高く、セキュリティの高いインターネット接続が可能になりました。この機能ではセキュリティのために高価な専用線を使用する必要はありません。もっとも、リモートデスクトップの接続やその他のアプリケーションで、遅延を可能な限り低く抑えることが要求される場面では高価な専用線が引き続き必要でしょう。 冗長性は、複数のプロバイダーを設定し、携帯電話ネットワークのようなフォールバック機構と組み合わせることで実現できました。複数の公衆インターネット接続のほうがしばしば、専用回線よりも安価な場合が多かったのです。 クオリティオブサービス(QoS, Quality of Service)を備えたアプリケーションベースのルーティングにより、管理者はネットワーク帯域幅を最大限に活用できました。適切な設定により、SD-WANは最も重要なネットワークトラフィックに必要な帯域幅を確保することができます。   初期の SD-WAN の構成は、ほとんどの企業にとってもはや十分ではありません。ここ数年の要件の変化により、ソフトウェアベースのネットワークを一から見直す必要があります。支店のロケーション接続はまだ有効なユースケースですが、ロケーション間の VPN トラフィックは大幅に削減されました。Slack、Microsoft 365、Salesforce といったソフトウェア・アズ・ア・サービス(SaaS)アプリケーションは、ほとんどの社内コミュニケーションをパブリッククラウドに移行させました。多くの企業が、会社のほかの拠点より、外部リソースへのアクセスを優先しています。 この外部アプリケーションへのシフトは、セキュリティ意識の転換を必要としました。従来型の SD-WAN は、サイト間の VPN 接続を保護しますが、ほかのセキュリティ機能が欠けていることが多いのです。ここでの解決策は、セキュア SD-WAN と呼ばれる新しいモデルです。複数のユースケースを組み合わせたソリューションで、直感的な操作と使いやすさを重視した統合管理のメリットは圧倒的です。従来の分離型ソリューションは、まもなく消えるでしょう。 SASE とセキュア SD-WAN セキュア SD-WANは、ガートナーが2019年に定義したクラウドネイティブなセキュア・アクセス・サービス・エッジ(SASE)アーキテクチャに含まれます。SASE(発音は「サシー」)は、ソフトウェアベースのネットワーキングとネットワークセキュリティサービスを組み合わせ、企業のリソースへの動的なセキュアアクセスを提供します。セキュリティ機能を追加することで、セキュア SD-WAN を実現しています。 SaaS アプリケーションやリモートワークの導入に伴い、企業は分散したリソースへの安全なアクセスをサポートできる俊敏なネットワークを必要としています。ユーザーやデバイスは、主にクラウド上にあるリソースにどこからでも接続できると同時に、オンプレミスでもアクセスできる必要があります。このようなハイブリッド化に対応するのに、サイト間接続に特化して設計されたネットワーキング・ソリューションではもはや十分ではありません。SaaS アプリケーションやその他のクラウドワークロードは、企業ネットワークに安全に接続する必要があります。セキュア SD-WANはこのニーズに応え、さまざまなパブリッククラウドに拡張できます。 ファイアウォール・アズ・ア・サービスとゼロトラスト・ネットワークアクセス SASE のアーキテクチャコンセプトのセキュリティコンポーネントには、ファイアウォール・アズ・ア・サービス(FWaaS)とゼロトラスト・ネットワークアクセス(ZTNA)があります。それぞれは、他のソリューションと連携することも、独立することも可能です。 FWaaS はその名の通り、サービスとしてクラウド上で動作するネットワークファイアウォールです。ネットワークのほかの部分とシームレスに統合できることが、このソリューションの主な利点の1つです。 FWaaS 単独の導入でも必要なセキュリティは確保できますが、SD-WAN と組み合わせることで、大きなメリットが得られます。クラウドとオンプレミスのソリューションコンポーネントを組み合わせることで、独自のセールスポイントを持つ、強力で管理しやすい導入バリエーションが生まれます。このようにして、会社のすべての拠点は、たとえ一般に公開されていない場所であっても、安全にクラウドに接続されます。それが拠点からの直接接続なのか、中央のハブにバックホールされるトラフィックなのかは、ユースケースによります。 安全なネットワークは、ファイアウォールや安全なサイト間接続だけにとどまりません。多くのネットワークユーザーはリモートで仕事をし、時には公衆無線やその他の安全でないネットワークを使っています。完全なセキュリティソリューションとは、インターネット接続があればどこからでも、クラウドまたはオンプレミスのプライベートリソースに安全にユーザーアクセスできることなのです。こうした安全なアクセスをユーザーに提供するには、ZTNA が最適です。 ZTNA は、ユーザーとデバイスのためのアクセスコントロールソリューションです。ゼロトラスト認証は、「決して信用せず、常に検証する」という原則のもとに成り立っています。VPN 接続とは異なり、ゼロトラスト接続では、ユーザーがネットワーク上で何かを要求するたびに、ユーザーとデバイスの認証を繰り返し行います。VPN が信頼を確立するためにクレデンシャルセットに依存するのに対し、ゼロトラストは管理者が設定したクレデンシャル、デバイス、時間、およびその他のパラメータに依存します。ゼロトラストはまた、「最小特権の原則」を確立し、実施します。 SD-WANとともに、これは最新の SASE アプローチに不可欠な要素であり、理想的には、目的のリソースへの最適な経路を自動検出することで完全に統合的に機能します。しかし、セキュア SD-WAN とユーザーのリモートアクセスを組み合わせることで、セキュリティ機能をエンドポイントまで拡張できるという利点もあります。同時に、デバイス上でセキュリティを実装し、さらに SD-WAN デバイスやクラウド上で疑わしい、あるいは危険なネットワークトラフィックを検査することで、セキュリティレベルを大幅に向上させることができます。 オンプレミスのセキュア SD-WAN 展開に有効なユースケースも存在します。クラウドトラフィックのコスト要因も考慮する必要があります。SD-WAN の場合、根本的な考え方は、MPLS を置き換えることによるコスト削減でした。SaaS アプリケーションとオンプレミスのアプリケーションサーバーの両方を使用している企業は、すべてのトラフィックをクラウド経由でルーティングする必要のない場合があります。このようなハイブリッドネットワークでは、SD-WAN で利用できるインテントベースのルーティングが有効です。最適なソリューションは、クラウドリソースを安全に接続するだけでなく、トラフィックに基づいて最適かつ最短の経路をインテリジェントに決定します。 組み合わせで差がつく ミックスアンドマッチのソリューションの本当の利点は、組織の既存の展開における要件を満たす柔軟性にあります。業界のトレンドは、特定の製品がより大きなプラットフォーム・ソリューションの機能へと変化していることを明確に示しています。...

海外ブログ

OWASP Top 10 API セキュリティリスク:2023年版 のページ写真 7

OWASP Top 10 API セキュリティリスク:2023年版

2023年3月17日、Paul Dughi OWASP API セキュリティプロジェクトは、2023年の API セキュリティリスクトップ 10 を更新しています。2019年以来の更新で、新しいリストではこれまでと同じリスクもあれば、新しく追加されたものも、削除されたものもあります。たとえば、ロギングとモニタリング、インジェクションは、依然として重要な要因ではあるものの、トップ 10 には入っていません。新たに加わったもののなかには、SSRF(サーバーサイドリクエストフォージェリー)や API の安全でない利用があります。 現時点で、リストはまだ確定していませんが、OWASP のGithubサイトで公開されており、レビューやコメントが可能です。今のところ、2023 年版リストの項目は以下の通りです。 オブジェクトレベルの認可の不備 認証の不備 オブジェクトプロパティレベルの認可不備 無制限な資源消費 機能レベルの認可の不備 サーバーサイドリクエストフォージェリ セキュリティの設定不備 自動化された脅威からの保護の不足 不適切な資産管理 安全でないAPIの消費 1. オブジェクトレベルの認可の不備 オブジェクトレベルの認可は、一般的にユーザー検証のためにコードレベルで実装され、オブジェクトへのアクセスを制限する制御方法です。オブジェクトレベルの認可が適切に実施されない場合、システムを危険な状態にさらす可能性があります。Uberでは、攻撃者がユーザーの電話番号を含む API リクエストを送信してトークンにアクセスし、システムを操作したことでこのような脆弱性が発覚しました。 攻撃ベクター:リクエスト内で送信されるオブジェクト ID を操作することで、API エンドポイントを悪用する攻撃です。この問題は、API ベースのアプリケーションにおいて残念ながらとてもよく見られます。サーバー側のコンポーネントがクライアントの状態を完全に追跡せず、オブジェクト ID に多くを依存しているからです。 セキュリティの弱点:認可とアクセス制御は複雑なものです。適切なプロトコルと設定があっても、開発者は機密性の高いオブジェクトにアクセスする前に認可チェックを行うことを忘れてしまうことがあります。このような状態は、自動テストではなかなか事前に検出されません。 2. 認証の不備 認証エンドポイントは、ブルートフォース攻撃、クレデンシャルスタッフィング、弱い暗号化キー、認証を必要としないほかのマイクロサービスへの接続など、多くのリスクに対して脆弱です。 攻撃ベクター:これらのエンドポイントは、組織外の人がアクセスできる可能性があるため、いくつかの潜在的な脅威が存在します。しばしば、認証のための境界全体を完全に保護できていなかったり、適切なセキュリティ・プロトコルを実装していなかったりします。 セキュリティの弱点:OWASPは、エンドポイント認証に関する2つの具体的な問題点を指摘しています。 追加の保護レベルを含む保護メカニズムの欠如 認証メカニズムの不適切な実装、またはアプリケーションに対する誤ったメカニズムの使用 3. オブジェクトプロパティレベルの認可の不備 API 経由でオブジェクトにアクセスする場合、ユーザーが特定のオブジェクトプロパティにアクセスする権限を持っていることのバリデーションが必要です。オブジェクトプロパティレベルで認可に不備があると、権限のないユーザーがオブジェクトにアクセスしたり、変更したりすることができるようになります。 攻撃ベクター:脅威者は脆弱な API エンドポイントを悪用し、攻撃者が利用できないはずのオブジェクトのプロパティ値を読み取り、変更、追加、削除します。 セキュリティ上の弱点: 開発者が機能やオブジェクトへのユーザーアクセスのバリデーションを提供しても、ユーザーがオブジェクト内の特定のプロパティへのアクセスを許可されているかどうかをバリデーションしない場合があります。 4. 無制限な資源消費 API リクエストに制限がないと、攻撃者が複数のリクエストを送信したり、リソースをフラッディングしたりすることでサービス拒否(DoS)攻撃を実施できます。またリクエストごとの有料課金を利用している場合は、金銭的な損害を与えることができます。分散型サービス拒否(DDoS)攻撃は過去2年間で大きく増加し、60%も増加しています。 攻撃ベクター:API は、相互作用を制限していない API に対して複数の同時リクエストを送信することで、悪用される可能性があります。 セキュリティ上の弱点:API ではしばしば、実行タイムアウトや最大許容メモリ、クライアントリクエストの操作回数、サードパーティの支出制限の実装などの活動を制限していません。ロギングを行っても、初期段階で悪意のある活動が知らぬ間に行われていることになりかねません。 5. 機能レベルの認可の不備 機能レベルの権限で管理用エンドポイントにアクセスできるようになると、機密性の高いアクションを実行できるようになります。 攻撃ベクター:攻撃者は、アクセス方法がより構造化され予測可能であるため、API の欠陥を発見し、アクセスできないはずのエンドポイントに正規の API コールを送り込むことができます。場合によっては、エンドポイントの URL を推測し、文字列の「users」を「admins」に変更するような簡単な作業で済...

海外ブログ

最近の銀行破綻の悪用を試みる攻撃者の先を行く のページ写真 8

最近の銀行破綻の悪用を試みる攻撃者の先を行く

2023年3月15日、Fleming Shi ハッキング集団は、情報や金銭を盗む新しい機会を常に探しています。新型コロナウイルスのパンデミックやウクライナ侵攻のような大きな出来事があると、そのあとには必ず大きな詐欺インシデントがあることがこれまでに証明されています。今回の銀行セクターのトラブルに乗じた SMSやその他のフィッシング攻撃も、必ず出てくるはずだと私たちは予想しています。 銀行セクターが「パニック」を起こす可能性 3月10日、カリフォルニア州金融保護革新局(DFPI)は、流動性不足と債務超過を理由に、シリコンバレーバンク(SVB)を閉鎖しました。その後 DFPI は、連邦預金保険公社(FDIC)をシリコンバレーバンクの管財人に任命しました。FDICは管財人として、被保険者預金の管理、資産の売却・回収・債務整理などの業務を引き受けます。 FDICは銀行ではありませんが、破綻した銀行に代わって業務を行う預金保険国立銀行(DINB)を創設する権限を持っています(p.38)。この種の銀行は「ブリッジバンク」と呼ばれ、破綻した銀行が管財手続きを進めるなかで銀行業務を継続できます。今回はFDICが「金融機関を安定させ、秩序ある解決を実施する」まで、シリコンバレーブリッジバンクが、シリコンバレーバンクの残りの銀行業務を行うブリッジバンクとなります。FDICのウェブサイトには、シリコンバレーバンクの破綻に関する最新情報が掲載されています。 3月12日にニューヨーク州金融サービス局(DFS)がシグネチャーバンクを事業停止とした際も、同様の経過をたどりました。 FDIC が管財人に任命され、シグナチャーブリッジバンクが設立されて銀行業務を継続することになったのです。 この2つの銀行の破綻は、ハッキング集団がフィッシング詐欺やなりすまし詐欺で一般市民を狙う絶好の機会となります。シリコンバレーバンクやシグネチャーバンクの顧客で、銀行業務を他の金融機関に移管する可能性のある人をターゲットにすると、私たちはにらんでいます。また、Roku、Shopify、Pinterestなど、シリコンバレーバンクの著名なクライアントになりすます攻撃もおそらく出てくるでしょう。 銀行関連のSMS詐欺 サイバー犯罪者は SMS(テキストメッセージ)を好んで使用します。なぜなら、非常に短いメッセージを銀行からの緊急警告のように見せられるからです。ほかの銀行になりすましたSMSフィッシング詐欺の例をいくつか紹介します。 バンク・オブ・アメリカを装った詐欺:「口座に制限がかかっています」(出典:CBS 47 Action News) バンク・オブ・アメリカを装った詐欺:「口座を閉鎖します」(出典:リーダーズ・ダイジェスト誌) SMS 詐欺は、リンクにアクセスしたり、情報を返信したり、番号に電話するよう促すことがあります。これらの詐欺は、犯罪者が顧客の資金を管理するために、顧客から情報を盗むことを目的としています。これらのリンクをクリックしたり、見覚えのない番号に電話をかけたりしないでください。必ず知っている番号で銀行に電話するか、URL を手動で入力してオンラインにアクセスするか、銀行の確認済みモバイルアプリを使用してください。 また、FDIC は、特に最近の銀行閉鎖を踏まえ、同様のメッセージを送る可能性のある政府当局のなりすましに対しても警告を発しています。 メール詐欺 サイバー犯罪者はメール詐欺を好んで使用します。メールはあらゆる場所で使用されているからです。シリコンバレーバンクやシグナチャーバンク関連の詐欺では、犯罪者がこうした銀行になりすまし、新しい銀行情報を待っている顧客、パートナー、販売業者などにメールを送信することが予想されます。シグナチャーバンクは4つの州に数十のオフィスがありましたし、シリコンバレーバンクは米国および数カ国にオフィスがありました。メールを使ったなりすましをするのに大きなチャンスがあるわけです。 13タイプのメール攻撃のうち、シリコンバレーバンクとシグナチャーバンク、および FDIC 関連の詐欺では下記のようなタイプの攻撃が使われると予想されます。 なりすまし:ドメインやブランドのなりすましは、受信者をだまして、既知の信頼できる送信者からのメールであると思わせるように設計されています。 フィッシング:銀行のログイン情報、暗証番号、口座番号、その他の機密情報を盗み出そうとする攻撃です。 マルウェア:メールやメールの添付ファイルに隠された悪意のあるソフトウェアで、しばしばフィッシング攻撃とセットで行われます。また、メールに埋め込まれた悪意のあるスクリプトによって、外部のウェブサイトからマルウェアがダウンロードされることもあります。 アカウント乗っ取り(ATO): この種の不正行為は、フィッシング攻撃やその他のデータ漏えいによって、悪意のあるアクターが正規ユーザーアカウントの認証情報を入手することで発生します。企業アカウントの場合、会社の業務に関する情報の収集、マルウェアの配布、振り込め詐欺、ランサムウェア攻撃などが行われる可能性があります。 ビジネスメール詐欺(BEC): 犯罪者が組織の誰かになりすまして、会社、従業員、顧客、またはパートナーを詐取します。この場合、通常、正規の受取人から犯人に資金が流れます。この種の攻撃はしばしば、フィッシング攻撃が成功することで可能になります。 ほかの攻撃ももちろんありますが、上記がおそらく最も一般的な攻撃になるでしょう。 現在の銀行関連の脅威 バラクーダセキュリティオペレーションセンターでは、世界中の脅威を監視しています。 ここでは、私たちが共有できる銀行攻撃の事例を紹介します 脅威アクターは、パートナーになりすまして支払いをするそぶりを見せます。添付ファイルの bank-info.doc は、重要なアカウント情報を盗むように設計されています。 脅威者は、銀行口座をすぐに更新する必要がある従業員になりすましています。ジャネットが返信すれば、攻撃者はその情報を使って給与を流用することができるのです。 これはよくある単純な詐欺で、攻撃者は被害者が延滞金を支払うためにリンクをクリックすることを望んでいます。 このリンクは、被害者をフィッシングサイトに誘導し、支払われたお金と一緒に情報を盗みます。   このような詐欺から自分自身と会社を守るために メールセキュリティについて、以下の実践方法を採用し、早急に対応することをお勧めします。 メールやテキストメッセージに記載されているリンクをクリックしない。 電話やメールで個人情報を共有しない。合法的な組織は、安全でない方法でこれらの情報を求めることはありません。 情報提供や金銭の要求など、通常とは異なる要求に対して警戒する。送信者に連絡したい場合は、メッセージに記載されている連絡先を使うのではなく、自分で連絡先を探してください。 銀行やその他の金融機関に関連するすべての変更について、安全な通信を使用して連絡する。この場合、両者の身元を確認するうえで、対面で会ったり、ビデオ会議をしたりするとよいでしょう。 SPF、DKIM、DMARC エンフォースメントポリシーなどのツールを使用して、メールによるドメインのなりすましを防止する。 AI を活用したフィッシング・なりすまし対策ソリューションを導入する。このタイプのセキュリティは、複数のデータポイントを分析することで、メッセージの悪意ある意図を検出します。 完全な認証と受信者の検証で送信者と受信者を追跡するメール暗号化サービスを利用する。 今日のマクロ経済や財政政策を踏まえ、メールのやり取りを含む金融取引には細心の注意を払うよう、ユーザーを教育することが必要です。現在のような深刻な金融危機の際には、影響の大小にかかわらず、顧客やビジネスパートナー、ベンダーとコミュニケーションをとり、信頼できるコミュニケーションチャネルを確立して情報を共有することも重要です。メールセキュリティの態勢を改善し、特に検知、予防、対応のための優れたツールを活用することで、攻撃者の先を行けるようになります。   原文はこちら Stay ahead of attackers trying to capitalize on recent bank failures...

海外ブログ

オークランド市、ランサムウェア攻撃を受け、大規模なデータ流出の被害に のページ写真 14

オークランド市、ランサムウェア攻撃を受け、大規模なデータ流出の被害に

2023年3月10日、Christine Barry オークランド市は2023年2月8日、ランサムウェア攻撃を受けて複数のシステムおよび公共サービスに障害が発生し、今なお復旧作業中です。 電話、電子メール、ウェブサイトのサービスだけでなく、支払い処理、許可証や免許証の発行にも支障をきたしました。311インフラ緊急通報システム(OAK311)も利用できない状態が続きました。警察や消防の緊急サービス、市の財務サービスには大きな影響はありませんでしたが、報告や内部コミュニケーションに問題が発生しました。2月14日に非常事態宣言が出され、市当局は復旧作業を支援するための追加リソースを利用することができました。 オークランド市のウェブサイトでは、サービス復旧の最新情報を掲載しています。 また3月6日に同市は、ランサムウェアの犯罪者集団がネットワークからデータの一部を盗み出し、公開したことを通知しました。FBIと第三者のデータ専門家は、市当局と協力してデータ侵害の範囲を特定しています。3月8日現在、流出したデータには、2010年7月から2022年1月までの間に給与を受け取っていた市職員の氏名、住所、運転免許証番号、社会保障番号などが含まれるとのことです。オークランド市当局は、この情報侵害の影響を受けるすべての人に、銀行口座の明細やクレジット口座を気をつけて見るよう求めています。 市は、影響を受けた人に詳細な情報を通知する予定です。 このランサムウェア攻撃は、ランサムウェア集団「Play」が展開するフィッシングメールが原因である可能性が高いです。 Play(PlayCrypt)は昨年の夏から活動しており、「大物狙い」と「二重の恐喝」という攻撃戦略を用いています。簡単に言うと、Playランサムウェアの一団は、通常、身代金を支払う能力または意思を持つという望ましい基準に基づいて、ターゲットを特定します。一団は、暗号化される前のデータを盗み、交渉に使用する電子メールアドレスが記載されたテキストファイルを残します。被害者が身代金の支払いを拒否すると、一団は機密データを漏えいさせると迫るのです。Playの犠牲になった著名な被害者のなかには、A10 Networks、H-Hotels(ドイツ)、ベルギーのアントワープ市などがあります。 下の画像は、オークランド市のデータを侵害した発表したPlayランサムウェアの恐喝Webサイトです。(出典:Bleeping Computer) オークランド市は身代金の支払いを拒否し、バックアップからシステムを復元しています。 オークランドはこうして、ランサムウェア軍団の犠牲になった地方自治体のリストに加わりました。リストは長くなっていく一方です。フロリダ州リビエラビーチとフロリダ州レイクシティは、2019年に攻撃された際に身代金を支払いました。両市とも、身代金要求の大部分を支払うための保険に加入していました。ただし、身代金を支払っても良い結果が得られる保証はありません。ジョージア州アトランタとメリーランド州ボルチモアは、いずれも支払いを拒否しました。ダウンタイムと復旧費用は身代金の要求額を上回りましたが、両市のサイバーセキュリティは大幅に改善しました。 ランサムウェアは国家安全保障上の問題です。米国は連邦政府レベルでこうしたギャングとの戦いに積極的になっており、地方自治体向けにサイバーセキュリティ助成金として10億ドルを割り当てています。対象となる事業者はサイバーセキュリティ戦略を準備し、準備が整った時点でこれらの資金を申請することを推奨します。バラクーダは、包括的なセキュリティソリューションとハードニングされてより堅牢となったデータ保護でランサムウェア攻撃を防御します。詳細は、当社のWebサイトをご覧ください。   原文はこちら City of Oakland ransomware attack results in massive data breach Mar. 10, 2023 Christine Barry https://blog.barracuda.com/2023/03/10/city-of-oakland-ransomware-attack-results-in-massive-data-breach/

海外ブログ

悪意のあるドキュメントは死んだ。悪意のあるドキュメント万歳 のページ写真 16

悪意のあるドキュメントは死んだ。悪意のあるドキュメント万歳

2023年3月7日、Jonathan Tanner Microsoft Officeのマクロのマルウェアがコンピュータの感染に使用されるようになってから約30年、配布されるマルウェアの中で最も一般的なタイプの1つとなってから10年が経過しました。ついに Microsoft は、ダウンロードしたファイルのマクロをすべてデフォルトで無効にするという対応策に舵を切りました。これは、マクロのマルウェアに致命的な打撃を与えるでしょう。クリックするだけでマクロが有効になるようなメッセージはもう出ません。マクロは完全にブロックされ、再有効化するためにはユーザー側の多大な介入を必要とします。 しかし、「自然は真空を嫌う」といわれますし、脅威者は長年にわたって文書マルウェアを中心にソーシャル・エンジニアリングの手法を磨き上げてきました。さらに、サイバー犯罪者たちは成功に不可欠な既成概念にとらわれない発想をしますし、マルウェアの検出を回避するために長年、斬新なアプローチを繰り出してきました。こうしたことが、兵器化された OneNote ファイルを Qakbot の配布に使用するという方法に結実したのです。これは、文書マルウェアに対する新しいアプローチの最初の1つであり、今後、いくつもの新たなアプローチが生み出されるでしょう。 QuakNoteマルウェアキャンペーンの仕組み QuakNote と名付けられたこのキャンペーンは、過去によく見られたいくつかのテクニックを駆使しています。まず、あまり知られていない .oneというファイル拡張子を使うことで、多くの電子メールやマルウェアのスキャナーを回避することができます。問題をさらに深刻にしているのは、Microsoft Office ファイルの大半が使っている OLE2 または OOXML エンコーディングを OneNote が利用していない点です。その結果、マルウェアのスキャンソリューションによっては、そのままではファイルを分析することさえできない場合があります。 この悪意のある OneNote 文書を開くと、別のファイルを開くようユーザーに促します。Microsoft Office や PDF マルウェアによく見られるパターンです。この操作を通して、たいていは埋め込まれたスクリプトやファイルを実行するか、別のマルウェアにリンクしてダウンロードさせます。OneNoteの場合、埋め込まれた HTML アプリケーション(.htaファイル)が実行され、JavaScript を使用して WshShell を通じてWindows シェルコマンドを実行します。この方法は、少なくとも8年前から、いくつかの JavaScript 対応ファイルタイプで使用されています。これらのスクリプトが次のペイロード(この場合は Qakbot )をダウンロードします。しかし、興味深いことに、このキャンペーンでは、Windows 10以降にのみ付属するcurl.exeが使用されています。 Qakbot はボット、すなわち感染したシステム上で動作し、コマンド・アンド・コントロール・サーバーから次に何をするかというコマンドを待つソフトウェアです。Qakbot は特に金融データや認証情報を狙いますが、過去にはランサムウェアの展開にも使用されています。 マクロの扱い方が変わったことで、攻撃者はOfficeのマクロを悪用するのと同じくらい効果的な戦略を模索しています。今回紹介したものは、これから多く出てくるであろう新しい斬新な攻撃の最初の1つだと思われます。あまり知られていないファイルタイプを試す、という方法に加え、今後はPDFマルウェアが増加する可能性もあります。 E-Book:今すぐ知っておくべき13タイプのメール攻撃 原文はこちら Malicious documents are dead, long live malicious documents Mar. 7, 2023 Jonathan Tanner https://blog.barracuda.com/2023/03/07/malicious-documents-dead/

海外ブログ

公式Twitter

HTML Snippets Powered By : XYZScripts.com