1. HOME
  2. Blog
  3. Others

Info.

お知らせ

Others

なぜパスワードセキュリティが今なお話題になるのか のページ写真 1

なぜパスワードセキュリティが今なお話題になるのか

2023年9月28日、Christine Barry 認証情報を保護することは、ランサムウェアやその他のサイバー攻撃から身を守るためにできる最も重要なことの1つです。パスワード管理やベストプラクティス、多要素認証について書かれた記事は何千とあります。ネットワークドメインやソフトウェア・アズ・ア・サービス(SaaS)アプリケーションをはじめとするシステムの多くは、クレデンシャルに複雑なパスワードを要求しますし、ごく基本的なコンピューターユーザーでもパスワードは共有しないようにという話は聞かされています。なのになぜ、まだパスワードが話題になるのでしょうか。2023年ベライゾンデータ侵害調査レポート(Verizon Data Breach Investigations Report; DBIR)では、脅威アクターが個人データや社会保障番号のような機密情報を含むどのデータタイプよりもクレデンシャルを重視していることが明らかになっています。盗まれたクレデンシャルは全データ侵害の44.7%を占め、2022年の41.6%から増加しています。同レポートによると、盗まれた認証情報はデータ侵害の最も一般的な入口であり、北米(67%)および欧州・中東・アフリカ(53%)で発生した侵害で最も侵害されたデータタイプです。は、盗まれた後も有効なままの認証情報こそが、最も危険な盗まれた認証情報なのです。攻撃者は、認証されたユーザーとして標的のシステムにログインしたがります。認証情報が手に入れば、攻撃者は認証されたユーザーとしてシステムを渡り歩くことができ、長い時間、侵入を検知されることもありません。クレデンシャルはとりわけ、国家アクターや大物ハンターにとって重要なのです。 サイバー攻撃におけるクレデンシャルの使われ方 古くなった認証情報はそれほど価値がないかもしれませんが、攻撃者にとっては古いログイン情報の使用方法がいくつか残っています。だからこそ、盗まれたデータがほぼ間違いなくほかの攻撃者に売られ、より大きなデータセットがより高い価格で売られるのです。以下は、サイバー攻撃でクレデンシャルが使用されるいくつかの方法です。 不正アクセス:クレデンシャルセットの最もわかりやすい使用法は、先ほど述べたように犯罪者がログイン情報を使ってシステムにアクセスし、攻撃を続行する、というものです。 クレデンシャルスタッフィング:これは自動化された攻撃で、盗まれたクレデンシャルセットをローテーションすることによって、Web アプリケーションへのログインを試みます。クレデンシャルセットが多くの異なるWeb アプリケーションで使用されるため、クレデンシャルが最新であるか古いかは問題ではありません。 ユーザー ID とパスワードは、鍵のかかったドアの物理的な鍵のようなものだと考えてください。犯罪者が、同じような鍵の入った袋を持ち、ドアにある鍵をひとつひとつ試して、中に入れるかどうか確かめているところを想像してみてください。そのドアは、銀行、小売店、医療ポータル、空調管理システム、その他のオンライン・サービスに通じているかもしれない。もし鍵が開けられれば、犯罪者はあなたの鍵で開けられるものすべてにアクセスできることになります。1つの鍵が機能しなくても、犯罪者にとっては大した問題ではありません。鍵は何百万とありますし、同時に多くの異なるドアでそれらを使用するボットの軍隊も従えているからです。 複数の調査で、パスワードはしばしば再利用され、共有されていることが明らかになっています。つまり、盗まれたクレデンシャルの一部が複数のシステムで機能する可能性がかなりあるということです。クレデンシャルスタッフィングは非常に一般的な攻撃です。 パスワードの散布:この攻撃はクレデンシャルスタッフィングに似ていますが、全てに同じパスワードで組まれたユーザーアカウントのリストをローテーションします。手軽な犯罪者-ドア-鍵のシナリオでは、鍵は完全なクレデンシャルセットではなく、1つのパスワードを指します。犯人は1つの鍵をすべてのドアで試した後、別の鍵を持って最初の家からまた試します。これは、ルーターや CCTV カメラをはじめとするスマート・デバイスなど、デフォルトパスワードを使用するシステムで最も効果的な攻撃です。この攻撃は、たとえパスワードがなくても犯罪者が確認されたユーザー名を重視する理由の好例です。 ブルートフォース:多くの人はこの攻撃をドアを開けるのに破城槌を使うことに例えますが、筆者はむしろヘアピンなどで錠前をこじ開けるピッキングに似ていると考えています。ブルートフォース(総当たり)攻撃は、攻撃が成功するまで「あらゆる可能な文字、数字、記号の組み合わせを系統的に試す」ことによってパスワードを発見しようとする自動的な試みとユーザー名をペアにしてシステムにログインしようとするものです。この攻撃のほとんどは、単語リストや一般的なパスワード、スマートルールセットから始まり、可能なすべての組み合わせを使ってパスワードを構築しようとします。十分な時間があれば、ブルートフォース攻撃はすべて成功します。ただし、パスワードが複雑で単語リストにもない場合は、正しいパスワードを推測するまでに何年もかかる可能性があります。 こうした攻撃を防御する方法 パスワードセキュリティに関する意識向上と実施に向けた取り組みはかなり進んできているとはいえ、脆弱な認証情報や露出した認証情報から始まる攻撃は依然として相当数見受けられます。ダラス市に対する最近のランサムウェア攻撃は、犯罪者が盗んだ認証情報でどれだけのことができるかを示す一例に過ぎません。認証情報を保護することは、セキュリティ計画の優先事項でなければなりません。パスワード管理のベストプラクティスを導入することは重要な第一歩ですが、それだけでは十分ではありません。企業は、受信トレイ、アプリケーション、エンドポイント、ネットワークエッジを防御するマルチレベルの保護を導入すべきです。 バラクーダのサイバーセキュリティプラットフォームでは、このようなすべての脅威ベクトルを防御し、データを保護できます。このソリューションは、メール、ネットワーク、アプリケーションなど、すべての攻撃サービスを保護します。このような完全なサイバーセキュリティソリューションを提供している企業はほかにありません。   原文はこちら パスワード・セキュリティについて語り続ける理由 2023年9月28日 Christine Barry https://blog.barracuda.com/2021/09/27/why-we-keep-talking-about-password-security

海外ブログ

バラクーダ、CRN Annual Report Cardで2年連続で大賞を受賞 のページ写真 2

バラクーダ、CRN Annual Report Cardで2年連続で大賞を受賞

2023年8月21日、Anne Campbell うれしい報告です。バラクーダが CRN の Annual Report Card Awards(ARC賞)データ保護部門で再び大賞を受賞しました。同部門で最高得点を獲得したうえ、4つのサブ部門のうち3つでバラクーダのソリューションがトップとなりました。サポート、パートナーシップ、およびマネージド&クラウドサービス部門です。 また、Barracuda RMM は MSP RMM 部門で評価され、マネージド&クラウドサービスサブ部門賞を受賞しました。Barracuda RMM が CRN の Annual Report Card に掲載されたのは今年が初めてで、チームはこの受賞をとりわけうれしく思っています。 データ保護の総合的勝利 バラクーダがデータ保護部門で受賞できたのは、Barracuda Cloud-to-Cloud Backup と Barracuda Backup がともに評価されたためです。Barracuda Cloud-to-Cloud Backup は、Microsoft 365 データの包括的なクラウドネイティブバックアップを実装しています。Barracuda Backup は、ストレージ、ソフトウェア、およびインライン重複除外を組み合わせており、何が起きてもデータを損失から保護します。 「当社のバックアップソリューションが今年のデータ保護部門で最優秀賞に選ばれたことに感激しています」と喜びを語るのは、当社データネットワークおよびアプリケーションセキュリティエンジニアリング担当 SVP のティム・ジェファーソンです。「当社のソリューションの価値が評価されたのですから。クラウドベースの SaaS からオンサイトの物理的なバックアップにいたるまで、当社のソリューションの守備範囲は幅広いのです。バラクーダでは、導入から展開、および利用が容易な革新的なセキュリティ製品を提供することを使命としており、今回の受賞は、その使命を果たしている証であると考えています」 Barracuda Backup とBarracuda Cloud-to-Cloud Backup はともに、ランサムウェア攻撃者がバックアップにアクセスできないようにし、バックアップデータをランサムウェアから保護するための多くのセキュリティ機能を実装しています。バラクーダは、ランサムウェア攻撃の検出、防止、および回復を支援するソリューションを提供しており、ランサムウェアに打ち勝つ戦略を構築するのに役立ちます。 Barracuda RMM がマネージド&クラウドサービスのサブ部門で優勝 Barracuda RMM (リモートモニタリング&マネジメント)プラットフォームは 15年以上にわたって、MSP がクライアントに高品質の IT サービスを提供するために必要なツールと洞察を提供しています。セキュリティサービスが企業にとって不可欠となりつつある今、MSP が顧客の進化するニーズを満たせるよう、Barracuda RMM はセキュリティサービス提供機能を強化しました。 過去1年間に RMM ツールに実装した革新的な機能の一部を紹介しましょう。 無料の営業ツール Site Security Scanner の導入 このツールを使えば、MSP は新規顧客や既存顧客とセキュリティに関する会話を簡単に始められます。 SentinelOne Control との統合 MSP...

海外ブログ

Azure と Barracuda SecureEdge で会社を守る方法 のページ写真 3

Azure と Barracuda SecureEdge で会社を守る方法

2023年9月5日、Stefan Schachinger 現代のビジネスにおける課題は、ありすぎるといっても過言ではありません。コスト管理や規制環境の変化といった従来のプレッシャーに加え、企業はランサムウェアのような脅威を撃退しなければなりません。ランサムウェアは、安全でない電子メール、ウェブアプリケーション、リモートデスクトップ接続、その他利用可能なあらゆる脅威ベクトルを通じてネットワークに侵入する可能性があります。 バラクーダの調査によると、最も一般的な攻撃手法は業界によって異なります。コンシューマサービス業界ではWebアプリケーションが最も一般的な感染ポイントですが、メディアおよびレジャー、そしてエンターテイメント業界ではネットワークトラフィックがトップの感染源です。その他の業界では、Eメールが最も一般的なエントリーポイントになっていますが、その数には幅があります。組織は、これらの脅威ベクトルすべてを、業務を中断させることなく保護する必要があります。 デジタルトランスフォーメーションとパブリッククラウドが約束した世界は、それぞれに課題をもたらしています。SaaS(ソフトウェア・アズ・ア・サービス)アプリケーションは、オンプレミスと同じように動作するのでしょうか。リモートワーカーが使用するノートパソコンやスマートフォンがマルウェアに感染し、ビジネスを危険にさらしていないでしょうか。メンテナンスのために、ベンダーにモノのインターネット(IoT)デバイスへの仮想プライベートネットワーク(VPN)アクセスを提供することは安全でしょうか。 現在の環境に適切に適合し、ニーズに合わせてエレガントに拡張できる、セキュリティと接続性のソリューションの適切な組み合わせを見つけるのは難しいかもしれません。 ハイブリッドで働く企業の現実 支店や支社勤務、あるいはオフプレミス勤務は目新しいものではありませんが、ここ数年のコロナ禍に起因する分散した働き方は前例がありません。企業はいち早く従業員を在宅勤務に切り替えましたが、それによってビジネス・ネットワークに予期せぬセキュリティやパフォーマンスにギャップができたり、露呈したりしました。米国サイバーセキュリティ・インフラストラクチャーセキュリティ局(CISA)は、露出したリモート・デスクトップ・プロトコル(RDP)エンドポイントが 127 %増加したと報告しています。これらのエンドポイントは、安全でない仮想プライベートネットワーク(VPN)接続とともに、巨額の身代金やワクチン研究、その他価値のありそうなあらゆるものを追い求めるサイバー犯罪の世界的な波の中で、瞬く間に悪用されました。リモートワークは新たな国家安全保障上の問題を生み出し、コロナ禍でロックダウン中の企業を迅速に防御する緊急性が高まりました。 オフィスは戻ってきた従業員で賑わっていますが、ロックダウン後の労働力とビジネス環境は、さらに新たな課題をもたらしました。仕事の一部はクラウドに移行し、一部はデータセンターに残ったままです。社内のコミュニケーションやデータは Microsoft 365 のような SaaS アプリケーションに移行し、その結果、機密情報が「城と堀」の防護の外へと出てしまっています。かつて明確に定義されていたネットワーク境界は流動的なエッジへと進化し、会社がどこへ行こうと防御されなければならないのです。 従来の広域ネットワーク(WAN)およびソフトウェア定義WAN(SD-WAN)ソリューションは、このようなハイブリッドスタイルの仕事のために構築されていません。現在、ビジネストラフィックの大半は Web ベースのトラフィックであり、従業員は場所に関係なく安全なインターネットアクセス (SIA) を必要としています。企業は、ビジネスコストを管理し、従業員の生産性を確保しながら、主要なビジネス目標を追求し続けなければなりません。セキュア SD-WAN の採用が急速に伸びたのは、このようなシナリオがあったからです。 セキュアSD-WANは、サイト間接続を超えるコスト削減とネットワークの俊敏性を提供する新しいタイプの接続です。複数のオフィス、SaaS アプリケーション、パブリッククラウドワークロード、IoT デバイスを、データセンターやブランチオフィスのファイアウォールを介してトラフィックをルーティングすることなくセキュアに接続できます。 セキュアSD-WANは2019年、クラウドネイティブなセキュアアクセスサービスエッジ(SASE)アーキテクチャに含まれるようになりました。 SASEとは何か SASE(「サッシー」と読む)は、ソフトウェアベースのネットワーキングとネットワークセキュリティを組み合わせ、従来のセキュリティおよび接続性ソリューションを超える複数の利点を提供します。支社、モバイルデバイス、IoT システム、エッジコンピューティング拠点など、あらゆるタイプのエッジデバイスに対して、ユーザー ID とリアルタイムの特性に基づいて、企業リソースへの動的で安全なアクセスを実現します。 ここでは、SASE モデルにおけるネットワーキングとセキュリティのコンポーネントを簡単に説明します。 SASE プラットフォームのネットワークセキュリティ、ウェブセキュリティ、セキュアな接続性、その他のコンポーネントは、かつては別々の製品として展開されていました。SASE は、これらのコンポーネントを1つのプラットフォームに統合し、機能として実装できるようにします。Barracuda SecureEdge は、バラクーダのポートフォリオの他のソリューションとシームレスに動作する統合された SASE プラットフォームです。 SASE の利点 SASE の導入は、ネットワーク管理者が必要に応じてセキュリティと接続機能を適用できる単一の統合サービスを提供します。WAN やセキュリティ・ポイント・ソリューションの集合体とは異なり、SASE はエレガントでスケーラブルかつ俊敏なアプローチであり、多くのメリットをもたらします. まず、ネットワークの複雑さと導入コストが削減されます。テクノロジースタック全体が単一のサービスに統合され、さまざまな要素を1つの画面に集めた「1枚板ガラス(single pane of glass)」アプローチを通じて集中管理されます。Microsoft Azureのサービス指向の消費モデルにより、Azure Marketplace を通じた SASE の実装はさらにコスト効率が高くなります。全体として、SASE と Azure の組み合わせは、総所有コスト(TCO)を削減し、デプロイの投資収益率(ROI)を増加させることができます。 次に、IoT デバイスやその他のハードウェアは、SASE 管理者が事前に設定することができ、どのような場所でもゼロタッチで導入することができます。これにより、設定ミスや不整合のリスクを低減し、人為的なミスが起こりにくい展開が可能になります。また、ゼロタッチデプロイメントでは、専門的な手動介入が不要なため、必要に応じてインフラストラクチャーを簡単にスケールアップまたはスケールダウンすることができます。これは、Azure の消費モデルに完全に適合しています。 そして、ネットワークとアプリケーションのパフォーマンスが、すべてのユーザーにとって改善されます。SASE は、ラストマイルの最適化、アプリケーションの優先順位付け、接続の冗長性やフェイルオーバーを提供します。SASE サービスによる配信の合理化により、ユーザー、サイト、クラウド接続のあらゆる組み合わせのパフォーマンスと信頼性が向上します。こうした改善は、遅延の影響を受けやすいアプリケーションに大きな影響を与えます。 さらにゼロトラスト・ネットワークアクセス(ZTNA)は、シームレスで一貫したセッション保護を提供します。これは、クラウド、SaaS、オンプレミスのリソースに当てはまります。ゼロトラスト認証は、「信頼せず、常に検証する」という原則に基づいています。VPN が信頼を確立するためにクレデンシャルセットに依存するのに対し、ゼロトラストは管理者によって構成されたクレデンシャル、デバイス、時間、およびその他のパラメータに依存します。これらのパラメータは、ユーザーがネットワーク上で何かを要求するたびに検証されます。ゼロトラストはまた、ネットワークセキュリティを大幅に向上させるベストプラクティスである最小特権の原則を確立し、実施します。 ZTNA は、ファイアウォール・アズ・ア・サービス(FWaaS)やセキュアウェブゲートウェイ(SWG)のような他の SASE コンポーネントと組み合わせることで、コロナ禍の間に明らかになったセキュリティギャップに対処します。管理者は、データセンターの認証とポリシー実施を ZTNA と...

Blog

バラクーダ XDR の考察: AI がユーザーのパターンを学習してユーザーを保護する のページ写真 5

バラクーダ XDR の考察: AI がユーザーのパターンを学習してユーザーを保護する

2023年8月23日、Merium Khalid 2023年上半期に、Barracuda Managed XDR は約1兆件の顧客の ITイベントを収集し、その中で数千件の高リスクのインシデントを検出および無効化しました。 この6カ月の間に、最も広く遭遇した高リスクのインシデント(即時の防御措置が必要な脅威)には、何らかの ID の不正使用が含まれていました。この種の攻撃は時間の経過とともにますます巧妙になっていますが、Managed XDRプラットフォームの AI ベースのアカウントプロファイリング機能が発見し、ブロックしました。 仕事に現場では誰もが、いつ、どこで、どのように仕事をしているかという点で特徴的なデジタルプロファイルを持っています。そのパターンから外れた IT イベントが発生すると、危険フラグが立ちます。攻撃が非常に微細かつ巧妙で、悪意のある意図を確認するために専門の SOC (セキュリティオペレーションセンター)アナリストが必要な場合であったとしても、AI ベースの検出機能は確実に脅威を察知します。 日常の出来事から緊急のアクションへ バラクーダの Managed XDR プラットフォームは、2023年1〜7月にかけて、顧客の統合ネットワーク、クラウド、メール、エンドポイント、およびサーバセキュリティツールから 9500 億件の IT イベントを収集しました。   約1兆件にのぼるこうしたイベントには、ログイン(成功した場合も失敗した場合も)、ネットワーク接続、トラフィックフローから、メールメッセージや添付ファイル、作成・保存されたファイル、アプリケーションやデバイスのプロセス、設定やレジストリの変更、特定のセキュリティ警告まで、あらゆるものが含まれます。 これらのイベントの 0.1%(98万5000件)は、悪意がある可能性があり、さらなる調査が必要な活動である「アラーム」に分類されましたた。 このうち、10件に1件(9.7%)は顧客に確認するよう危険フラグが立てられ、さらに 2.7 %は高リスクと分類され、より詳細な分析のためにSOC アナリストに連携されました。6000件は、脅威を封じ込め、無力化するために早急な防御措置が必要でした。 最も頻繁に検出される高リスク攻撃 2023年上半期に Managed XDR によって検出され、SOC アナリストによって調査された最も一般的な3つの高リスク検出は、次のとおりです。 「不可能な旅」ログインイベント これは、ユーザーが地理的に離れた2つの場所からクラウドアカウントにきわめて短時間に連続してログインしようとしていることが検知された場合に発生します。2回のログイン間ではとても移動できないほど離れた場所からのログインが確認されるケースです。セッションの1つに VPN を使用していることを意味する場合もありますが、多くの場合、攻撃者がユーザーのアカウントにアクセスしたことを示すサインです。不可能な旅ログインは常に調査するべきです。 Barracuda XDR の Microsoft 365 アカウント向けの不可能な旅検出機能は、1月から7月にかけて、数百件のビジネスメール侵害(BEC)攻撃を検出し、ブロックしました。 SOC チームが調査したインシデントでは、あるユーザーがカリフォルニア州から Microsoft 365 アカウントにログインし、わずか13分後にはバージニア州からログインしていました。物理的にこれを達成するには、時速1万マイルを超える速度で移動する必要があります。バージニアからログインするために使用された IP は、既知の VPN アドレスに関連付けられておらず、ユーザーは通常この場所からログインしていませんでした。チームが顧客に通知したところ、顧客はこれが不正ログインであることを確認し、直ちにパスワードをリセットし、不正ユーザーをすべてのアクティブ・アカウントからログアウトさせました。 「異常」検出 これらの検出は、ユーザーアカウントにおける異常または予期しない活動を識別します。これには、通常とは異なるログイン時間や単発のログイン時間、異常なファイルアクセスパターン、個人または組織の過剰なアカウント作成などが含まれます。これらは、マルウェア感染、フィッシング攻撃、内部脅威など、さまざまな問題の兆候である可能性があります。異常スタイルの検出が表示された場合は、アカウントを調査して、異常の原因を確認する必要があります。 Barracuda Managed XDR は、特定のユーザのサインインパターンを認識し、そのユーザーが異常な時間にログインするとフラグを立てる、Windowsの「ユーザーの異常な時間」検出ベースラインを実装しています。SOC チームは2023年1月以降、この種のアクティビティに対して400件以上のアラートを発しています。 既知の悪意のあるアーティファクトとの通信 これらの検出は、危険フラグが立てられているか、悪意のある既知のIPアドレス、ドメイン、およびファイルとの通信を特定します。これは、マルウェア感染やフィッシング攻撃の兆候である可能性があります。既知の悪意のある、または疑わしいアーティファクトを含む通信を確認した場合は、直ちにコンピュータを隔離し、感染を調査する必要があります。 攻撃者の手に渡った AI 上記の例は、AIがセキュリティを大幅に強化できることを示していますが、攻撃者が悪意のある目的に AI...

海外ブログ

キルウェアとは何か、そしてなぜ次なる大きなサイバー脅威なのか のページ写真 7

キルウェアとは何か、そしてなぜ次なる大きなサイバー脅威なのか

2023年8月25日、Rosey Saini この10年でのインシデントの急増から、ランサムウェアやデータ流出はよく知られるようになりました。しかし近年、キルウェアと呼ばれる新しいタイプのサイバー攻撃が出現し、今や組織にとってセキュリティ上の大きな問題となっています。それにしても、「キルウェア」という言葉は実際には何を意味するのでしょうか。詳しく見てみましょう。 キルウェアとその攻撃を受けやすい業界 セキュリティ・マガジン誌の説明によると、キルウェアとは運用技術(OT)の操作を通じて社会に実生活上のリスクをもたらすことを意図して展開されるサイバー攻撃です。端的に言うと、キルウェア攻撃は人命に致命的または物理的な損害を与える可能性があります。重要なインフラを標的にするためです。 たとえば、ある都市の公共交通機関がハッキングされ、サービスが停止したとしましょう。交通機関は、公共の安全が脅かされないように攻撃者の身代金要求に応じることで事態に対処できますが、サービス停止中に誰かが怪我をする可能性があります。 企業のデジタル化が進むにつれ、脅威者はシステムに容易にアクセスできるようになり、キルウェア攻撃を実行する機会が増えます。米国土安全保障省(DHS)は、何千もの人々を危険にさらすという理由から、病院や電力網、銀行、警察などが主要なキルウェアの標的になると指摘しています。基本的に、高度にネットワーク化された業界や組織は、この種の攻撃を受けやすいのです。 キルウェア vs.マルウェア、その違いは? キルウェアもマルウェアも、その性質はよく似ているように見えますが、最終的な目標や定義方法は異なります。マルウェアは通常、使用される手口(フィッシングやクリプトジャッキングなど)に基づいて定義されますが、キルウェアは一般的に最終的な結果によって定義され、実行プロセスではランサムウェアなどあらゆる種類の手法が使用されます。また、ほとんどのサイバー犯罪者は金銭的な利益を期待してマルウェア作戦を実行しますが、キルウェア攻撃は他人に物理的な危害を加えることを目的としています。 キルウェア攻撃の実例 2020年、ドイツの大病院であるデュッセルドルフ大学病院がランサムウェア攻撃に見舞われ、医師の配置や治療を組織するデジタルインフラが崩壊しました。その影響で、即座の治療を必要としていた78歳の女性は、32キロ離れた別の病院への救急搬送を余儀なくされ、死亡しました。ドイツ当局が後に明らかにしたところによると、この攻撃の背後にいたハッカーは、同大学病院の職員に、救急車の受け入れを拒否させました。もし受け入れていれば、女性の命は救われたかもしれません。 2021年初頭には、別のキルウェア・インシデントが起きました。フロリダ州オールズマーの浄水場に悪質な攻撃者が侵入し、スーパーボウルが開催される数日前に水中の水酸化ナトリウム濃度を危険なレベル(100ppmから1万1100ppm)まで上昇させたのです。幸い、オペレーターは迅速に対応し、数分以内にシステムの制御を回復することができたため、病気や負傷者は報告されませんでした。この浄水場の従業員は互いにリモート・アクセスの認証情報を共有していたため、ハッカーは施設のネットワークに侵入することができたのです。 キルウェアの今後 オフサイトやハイブリッドでの仕事が急速に普及するなか、悪意ある攻撃も増加の一途をたどるでしょう。ガートナー社の調査によると、2025年までにサイバー犯罪者は、人間に対するキルウェア攻撃を成功させるために「OT環境を武器化」する能力を持つようになるといいます。同社はまた、攻撃による死亡事故のコストは、2023年末までに500億ドルを超えると予測しています。 キルウェア攻撃の影響を軽減するためのステップ キルウェア攻撃を受けた際、状況が拡大しないようにするために組織が取れるアプローチがいくつかあります。 これ以上被害が拡大しないように、すべてのOTデバイスを非アクティブにし、電源から切り離す。 社内のデバイスを工場出荷時にリセットし、ハッカーがデバイスの電源を入れ直した後にアクセス権を回復できないようにする。 OT機器の製造元に連絡し、インシデントを報告する。サプライヤーは、交換プロセスの詳細を提供できるかもしれない。   キルウェア・インシデントのリスクを減らす サイバー犯罪者がキルウェア攻撃を実行し続けるでしょうから、組織は確実に保護することが重要です。Barracuda CloudGen Firewall Rugged と Barracuda Secure Connector は、IoT/OT デバイスを大規模な攻撃から保護するための高度なセキュリティソリューションです。詳細については、https://www.barracuda.com まで。   レポート: 2023年ランサムウェアに関する考察   原文はこちら What exactly is killware, and why is it the next major cyberthreat? Aug. 25, 2023 https://blog.barracuda.com/2023/08/25/what-is-killware-and-why-is-it-the-next-major-cyberthreat

海外ブログ

脅威のスポットライト:AI 戦術の定着でランサムウェア攻撃の報告件数が倍増 のページ写真 8

脅威のスポットライト:AI 戦術の定着でランサムウェア攻撃の報告件数が倍増

2023年8月2日、Fleming Shi 2023年、AI(人工知能)と生成 AI が大きな話題を集めています。そしてその影響は、ランサムウェア攻撃にも及んでいます。標的のネットワークにアクセスするために AI で強化されたフィッシング攻撃や、よりリーチを広げるために AI を活用した自動化などがその一例です。過去12カ月間、AI はランサムウェアを新たな高みへと押し上げました。ランサムウェア攻撃の頻度は高くなる一方で、その勢いは衰える気配もありません。従来の攻撃手法は今後も根強く使われていくでしょうけれども、攻撃者はより効果的な攻撃を仕掛けるために生成 AI に注目するはずだと、私たちは考えています。 バラクーダの研究者は、2022年8月から2023年7月までの間に世界中で公に報告された 175 件のランサムウェア攻撃を分析しました。その結果、当社が追跡してきた主要カテゴリーである自治体および医療、そして教育セクターにおいて、報告された攻撃件数はいずれも昨年から倍増し、2021年と比べると4倍以上増加していました。 インフラ関連業種を狙った攻撃は、上位3業種と比較すると件数は少ないものの、昨年と比較すると2倍以上の件数が発生しています。自治体や教育機関はリソースに制約があるため、今後も狙いやすいソフトターゲットとみなされるでしょう。また、医療やインフラに対する攻撃は、人命に直接的かつ深刻な影響を与える可能性があり、サイバー犯罪者はその点を悪用して身代金を手に入れようとします。多くの国では、こうした業界の1つまたは複数がサイバーセキュリティ・インシデントを報告する法的義務を負っている可能性があり、これによって影響もより可視化されるようになってきています。 ランサムウェア攻撃の割合は、金融機関を除く5つの重点産業すべてにおいて前年比で増加しています。自治体への攻撃は 12% から 21% に、医療機関への攻撃は 12% から 18% に、教育機関への攻撃は 15% から 18% に、インフラへの攻撃は8% から 10% に増加しました。一方、金融機関への攻撃は6% から1% に減少しており、これはおそらく金融機関の防御能力が向上していることを示しているのでしょう。 他の業界に対するランサムウェア攻撃を分析したところ、公に報告された攻撃数は上位3業界よりも少ないものの、過去2年間で急増しているという同様のパターンが見られました。 特に、ソフトウェア企業に対するランサムウェア攻撃が増加しています。ソフトウェアはほとんどのビジネスを動かしているため、このようなソフトウェア・サプライチェーン攻撃が他業界への攻撃源となる可能性があります。また製造業やメディア、小売業界でもランサム攻撃の数は前年を上回っています。 ランサムウェア攻撃における生成 AI 戦術の影響 この1年に見られたもう1つの重要な進展は、生成 AI の台頭です。攻撃者は間違いなく、よく練られたフィッシングメールを作成するために生成 AI を使用しています。生成 AI の文章作成能力を利用することで、ランサムウェアを仕掛けるサイバー攻撃者は、より正確かつ迅速に攻撃を仕掛けられるようになりつつあります。生成 AI を使うことでフィッシングメールのスペルミスや文法の過ちをより簡単に排除できるため、攻撃がより回避的で説得力のあるものになるのです。 これまでずっと、ひどい文法やスペルミスを通して電子メール攻撃を見破るよう私たちは訓練されてきました。しかし、こうしたわかりやすい欠陥はおそらく今日では存在しないでしょう。攻撃者は事前に訓練された生成言語モデルを使用し、さまざまな言語で、さらには攻撃をよりカスタマイズするためにソーシャルメディアの自動スキャンを使用して、高度な文章を作成できるのですから。 攻撃者がいかに生成 AI のコード生成機能を利用して、ソフトウェアの脆弱性を狙った悪意あるコードを記述しているのかをセキュリティ研究者はすでに解き明かしています。 このような変化により、ランサムウェア攻撃を開始するために必要なスキルは、悪意ある AI プロンプトを構築し、ランサムウェア・アズ・ア・サービス・ツールにアクセスすることだけになりかねません。それは、まったく新しい攻撃の波につながっていく可能性があります。 バラクーダ SOC の洞察 一部の業界では、ランサムウェア攻撃が公に報告される数が倍増していますが、報告されない攻撃の数も劇的に増加していることは間違いありません。バラクーダの SOCアズ・ア・サービスを通してサイバー攻撃全体を見ると、過去12カ月間に、次のタイプのインシデントを観測しています。ビジネスメール侵害(BEC)、ランサムウェア、マルウェア感染、内部脅威、個人情報窃盗、およびデータ漏えい。インシデントになる前に阻止される攻撃が圧倒的に多いため、サンプル数は少ないものの、攻撃がどのように進行するかについて興味深い洞察が得られています。 インシデントの種類では BEC が最も一般的でした。しかし、BECは個人情報窃盗やマルウェア感染につながる可能性があります。そして、そこからランサムウェアにつながり、最終的には悪質業者がデータを流出させる方法を見つけることでデータ漏えいにつながっていきます。 つまり、このグラフが本当に教えてくれるのは、攻撃をどこで検知できたかということです。インシデントの BEC 段階で攻撃を検出し、ブロックするための措置が取られていることは心強いことです。万が一ネットワークに侵入する前に攻撃を検知して防ぐことができなくても、サイバー・キル・チェーンの早い段階で対応すれば、攻撃への露出や被害を減らすことにつながります。この図を見ると、これらのインシデントの関係を見て取ることができます。詳しく見てみましょう。 BEC は通常、被害者を引きつけ、さらにデータを漏えいさせたり、攻撃を MITRE ATT&CK フレームワークの流れに乗せるような行動を取らせたりします。ビジネルメールの段階で侵害が発見されない場合、攻撃の次の段階としてマルウェア感染や個人情報窃盗ががあり、攻撃者は被害者のネットワーク内で静かに横方向に展開し、データを取得して次の攻撃の種を蒔いている可能性があります。 そのため、XDRのようなツールを使用して、メールセキュリティのシグナルを検知したら、特にBECやアカウント乗っ取りといった障害が発生したら、即座に攻撃者を排除し、根絶する必要があります。だからこそ、バラクーダはオープンサイバーセキュリティスキーマフレームワーク(OCSF)をサポートしています。バラクーダは、OCSF 形式でメール脅威シグナルを公開しているため、顧客とパートナーはサイバーキルチェーンを短絡させるための対応を実装できます。 たとえば、BEC...

海外ブログ

ランサムウェア:身代金要求と支払いは増加の一途をたどる のページ写真 14

ランサムウェア:身代金要求と支払いは増加の一途をたどる

2023年8月17日、Tony Burgess このサイトや他のサイトで何度もお読みいただいているように、ランサムウェアは今なお世界中のあらゆる組織に影響を与えるサイバー脅威のトップです。そして、ランサムウェアの攻撃者が要求する金額は劇的に膨れ上がっています。最近でも、なんと身代金 20 億ドル(約 2000 億円)というケースがありました。 セキュリティ機関や企業は、ランサムウェアの攻撃を受けても身代金を支払わないよう再三推奨しているにもかかわらず、多くの組織は支払っています。しかし、場合によっては、当初の要求額よりも低い金額で交渉できることもあります。 2021年と2022年に発生した身代金要求と支払額のうち、最も大きなものをいくつか紹介しましょう。 エイサー・コンピューターが REvil によるランサムウェア攻撃を受け、5000万ドルの身代金を要求された。エイサーは 1000万ドルの支払いを申し出たが、REvil はこれを拒否した。 DarkSide は大手化学品販売会社 ブレンターク(Brenntag)を攻撃し、750万ドルの身代金を要求。ブレンターク社は 440万ドルの支払いを申し出、これが受け入れられた。 Conti ランサムウェアに攻撃されたアイルランドの公的医療サービス ヘルスサービスエグゼキュティブ(HSE)は、要求された 2000万ドルの身代金の支払いを拒否した。 JBSフーズは 2250万ドルの要求を受けた後、1100万ドルを REvil に支払った。 保険大手の CNA は、Evil Corp に要求された 6000万ドルの身代金のうち 4000万ドルを支払い、影響を受けたすべてのシステムを完全に復旧させることができた。 シュライバー・フーズは、攻撃を受けて複数の工場の閉鎖を迫られた後、250万ドルの要求に直面した。支払ったかどうかは明らかにしていない。 コロニアル・パイプラインは、攻撃の1日後、DarkSide が要求した身代金 500 万ドルのほぼ全額を支払った。 デラウェア郡当局は、サイバー保険会社に2万5000ドルの免責金額を支払い、その後、DoppelPaymer ランサムウェア犯罪団に未公表の身代金額を支払った。 イギリスのゴミ収集会社アメイPLCは、20億ドルという息をのむような身代金要求を受けたが、どのように対応したかは明らかにしていない。   なぜ支払ってはいけないのか この短いリストだけでもわかるように、ランサムウェアの犯罪軍団が要求する身代金の少なくとも一部を支払う組織は珍しくありません。しかし、前述したように、セキュリティおよび法執行機関は異口同音に、このようなペテン師に何も支払わないよう忠告しています。 なぜ支払ってはいけないのでしょうか。まず第一に、犯罪者が取引の約束を守り、被害に遭ったデータのロック解除や復号化を行う保証はありません。さらに、仮に犯罪者があなたのデータを解放することを選択したとしても、いったんお金を払ってしまえば、身代金を支払う組織として知られてしまいます。これは、犯罪者からも、あなたが支払う意思があることを知った他の犯罪者からも、さらなる攻撃を引き付けることは確実です。 ランサムウェア攻撃が成功すれば、身代金を支払う・支払わないにかかわらず被害を受けた側にはコストがかかることになります。であれば、ランサムウェア犯罪に関与して利益を永続させるよりも、弾丸を受け止め、データ回復のために必要なことを行うほうが、長期的にはよいことなのです。もし誰もお金を払わなければ、攻撃は止まるでしょう。 ではなぜ組織は身代金を支払うのか 状況はそれぞれ異なりますが、ランサムウェアに感染した組織が身代金の支払いを選択する理由には、いくつか共通項があります。 計画性の欠如:攻撃にどう対応するかについて包括的な計画を立てている組織は、身代金を支払う可能性が極めて低く、支払う代わりに計画に従います。しかし、計画がない場合、突然ランサムウェアに感染したことに気づき、大きなショックを受けます。パニックに陥り、問題を解決する最善の方法に見えるので、即座にお金を払うしか選択肢はないと思うかもしれません。 サイバー保険への過度の依存:サイバー保険に加入し、保険会社が身代金を支払ってくれるからもう心配することはないと考える組織もあります。しかし、保険は無料ではありません。免責金額を支払った後、インシデントが発生すると保険料は上がる可能性が高くなります。あるいは保険が打ち切られるかもしれません。最悪の場合、保険会社はインシデントを調査し、セキュリティ・インフラが保険会社の要件に準拠していなかったと結論づけ、保険金の支払いを拒否することもあります。 不十分なバックアップ:要求されている身代金を支払う必要がないことを保証する非常に簡単な方法が1つあります。高品質のデータ・バックアップ・ソリューションを使うことです。正直なところ、地方自治体や大企業が身代金の支払いを余儀なくされたり、長く困難でコストのかかる復旧作業を強いられたという話を聞くたびに、私は信じられない思いで首を振ります。そのような事態を避けるために必要なのは、優れた最新のバックアップ・ソリューションなのです。   いっさい支払わずに済ませる方法 先ほど述べたように、ランサムウェア攻撃を受けても最悪の場合でも「小さな不便」レベルでとどまるようにする最善の方法は、高度なバックアップソリューションです。言うまでもなく、筆者は Barracuda Backup と Barracuda Cloud-to-Cloud Backup を強く推奨します。また、古いバックアップソリューションがなぜ適切ではないかを理解しておくことは重要です。 ランサムウェア攻撃者はバックアップがアキレス腱であることを知っているため、バックアップを探し出し、ファイルを暗号化または破壊するランサムウェアを設計しています。したがって最新の優れたバックアップ・ソリューションは、そのようなマルウェアからデータを効果的に隠すことができなければなりません。 さらに、高速できめ細かなリカバリーが可能でなければなりません。テープベースのバックアップ・システムの管理担当者なら、暗号化されたサーバー数台分のデータを探してリカバリーしなければならないと考えただけで2週間ほど病欠すると会社に連絡を会社に入れたくなる気持ち、わかるでしょう。それはかなり長い間、チーム全員の時間を奪う作業となり、退屈でイライラすることでしょう。一方、バラクーダのような最新のソリューションでは、プロセスは簡単で高速であり、長くても1~2日、場合によっては数時間で通常業務に復帰できます。 防止策 もちろん、そもそもランサムウェアの攻撃を受けないのがベストです。100%防ぐ魔法の弾丸はありませんが、リスクを最小限に抑えるベストプラクティスは確立されています。 Barracuda Email Protection のような包括的で最新のメールプロテクションプラットフォームは、高度なユーザートレーニングと、ランサムウェア攻撃の大半の原因である内部および外部のフィッシングの試みを AI で検出する機能を組み合わせています。フィッシングの試みを検出し、全員の受信トレイから迅速に削除することで、多くのランサムウェアリスクを排除できます。 ランサムウェア攻撃は、アプリケーションレイヤーアタックによって開始されることが多くなっているため、優れた Web アプリケーションと...

海外ブログ

バラクーダはMicrosoftと連携してMicrosoft 365バックアップを新しいレベルへと引き上げる

2023年7月18日、Rich Turner バックアップ市場で20年来、Microsoft 365 および Microsoft Azure 向けソリューションを提供してきたバラクーダネットワークスはMicrosoftと協業して、あらたに Microsoft 365 バックアップ向けの新しい高可用性 API を開発しています。 バラクーダのエンジニアは、新しい Microsoft 365 API を活用して、バラクーダのネイティブソリューションである Barracuda Cloud-to-Cloud Backup を強化し、Microsoft 365 データの高可用性バックアップおよびリカバリを実現します。 バラクーダは2021年1月、Barracuda Cloud-to-Cloud Backupの最新バージョンを発表しました。Azureベースの新しいプラットフォームで Microsoft Teams および Exchange Online、SharePoint、OneDrive など Microsoft 365 データの高速な検索およびリストア体験を実現します。 Barracuda Cloud-to-Cloud Backup は、2021年のCRN Products of the Year のデータ保護および管理部門で総合優勝に選出されました。ついで2022年には、CRN Annual Report Card のデータ保護ソフトウェア部門で最高得点を獲得、4つのサブカテゴリすべてでも最高得点を獲得しました。両賞はチャネルパートナーの情報に基づいています。 提供者の声 Microsoft の今後のバックアップソリューションと、新しい APIが Barracuda Cloud-to-Cloud Backup にどのように適合するかについて、バラクーダと Microsoft の両社の幹部に聞きました。 「Azureが提供するスケーラビリティと瞬時のキャパシティを最大限活用できるよう、Microsoft Azure に Microsoft 365 向け Cloud-to-Cloud Backup を構築しました。Microsoft クラウドの高可用性バックアップ機能は、ビジネス継続性ビジョンの一環として即時のデータ復旧を望む金融サービスや医療など、データ量が多く、時間の限られた業界では特に重要です」と、バラクーダのデータ・ネットワーク・アプリケーションセキュリティエンジニアリング担当 SVPティム・ジェファーソンは述べています。 「バラクーダとのコラボレーションにワクワクしています。バラクーダの新しい Microsoft 365 Backup...

海外ブログ

脅威のスポットライト:恐喝攻撃 のページ写真 15

脅威のスポットライト:恐喝攻撃

2023年7月12日、Zixi (Claire) Wang メール詐欺のなかでも勢いを増している恐喝攻撃は、恥ずかしい写真など被害者にとって不利な情報で脅し、情報を公開されたくなければ暗号資産で支払うよう要求します。攻撃者は多くの場合、被害者のログイン認証情報を購入したり、データ漏えいによって被害者のログイン認証情報を見つけ、自分たちの脅迫が正当であることを「証明」します。 攻撃者が恐喝メール攻撃で使用する金融インフラストラクチャをより深く理解するために、バラクーダは最近、コロンビアの研究者と協力して、バラクーダネットワークスの AI ベースの検出システムが1年間に恐喝攻撃として検出した 30 万通以上のメールを分析しました。 その結果、比較的少数の攻撃者が恐喝メールの大部分に関与しており、上位 10のビットコインアドレスがメールの約 30% に、上位 100 のアドレスがメールの約 80% に出現していることが判明しました。 また、恐喝攻撃で要求される金額は少ないレベルにとどまっており、1000ドル未満の金額を要求するメールが 25 %、2000ドル未満の金額を要求する恐喝メールが 90 %以上を占めていることもわかりました。 ここでは、こうした恐喝攻撃で使用される暗号資産、攻撃者がビットコインアドレスを使用する方法、送信する攻撃の量、要求する金額について詳しく見ていきます。 恐喝攻撃者が使用する暗号資産 私たちが分析したデータセットでは、攻撃者による暗号資産はビットコインのみでした。イーサリアム、ライトコイン、モネロなど、他の暗号資産を使用した恐喝攻撃例は見つかりませんでした。攻撃者が身代金の支払い方法としてビットコインを使用する理由はいくつか考えられます。ビットコインは匿名性が高く、取引にはウォレットアドレスが使用され、誰でも好きなだけウォレットアドレスを生成できるのです。 さらに、ビットコインを取り巻くインフラが十分に発達しているため、被害者がビットコインを購入したり、攻撃者が「ミキサー」(多数のウォレットからビットコインをランダムに組み合わせたり分割したりすることで、取引履歴を不明瞭にするように設計されたサービス)を使って行為をさらに匿名化したりすることも容易です。加えて、ブロックチェーンは一般に公開されているため、被害者が支払ったかどうかを簡単に確認でき、従来の通貨取引で生じる問題をいくつか取り除くことができるのです。 ビットコインアドレス分析 ビットコインは匿名ではありますが、攻撃者が恐喝メールを送信する際に使用するビットコインアドレスを分析することで、攻撃者とその行動について非常に興味深い特性を知ることができます。たとえば、バラクーダユーザーが受信した複数の攻撃メールで同じアドレスが使用されている場合、攻撃者が誰であるかは不明ですが、同じ攻撃者(または攻撃者グループ)に属していることはわかります。 このような分析を行うために、私たちは使用したデータセットのすべての恐喝メールをビットコインアドレスでグループ化し、一意のアドレスの数と特定のアドレスが出現するメールの数をカウントしました。 その結果、攻撃は少数のビットコインアドレスに集中していることがわかりました。私たちのデータセットには合計で約 3000 の一意のビットコインアドレスがあり、そのうち上位 10 のアドレスはメールの約 30 %に、上位 100 のアドレスはメールの約 80 %に出現していました。 従って、比較的少数の攻撃者が恐喝メールの大部分に関与していると推測できます。この点は、私たちに希望を与えてくれます。というのも、これらの攻撃者を阻止したり、その手口を効果的にブロックすることができれば、恐喝メールという脅威の大部分を無力化することができるからです。 ビットコインアドレスとメール送信者の相互分析 特定の電子メールを特定の攻撃者に帰属させるために使用できるもう1つの重要な情報は、実際の電子メールのフィールドです。たとえば、各メールの「送信者」フィールドを攻撃者のプロキシとして使うことができます。1人の攻撃者は異なるメールアカウントから容易にメールを送信できますが、同じ送信者から複数のメールを受信した場合、そのメールは同じ攻撃者のものであることがわかっています。 そこで、電子メールの「送信者」フィールドによって電子メールをグループ化し、各「送信者」が送信する電子メールの数と、各送信者が電子メールで使用する固有のビットコインアドレスの数を数えました。分析をわかりやすく視覚化するために、送信者が送信したメールの数でグラフを分解しました。 この分析からいくつかの興味深いことが明らかになりました。まず、送信者の大多数が、攻撃を送信する際に同じビットコインアドレスを使用しています。大量のメールを送信する送信者だけでなく、少量のメールを送信する送信者も同じです。次に、データセット全体の一意の送信者 12 万人のうち、10 通以上のメールを送信した送信者は 3000 人未満でした。500 通以上のメールを送信した送信者はわずか8人でした。 このことから私たちは、攻撃者が自分の身元を難読化することにさほど注力しておらず、ほとんどの場合、こうした恐喝攻撃に同じビットコインアドレスを使用しているらしいと結論づけました。これもまた明るい兆しです。比較的少数のビットコインアドレス(および攻撃者)であれば、法執行機関によって追跡できるからです。 攻撃者が要求する金額はいくらか 攻撃者の行動をよりよく理解するために、恐喝攻撃者が要求する金額と、その金額がデータセット間でどの程度一貫しているかを理解したいと考えました。メール本文で要求された金額を知るために、$、usd、us dollar、euro、€、GBP、£など、様々な通貨の表記を抽出しました。 ビットコインアドレスを抽出できた 20 万通のメールのうち、97 %が米ドル、2.4 %がユーロ、残りの 0.6 %が英ポンド、カナダドル、ビットコインなどを要求しています。抽出された金額が米ドルでない場合は、比較のため、メールが送信された日の米ドルに換算しました。 以下は、金額分布の累積分布関数です。非常に興味深い結果となっています。 ほとんどすべての攻撃者が400〜5000ドルの金額を要求している。 25%のメールが1000ドル未満の金額を要求している。 90%以上の恐喝メールが2000ドル未満の金額を要求している。 攻撃者が最もよく要求する金額は500〜2000ドルである。 攻撃者が要求する金額は、「スイート・スポット」と呼ばれる帯域に比較的集中していると推測されます。すなわち、攻撃者にとっては十分な金額ではありますが、高すぎる金額ではないのです。 被害者が支払いを避けるほど高くない。 被害者が、攻撃者が実際に危険な情報を持っているかどうかを調査する原因になる(通常、そうならない)ほど高くない。 被害者の銀行や税務当局に警戒心を抱かせない金額である。   また、これらの攻撃で要求される金額が非常に特定の帯域に集中していることや、攻撃者が比較的小規模なグループに属しているようであることから、おそらく互いに「ベストプラクティス」を採用しているのではないかと推測されます。 結論...

海外ブログ

公式Twitter