1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ

Info.

お知らせ

海外ブログ

Atlassian Confluence RCE 脆弱性: CVE-2022-26134 のページ写真 1

Atlassian Confluence RCE 脆弱性: CVE-2022-26134

トピック: Attacks and Threat Actors 2022年6月9日、Vishal Khandelwal 脆弱性の詳細 Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。 この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。 リバースシェルの構築、強制DNSリクエストの実行、データ収集、新しい管理者アカウントの作成など、さまざまな手法で多様なエクスプロイトが作成されました。 脅威アクターは、HTTPリクエストのURIに悪意のあるペイロードを配置します。現状では、実際に使われている概念実証(PoC)のほとんどはGETメソッドを使用していますが、どのようなリクエストメソッドでも、たとえ無効なリクエストメソッドであっても、同じ効果が得られると思われます。 CVSS: 9.8 | クリティカル | 解析待ち CVE: CVE-2022-26134 攻撃の検知と防御 この脆弱性の修正として、Confluence にパッチを当てます。Atlassianはその詳細な推奨事項を提供しています。 バラクーダのOSコマンドインジェクションおよび他のコマンドインジェクションシグネチャのシグネチャパターンは、現在野生で見られるエクスプロイトの試みを阻止しています。Atlassianは当初、Barracuda Web Application Firewallの顧客が手動で適用できる基本パターンを提供していました。今ではWAFルールを提案していませんが、アップデートを適用できない場合の緩和策としては今なお安全かつ効果的であるといえます。 当社のアプリケーションセキュリティチームは、上述の手動ステップを自動化する新しいシグネチャを展開しようとしているところです。このシグネチャはパターンが一般的であるため、アクティブモードでは自動的には適用されません。Atlassian Confluenceを使用中ならば誰でも、このシグネチャを有効にできます。また、そのためのバラクーダのサポートもあります。 この緩和策に必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。 設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。 原文はこちら Atlassian Confluence RCE vulnerability: CVE-2022-26134 June 9, 2022 Vishal Khandelwal https://blog.barracuda.com/2022/06/09/atlassian-confluence-rce-vulnerability-what-you-need-to-know/

海外ブログ

サイバーセキュリティ脅威勧告:Black Basta ランサムウェアグループの脅威 のページ写真 2

サイバーセキュリティ脅威勧告:Black Basta ランサムウェアグループの脅威

トピック: Attacks and Threat Actors 2022年6月28日、Doris Au Black Bastaランサムウェアグループは、QbotやQakbot、そしてPlinkslipbotとして知られる古いマルウェアを改良し、Microsoft Exchange Serverを悪用しています。攻撃が成功すると、脅威アクターはターゲットのネットワークアクセスを取得できるようになり、重要な個人情報の収集やネットワークの暗号化もできるようになります。バラクーダでは、潜在的な影響を回避するために、環境内のすべての脆弱なMicrosoft Exchange Serverをできるだけ早くアップデートすることを推奨しています。 何が脅威なのか 現在の Microsoft Exchange Server には、脆弱性が存在します。パッチの適用されていないMicrosoft Exchange Serverを悪用することで、脅威アクターはサーバーにアクセスし、銀行の認証情報およびその他の金融情報を収集し、ネットワークを暗号化することができます。専門家は、脅威アクターがWindows Defenderを無効にすることでアンチウイルス検出を回避していると報告しています。 なぜ注目すべきなのか この脆弱性は、組織や学校のメールコミュニケーションによく使われている現行のMicrosoft Exchange Serverに存在します。FBIはフラッシュアラートで、2021年11月から2022年3月にかけて、BlackCatランサムウェアが世界中の少なくとも60の組織のネットワークを暗号化するために使用されたと警告しています。このような脆弱性のニュースが公になると、攻撃者は攻撃を加速させることで知られています。新入に都合のよい窓がすぐに閉じられるとわかっているからです。 どのような露出やリスクがあるのか この脆弱性が悪用されると、脅威アクターは標的のネットワークに完全かつ無制限にアクセスできるようになります。脅威アクターがネットワークにアクセスできれば、ランサムウェアを簡単に実行できます。そこから、機密情報や専有情報の一時的または永久的な損失、通常業務の中断、金銭的損失、組織の評判への悪影響といったことにつながる恐れがあります。 おすすめの対策は何か バラクーダでは、任意コード実行攻撃の影響を抑制するために、以下の対応を推奨しています。 アイデンティティのセキュリティポスチャーを見直し、ネットワークへの外部アクセスを監視し、環境内のすべての脆弱なMicrosoft Exchangeサーバーを早急に更新しましょう。 セキュリティ対策を有効にするために、すべてのサーバーを最新の状態に保ちましょう。 潜在的な脅威を回避するために、当社の脅威勧告で常に最新情報を手にしましょう。 参考資料 脅威の詳細およびおすすめの対策は、以下のリンク先をご覧ください。 Black Basta Ransomware Teams Up with Malware Stalwart Qbot | Threatpost Microsoft: Exchange servers hacked to deploy BlackCat ransomware (bleepingcomputer.com) ランサム(身代金)を支払わないでください。ランサムウェアからの保護はとても簡単です。   原文はこちら Cybersecurity Threat Advisory: Black Basta ransomware group threat June 28, 2022 Doris Au https://blog.barracuda.com/2022/06/28/cybersecurity-threat-advisory-black-basta-ransomware-group-threat/

海外ブログ

CSA、クラウドセキュリティの阻害要因トップ11を特定 のページ写真 3

CSA、クラウドセキュリティの阻害要因トップ11を特定

2022年6月20日、Mike Vizard クラウドセキュリティアライアンスは、業界の専門家700人を対象とした調査に基づき、クラウドセキュリティに対する脅威のトップ11を発表しました。 そのレポート「クラウドコンピューティングの重大脅威: パンデミック11」では、11の脅威を以下のように特定しています。 ID、クレデンシャル、アクセス、キーの管理不行き届き 安全でないインターフェースとアプリケーションプログラミングインターフェース(API) 誤設定と不適切な変更管理 クラウドセキュリティアーキテクチャおよび戦略の欠如 安全ではないソフトウェア開発 安全性が確保されていないサードパーティリソース システムの脆弱性 クラウドデータの漏えい事故 サーバーレスやコンテナのワークロードの誤設定と悪用 組織犯罪/ハッカー/高度持続的脅威(APTs) クラウドストレージのデータ流出   総合的にみれば、クラウドセキュリティがいかに大きな懸念材料かは明らかです。しかし、今後もクラウドに移行するワークロードの数は増え続けるでしょう。となれば、クラウドセキュリティの侵害の規模と範囲が指数関数的に拡大するのは時間の問題です。 しかし、クラウドセキュリティに対する11の脅威をさらに詳しく見ると、安全性に欠けるのはプラットフォームというより、その採用方法であることが明らかになります。サイバーセキュリティの専門知識をほとんど持たない開発者がガードレールもないクラウドインフラストラクチャを直接プロビジョニングすることを、今なお組織は許可しています。開発者がミスを犯す可能性は非常に高いのです。 クラウドサービスを設定する開発者に、セキュリティの確認などいっさいせずにTerraformのようなツールを使ってよいと許可することで生産性が向上するという考えもありますが、実際には、そのようなリスクをおかすほどの見返りはありません。開発者がアプリケーションやクラウドインフラをセキュリティレビューなしに提供することを許可している組織は、法廷で争えば、顧客の利益を無視した無謀な行為であるとすぐに判断されるでしょう。弁護士なら誰でも知っているように、無謀という言葉が使われたとたん、罰則が数百万ドル単位に跳ね上がるのです。 もちろん、どんな論争にも二つの側面があります。すべての行動には、等しく逆の反応があるのです。開発者が初めてクラウドを提唱したとき、多くのサイバーセキュリティ専門家はリスクが高すぎると判断しました。しかし、開発者と協力してプラットフォームのセキュリティ確保に必要なプロセスを定義するよりも、傲慢なサイバーセキュリティ専門家は、単にノーと突っぱねたほうがラクだと思ったのです。ほどなくサイバーセキュリティ専門家は、ノーという意見を押し通せるほどの政治的資本が残念ながら自分たちにはないと気づくのでした。出走ゲートは開け放たれ、当然のことながらサイバーセキュリティのカオスが広がったのです。 今日、クラウドの安全性確保は大いなる覚醒のさなかにあります。米バイデン政権が発令した大統領令により、あらゆる規模の組織がソフトウェアのサプライチェーンの見直しを迫られているのです。もはや無視できない根本的な問題があると、誰の目にも明らかになりました。サイバーセキュリティの専門家と開発者は今、互いに妥協できるようなDevSecOpsのベストプラクティスを見つけなくてはなりません。アプリケーションの安全性を担保しつつ、その開発スピードも落とさないようなベストクラクティスです。今にして思えば、最初からそれを目指すべきだったのです。クラウドセキュリティの課題と、今再びめぐってきたコラボレーションの機会を前向きにとらえ、意味のあるクラウドセキュリティを実現するために、新たなスタートを切るのです。そうしなければ、必ずや大変動が起こるでしょう。 原文はこちらCSA identifies top 11 cloud security impedimentsJune 20, 2022  Mike Vizardhttps://blog.barracuda.com/2022/06/20/csa-identifies-top-11-cloud-security-impediments/

海外ブログ

ゼロトラストとは何か のページ写真 4

ゼロトラストとは何か

トピック: Series: Understanding Zero Trust 2022年6月21日、Christine Barry  注:これはゼロトラストの源流と原則を紹介する5回シリーズの第1回です。 ITセキュリティの専門家の多くは、ゼロトラストの概念に精通していますが、その概念を意思決定者やステークホルダーにうまく伝えられずにいます。ゼロトラストの基本は、その名のとおり「何も信用(トラスト)しない」ことです。すべてのユーザーとデバイス、その他のリソースを認証し、承認し、継続的に検証するのです。 これは、あらゆる規模の企業で熱狂的に受け入れられる素晴らしいアイデアのように聞こえます。しかし残念ながら、多くのITチームにとってはここからが問題なのです。IT部門以外の社員は、すでにセキュリティは確保されているのだから、これ以上ログインやセキュリティ対策に煩わされたくないと考えるからです。意思決定者は、この導入にどれだけの費用がかかるのか、導入によりどの程度ビジネスの混乱するのか、投資対効果はどうなのかといったことを考えます。単にゼロトラストを信用しない人もいます。 ゼロトラストの源流 世界中のITリーダーたちは、2004年に正式に非境界化(deperimeterization)の検討を開始しました。ジェリコ・フォーラム(Jericho Forum)と呼ばれるグループが設立され、暗号化や高度な認証方法などのツールを導入することで組織内部と外部をへだてる境界への依存を安全に減らしていくことを目的としています。このアプローチによるビジネス上の利点は、コラボレーションの効率化、アジリティの向上、ビジネスコストの削減などです。 こうした取り組みの成果が今日のBYOD(Bring-your-Own Device)環境やSaaS(Software-as-a-Service)の採用、IoT(モノのインターネット)の展開などで見られます。安全なデジタルトランスフォーメーションは、境界ベースのアプローチでは実現できないのです。 だからといって、ファイアウォールなど従来の境界防御が完全に不要になったわけではありません。どこの企業でも、オンプレミスやマルチクラウドのデプロイメントを保護・管理するためにファイアウォールを使用しています。SD-WANやCloudGen WANなどの広域ネットワークも、ファイアウォールがなければ成り立ちません。運用技術(OT)や産業用制御システムも、それらを保護し、制御デバイスに接続するための専用ファイアウォールがなければ安全とは言えません。ゼロトラストの実装は、ファイアウォールの仕事の内容を変えるかもしれませんが、ファイアーウォールを完全に置き換えるものではありません。 ゼロトラストとは何か 完璧なゼロトラスト環境を構築できる単一の製品は存在しない、そう認識することが重要です。ゼロトラストは哲学であり、従来の境界ベースのセキュリティから、トラストベースのモデルへのパラダイムシフトです。つまりITチームは、脆弱性と脅威が信頼関係から生まれると考えるべきなのです。会社のリソースにアクセスしようとするすべての試みは潜在的な脅威であり、複数のセキュリティ層によって排除されなければなりません。これらのセキュリティ層には、最小特権の原則を適用します。許可されたユーザーは、必要なものだけにアクセスすることができます。そうすることで、ユーザーのアカウント認証情報による特権の悪用の可能性を減らすことができます。 残念ながら現実には、ゼロトラストの取り組みに抵抗するステークホルダーが必ずいるでしょう。「信頼」の意味を誤解しているからです。誰でも、雇用主や同僚から信頼されることを望んでいます。企業であれば、顧客やビジネスパートナーから信頼されたいと思っています。時には視点を変えてもらう必要があるかもしれません。錠前には開けるたびに鍵が必要で、デバイスには毎回パスワードが必要なのは、アクセスが許可される前に信頼が確立されなければならないからです。トラストベースのネットワークへのパラダイムシフトは、皆の仕事を大変にするためではなく、より簡単にするためなのです。 米国国立標準技術研究所(NIST)が発行したレポート「NIST Special Publication 800-207」は、ゼロトラストを以下のように正式に定義しています。 ゼロトラスト(ZT)とは、進化するサイバーセキュリティのパラダイムを表す用語で、防御を静的なネットワークベースの境界から、ユーザーおよび資産、リソースに集中させるものである。…ゼロトラストは、暗黙の信頼がないことを前提としています。すなわち、物理的な場所やネットワーク上の場所、あるいは資産の所有権だけに基づいて資産やユーザーアカウントに付与されるような、暗黙の信頼はないものとするのです。…ゼロトラストは、ネットワークセグメントではなく、リソースの保護に重点を置いています。ネットワーク上のロケーションはもはや、リソースのセキュリティの主要な構成要素とはみなされないためです。 このレポートは、ゼロトラスト環境を構築したいと考える人の必読書とすべきでしょう。米国家安全保障局が発行したゼロトラスト・ガイダンスも同様です。どちらも、ゼロトラストの価値を説明し、伝えるうえで役立つでしょう。 次回は、ゼロトラストの原則が、世界中の企業や従業員にどのような利便性をもたらしたかを見ていきます。本シリーズの全記事はこちらからご覧いただけます。 原文はこちらWhat is Zero Trust?June 21, 2022 Christine Barryhttps://blog.barracuda.com/2022/06/21/what-is-zero-trust/

海外ブログ

会計事務所のためのクラウドセキュリティ のページ写真 5

会計事務所のためのクラウドセキュリティ

2022年6月7日、Tony Burgess  安全なデジタルファイルの共有は、会計事務所に恩恵をもたらしています。このおかげでクライアントやコラボレーターとのコミュニケーションがより効率的になったからです。リモートワークが定着し、顧客もテクノロジーを介した簡単で優れたエクスペリエンスを期待し要求するようになっている今は、なおさらメリットがあります。 しかし、安全なデータ共有だけではもう不十分です。そこで、コラボレーションを合理化し、エラーを減らすためにクラウドコンピューティングを利用する企業が増えています。クラウドベースのプラットフォームとアプリケーションを活用することで、顧客体験の向上やコスト管理、リモートアクセスの簡略化、セキュリティの向上、柔軟性と拡張性の向上などを実現しているのです。 効率性とセキュリティへの配慮 CaseWare Internationalが3000人以上の会計プロフェッショナルを対象に行った調査に基づく「2022 State of Accounting Firms Trends Report」で明らかになったように、77%の回答者がすでに安全なコラボレーションソフトウェアを使用して、オンラインでの顧客コミュニケーションやファイル共有を実現しています。にもかかわらず、57%が顧客とのエンゲージメントプロセスをより効率化する必要があると回答しています。会計業界全体で、新しいテクノロジーの導入は実務管理の大きな課題となっているのです。 本格的なクラウド導入に関して、会計業界が他業界より遅れているとすれば、それはセキュリティや法規制の遵守に対する懸念が大きいからです。しかし積極的な企業は、クラウドに展開されたアプリケーションやその他のワークロードの包括的なセキュリティとデータ保護を保証する、新世代のクラウドファーストソリューションと機能を採用しています。 クラウドファーストのセキュリティとコンプライアンスサポート クラウドのメリットを最大限に活用し、可能な限り迅速かつ安全、そして簡単に移行するために、会計事務所は以下のようなソリューションを求めるとよいでしょう。 アプリケーションとAPIの完全なセキュリティ DDoS攻撃に対する防御、ボット攻撃に対する防御、サプライチェーン攻撃に対する防御などを含む。たとえば、Barracuda Cloud Application Protection。 メールを介した攻撃に対する高度なマルチベクターセキュリティ フィッシング、ランサムウェア、およびその他の高度なメール脅威のリスクを最小化する。たとえば、Barracuda Email Protection。 ネットワーク全体の高度なセキュリティとパフォーマンスの最適化 ゼロトラストアクセスコントロール、高度なSASEおよびSD-WAN機能、Webセキュリティなど。たとえば、Barracuda Network Protection。 最新のクラウドベースのデータ保護 エンドツーエンドの暗号化、イミュータブルバックアップ、GRT (Granular Recovery Technology)などを用いて、データの保存場所を問わず、偶発的または故意のデータ損失を防止する。たとえば、Barracuda Backup や Cloud-to-Cloud Backup。   クラウドへの流れは止まらない クラウドを全面的に採用しているにせよ、クラウドのメリットを活用するために段階的に採用を進めているにせよ、企業のクラウドへの移行はますます加速するでしょう。顧客満足度、従業員の生産性向上、コストの効率化など、競争上重要なメリットが得られると認識する企業が増えているからです。クラウドのセキュリティに最新の包括的なアプローチを導入することで、移行に伴うリスクが増えるどころか、むしろ多くの場合、実質的なリスクの削減につながっています。 原文はこちらCloud security for accounting firmsJune 7, 2022https://blog.barracuda.com/2022/06/07/cloud-security-for-accounting-firms/

海外ブログ

アプリケーションセキュリティが思わぬ効果をもたらす のページ写真 6

アプリケーションセキュリティが思わぬ効果をもたらす

June 10, 2022年6月10日、Tony Burgess  欧州の大手家電量販店BCCのITディレクターであるコリーン・ボスは、AzureでホストしているWebサイトやアプリケーションに探りを入れてくるボットやスクレイパーの数が急増していることに不安を募らせていました。アプリケーション層への攻撃で業務に影響が出るのは時間の問題だと理解していたからです。BCCの売り上げの半分はオンライン販売が占めていますから、数分のダウンタイムでも非常に大きな打撃となります。 ボスは、BCCのオンライン業務と売り上げに対するリスクを軽減するために、Webアプリケーションファイアウォールソリューションが大きな助けとなることを理解していましたが、これが喫緊の課題であり、Webアプリケーションセキュリティに投資すべきだと経営陣をなかなか説得できずにいました。しかし、BCCの競合企業が深刻な攻撃を受けて大きな代償を払ったことで、事態は一変します。「おかげで私の仕事はぐっとラクになりました」とボスは語っています。予算がすんなりと認められ、彼女のチームは自社のセキュリティインフラストラクチャの監査を体系的に行う計画を実行に移したのです。そしてギャップを特定し、いかにしてそのギャップを埋めるかを決定しました。 バラクーダを選ぶ ボスはITリセラーに勧められバラクーダに連絡し、Barracuda WAF-as-a-ServiceのPoC(概念実証)を実施しました。これが、ボスとそのチームの心をつかむことになります。というのも、PoC実施期間中に、BCCのWebサイトがDDoS攻撃を受けたのです。このままではオンライン販売を停止しなければならない状況に追い込まれ、「すぐにバラクーダの担当者に電話をして、『監視モードからブロックモードに切り替えてください』と頼みました」とボスは言います。切り替えは即座に行われ、攻撃は阻止されました。そしてBCCは、WAF-as-a-Serviceの契約を即決したのです。 BCCは今、大きなメリットを享受しているとボスは言います。さらにボスは、バラクーダのローカルチームが親切かつ迅速に対応していること、バラクーダのソリューションとAzureおよびMicrosoft 365環境が緊密に統合されていることも高く評価しています。(BCCはBarracuda Email Protectionも契約し、電子メールとMicrosoft 365のデータを保護しています)。 収益へのプラス効果も 加えてボスは、あまり語られることのないメリットについても言及しています。すなわち、広告コストの削減です。BCCのペイ・パー・ビュー広告モデルでは、ボットが広告からサイトにアクセスするたびに広告主に料金を支払っていました。そのコストの相当部分を削減できたのは、WAF-as-a-Serviceで悪意のあるボットの大半をサイトから排除できたからなのです。結果として、同社のアプリケーションセキュリティへの投資の収益性は向上しました。 シンプルになったWebアプリケーションのセキュリティを手に入れましょう   原文はこちらApp security delivers unexpected benefitJune 10, 2022https://blog.barracuda.com/2022/06/10/app-security-delivers-unexpected-benefit/  

海外ブログ

ランサムウェア攻勢が始まる のページ写真 7

ランサムウェア攻勢が始まる

トピック: Ransomware 2022年6月2日、Mike Vizard 時間はかかりましたが、米国政府はついに大規模なランサムウェア攻勢に出ることにしました。ランサムウェア攻撃を仕掛けてくるサイバー犯罪者集団の活動を食い止めるために、より協調的な取り組みに動き出したのです。 米国土安全保障省下のサイバーセキュリティ・インフラストラクチャセキュリティ庁CISA (C)のディレクターであるジェン・イースタリーは、先日行われた米セキュリティー・アンド・テクノロジー研究所IST (Institute for Security and Technology)のイベントで、ランサムウェア共同タスクフォースを正式に結成したと発表しています。このタスクフォースは、2022年の重要インフラ向けサイバーインシデント報告法CIRCIA(Cyber Incident Reporting for Critical Infrastructure Act)で求められていたものです。 米連邦捜査局(FBI)がタスクフォースの共同議長を務めます。現場で指揮を執るのは、CISAのサイバー部門を率いるエリック・ゴールドスタインと、FBIのサイバー部門責任者補佐ブライアン・ヴォーンドランです。 イースタリーによれば、CISAはサイバー犯罪組織の不正な活動を阻止することに重点を置きつつ、サイバーセキュリティのレジリエンスも重視していきます。米司法省(DOJ)も、違法な暗号資産(仮想通貨)取引に目を光らせています。暗号資産は、ランサムウェアの身代金支払いに利用されています。米司法省はまた、サイバーセキュリティ活動の国際連絡担当を設置し、サイバー犯罪の活動が確認された際の対応力を向上させようとしています。 ランサムウェアの脅威への各国政府の対応はこれまで、十分とはおよそ言い難いものでした。ランサムウェア攻撃をあまりに簡単に仕掛けられるというのは、明白な事実なのです。政府がランサムウェア攻撃を完全に防ぐことは難しいとしても、攻撃の量を減らすことはできるはずです。まず、サイバー犯罪者が攻撃を仕掛ける際に利用するITインフラストラクチャを破壊し、暗号資産の回収を困難にするのです。米政府は実際、2021年初めにランサムウェアグループNetWalkerから3000万ドルの暗号資産を押収し、攻撃量を減らす力があることを実証しています。 こうした取り組みがどこまで大きな影響を及ぼすかは不明ですが、ランサムウェア攻撃集団Contiは最近、戦略の変更を宣言しています。中央集権的な組織として活動する代わりに、Contiはより小さなランサムウェアギャングと提携し、法による取り締まりを回避しようとしているのです。米政府は、Contiのメンバー逮捕につながる情報に対して1500万ドルの報奨金を提供するとしています。また、国家安全保障局(NSA)のサイバーセキュリティディレクター、ロブ・ジョイスによれば、主にロシアへの経済制裁が奏功して、直近の2カ月ほどの間のランサムウェア攻撃は減少しています。ロシアを拠点とするサイバー犯罪者は、身代金の支払いを現金化する方法やインフラを構築する方法を見つけあぐねているというのです。不正に得た利益を享受することが難しくなるため、いくらかでもサイバー犯罪に興味を持っていた人を抑止する効果は少なくともあるでしょう。 もちろん、たとえささやかでも予防策はどんな治療薬にも勝る価値があります。ランサムウェア攻撃をよりしづらくする方法の研究は進んでいますが、実用化できるような成果が出るまでには何年もかかると思われます。それまでの間は、重要なデータの完全なコピーを常に利用できる状態にしておくことが、最大の防御策となります。重要なデータのコピーが必要となるのは、時間の問題だからです。 原文はこちら Ransomeware offensive gets underway June 2, 2022 Mike Vizard https://blog.barracuda.com/2022/06/02/ransomware-offensive-underway/

海外ブログ

ランサムウェア対策の必需品:イミュータブルバックアップとエアギャップセキュリティ のページ写真 8

ランサムウェア対策の必需品:イミュータブルバックアップとエアギャップセキュリティ

2022年5月27日、Tony Burgess Cybersecurity Ventures社のリサーチによると、ランサムウェアはいちだんと検知されづらい最新テクノロジーを使って、11秒に1人の犠牲者を生み出しています。バックアップシステムはランサムウェア攻撃に対する防御策として極めて重要な役割を担っています。バックアップシステムがあれば、ランサムウェアにデータを暗号化されたり盗まれたりしても、身代金を支払わずにデータを復元できるからです。 犯罪者もそれを知っています。だからこそ、最新のマルチベクター・ランサムウェア攻撃の一環として、バックアップシステムを悪用し、破損させようと懸命に狙ってくるのです。犯罪者がバックアップシステムの管理コンソールを悪用するか、バックアップデータストレージに直接アクセスすることでバックアップシステムを管理制御してしまえば、ランサムウェアに対するあなたの最後の、そして最善の防御策は排除されてしまうのです。ランサムウェア攻撃の被害に遭ったあなたは身代金を支払うか、データを永遠に失うかのどちらかしかなくなってしまいます。 データ保護を強化する データに対するランサムウェアのリスクを最小限に抑えるためには、Barracuda Backupのようなバックアップシステムを導入するとよいでしょう。Barracuda Backupは、構造レベルも含めた複数の高度な保護機能を組み合わせて不正アクセスを防止します。 イミュータブルバックアップ保護 イミュータブル(変更不可)バックアップとは、その時点でのスナップショットのようなバックアップファイルで変更することができないため、侵入者はこれを手に入れて身代金を要求することはできません。 例えば、Barracuda Backupは、データへの直接アクセスを防止してイミュータブル(変更不可)バックアップコピーを保持し、API経由でのデータの変更や削除を防止します。データへのアクセスや削除は、セキュアなBarracuda Backupインターフェースでのみ可能です。インターフェースは、不正アクセスを防止するために多要素認証(MFA)を使用して保護できます。Barracuda Cloudのデータは一度書き込まれると、更新されません。 安全なクラウドストレージ(エアギャップ) バックアップ用ストレージとインターネットとの間にエアギャップを設けることで、データの安全性が極めて高まります。テープをオフサイトに保管するといった物理的なエアギャップは安全性が高いのですが、データ復旧に時間がかかったり、リソースのオーバーヘッドが大きかったり、メディアが劣化したり、人為的ミスの可能性が高かったりと、さまざまな問題を抱えています。 Barracuda Cloudの暗号化されたバックアップファイルは、セキュアなBarracuda Backupインターフェースを通じてのみアクセス可能であり、バックアップアプライアンスとクラウド間のロジック上のエアギャップを効果的に形成しています。また、クラウドのファイルをパージする前にあらかじめ遅延の設定がされているため、ローカルアプライアンスから誤ってまたは悪意を持って削除された場合もデータを失うことはありません。 このロジック上のエアギャップを利用してクラウドデータストレージを保護することで、物理的なリムーバブルメディアの利点を、付随する問題なしに活かすことができます。 多層防護(DiD) 今日の高度に進化したランサムウェア攻撃は、複数のベクトルにわたり、電子メールやネットワーク、アプリケーション、データストレージのセキュリティギャップを悪用します。こうした攻撃に対する完全なセキュリティには、多層防護(Defense in depth, DiD) が必要です。このアプローチでは、統合された包括的なシステムを使って、インフラストラクチャ全体を保護します。 バックアップは完全なDiD戦略の核となる要素です。Barracuda Backupは、イミュータブルバックアップとエアギャップを施したクラウドストレージに加えて、フルスタックのセキュリティ機能を実装しています。 多要素認証(MFA)は、攻撃者が盗んだログイン情報を使ってシステムにアクセスすることを防ぎます。 ハード化されたLinuxプラットフォームは、マルウェアやランサムウェアの攻撃を受けにくくし、不正なサービスの実行を防止します。 バックアップソフトウェア、ストレージ、オフサイトストレージの統合は、ネットワーク共有プロトコルを排除してリスクを削減し、全体的な攻撃対象領域を縮小することで、包括的なセキュリティを容易に実現します。 ロールベースのアクセスコントロールは最小特権の原則に従い、さまざまな権限を持つユーザーロールを簡単に割り当てることができ、完全な管理者権限を持つクレデンシャルを最小限に抑えることができます。 ネットワーク共有プロトコルがない :ネットワークファイルシステム(NFS)または共通インターネットファイルシステム(CIFS)を使用してネットワーク接続ストレージデバイスに保存されたバックアップは、簡単に検出され、ハッキングされます。Barracuda Backupのストレージは、ファイル共有プロトコルが公開されていないため、このような方法で攻撃することはできません。 エンドツーエンドでAES 256ビットでの暗号化は、アプライアンス保管時のデータにも、オフサイトに送信されるデータにも、レプリケーション先に保管されているデータにも適用されます。ですので、攻撃者がデータを読み取ることはできません。アプライアンスとの通信はすべて暗号化されたVPNトンネルを経由して行われます。 IP/ネットワークアクセス制限は、Barracuda Backupにアクセス権のあるユーザごとに指定されているため、指定した範囲外のIPアドレスからWebインターフェースにアクセスすることはできません。 複数のバックアップコピーを ランサムウェア対策には、強力なバックアップがセキュリティ要素として不可欠です。ITセキュリティ専門家と執行担当者は、バックアップセキュリティをいかに最適化し、ランサムウェア攻撃による壊滅的被害のリスクをいかに最小化するかに注目しています。 Barracuda Backup では、データ保護および障害復旧計画を成功させるために、3-2-1ルールに従うことを強く推奨しています。 3. データは少なくとも3部用意しておくこと。すなわち、オリジナルデータ1部とバックアップコピー2部である。 2. データのコピーの保管先として、少なくとも2つの異なるタイプのメディアを用意すること。例えば、ローカルのBarracuda BackupデバイスとBarracuda Cloudストレージを使う。 1. 少なくとも1つのバックアップは、オフサイトに保管すること。例えば、Barracuda Cloudやリモートサイトに物理的あるいは仮想のBarracuda Backupアプライアンスを用意する。 ランサムウェアはますます複雑化しており、単一のセキュリティで完全に防護できるわけではありません。多層防護(DiD)戦略が、ランサムウェア攻撃から身を守る最善策です。バラクーダのWebサイトで完全なランサムウェアセキュリティの詳細をご覧ください。 ランサムウェア対策は1-2-3でできるくらいシンプルです   原文はこちら Anti-ransomware must-haves: Immutable backups and air-gap security May 27, 2022 Tony Burgess https://blog.barracuda.com/2022/05/27/anti-ransomware-must-haves-immutable-backups-and-air-gap-security/

海外ブログ

attacks-smb-protocol-eternalblue

SMBプロトコルに対する攻撃の大半は、EternalBlueを悪用を試みている

トピック: Attacks and Threat Actors 2022年5月11日、Jonathan Tanner  SMB(Server Message Block)プロトコルは、ファイルやプリンタへの共有アクセスを容易にするもので、Windowsシステムで広く使われてきました。加えて、SMBを利用するネットワークに接続するLinuxやAppleシステムでも長年にわたって使われています。プロトコルの現在のバージョンは3.1.1ですが、最新のWindowsシステムでも後方互換性の機能があり、しかもこの機能は何年も前からデフォルトで有効になっています。 この後方互換性には気をつけなくてはなりません。なぜなら、古いバージョンのプロトコル、特にSMB v1には長年にわたって深刻な脆弱性があることが判明しているからです。システムが旧バージョンのプロトコルをサポートしている場合、これらの脆弱性を悪用した攻撃を受ける可能性があります。さらに、このプロトコルを攻撃者の格好のターゲットにするような新た脆弱性も見つかっています。例えば、バラクーダの研究者は、3カ月間行った最近の攻撃分析で、ポート445(最も一般的なSMBポート)に対する攻撃の91.88%がEternalBlueエクスプロイトを使用しようとしていたことを発見しました。 SMB プロトコルおよびその実装に対して、いくつかの脆弱性が存在し、野放しで悪用されています。そうした脆弱性の1つであるEternalBlueは2017年にメディアで大きく報じられました。この脆弱性を悪用する試み(そしておそらく成功)は現在も続いています。新しいオペレーティングシステムではデフォルトで無効になっていますが、レガシーマシンはいまだに数多く使われていますから、SMB v1に対するエクスプロイトを行う意味は十分あります。さらに、SMBのより新しいバージョンには別の脆弱性が存在する可能性があり、攻撃者は悪用できる脆弱性を常に探し出そうとしています。 うまくエクスプロイトされてしまうと、多岐にわたる影響を受ける可能性があります。特にEternalBlueの場合、システム全体、そしてそのシステムが置かれたネットワーク全体が危険にさらされるおそれがあります。SMBはイントラネットの一部であることが多いため、SMBを悪用しようと攻撃者はあらゆる手を尽くして防御を突破しようとします。 WannaCryをはじめとするEternalBlue攻撃 EternalBlue、EternalRomance、EternalChampionという3つの注目すべきSMB脆弱性が大きな話題を呼んだのは、ハッカー集団のThe Shadow Brokersが、米国家安全保障局(NSA)の一部とささやかれるEquation Groupから盗んだと主張する脆弱性群を公開したときです。EternalBlueは、このリークの別のツールであるDoublePulsarと共に使用され、WannaCryランサムウェアを広めたことで悪名高いものとなりました。この攻撃から2022年5月12日で丸5年、これらの脆弱性がいかに長い間、深刻な問題を引き起こしてきたかがわかります。EternalRomanceも、ランサムウェアのキャンペーンに悪用されました。BadRabbitとして知られるランサムウェアです。EternalChampionは、ごく一般的な情報窃盗およびバンキング型トロイの木馬TrickBotで使われ、マシンを感染させた後、ネットワークを通じて水平方向に攻撃を広げる際に広く使用されました。 数年前にパッチが提供されているにもかかわらず、EternalBlueは、SMBに対して最もよく試みられるエクスプロイトの1つであり、バラクーダの研究者が分析で観察したポート445(最も一般的なSMBポート)に対する攻撃の91.88%以上を占めています。そしてしばしば、ネットワーク防御を突破し、ローカルネットワーク内のSMBにアクセスするために、他の攻撃と組み合わせて使用されています。 WannaCryの場合、攻撃は設定ミスにより露出したSMBポート(最も一般的なのはポート445)を探すところから始まります。露出したポートが見つかると、脆弱なシステム上でEternalBlueを悪用してネットワーク全体にワームを広げ、感染させたマシンにランサムウェアを展開します。幸いだったのは、このランサムウェアには、ドメインという形で「キルスイッチ」が含まれていたことです。キルスイッチを有効にすれば、暗号化されてネットワークに広がることが防げます。あるセキュリティ研究者が解析中、このドメインが登録されていないことに気づきました。その後、研究者がこのドメインを登録したことで、攻撃の拡大を食い止めることができました。 新たな脆弱性 最近では、Eternal Silenceと呼ばれるキャンペーンがUPnPの脆弱性を悪用してルータを侵害しています。UPnP脆弱性をもつルータを侵害した後に、EternalBlueとEternalRedと呼ばれる2つの脆弱性を悪用してWindowsおよびLinuxシステムを攻撃しようとするのです。UPnPは、多くのルータに搭載されているポートフォワーディングを可能にする機能で、オンラインプレイを高速化するためにしばしばゲーム機と組み合わせて使用されます。ルータが提供するセキュリティの一部を手放し、代わりにネットワーク内の特定のシステムでより良い接続性を得るわけです。 SMBに関連する新しい脆弱性も定期的に発見されており、最近では、LinuxやAppleのシステムで頻繁に使用されているSMBプロトコルのオープンソース実装であるSambaに影響を与えるCVE-2021-44142が見つかっています。この脆弱性は、攻撃者がターゲットシステム上でコードを実行することを可能にし、パッチが適用されていないシステムにとっては深刻なリスクとなります。 パッチが適用されていなかったり、もはや適用できなかったりする古いシステムがある一方で、新たな脆弱性が発見されている現状において、SMBは攻撃者にとって格好のターゲットとなっています。脆弱性は、露出されたSMBポートから直接悪用されることもあれば、他の脆弱性と組み合わせて攻撃者が内部のSMBサービスにアクセスできるようにしたり、SMBを標的としたマルウェアを通したフィッシングというかたちで悪用されたりする可能性があります。 この脅威からいかに身を守るか SMBはさまざまな脆弱性を狙われることが多いため、ソフトウェアやオペレーティングシステムのパッチを確実に適用し、常に最新のバージョンにしておくことが、こうした攻撃から身を守るための重要なステップとなります。 可能であれば、SMB v1のサポートを無効にすることで、古いマシンが狙われたときの脆弱性や攻撃の拡大を防げます。SMBが不要または使用されていないなら、システム上で完全に無効にすることで、攻撃対象領域を小さくできます。 適切に設定されたファイアウォールは、これらのポートへのアクセスをブロックし、悪用しようとする試みを検知・防止することで、SMBの脆弱性からの保護にも役立つ可能性があります。SMBリソースは一般に、ローカルネットワークの外では利用できないようにすべきです。ファイアウォールは、リソースを一般に公開するのではなく、リソースへのVPNアクセスを設定できるようにするという手もあります。概して、システムでもネットワークでも、SMBポートへのパブリック・アクセスを許可してはいけません。 また、ファイルやリソースを共有するためのSaaSソリューションもあり、こうしたソリューションは一般的にSMBよりも安全で、セキュリティパッチの更新をユーザーやIT部門に依存するのではなく、自動的に処理する場合が多いです。このようなソリューションならば、ゼロトラスト・ネットワークアクセスや多要素認証など、より強固なセキュリティ対策も容易に導入できます。 あらゆるデバイス、あらゆる場所からゼロトラストアクセスを可能にします 原文はこちら: Majority of attacks against SMB protocol attempt to exploit EternalBlue May 11, 2022  Jonathan Tanner https://blog.barracuda.com/2022/05/11/attacks-smb-protocol-eternalblue/

海外ブログ

ゼロトラスト採用がよりシンプルに のページ写真 9

ゼロトラスト採用がよりシンプルに

2022年5月17日 Emre Tezisci  人々の働き方はすでに変化しており、パンデミックはより分散型の労働力を生み出すきっかけとなりました。リモートワークやハイブリッドワークを永続的な働き方にすると発表した企業もあります。加えて企業はオンプレミスのアプリケーションをクラウドに移行しており、その多くがSaaSアプリケーションに変わりつつあります。ネットワークのアクセスをはじめ、アプリケーションやデバイス、そしてユーザーのためにも信頼できるアクセスを確立することは、急速な技術変化と働き方の進化がもたらすセキュリティ上の重要課題となっています。 Barracuda CloudGen Accessがネットワークセキュリティに採用しているゼロトラストアプローチは、ボーダーレスでグローバルなビジネスをサポートしています。また、リソースへのリモートアクセス、条件付きアクセス、およびコンテキストアクセスを提供し、過剰な特権アクセスを低減し、サードパーティのリスクも減らします。 ZTNA(ゼロトラストネットワークアクセス)は、アプリケーションアクセスのセキュリティと柔軟性、俊敏性、そして拡張性を向上させ、今の新しいクラウド時代におけるビジネスの成功を可能にします。ただし、こうした改善で、コンプライアンスとプライバシーの懸念が高まってしまっては意味がありません。Barracuda CloudGen Accessは、プライバシーを最優先とした、セルフホスティングのゼロトラストネットワークアクセスソリューションです。CloudGen Accessは、当社のインフラを経由する必要がありません。データおよびトラフィックを、企業が完全に保有します。   CloudGen Accessの新しい機能 2022年5月17日、当社はオンプレミスの導入をさらにシンプルにする2つの新機能を発表しました。CloudGen Access Virtual ApplianceとCloudGen Access Cloud User Directory Connectorです。CloudGen Access Virtual Applianceの仮想アプライアンスには、CloudGen Accessのプロキシとユーザーディレクトリコネクターがハード化されたCentOSに搭載されています。カスタムCLIを提供し、CloudGen Accessの導入と管理を効率化します。VMware、KVM、Hyper-Vハイパーバイザーで利用可能です。 Cloud User Directory Connectorは、CloudGen Accessとユーザーディレクトリを同期させる新しい方法を提供します。企業は、ユーザーとグループを継続的かつ簡単に同期し、役割ベースのアクセス制御ポリシーを作成し、適切なデバイスと適切な権限を持つ人物だけが企業リソースにアクセスできるようにすることができます。   あらゆるデバイス、あらゆる場所からゼロトラストアクセスが可能に 原文はこちら:Zero Trust adoption simplifiedMay 17, 2022 Emre Teziscihttps://blog.barracuda.com/2022/05/17/zero-trust-adoption-simplified/

海外ブログ

HTML Snippets Powered By : XYZScripts.com