Info.
お知らせ
Others
バラクーダのセキュリティ最前線から2024年のサイバー脅威を予測
2023年11月29日、Tilly Travers 未来を予測することは困難ですが、過去1年間の進化を見ることで、何が起こりそうかを予想することはできます。今年もバラクーダでは、XDR とオフェンシブセキュリティから国際的な製品エキスパート、自社のセキュリティ運用チームまで、セキュリティの最前線で働く同僚に、2023年に目撃したことと2024年に目撃すると思われることについて質問しました。 2023年に最も驚いたことは? アダム・カーン(Adam Kahn、以下AK) VP/グローバルセキュリティオペレーションズ担当:MGMへの攻撃。Scattered Spider と呼ばれる犯罪グループがソーシャルエンジニアリングを使って MGM のヘルプデスクの従業員を欺き、MGM の重要な従業員のパスワードとMFAコードをリセットさせました。このアクセスによって、Scattered Spider は MGM のマネージド IT サービスである Okta に侵入し、ID プロバイダをインストールし、自分たちのためにシングルサインオンを作成することができました。侵入は Microsoft Azure クラウド環境にも及び、複数のシステム脆弱性と顧客データの流出につながりました。このランサムウェア攻撃により、MGM リゾーツは推定1億ドルの損害を被りました。この攻撃は、ソーシャルエンジニアリングが依然として強力かつ進化し続けるサイバー兵器であることを改めて示しています。 ピーターソン・グティエレス(Peterson Gutierrez、以下PG) VP/情報セキュリティ担当:脅威アクターの手法の明確な変化。身代金目当てのデータ暗号化から、単に情報を公開すると脅すことへと明らかに変化しています。 メリウム・カリド(Merium Khalid、以下MK)ディレクター/SOC オフェンシブセキュリティ担当:私たちが遭遇したビジネスメール侵害(BEC)の数が、ランサムウェア攻撃の数とほぼ同等だったこと。ランサムウェアはより一般的かつ大きな損失をもたらす脅威として認識されているのに比べ、BECはさほど注目されておらず、多くの企業がその潜在的な影響を過小評価しています。この2つの脅威がほぼ同等であることは、サイバー脅威の進化する性質とサイバー犯罪者の適応力を浮き彫りにしています。組織がランサムウェアに対する防御を強化するなか、攻撃者は戦術を多様化させ、BECを同じくらい稼げる手段として活用しているのです。 ヘスース・コルデロ(Jesus Cordero、以下JC) ディレクター/システムエンジニアリング、SASEおよびクラウド担当:世界中で増加するサイバーセキュリティ職の空白期間。ICS2の最新データによると、未充足のセキュリティ職の数は400万人弱に達しており、他の調査によると、その格差は2021年から2023年の間に350%も拡大しています。 チャールズ・スミス(Charles Smith、以下CS) コンサルティング・ソリューション・エンジニア/欧州・中東・アフリカ地域データ保護担当:企業がいまだにデータ保護の必要性を真剣に考えていないこと。企業は適切なソリューションへの投資も、信頼できるデータ保護リカバリープランの策定も行っていません。 ロヒト・アラディヤ(Rohit Aradhya、以下RA) VP兼マネージングディレクター/エンジニアリング担当:中小企業やその従業員が、ビジネスへの脅威が差し迫っていることに気づいていないこと。セキュリティ業界以外では、デジタル資産やデジタル取引、Web ポータル保護の重要性が広く欠如しています。また、メールやパブリッククラウドサービス、クラウドストレージ、その他多くのデジタルサービスをいかに利用すべきかについての認識も不足しています。 シュテファン・ファン・デル・ヴォル(Stefan van der Wal、以下SvdW)コンサルティング・ソリューションズ・アーキテクト/アプリケーションセキュリティ(欧州・中東・アフリカ地域)担当:ハッカーが Web アプリケーションを攻撃して成功したという圧倒的な証拠があるにもかかわらず、組織にはまだ知識が不足しており、時にはそれに取り組む意欲さえないように見えること。 エムレ・テジシ(Emre Tezisci、以下ET) プロダクトマーケティングマネジャー/ゼロトラスト担当:ソフトウェアや IT サプライチェーンの脆弱性を悪用し、複数の企業を標的にした大規模ランサムウェア攻撃がいくつも発生したこと。たとえば、データ転送ソフトウェア製品を悪用した大規模サイバー攻撃「MOVEit」は、数百万人の個人と数千の企業に影響を与えました。 マーク・ルキー(Mark Lukie、以下ML) ディレクター/ソリューションアーキテクト(アジア太平洋地域)担当:サプライチェーンにおける攻撃の高度化と頻度の急増。 2024年、企業が最も懸念しているセキュリティ上の課題は? シーラ・ハラ(Sheila Hara、以下SH)シニアディレクター/プロダクトマネジメント、メールプロテクション担当:多層防御(defense in depth)をいかに導入するか。これは、様々な脅威から身を守るために複数のセキュリティ対策を重ねるサイバーセキュリティ戦略です。 シュテファン・シャヒンガー(Stefan Schachinger、以下SS) シニアプロダクトマネージャー/IoT 担当: サイバー犯罪者のほうがセキュリティ業界より早く AI を導入するであろうこと。生成 AI のようなツールが一般的になった結果、攻撃の質、特にスピアフィッシングのようなソーシャルエンジニアリングは、本物と偽物の区別が普通の人にはほとんど不可能なレベルに達しています。 AK:進化する AI の脅威、ランサムウェアのエクスプロイトマッピング、サプライチェーンや重要インフラへの攻撃、そしてサイバーセキュリティ専門家の不足が続いている状況。 MK:多要素認証(MFA)のバイパス。MFA...
バラクーダのCTOが革新と変化の20年を振り返る
2023年12月7日、Fleming Shi 2023年11月、世界的なイベントで同僚やパートナーや友人とともにバラクーダの20周年を祝いました。参加した誰もがバラクーダのこれまでの道のりを誇りに思い、今後の展望に大きな熱意を抱いていることを目の当たりにして、とてもすがすがしい気持ちになりました。始まりは、顧客を保護する Barracuda Spam Firewall でした。これは顧客の「バックルーム」ともいうべきデータセンターで動作するよう設計されたアプライアンスです。今日わが社は、完全なサイバーセキュリティプラットフォームと業界随一の包括的な保護を提供しています。製品からポートフォリオへ、オンプレミスからクラウドファーストへと、バラクーダは変化を遂げてきました。 変化を経験してきたテクノロジーベンダーは、バラクーダだけではありません。2000年代初頭、シスコは4つの収益グループしか持っておらず、そのうち2つはルーターとスイッチでした。マイクロソフトは BackOffice Server を段階的に廃止し、Active Directory を立ち上げていました。Google は広告の販売を開始し、Amazon は書籍以外の販売も開始したところでした。2003年の創業当時と現在の姿が異なるのはバラクーダだけではないのです。しかし、破壊と変革に満ちた業界にいると、年月を経ても変わらないことを確認することは心を落ち着かせてくれます。 問題を解決する Barracuda Spam Firewall を市場に投入した当時、メールスパムはすでに広く行き渡っていました。ファイアウォールもフィルタリングもないなか、スパムメッセージの数はいともたやすく正規のメールの数を上回りました。それほど洗練されたものではなかったものの、スパムメッセージは決して無害ではありませんでした。その多くは、今日見られるようなフィッシング攻撃で、ユーザーの認証情報やビジネスデータを盗むことを目的としていました。そのほかにも、怪しげな商品の売り込みや、人種差別のような攻撃的なメッセージで通信を氾濫させるものも少なくありませんでした。スパムはまた、インターネットサービスプロバイダー(ISP)にとっても大きな問題でした。 悪質なスパムなどのサイバー犯罪がのさばる機会は、過去20年間で爆発的に増加しました。ランサムウェアに国家関与型攻撃、サイバークライム(犯罪)・アズ・ア・サービス、高度な持続的脅威(APT)、AI 対応型フィッシングなどはすべて、Barracuda Spam Firewall の提供を開始したあとから登場しました。バラクーダのメールセキュリティは、こうした攻撃に合わせて進化し、新たな攻撃が出現するたびに真正面から対応してきました。顧客のニーズに焦点を当て、脅威の状況と攻撃のベクトルを間近で観察して進化を実現してきました。バラクーダは生産性と時間、ユーザー、そしてデータを保護することで、顧客の事業のミッションをサポートしています。20年前から一貫して、顧客が抱える問題を解決してきているのです。バラクーダが顧客にコミットする姿勢は、何ひとつ変わっていません。 アイデンティティがすべて デジタルアイデンティティ(ID)は、1960年代半ばにマサチューセッツ工科大学(MIT)で生まれたと言われています。MIT の研究者たちが最初に、パスワードで保護したファイルを使い始めました。そして、このパスワードの仕組みには欠陥があると最初に認めたのも、MIT の研究者たちでした。しかし、パスワードを使った認証システムはその後の数十年間で飛躍的に成長します。パスワードベースのクレデンシャルは、今なお最も一般的に使われている ID 検証の方法です。 パスワードで保護された1つのファイルを扱うにせよ、ゼロトラストアクセスや多要素認証で保護された境界のないネットワークを扱うにせよ、ID はサイバーセキュリティの要です。ID こそがすべてであり、それ自体が数十億ドル規模の産業を生み出しています。最近のリサーチでは、ID アクセス管理(IAM)市場は、2022年の171億4000万ドルから2029年には408億7000万ドル近くまで成長すると予測しています。 ID が今もどれだけ重要か、説明しましょう。バラクーダの最初のプロダクトである Barracuda Spam Firewall は、メールの送信者と受信者、およびアカウント所有者の ID を検証しました。通常、ユーザ名とパスワードの組み合わせで証明される ID に基づいて、メッセージがどこに送られ、それを読めるのは誰かが特定されます。バラクーダの最新のサイバーセキュリティプラットフォームは、すべてのネットワークリクエストに対して継続的な検証を行い、ログイン認証情報をユーザーの位置情報やデバイス、時刻などのコンテキストデータと組み合わせることができます。これらの本人確認システムは進歩を重ね、もはやネットワークファイアウォールでリソースを保護する必要はありません。ユーザーは、セキュリティポリシーを処理するためのファイアウォールなしで、クラウドワークロード、SaaS アプリケーション、リモートオペレーションテクノロジー(OT)デバイスなどにアクセスできます。エッジコンピューティングは、ID 技術の進歩によって可能になったのです。 敵の矢を使う 武術や古代の戦いの物語には偉大な知恵があります。不朽の教訓のひとつに、三国時代の天才軍師と呼ばれた諸葛亮(孔明)が敵をだましてワラを兵士と思わせ、ワラに向けて何千本もの矢を放たせたという話があります。ワラに打ち込まれた矢を回収した諸葛亮は、次の戦いで敵を攻撃する際にその矢を使いました。敵の力を逆に利用するという見事な例です。 サイバー犯罪者は公共の安全を妨害し、大切な資産の身代金を要求し、研究を盗み、軍をスパイします。私たちは、決して眠らない敵と戦争をしていると言っても過言ではありません。脅威アクターは機敏でモチベーションが高く、常に新しい武器を開発しています。諸葛亮の物語は、敵を理解し、先手を打って行動し、敵の戦術を利用すべし、と教えてくれています。たとえば、以下のようなことが可能です。 当社のセキュリティ意識向上トレーニングでは、当社のシステムでキャッチした実際の攻撃のサンプルを使用しています。こうした攻撃を当社の脅威インテリジェンスシステムにインプットし続けることで、最新の攻撃から身を守るためのトレーニングを顧客に提供できるのです。 私たちのセキュリティオペレーションセンター(SOC)は、フォレンジック調査で収集したデータを使ってモデルを構築し、まだ見ぬ脅威の予測や特定、対応に役立てています。また、こうしたモデルを使用することで、既知の脅威に対してもより迅速に対応できます。 Heartbleed や Log4J のような攻撃は、開発者がソフトウェア開発ライフサイクル全体にセキュリティを統合する必要があることを示しています。アプリケーションセキュリティソリューションの成長は、攻撃者がアプリケーションのあらゆる部分の脆弱性を探していることに直接対応しようとした結果なのです。ユーザーインタフェースから最小の構成ブロックに至るまで、すべてが攻撃を受けています。私たちがこれらの攻撃から学んだことは、私たち自身のソリューションを改善し、サイバーセキュリティ業界全体の知識と有効性を高めるために使用されます。 攻撃行動を観察することで、弾力的な守備を構築し、相手の強みを自分たちの強みに変えることができるのです。 水のように ブルース・リーは私の人生に大きな影響を与えました。そう表現するだけでは、とうていそのインパクトの大きさを表せないほどです。彼が開発した截拳道(ジークンドー)という武術にして哲学は、強さと無形、そして無執着という彼の原則に基づいています。これは彼の有名な言葉によって最も明確に表現されています。 「心を空にして、形をなくせ。形のない、水のように。コップに水を入れれば、水はコップになる。ボトルに水を入れればボトルになる。急須に水を入れれば急須になる。水は流れることもあれば、破壊することもある。水になれ、友よ」 どう解釈するかは人それぞれですが、私がここから受け取るのは、特定の考え方に囚われてはいけないということです。水は形がなく、順応性があり、手や足の一撃で傷つけられたりしません。ブルース・リーは水のようになりたいと考え、それは「離」の技術によって可能だと考えました。つまり、硬直した思考による制限を拒否し、役に立たない修行を捨てる訓練をしたのです。 この考え方は、私個人にとっても重要ですが、セキュリティプロバイダーとして成功するための道しるべともいうべき「北極星」でもあります。たとえば、バラクーダのポートフォリオからプラットフォームへの移行や、データセンターアプライアンスから SaaS およびクラウドネイティブソリューションへの移行を見てください。サイバーセキュリティはもはや単なる防御プロセスではありません。効果的なセキュリティには、アクティブな脅威ハントと迅速なインシデント対応を採用する防御と攻撃の両方が必要です。サイバー攻撃はもはや「もし」ではなく「いつ」受けるかの問題であることを私たちは知っています。ですから当社のソリューションには、回復力が組み込まれています。このような変革が可能になったのは、私たちが自分たちを形のないものとして捉えているからです。私たちは脅威のすぐ近くにいます。脅威がクラウドにあるのなら、私たちはクラウドになるのです。 「水のようになる」原則のもうひとつの例は、より広範なセキュリティコミュニティ全体におけるシグナル共有です。シグナル共有とは、リサーチやインシデント調査、モニタリングなどを通じて発見された脅威インテリジェンスを公開することです。バラクーダはほかのセキュリティベンダーとともに、脅威に対する防御能力を向上させるために、シグナル共有に参加しています。集合的インテリジェンスのメリットは、潜在的な競合相手とデータを共有するビジネスリスクよりもずっと大きいのです。 セキュリティ各社は、ほかのソリューションとの相互運用性も高めています。セキュリティ各社は、混合環境でも実用的なシグナルが得られるように、また MITRE のフレームワーク全体をカバーできるように、同じ言語を使うソリューションを作るために協力しています。これはセキュリティ各社にとって重要な変化であり、またここにも水の教えがあります。コミュニティが必要ならば、自らがコミュニティとなれ。 ブルース・リーの截拳道はまた、「迎撃拳の道」としても知られています。リーのスタイルは、電光石火のスピードで最大のパワーを発揮するというものでした。武道家は、効果的な防御と迅速な報復で迎撃できなくてはなりません。バラクーダのチームは、セキュリティとデータ保護の領域でこのように動作するソリューションを提供するために日夜努力を重ねています。 バラクーダのストーリーは20年前に始まり、まだ初期の段階にあります。このストーリーの一部であることを私は誇りに思います。当社のイノベーションと成長の旅はまだまだ続きます。ぜひお付き合いください。 原文はこちら CTO reflects...
医療における電子メールセキュリティの脅威に関する実態調査
2023年11月14日、Olesia Klevchuk 2023年8月、バラクーダは世界で報告されたランサムウェアインシデントの第5回年次レビューを発表し、医療機関を襲うランサムウェア攻撃が2022年以降2倍以上に増加していることを示しました。この調査結果は、公に報告されたインシデントに基づいており、報告されたインシデントと報告されていないインシデントの両方に基づくほかの調査と一致しています。 しかし、ほかの産業分野と照らし合わせると、医療業界のより複雑な状況が浮かび上がってきます。多くの場合、医療業界が被る大規模なサイバーインシデントは数の上では他業界より少ないものの、臨床活動や患者データのリスクと機密性の高さから、攻撃を受けるとメディアに大きく報じられます。そして場合によっては、限定的とはいえ影響の度合いは深刻です。 医療業界はサイバー攻撃の永遠の標的 2023年3月、バルセロナの主要病院のひとつがランサムウェア攻撃を受け、同病院のコンピューターシステムが機能不全に陥り、緊急性のない手術や患者の診察がキャンセルされました。病院側が身代金の支払いを拒否すると、攻撃者はその後数カ月にわたって、盗んだデータをネット上に公開し続けました。 数カ月後の2023年8月には、アメリカのプロスペクト・メディカル・ホールディングスがサイバー攻撃を受け、全米の病院のコンピューターシステムが侵害され、いくつかの州で救急治療室を閉鎖したり、救急車を迂回せざるを得ませんでした。 医療機関が直面するサイバーリスクを理解し、対処することは非常に重要です。 まずは、電子メールベースのリスクから始めるのがよいでしょう。電子メールは依然として攻撃者にとって成功率の高い主要な攻撃ベクトルであり、多くのサイバー攻撃で使われる入口です。そして、デジタルヘルスケアとコネクテッドデータへの移行が加速し、脅威者が標的とする攻撃対象が広がっているコロナ後の世界では、医療機関はこれまで以上に危険にさらされています。 医療機関の45%が、2022年には安全性が高まったと感じたと回答 ― ただし77%が電子メールのセキュリティ侵害に見舞われている 中規模組織を対象に実施した最近の国際的な調査から、2022年の1年間で電子メールによるセキュリティ侵害を医療セクターの77%が経験していることが明らかになっています。全業界では75%でした。 しかしながら、サイバーセキュリティインシデントへの対応能力について医療セクターは自信があるようで、全業界の34%に対し、45%が前年より「かなり」安全だと感じていると回答しています。これ、サイバーセキュリティへの投資をしたからというより、慣行や方針、意識の高まりを指しているようです。というのも、2022年にサイバーセキュリティへの投資を増やしたと回答した医療組織はわずか10%と、全体で2番目に低い数字でした。 医療業界は、電子メールベースの脅威に対処する能力において、ほかの多くの業界よりも高い自信を持っている バラクーダは13のメール脅威タイプを特を定しています。そこには、基本的なフィッシングや悪意のあるリンク、添付ファイルといったものから、ビジネスメール侵害(BEC)や会話の乗っ取り、アカウントの乗っ取りなどの高度なソーシャルエンジニアリング手法まで含まれます。医療機関は、ほかの多くの業界と比べて、こうしたメールを介した脅威に対処する準備が不十分であると回答する傾向が低いようです。 医療機関は、電子メールセキュリティインシデント後の復旧コストに最も苦慮している 調査対象となった医療機関の半数弱(44%)が、メールセキュリティ攻撃を受けた場合に最大の打撃となるのは復旧費用であると答えています(全体では31%)。最も高額なコストの平均は100万ドルに迫る勢い(正確には97万5,000米ドル)でした。 医療予算はしばしば過大に膨れ上がっており、限られたリソースに複雑で重要な技術システム、さらに一刻も早くすべてを復旧させなければならないというプレッシャーが重なり、復旧費用が最も大きな影響を与える要因となっているようです。 しかし、機密性が高かったり、極秘であったり、ビジネスにとってクリティカルだったりするデータの損失は平均より少なく、全業界の43%に対して、医療業界は29%です。これは、長年サイバー攻撃の標的となってきた医療機関が、医療データやその他の保護されるべき医療情報(PHI)の共有や保管、バックアップに関して、非常に厳しいポリシーを適用しているためと考えられます。 60%がランサムウェアに感染 – 医療業界はランサムウェアによる被害が最も少ない業界である 調査によると、調査対象となった医療機関の60%がランサムウェア攻撃を経験しており、この割合は消費者サービス業界(50%)に次いで低く、全業界平均の73%を下回っています。同じような結果はほかの調査でも見られます。世間一般が抱いているイメージは、その反対でもっと高いと思われています。 医療機関の29%が、ランサムウェアのインシデントを2回以上経験したと報告しています。これは、攻撃が必ずしも完全に無力化されるとは限らないこと、あるいは最初のインシデント後にセキュリティギャップが必ずしも特定され、対処されるとは限らないことを示唆しています。 良いニュースは、半数以上(59%)がバックアップを使用して暗号化されたデータを復元できたこと(全産業界では52%)、データを復元するために身代金を支払ったのはわずか22%(全産業界では34%)だったことです。 スピアフィッシング攻撃による打撃は大きい 調査対象となった医療機関のうち、スピアフィッシング攻撃に直面した場合の備えが不十分だと感じているのはわずか8%でした。実際に2022年にスピアフィッシング攻撃を受けたのは、全産業では50%だったのに対し、医療機関はわずか32%でしたから、この自信はある程度正当化できるでしょう。しかし、攻撃を受けた医療機関にとって、その打撃は深刻なものでした。 被害を受けた医療機関の60%が、コンピューターやその他のマシンがマルウェアやウイルスに感染したと回答しており、これは全体の55%と比較して高い数字です。また、ログイン情報の盗難やアカウントの乗っ取りを報告しているのは、全業界では48%であるのに対して、医療業界では70%に上っています。そして、被害を受けた医療機関の40%が直接的な金銭的損失を報告しています。 電子メールのセキュリティインシデントを検出してから修復するまでに、医療機関が必要とするのは約3.5日 調査によると、医療機関が電子メールのセキュリティインシデントを発見するまでにかかる時間は、ほかの多くのセクターよりも短く、平均29時間(全体では43時間)でした。一方、インシデントへの対応と修復にかかる時間は51時間と、56時間かかっている全業界のなかではほぼ中間に位置していました。 迅速な対応と緩和を阻む最大の障害として自動化の欠如を挙げた機関は、全業界の38%に対し医療業界では40%に上りました。続いて、予算不足と答えたのは、全業界の28%に対し、医療業界では34%でした。 医療の確保 電子メールを使ったサイバー攻撃は何十年も前から存在していますが、依然として広範囲に広がり、進化を続けており、そして絶え間なく成功しています。 医療機関では、強固な認証管理(最低でも多要素認証、理想的にはゼロトラスト対策への移行)、アクセス権限の制限、自動化されたインシデント対応、AI ベースの脅威検出と監視など、強固なメールセキュリティを導入する必要があります。また、不審なメッセージを発見し報告する方法を医療従事者に周知するため、医療従事者に対する継続的な教育や意識向上トレーニングも必要です。 理想的には、電子メール攻撃に対する防御は、IT チームが IT 環境全体を完全に可視化し、不要な侵入者を示すインシデントや異常な動作パターンを検出・調査・対応する能力を提供する統合セキュリティプラットフォームの一部を形成する必要があります。 今回の調査は、独立系調査会社Vanson Bourneがバラクーダのために実施したもので、米国、欧州、中東、アフリカおよび APAC 諸国のさまざまな業界の従業員数100~2,500人の企業の最前線から上級職までの IT プロフェッショナルを対象としています。サンプルには 62 の医療機関が含まれています。 レポート:2023年のメールセキュリティトレンド 原文はこちら A reality check on email security threats in healthcare Nov. 14, 2023 Olesia Klevchuk https://blog.barracuda.com/2023/11/14/reality-check-email-security-threats-healthcare
ある英カレッジでは、バラクーダの1つのソリューションから次へとつながっていった
2023年11月6日、Tony Burgess サイバーセキュリティベンダーの統合は、企業間で急速に進むトレンドです。その背景には、複数のベクトルや脆弱性を悪用する現代のサイバー脅威の高度化があります。緊密に統合され、情報を共有するコンポーネントから構築された包括的なサイバーセキュリティインフラストラクチャを持つことで、こうした高度な脅威への対策が容易になります。 世界的に見ても、教育セクターはサイバー攻撃の標的となる傾向が著しく高いです。グロスターシャーカレッジはまさにそれを実感していました。同カレッジの IT 部門を率いるケヴィン・アグニューと彼のチームは、ランサムウェアやデータ窃盗、それに詐欺を試みる日に数千通にものぼるフィッシングメールに苦慮していました。 バラクーダの製品を初めて使ったグロスターシャーカレッジは、ほどなくバラクーダのプラットフォームと製品を使用して、包括的なセキュリティインフラストラクチャと SD-WAN ネットワークを構築しました。 最初の一歩 ケヴィンは着任してすぐに、カレッジ内で展開している Microsoft 365 (何千もの学生アカウントと何百もの職員アカウントを含む)にサードパーティのデータバックアップがないことに気づきました。ベンダーを選択する上で、柔軟性は重要な要素でした。 「学生数の変動は私がコントロールできることではありません。明日、カレッジ側がコースを開講して 500 人の学生を登録すると決めたら、その途端に急遽、バックアップとセキュリティを確保すべきアカウントが 500 人分、増える可能性があるのです。また、コースが終了しても、試験の結果やコースワークの返却を学生が待っている場合もあるので、アカウントを削除できるわけではありません。そのため、保存期間を指定するのは難しいのです」。 — ケヴィン・アグニュー グロスターシャーカレッジ IT 部門長 バラクーダの無制限のストレージと保持のアプローチがケヴィンの関心を引き、同カレッジはまず Barracuda Cloud-to-Cloud Backup を購入しました。 「非常に簡単なのが、うれしい驚きでした。バックアップは迅速で、バラクーダの担当者はすべての質問に回答してくれました。初日から問題なく使用できました。 — ケヴィン・アグニュー グロスターシャーカレッジ IT 部門長 完全なセキュリティを構築する その後、グロスターシャーカレッジは、バラクーダの顧客がよくたどる道をとることになります。強力で使いやすく、サポートが充実している1つのバラクーダ製品から、さらに別のバラクーダ製品へとつながっていったのです。 グロスターシャーカレッジのファイアウォールは耐用年数を迎えていました。どの製品に乗り換えたでしょうか。もちろんバラクーダです。Barracuda CloudGen Firewall を「価格と機能の点で頭一つ抜けている」とケヴィンは高く評価しています。 SD-WAN インフラストラクチャを構築した同カレッジは、メールセキュリティに対処する必要がありました。そして、おそらくもうお分かりかと思いますが、ケヴィンはカレッジの Microsoft 365 全体に完全な保護を拡張するために、複数の機能を組み合わせたプラットフォームである Barracuda Email Protection を採用しました。 先を見据える ケヴィンとグロスターシャーカレッジは、サイバー攻撃への潜在的なリスクに対処するために、将来を見据えた取り組みを続けています。今はアプリケーションセキュリティに注目しており、Barracuda Application Protection を検討しています。また、現在のバラクーダと結んでいる契約はすべて更新する予定です。 ケヴィンと彼のチームの取り組みの全容は、こちらで確認できます。 Barracuda Firewall Insights、Barracuda Firewall Control Center など、バラクーダのインフラストラクチャから多くのメリットを得ている様子がわかります。 今すぐケーススタディを入手する 原文はこちら For this UK college, one Barracuda solution leads to...
2023年インフラセキュリティ月間に世界の資産を守る
2023年11月3日、Rosey Saini 制定当初はあまり知られていませんでしたが、重要インフラストラクチャセキュリティ月間は近年、着実に脚光を浴びるようになっています。世界で最も重要なシステムやネットワークを保護することが必要だという意識の高まりを反映しています。重要インフラセキュリティ月間は11月に指定されており、私たちが日常的にさまざまなリソースにアクセスできるようにする重要インフラの果たす役割について、市民を啓蒙する全米規模の取り組みです。 日常生活で私たちは、社会の適切な機能に貢献している重要インフラの種類について考えることはまずありません。何か問題が起こったとき初めて、例えば、暴風雨が原因で停電が発生し、緊急対応や交通機関などの必要不可欠なサービスに支障が生じたときに初めて、思いいたるでしょう。重要インフラ部門はすべて、そのエコシステム内で相互につながっているため、あるネットワークやシステムに対する攻撃は、他の複数の業界を同じ脅威にさらす可能性があります(簡単に言えば、ドミノ効果があるのです)。 サイバー犯罪者にとって魅力的な標的となるセクター CISA(米国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁)が保護を重視する重要インフラ部門には、医療・公衆衛生、金融サービス、食品・農業、水道、政府施設、エネルギー・公益事業、運輸などがあります。これらの業界の組織はすべて、家庭や職場での日常生活に不可欠な商品、サービス、施設(インターネット接続、道路や橋、データストレージなど)を提供しています。同時にこれらの業界は、サイバー攻撃の格好の標的になります。というのも、悪意ある行為者から見れば、より現実的な損害を引き起こす機会にあふれているためです。 重要インフラへの注目度の高い攻撃 重要インフラに対するインパクトの大きかった攻撃の最も顕著な例に、2021年のコロニアル・パイプラインの侵害があります。このランサムウェアのインシデントはロシアを拠点とするグループ DarkSide によって実行され、大規模なシャットダウンが6日間近く続きました。コロニアル・パイプラインは米国東部のほぼ半分にガソリン、ジェット燃料、軽油を供給しているため、影響は広範囲に及びました。さらに米政府が州非常事態宣言をしたこともあり、一般市民の間にパニックを引き起こした。価格は急騰し、ガソリンそのものが不足するなか、1万1,000のガソリンスタンドで個人がガソリンの買いだめに走ったのです。 コロニアル・パイプラインは、サイバー犯罪組織による攻撃の結果、数百ギガバイトの機密データが盗まれたため、最終的に500万ドルを暗号通貨で支払い、システムへのアクセスを回復しました。このサイバー攻撃は、重要インフラ分野で発生した多くの攻撃の一つに過ぎません。悪意のあるハッカーがシステムやネットワークを悪用するために使用する最も基本的な手口に、こうしたインフラ業界がいかに陥りやすいかを浮き彫りにしています。 重要インフラのサイバーセキュリティを向上させる方法 私たちには、セキュリティを向上させる新たな方法を継続的に見いだすという集団的責任があり、そこには予防策の適切な教育も含まれます。以下に、重要インフラ組織が攻撃を受けてビジネスに壊滅的な損害を受けるリスクを減らすために適用できるベストプラクティスをまとめました。 1. ゼロトラスト・アプローチを導入する 重要なインフラ産業において企業は、ゼロトラストポリシーを採用し、業務遂行のために特定のリソースへのアクセスが必要な人にだけがアクセス権が付与させるようにしましょう。ゼロトラストのフレームワークは、最小権限アクセスを提供し、企業が厳格なアクセス制御を維持するのに役立ちます。 2. モノのインターネット(IoT)デバイスの安全性を確保する IoT デバイス用のスマートセンサーなどのガジェットは、さまざまなインフラ全体のアクティビティを監視するのに役立ちますが、ハッカーが機密デバイスにアクセスする潜在的な手段にもなります。したがって、デフォルトのパスワードを変更し、多要素認証(MFA)の使用を取り入れ、暗号化をオンまたは強化することが重要です。 3. インシデント対応計画を策定する 潜在的なサイバー攻撃に備えるために、CISA は組織の次のステップに対処する緊急プロトコルを持つことを提案しています。ここには、企業が資産へのアクセスを回復する方法を概説する回復計画や、解決策に到達するまでに顧客が許容できる最大ダウンタイムに関する情報に焦点を当てた文書が含まれます。 その他のリソース 重要インフラのプロバイダで、IoTまたは運用技術(OT)デバイスのセキュリティ保護に関心がある場合は、セキュリティニーズに対応する Barracuda CloudGen Firewall Rugged または Barracuda Secure Connector の導入をご検討ください。 原文はこちら Conserving the world’s assets during Infrastructure Security Month 2023 Nov. 3, 2023 Rosey Saini https://blog.barracuda.com/2023/11/03/conserving-assets-during-Infrastructure-Security-Month-2023
ゼロトラストと最小権限の原則はどのように連動するか
2023年10月27日、Christine Barry 最小権限の原則(PoLP)とゼロトラスト・ネットワークアクセス(ゼロトラスト、または ZTNA)は、堅牢でプロアクティブなセキュリティ対策を実施する上で、互いに補完し合う2つのセキュリティフレームワークです。 最小権限の原則は、ユーザーのアクセス制御に重点を置きます。その根底にあるのは、ユーザーやデバイスが業務を遂行するために必要なアクセスのみを提供することで侵害されたアカウントや悪意のある従業員による潜在的な損害を抑えられる、という考え方です。PoLP は、アクセスの範囲を大幅に縮小し、ネットワーク全体の横の動きを制限し、被害を減らすことができます。PoLP のベストプラクティスとは、グループおよびロールベースのアクセスコントロールの割り当て、管理者アカウントと標準アカウントの使い分け、定期的な権限監査の実施などです。最も基本的なベストプラクティスは、PoLP をデフォルトとし、作成するすべてのアカウントには役割に必要な権限のみを付与することです。 一方、ゼロトラストは、アクセス制御に加えて認可にも重点を置きます。保護されたリソースへのリクエストはすべて脅威であると想定し、ユーザーとデバイスの認証と認可を継続的に検証するのです。検証プロセスでは、誰が何のためにアクセスを要求しているのか、その要求が正常なのか疑わしいのかを判断します。ZTNA の導入を成功させるには、攻撃対象領域と保護すべきリソースを徹底的に理解する必要があります。 組織は、強力なセキュリティ手法を構築するために、前述した両方のフレームワークを統合すべきです。では、ユーザーがネットワークやアプリケーションにログインする際のアクセスチェーンに、両フレームワークがどのようにマッピングされるかを見てみましょう。 1. 本人確認:アクセスチェーンの最初のステップは、ユーザー、アプリケーション、システムを認識し、区別することです。 ゼロトラストでは、リクエストごとに本人確認を行う必要があります。 PoLP の焦点は最小限の権限を付与することであり、これは後の段階でより顕著な意味を持ってきます。 2. 認証:ユーザー認証情報は、保存された情報と照合してユーザーやアプリケーション、またはシステムの主張された身元を確認します。 ゼロトラストは、要求が潜在的な脅威であると仮定します。米国国立標準技術研究所(NIST)は、こちらのレポート(p.7)でその詳細を説明しています。 すべてのリソースの認証と認可は動的に行われ、アクセスの許可される前に厳格に実施されます。これは現行のコミュニケーションにおいて、アクセスを取得し、脅威をスキャン・評価し、適応し、信頼を継続的に再評価するという絶え間ないサイクルなのです。 最小権限の原則は認証メカニズムを規定しません。ゼロトラストは、PoLP ポリシーが確実に実施され、正しい権限を持つ者だけがリソースにアクセスできるようにします。 3. 認可:ユーザーの認証された ID に基づいて、どのようなアクションを実行できるか、どのようなリソースにアクセスできるかを決定します。 ゼロトラストは、多くのデータポイントをリアルタイムで評価します。これには、ユーザーの行動、デバイスの健全性、時間帯、位置情報などが含まれます。事前に設定されたパーミッションに厳密に依存することはありません。 PoLP は、ユーザーがタスクを実行するために必要な最小限の権限のみを付与されることを規定しています。権限はデフォルトでは制限的であり、真の必要性がある場合にのみ拡張されるべきです。 4. アクセス:認証された ID および許可された権限に基づいて、リソースと対話する能力を付与または拒否するプロセスです。 最初のアクセスが許可された後、ゼロトラストはセッションが終了するまで検証プロセスを繰り返します。これにより、ユーザーの行動が許容されるパラメータから逸脱した場合、アクティブなユーザーが突然アクセスを失う可能性があります。 システム内の移動は、適切に設定された PoLP 戦略によって制限されます。脅威行為者がこのポイントまでアクセスチェーンをうまくナビゲートできたとしても、侵害されたアカウントでできることは限られています。 5. 監査と説明責任:このステップでは、ユーザーとアプリケーション、およびシステムの活動を監視し、記録します。 ゼロトラストでは、ユーザーの行動とコンテキストを継続的に評価するため、包括的な監査証跡が必要です。監査証跡は、潜在的な脅威を特定し対応するシステムの能力を向上させるために使用されます。つまり、このデータは脅威の発見とインシデントレスポンスにおける重要な要素なのです。 PoLPの権限セットは、ユーザーの真のニーズと一致していないかもしれません。監査ログは、許可されていないリソースへのアクセスを試みるパターンを明らかにしたり、特定のリソースが期待通りに使用されていないことを示したりすることができます。管理者はこの情報を利用して、従業員が必要なものを確実に利用できるようにしつつ、可能な限り最高のセキュリティを維持できるのです。 組織は、強力なセキュリティ手法を構築するために、両方のフレームワークを統合する必要があります。バラクーダは、ゼロトラストアクセスをはじめとする堅牢なセキュリティおよびデータ保護ソリューションを迅速かつ容易に導入できるよう支援します。詳しくは、https://www.barracuda.co.jp まで。 原文はこちら How Zero Trust and the principle of least privilege work together Oct. 27, 2023 Christine Barry https://blog.barracuda.com/2023/10/27/how-zero-trust-and-the-principle-of-least-privilege-work-togethe
導入事例:ロンドンの学校が高度なバックアップで時間を節約し、リスクを削減
2023年10月10日、Tony Burgess 告白します。大きな組織がランサムウェア攻撃によって壊滅的なデータ損失を被ったという記事を読むたび、私はつい、思いやりのない考えを持ってしまいます。いったいなぜ、高品質で最新のバックアップシステムに投資しなかったのか、と。それだけで、ランサムウェアの犯罪者によってデータが暗号化されたり、危険にさらされたり、破壊されたりしたときに、迅速かつ簡単に復旧できるのですから。 もちろん、現実の世界では事はそう単純ではないことも理解しています。組織全体にとっても、IT 部門にとっても、常に予算を優先すべきほかの何かがあります。現在うまく機能しているバックアップソリューションがある以上、最新のバックアップソリューションに投資することを正当化するのは難しいでしょう。しかしいずれ状況が変わり、必要性が痛みを伴うほど高まれば、決断を下すことになります。 ジューイッシュコミュニティ中等学校がテープベースのバックアップからアップグレード イギリスのロンドンにあるジューイッシュコミュニティ中等学校(JCoSS)がまさにそうでした。テープベースのバックアップシステムは、次第に管理に時間がかかるようになり、問題が発生しやすくなっていました。同校のネットワークマネジャーはこう言います。 「バックアップできないファイルなど、対処が必要な箇所が数週間おきに見つかりました。常に気を配っていないと崩壊してしまう状態でした」 その上、同校では Microsoft 365 の利用が増加しており、SharePoint と OneDrive に保存したデータをバックアップおよび復元できるソリューションが必要でした。 折しも、英国には学校を標的としたランサムウェア攻撃の大きな波が押し寄せていました。ランサムウェアによる暗号化の試みから安全に隔離された、強力で信頼性の高いバックアップソリューションの必要性に対する危機感が高まっていたのです。 バラクーダ製品を選ぶ JCoSS は徹底的な評価の結果、オンサイトのデータバックアップ用にクラウドレプリケーション機能付きの Barracuda Backup オンプレミスアプライアンスを選択し、Microsoft 365 に保存されたデータを保護するために Barracuda Cloud-to-Cloud Backup を選択しました。 JCoSSのネットワークマネジャーは、バラクーダを選んだ主な要因のひとつにシンプルさを挙げています。 「Barracuda Backup は非常にシンプルで、トレーニングは受けませんでしたし、必要もありませんでした。必要なものはすべてここにあります。Barracuda Cloud-to-Cloud Backup はさらにシンプルです。どちらのシステムも必要なことを正確に実行してくれます」 また、このネットワークマネジャーは Barracuda Backup とCloud-to-Cloud Backup Service を使用することで、以前使用していたバックアップシステムと比較して時間を大幅に節約できることを特に評価しています。 「Barracuda では月に最大 15 分を費やす必要がありますが、これは大したことではありません。以前は2週間に1回、数時間を費やしていました。 導入事例の全貌 ランサムウェアの脅威に直面した JCoSS 校が、高度で使いやすいデータ保護という真の安心を手にするまでの道について、詳しくはこちらをご覧ください。 導入事例を見る 原文はこちら Case study: London school saves time, slashes risk with advanced backup Oct. 10, 2023 Tony Burgess https://blog.barracuda.com/2023/10/10/case-study–london-school-saves-time–slashes-risk-with-advanced
脅威のスポットライト:攻撃者は侵害後、検出を回避するためにいかに受信トレイのルールを使用しているか
2023年9月20日、Prebh Dev Singh メールの自動受信ルールは、ほとんどのメールクライアントの便利でおなじみの機能です。メールを特定のフォルダに移動させたり、留守中に同僚に転送したり、あるいは単に削除したりすることで、受信トレイに毎日のように押し寄せる必要な、あるいは不要なコミュニケーションの管理に役立ちます。 あなたのアカウントに侵入した攻撃者は、受信トレイのルールを隠れみのにすれば、受信トレイ経由で情報をネットワークからこっそり移動させたり、セキュリティ警告が表示されないようにしたり、特定のメッセージを見つけにくいフォルダにファイルしたり、金銭を引き出すために上級役員になりすまして送ったメッセージを削除したりすることができます。 要するに、これは実に見事な攻撃戦術なのです。ステルス性を確保しつつ、侵害したアカウントで簡単に実行できるのですから。 メールの検出は、ここ数年で進歩しており、機械学習の使用によって疑わしいルール作成を簡単に検出できるようになっています。にもかかわらず、バラクーダの検出数が示すように、攻撃者はこのテクニックをうまく実装し続けています。このテクニックは侵害されたアカウントを必要とするため、全体的な数は比較的少ないかもしれません。しかし、組織のデータと資産の完全性に対する深刻な脅威であることに変わりはありません。というのも、ルール作成は侵害後の手法です。つまり、攻撃者はすでにネットワーク内にいるということになります。攻撃者を排除するには、早急な対応が必要です。 そのリスクを理解し、対応策を考えることが重要です。このブログでは、攻撃者がどのように自動メールルールを悪意のある活動に利用しているのか、効果のない防御策とある防御策について説明します。 電子メールは第一の攻撃ベクトルである メールを介した攻撃は成功率が高く、多くタイプのサイバー攻撃の入口となっています。バラクーダの調査によると、世界各国の企業を対象とした調査では、75%が2022年に少なくとも1件のメールセキュリティ侵害に遭っています。 これらの攻撃は多岐にわたります。基本的なフィッシングや悪意のあるリンクや添付ファイルから、ビジネスメール侵害(BEC)、会話の乗っ取り、アカウントの乗っ取りなどの高度なソーシャルエンジニアリング手法まであります。最も高度なタイプの中には、悪意のあるメールルールに関連するものもあります。 攻撃者はなぜ、そしていかにして自動メールルールを作成するのか 悪意のあるメールルールを作成するためには、攻撃者はターゲットのアカウントを侵害しておく必要があります。たとえば、フィッシングメールを成功させたり、以前の侵害で盗んだ認証情報を使用したりします。いったん攻撃者が被害者のメールアカウントをコントロールすると(これがアカウント乗っ取りと呼ばれるタイプの攻撃です)、1つまたは複数の自動メールルールを設定することができます。ごく簡単なプロセスで、攻撃者はメールボックスへのステルス的かつ持続的なアクセスを維持することができます。そして、それをあらゆる悪意のある目的に利用できます。 メールルールを利用して情報や金銭を盗み、発見を遅らせる 攻撃者は「支払い」「請求書」「機密」といった、機密性が高く、潜在的に有利なキーワードを含むすべてのメールを外部アドレスに転送するルールを設定するかもしれません。 あるいは、メールルールを使用して、特定のメールを読まれないようにするためにほとんど使用されていないフォルダに移動したり、メールを既読にしたり、単に削除したりすることもあります。たとえばセキュリティアラートやコマンド・アンド・コントロール通信、侵害されたアカウントから送信された内部スピアフィッシングメールへの応答を隠したり、侵入者に気づかないまま同じアカウントを使用しているであろうアカウントの本当の所有者から痕跡を隠したりします。 さらに攻撃者は、被害者の活動を監視するためにメールの転送ルールを作成し、被害者や被害者の組織に関する情報を収集して、さらなる悪用や作戦の一部として利用することもできます。 ビジネスメール侵害(BEC)攻撃にメールルールを使用する BEC 攻撃は、メールが正当なユーザーから送信されたものであると他者に信じ込ませることで企業やその従業員、顧客、パートナーから詐取しようとします。 攻撃者は、最高財務責任者(CFO)など特定の同僚からの受信メールをすべて削除するルールを設定することができます。これにより、攻撃者はCFOになりすまし、同僚に偽のメールを送り、攻撃者が管理する銀行口座に会社の資金を送金するよう説得することができます。 2020年11月にFBI は、ウェブベースのメールクライアントとデスクトップのメールクライアントの間の同期とセキュリティの可視性の欠如を悪用したサイバー犯罪者が、メールの転送ルールを設定してBEC攻撃が成功する可能性を高めていると公表しました。 標的型国家攻撃にメールルールを使う 悪意のあるメールルールは、標的型攻撃にも使用されています。攻撃者の戦術とテクニックに対応するフレームワークMITRE ATT@CK® フレームワークは、悪意のあるメール転送を T1114.003 に分類し、この手法を使用する3つの高度継続的脅威グループ(APT)を挙げています。サイバースパイ活動を行う国家レベルの脅威行為者である Kimsuky、恐喝や妨害攻撃で知られる LAPSUS$、そして知的財産や研究の窃盗に関連する国家レベルのグループ Silent Librarian の3つです。 MITREは、メールの隠蔽ルール(T1564.008)を防御回避に使用される手法として分類しています。このテクニックを使用することが知られている APT の1つである FIN4 は、金銭的な動機を持つ脅威行為者で、被害者のアカウントにルールを作成し、「ハッキング」「フィッシュ」「マルウェア」などの単語を含むメールを自動的に削除します。おそらく、侵害を受けた組織の IT チームが従業員らに攻撃者の活動を警告するのを防ぐためでしょう。 単独では防御できない 悪意のあるルールが発見されなければ、被害者のパスワードが変更されても、多要素認証がオンになっても、他の厳しい条件付きアクセスポリシーが課されても、あるいは被害者のコンピュータが完全に再構築されたとしても、そのルールは有効なままです。ルールが取り消されない限り、そのルールは有効なままなのです。 さらに、不審なメールルールは攻撃を見抜く良い兆候ではありますが、そこだけを見ても、アカウントが侵害されたことを示す強力なシグナルとはなり得ません。防御チームは複数のシグナルを使用することで初めて、ノイズを減らし、成功しそうなメール攻撃をセキュリティチームに警告することができるのです。攻撃者が巧妙な手口を使うなど、サイバー攻撃はダイナミックかつ進化しているため、検知と防御にも多面的なアプローチが必要です。 効果的な防御 受信トレイのルール作成は侵害後のテクニックであるため、最も効果的な防御は予防、つまり攻撃者が最初にアカウントを侵害することを阻止することです。しかし、侵害されたアカウントを特定し、その影響を軽減するためには、効果的な検出とインシデントレスポンス対策も必要です。 これには、各従業員の受信トレイで実行されるすべてのアクション、作成されるルール、変更またはアクセスされる内容、ユーザーのログオン履歴、送信されるメールの時間と場所、およびコンテキストなどの完全な可視性が含まれます。バラクーダのAI ベースの防御機能は、このようなデータを使用して、各ユーザーのインテリジェントなアカウントプロファイルを作成します。また、バラクーダのなりすまし対策は、ログインデータ、メールデータ、および統計モデルなど複数のシグナルをルールと共に使用して、アカウント乗っ取り攻撃を識別します。 最後に、バラクーダの XDR クラウドセキュリティやセキュリティオペレーションセンター(SOC)による24時間365日の監視などの拡張検出および対応(XDR)対策は、深く隠れて難読化されたアクティビティも確実に検出し、無効化するのに役立ちます。 この「脅威のスポットライト」は、プレブ・デブ・シンが執筆し、ティリー・トラバースとアレックス・エンジェルがリサーチと内容のサポートを行いました。 2023年のメールセキュリティトレンド 原文はこちら Threat Spotlight: How attackers use inbox rules to evade detection after compromise Sep. 20, 2023 Prebh Dev Singh...
キッシング:QR コードメール攻撃について知っておくべきこと
2023年10月5日、Olesia Klevchuk 今日のデジタル時代において、私たちの私生活や仕事をより便利にするために、テクノロジーの利用は絶えず進化しています。クイック・レスポンス(QR)コードもそのような進歩のひとつです。この二次元バーコードによって、ユーザーはウェブサイトの URL や連絡先情報を共有したり、支払いを行ったりすることができます。QR コードは私たちの日常生活を便利にすると同時に、サイバー犯罪者が悪用する新たな道を開いてしまったのです。キッシング(quishing)とも呼ばれる QR コードによるフィッシング攻撃は増加の一途をたどっており、ユーザーにとっても組織にとっても大きな脅威となっています。 サイバー犯罪者は電子メール攻撃に QR コードをどのように利用しているか ハッカーは、電子メール攻撃に QR コードを使用し、受信者をだまして悪意のあるウェブサイトにアクセスさせたり、端末にマルウェアをダウンロードさせたりします。このような攻撃には通常、人々がメールに寄せる信頼を悪用したソーシャルエンジニアリングの手口が使われます。以下は、サイバー犯罪者が使用している手口の例です。 フィッシング・リンク 攻撃者は、フィッシングメールに QR コードを埋め込み、ユーザーにコードをスキャンさせ、信頼できるサービスやアプリケーションに見せかけた偽のページにアクセスさせます。被害者は通常、だまされてログイン情報を入力し、攻撃者にログイン情報を取られます。 偽の QR コードから、氏名、住所、社会保障番号などの個人情報を要求するアンケートやフォームに誘導されることもあります。被害者は、情報や少額の支払いと引き換えに、報酬や賞品を約束して誘い込まれることもあります。 QR コードメールによるフィッシング攻撃の例 QRコードは、このようなよくできた偽のサインインページにつながります。 マルウェアのダウンロード 同様に、QR コードは、スキャンされると自動的にマルウェアを被害者のデバイスにダウンロードする悪意のあるウェブサイトに被害者をリンクすることができます。このマルウェアは、スパイウェアからランサムウェアまで多岐にわたり、攻撃者はデータを盗んだり、侵害されたデバイスをコントロールしたりすることができます。 侵害されたデバイス QR コードはまた、決済サイトを開いたり、ソーシャルメディアのアカウントをフォローしたり、被害者のアカウントからあらかじめ書かれた電子メールメッセージを送信したりするのにも使われます。つまり、ハッカーは簡単に被害者になりすますことができ、被害者の連絡先名簿にあるほかの人をターゲットにすることができるのです。 メールメッセージ内の QR コード攻撃を検出する QR コードによる攻撃は、従来のメールのフィルタリング手法では検知が困難です。スキャンするためのリンクや悪意のある添付ファイルが埋め込まれていないからです。メールのフィルタリングは、QR コードを宛先までたどって悪意のあるコンテンツをスキャンするようには設計されていません。また、実際の脅威は、企業のセキュリティソフトウェアで保護されていない可能性のある別のデバイスに移行します。 AI や画像認識技術の活用は、こうした攻撃を検知する方法のひとつです。通常、偽の QR コードだけが悪意のあるメールのサインではありません。AI ベースの検出では、送信者、コンテンツ、画像サイズ、配置などの他のシグナルも考慮して、悪意のある意図を判断します。Barracuda Impersonation Protectionは、QR コード詐欺を特定し、ブロックするために、こうしたテクニックを使用します。 ユーザーを教育し、これらの攻撃を予測できるようにしましょう。QR コード攻撃がまだセキュリティアウェアネストレーニングの一部になっていない場合は、将来的にカバーされるようにしてください。ユーザーは、電子メールやその他の方法で配信されたQRコードをスキャンする際に注意を払う必要があります。 原文はこちら Quishing:QRコードメール攻撃について知っておくべきこと 2023年10月5日 Olesia Klevchuk https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks
