Info.
お知らせ
Others
2022年にはクラウド、メール、ネットワーク等、脅威アクターによる攻撃がますます激化
情報漏えい件数、2021年に再び過去最高を記録
2022年1月11日、Mike Vizard 2021年に起きた情報漏えいが記録的な数になることは現時点で間違いないでしょう。米国のIdentity Theft Resource Center(ITRC)の報告によると、2021年9月30日までに発生した情報漏えいの総件数が、すでに2020年の総件数を17%上回っています。Log4jのようなゼロデイ脆弱性により、この数字はさらに増えると考えられます。 2021年で最も深刻だった情報漏えいは、サイバーセキュリティアナリティクス企業Cognyteが収集したデータが50億件も流出していたこと、そしてLinkedInユーザー約7億人の個人データがダークウェブで売りに出されていたことです。これまでの漏えい件数を見ても、この2件はいずれも上位10位以内に入るほど記録的な数字となっています。 Providence社によるITソリューションの恩恵がなければ、今日、あらゆる組織が大規模な情報漏えいに見舞われていたでしょう。サイバーリスク管理プラットフォームを提供するVulcan Cyberに代わって、調査会社Pulseが企業で働くIT・セキュリティ専門家を対象に実施した調査によると、現在組織にとって機密情報の公開に関する大きな懸念はアプリケーションの脆弱性(54%)で、次いで認証の突破(44%)、セキュリティの設定ミス(39%)、不十分なロギングと監視(35%)、インジェクション(32%)が上位を占めています。また、組織が最も懸念しているのはMS14-068というMicrosoft Kerberos認証の特権のないユーザアカウントに対する脆弱性であるということが、この調査でわかりました。 しかし、今回の調査では、脆弱性の重要度が正確でないことも明らかになりました。4分の3以上(78%)の回答者が、サードパーティーが特定した優先度の高い脆弱性は、組織に与え得る影響度合いを考慮すると、実際にはもっと低くランク付けされるべきだと答えています。また逆に、3分の2以上(69%)の回答者が、ランクの低い脆弱性はより上位に位置付けるべきとも指摘しています。80%以上の回答者が、脆弱性の重要度を決定する際、特定のリスク環境に基づいて、直感などといった柔軟な考え方を採用することが有益であると答えています。 どの国の政府からも罰金や罰則が科せられる可能性がある中、セキュリティに関する膨大な懸念事項をよそに、企業はデータ管理の仕方を変えようとしていません。情報の漏えいをできる限り防ぐために、機密データの保存量を減らすことが企業にとって賢明な策となります。エンドユーザーがあらゆる個人情報(PII)を入力しがちなスプレッドシートに見られるように、企業は必要以上に多くのデータを保存する傾向があります。サイバー犯罪者とそのデータを隔てるものは、いとも簡単に破ることのできるパスワードのみです。データを蓄積しがちな組織にとって、サイバーセキュリティにおける最大の敵は自分自身であるということがよくあります。 2022年がどういった年になるかを断定することはできませんが、サイバーセキュリティ攻撃の質が上がり、量的にも増えるであろうことは確かです。しかし、もし企業が2021年の体制のままで異なる結果を期待し続けるのなら、アルバート・アインシュタインが予測したように、2021年に私たちが成し遂げた偉業は、サイバーセキュリティにおける新たなレベルの狂気をもたらしたことでしょう。 原文はこちら: Data breaches reached another all-time high in 2021 January 11, 2022 Mike Vizard https://blog.barracuda.com/2022/01/11/data-breaches-reached-another-all-time-high-in-2021/
Barracuda Cloud-to-Cloud Backupが「2021 CRN Products of the Year」を受賞
Barracuda Threat Spotlight(バラクーダが注目する脅威):ログインジェクション攻撃
トピック:Attacks and Threat Actors 2021年12月22日、Jonathan Tanner インジェクション攻撃は、OWASPの「Webアプリケーションの脆弱性トップ10」に恒常的にランクインしています。SQLインジェクション、コマンドインジェクション、クロスサイトスクリプティング(XSS)攻撃は、一般的に最初に思い浮かぶインジェクション攻撃の形態ですが、ログインジェクションにもリスクがあり、見過ごされている場合があります。 ログインジェクションとは、ユーザが操作した入力内容が無害化されずに記録された場合に発生するもので、リモートコード実行(RCE)など、さまざまな影響を及ぼす可能性があります。これは、最近公開されたCVE-2021-44228(別名「log4shell」)log4jに対する攻撃のように、2.15.0より前のバージョンのlog4jや、2.16.0以上で機能が完全に削除される前の2.15.xバージョンでデフォルトのformatMsgNoLookupsプロパティを無視した攻撃がそうでした。 脅威のハイライト Log4j ログインジェクション RCE – 攻撃者がログインジェクション攻撃に成功したと仮定すると、JNDIを使ってLDAP検索を行う特別に細工された文字列置換を使って、攻撃者が制御するリモートLDAPサーバから読み込まれたコードを実行することができます。Javaアプリケーションにおけるlog4jの人気の高さと、任意のコードを実行できる能力を考慮して、Apacheはこの脆弱性が公開された際に可能な限り高い深刻度の評価を与えました。この脆弱性により、多くの著名な企業が影響を受けました。 詳細 開発者やシステム管理者は、ソフトウェアが正常に動作しているかどうかを確認したり、動作していない場合にはより具体的な内容を特定するために、ログの記録はほとんどのアプリケーションやシステムにとって重要な要素です。しかし、ログインジェクションは、アプリケーションやシステム自体のリスクだけではありません。なぜなら、ログが他のソフトウェアによって処理されることはよくあることで、そのソフトウェアもログインジェクションの試みに対して脆弱である可能性があるからです。基本的に、ログファイルに書き込んだり、ログファイルから読み取ったりするものはすべて、ログインジェクション攻撃の標的になる可能性があります。また、ログを読んでいる人も、ログインジェクション攻撃の標的になる可能性があります。ログインジェクション攻撃としては、ログの偽造、サービス拒否、悪意のある文字列のインジェクションなどが考えられますが、これらの攻撃自体にもいくつかの可能性があります。 ログの偽造とは、ログに記録されるペイロードを細工して、見た目は正当だが偽のログ行を追加することです。これは、ログ分析システムや、手動でログを読む人(またはイベントシステムを通じてログを読む人)を騙して、実際には起こっていないイベントが起こったと思わせたり、特定のイベントの発生頻度の分析を歪めたりするために使用されます。サービス拒否攻撃では、攻撃者が大量のデータでログファイルを圧倒します。これにより、メモリの枯渇、ディスクスペースの肥大化、あるいは、サイズに基づいてロールバックされ、ファイルのサブセットのみが保持されるログの場合には、ログシステムによってログエントリが早期に削除されることになります。これらのログインジェクション攻撃は、特定のプログラミング言語やテンプレートエンジンを利用する必要はありません。 悪意のある文字列インジェクションは、最近公開されたlog4jの脆弱性の場合、リモートコード実行を含め、様々な形態やペイロードを取ることができます。これらの悪意のある文字列は、ロガーやログを読み取るソフトウェアの組み込み機能を悪用することができます。log4shellの場合、文字列置換の側面が悪用されます。具体的には、log4jの式言語を使用して変数を検索し、ログ出力に置換することができる機能です。ログを表示または処理するソフトウェアでテンプレートエンジンが使用されている場合、使用されているテンプレートエンジンの構文を使用してテンプレートインジェクションが可能な場合があります。ログがWebブラウザに表示される場合、テンプレートインジェクションに加えて、Webサービスで使用されているプログラミング言語でコードを注入することが可能な場合があります。例えば、ログが必ずしも攻撃者でなくてもよいユーザに表示されるときに実行されるPHPコードをログに注入することができます。また、ログにJavaScriptを書き込んで、ユーザがWebアプリケーションを介してログエントリを閲覧したときにレンダリングされて実行されるようにする、つまりストアドクロスサイトスクリプティング攻撃も可能です。 インジェクション攻撃では、情報漏えいなど様々な結果やリスクが考えられますが、リモートコード実行(RCE)は、脆弱性のより深刻な結果の一つです。RCEは、攻撃者がアプリケーション内のコードを、あたかもアプリケーションの一部であるかのように実行し、アプリケーション自身が利用可能なあらゆるアクセス権や特権を得ることを可能にします。これにより、アプリケーションが利用可能なファイルや、アプリケーションが通信するデータベースへのアクセス、さらにはリバースシェルを介したホストシステム自体へのアクセスが可能になります。ファイルやデータベースへのアクセスは情報漏えいの原因となりますが、シェルは、攻撃者がネットワークにさらに侵入し、アプリケーションがアクセスできる範囲外のシステムやリソースを侵害するための出発点となります。このように、log4shell攻撃が悪用された場合、データとネットワークの両方のセキュリティに深刻な影響を与える可能性があります。 ロギングソフトウェアを構築・保守しているグループにとっては、今回の脆弱性により、データサニタイズ機能を組み込む必要性と、セキュリティリスクを考慮してどの程度の機能が有用であるかを検討する必要性が浮き彫りになりました。ほとんどのデータベースクライアントライブラリは、SQLライブラリの「プリペアドステートメント」のようなインジェクション攻撃から保護するために、データサニタイズ機能を提供しています。独自の式言語やテンプレートを持つロギングライブラリの場合、安全ではない可能性のある文字列をロギングする際、ライブラリのユーザに同様の機能を提供することは大変役立ちます。log4shellのような深刻な脆弱性につながる可能性のある機能を数多く利用している場合、保守管理者が検討すべき課題かもしれません。このRCEを可能にする機能が2.16.0で削除されたことを考えると、log4jの保守管理者はすでにこの点に気づいているかもしれません。 log4shellからの保護方法 log4shellから保護するための最善の方法は、少なくともlog4jのバージョン 2.15.0、理想的には2.16.0以上にアップグレードして、この特定のRCEを軽減することです。log4jは直接の依存関係の外でアプリケーションに含まれているかもしれないので、ビルドシステムを使用して依存関係ツリーを入手し、間接的な依存関係としてのlog4jの脆弱なバージョンを確認することができます。「Maven」と「Gradle」は、プロジェクトの依存関係ツリーを印刷するコマンドラインツールを含んでいます。log4jのバージョンが2.10.0以上、2.15.0未満の場合、2.15.0でデフォルトで無効化された機能は、javaコマンドを使用してアプリケーションを実行する際「-Dlog4j2.formatMsgNoLookups=true」フラグを追加することで手動で無効化できます。バージョン2.15.xを使用している場合は、アプリケーションやコマンドのどこかでこのフラグがfalseに上書きされていないかどうかを確認する必要があります。 ファイアウォール(ネットワーク、Webアプリケーションを問わず)は、アップグレードの計画と実行に時間がかかる場合の暫定的な対策として、LDAPトラフィックの送信をブロックできる可能性があります。しかし、これらの対策は、この特定の脅威を保護するだけで、ログインジェクション全般を保護するものではありません。Barracuda Web Application FirewallとWAF-as-a-Serviceは、log4shellに関連するものを含むログインジェクションの試みを保護します。 ログを使用するすべてのアプリケーションは、たとえそれがlog4jやJavaを使用していなくても、外部からユーザが提供した入力がログに記録されるときに、ログインジェクション攻撃の可能性と、ログの特定の用途に関連する適切なデータサニタイズの実践を確認すべきです。これにより、ログインジェクションに関連して存在する可能性のある他のまたは将来の脆弱性を軽減することができます。サニタイズは、アプリケーションやログシステムの機能を考慮するだけではなく、ログから読み取るものがさらに別の可能性のある脆弱性を引き起こす可能性があるため、単純ではありません。同様に、そもそも何がログに記録されているかということも考慮しなければなりません。例えば、ユーザ名やメールは、インジェクション攻撃を可能にするような特殊文字を許可するケースとしてはリクエストヘッダに比べて妥当性が低いと言えますが、これらの文字を必要とするケースもあります。 ログが実際にどのようなシステムで処理されているのか、そのシステムにはどのような脆弱性が存在するのかを考慮することで、ログがもたらすリスクを適切に評価することができます。これは、ログインジェクション攻撃が発生する場所をすべて把握しなくても、その潜在的な影響を理解するのに役立ちます。ログインジェクションは、ログを読み取るすべてのシステムに影響を与える可能性があるため、ログを読み取ったり処理したりしているシステムを追跡することは、ログの記録に関連する特定のリスクを理解するのに役立ちます。また、セキュリティチームや開発チームにとっては、攻撃者がコントロールできるログの内容に関して、どのようなプログラミング、テンプレート、式言語を考慮する必要があるのか絞り込むことができます。 レポート:2021年のアプリケーションセキュリティの状況 原文はこちら: Threat Spotlight: Log injection attacks December 22, 2021 Jonathan Tanner https://blog.barracuda.com/2021/12/22/threat-spotlight-log-injection-attacks/
Secured.21:21種類のOWASP自動化された脅威への対策
2021年12月10日、Tony Burgess 現在、全インターネットトラフィックの40%近くが悪意のあるボットトラフィックとなっています。有益なボットのトラフィックも急増していますが、全トラフィックの約25%に過ぎません。この状況は、企業がハイブリッド環境やクラウドのみの環境へ移行し、新たな潜在的攻撃対象が豊富になっていることに起因しています。 有益なボットが必要な作業を幅広くこなす貴重なツールであるように、犯罪者にとってもボットは非常に便利です。例えば、盗まれた膨大なデータの中から認証情報やクレジットカード番号などを探し出し、テストすることができます。最近のボットは非常に洗練されており、人間の行動を模倣し検知を逃れることもできるようなりました。 OWASPは、今日のボット攻撃(Webアプリケーションに対する自動化された脅威)の全容を分析し、21種類に分類しています。また、これらの脅威に対抗するために利用できる対策の種類もリストアップしています。 悪意のあるボットを阻止する方法 昨年開催された弊社Global Virtual Customer Conference 「Secured.21」では、App and Cloud Securityトラックにて、OWASPの自動化された脅威に関するDeep Diveセッションと、有益なボットと人間のユーザが正常に活動できるようにしながら、悪意のあるボットを停止させる方法が紹介されました。 ここでは、シニアプロジェクトマネジメントディレクターのAnshuman Singhが、OWASPのハンドブックに記載されている21の脅威を、認証情報の盗難、脆弱性スキャン、インベントリ拒否など6つのカテゴリに分けて紹介しています。 Anshumanのプレゼンテーションをご覧ください。(ビデオは本社サイトの原文よりご視聴ください。) Anshumanは、脅威アクターが手にする悪意のあるボットの範囲と能力について詳しく説明した後、OWASPがリストアップした14種類のボット対策と、ボット攻撃によってもたらされる脅威のさまざまな側面にどのように対処しているかを説明しています。 このセッション全体をご覧いただくと、Barracuda WAF-as-a-Serviceがクラウドでどのように機能し、OWASPに記載されている多くの対策を提供する方法について、Anshumanの詳細なプレゼンテーションもご覧いただけます。また、強力で直感的なインターフェースによって、クラウドアプリのセキュリティインフラストラクチャを簡単に可視化、監視、制御する方法のデモもご覧いただけます。 高度に洗練されたボットで実行される自動化されたアプリケーション層への攻撃が急速に増加しています。このセッションでは、脅威の本質と効果的な防御の要件の両方をご理解いただくために、非常に有益な情報を提供しています。 是非、全てのセッションをご覧ください! 原文はこちら: Secured.21: Combating the 21 types of OWASP Automated Threats December 10, 2021 Tony Burgess https://blog.barracuda.com/2021/12/10/secured-21-combating-the-21-types-of-owasp-automated-threats/
クラウドメールセキュリティの7つのメリット
2021年12月10日、Stephanie Cavigliano 現在、Office 365を利用している企業は100万社にのぼり、今後も在宅勤務を拡大する企業が増えるにつれ、この数はさらに増加していくでしょう。Office 365がここまで普及した理由は、皆さんもご存知の通り「簡単」だからです。ハードウェアが不要になったことで、監視やメンテナンスのコストを削減することができます。また、ユーザ単位に用意されたさまざまなサブスクリプションモデルとオプションの追加機能により、企業はそれぞれのビジネスニーズに合わせてOffice 365を導入できます。SharePointとOneDriveを追加することで、ユーザ間のコラボレーションが容易になり、自宅にいながら共同作業ができるようになります。 これはメールセキュリティにとってどのような意味を持つのでしょうか?メールのクラウド化に伴い、多くの企業がメールセキュリティのクラウド化も検討しています。クラウドメールセキュリティは、Office 365(または他のクラウドメールプロバイダ)を利用している企業のメール保護を最適化するだけでなく、オンプレミスでExchangeを利用している企業にもさらなるメリットをもたらします。 Office 365のようなクラウドホスティングのメールを使用していますか?クラウドメールセキュリティがもたらす7つのメリットをご紹介します。#EmailSecurity #CloudSecurity CLICK TO TWEET クラウドメールセキュリティのメリット 導入やシステム更新の迅速化 SaaSソリューションは、セットアップが迅速で、ダウンタイムなしで継続的なソフトウェアおよびセキュリティアップデートが受けられます。弊社のクラウド型Email Gateway Defenseでは、オンプレミスのメールセキュリティソリューションからの移行が迅速で簡単な2ステップのプロセスです。弊社は数百社のオンプレミスEmail Security Gatewayのお客様をクラウド型Email Gateway Defenseに移行しており、ほとんどのお客様が1時間以内にセキュリティ低下なしで稼働しています。 ITリソースのリフォーカス ハードウェアのメンテナンスが不要になることで、ITチームはユーザのセキュリティ意識向上トレーニングや積極的な脅威対策など、より戦略的な取り組みに注力できます。 隠れたコストなし SaaSソリューションは、一般的にユーザ単位に価格が設定されており、毎月または毎年の支払いが予測可能です。また、ハードウェアを使用しないため、追加のインフラ投資や計画外のメンテナンス費用も発生しません。 容易な拡張性 ユーザ単位のライセンスなので、ビジネスの成長に合わせてユーザを追加できます。ハードウェアのアップグレードが不要なため、メールセキュリティ計画にユーザを追加しても、ITリソースに負担をかけることはありません。 トラフィックフローの効率化 クラウド型メールプロバイダに移行した、または移行を予定している場合、インバウンドとアウトバウンドのSMTPトラフィックをオンプレミスのセキュリティソリューションに押し付けることはあまり意味がありません。メールをクラウドに置くことで、潜在的な遅延やネットワークファイアウォールへの不要な負荷を軽減できます。 コンプライアンスの遵守 一部のSaaSメールセキュリティソリューションは、企業のコンプライアンス達成に役立つ機能も提供しています。Barracuda Email Protectionは、強力なeディスカバリ機能を備えた無制限のクラウドアーカイブ、機密データを組織内に保持するための暗号化とDLP、そしてビジネスを常に稼働させ続けるための完全な継続性サービスを提供します。 高度なメールセキュリティにアクセス クラウドメールセキュリティの普及に伴い、セキュリティベンダはクラウドセキュリティのイノベーションにさらなる投資を行い、高度なクラウドメールセキュリティ機能を実現しています。弊社のクラウド型Email Gateway Defense機能では、高度なフィルタリング機能とCPUエミュレーションサンドボックスが利用できます。Office 365ユーザは、13種類のメール脅威に対する保護を強化するために、人工知能(AI)を備えたAPIベースの受信トレイ防御を提供するPhishing and Impersonation Protectionを利用できます。 クラウドメールに移行した、または移行を計画している企業は、ITリソースの解放、急速な成長、おそび高度な脅威に対するより良い保護機能を求めています。クラウドメールセキュリティへの移行を検討されていますか?弊社のクラウド型Email Gateway Defenseのすべての利点をこちらからご覧ください。 メールを媒介とするサイバー脅威からビジネスを保護する 原文はこちら: 7 benefits of cloud email security December 10, 2021 Stephanie Cavigliano https://blog.barracuda.com/2021/12/10/7-benefits-of-cloud-email-security/
Barracuda WAFおよびWAF-as-a-Serviceは、Apache Log4jの重大な脆弱性を防御します
ランサムウェアやインサイダー脅威は、金融サービス業界にとって大きなリスクとなっています
トピック:Attacks and Threat Actors 2021年12月2日、Christine Barry 比較的新しいランサムウェアが、特に金融サービス業界(FSI)に焦点を当てて、米国のビジネス界を駆け巡っています。この新しい脅威はYanluowangランサムウェアで、2021年8月以降、米国企業への攻撃で観測されています。調査担当者は、ツール、戦術、手順(TTP)の類似性から、Yanluowangの運営者はFiveHandsグループの元関連会社であると推測しています。Yanluowangランサムウェアの脅威は、経験豊富な脅威アクターが活動中のグループから移動して、自らの「スタートアップ」を立ち上げたもう一つの例であると考えられます。 脅威アクターがギャングを変えたり、ハッキングギャングがIDを変えたりするのはよくあることです。Yanluowangが興味深いのは、調査担当者によると、このランサムウェアは8月に登場して以来、「やや開発が遅れている」ということです。Yanluowangの脅威アクターは、ランサムウェアの開発よりも、むしろ攻撃の実施に注力しています。これらの攻撃は、複数の方法で被害者を脅かします。 暗号化される前のデータを盗み、標準的な二重恐喝攻撃を仕掛ける 分散型サービス拒否(DDoS)攻撃 従業員や取引先への電話攻撃 その後の攻撃で企業データを破壊する このソフトウェアの利用は拡大しており、調査担当者はYanluowangがRansomware-as-a-Service (RaaS)として利用できるかどうかはまだ分かっていません。Yanluowangランサムウェアに関する独自の研究結果は、こちらをご覧ください。 金融部門のリスクの増大 金融機関は、攻撃の増加、予算の削減、リモートワークシナリオによるエクスポージャーの増加などの圧力を受けています。金融機関の実に80%が、2020年2月から2021年4月の間にサイバー攻撃が増加したと報告しています。その結果、外部からの攻撃が世界的に238%増加し、そのすべてが修復や業務の中断によって企業に金銭的な損失をもたらしました。 また、FSIの従業員はパンデミックの影響を受けているため、金融部門はインサイダー脅威によるリスクの増加に直面しています。多くの社員が、CARES法や給与保護プログラム(Paycheck Protection Program)の管理に関連する追加業務を担当しています。また、住宅ローンがかつてないほど急増しており、通常の業務に加えて負担が増えています。金融機関の約80%が従業員の問題を最大の懸念事項と回答しており、銀行機関が対応してくれないと答えた世帯の割合は212%も増加しています。仕事量の増加と人員不足により、多くの従業員が不満や不注意、燃え尽き症候群を抱えています。内部の脅威はすべての分野で拡大しており、現在ではデータ侵害全体の39%を占めています。 弊社は、包括的なランサムウェア対策と金融サービス機関向けに特化したセキュリティソリューションを提供しています。詳細につきましては、弊社担当者までお問い合わせください。 原文はこちら: Ransomware, insider threats pose growing risk to financial services industry December 2, 2021 Christine Barry https://blog.barracuda.com/2021/12/02/ransomware-insider-threats-pose-growing-risk-to-financial-services-industry/
