Others

デジタルネイティブによるインサイダー脅威の軽減

トピック： User Training and Security Awareness 2022年10月26日、Phil Muncaster   　企業のサイバーセキュリティにおいて、従業員が最大の弱点であるとよく言われます。しかし、特定のタイプの従業員が他の従業員よりも大きなインサイダー脅威となるかどうかについては、あまり議論されていないのが現状です。これは、収益に大きな影響を与える可能性があります。ある試算によると、インサイダーの脅威を是正するために、グローバル企業は昨年、平均1500万ドル以上のコストを要しています。 　 EY の最新調査によると、サイバーセキュリティにあまり真剣に取り組んでいないのは、若い世代の働き手です。デジタルネイティブの行動を変え、情報に基づいた責任あるアプローチを奨励する方法を見つけることは、IT リーダーにとって簡単なことではありません。しかし、それは可能です。 EYの所見 　この調査は、米国の従業員1000人を対象に、セキュリティに対する意識と習慣について調査したものです。「Z世代」や「ミレニアル世代（Y世代）」と呼ばれる世代は、あまり意識が高くないようです。具体的には、次のようなことが明らかになりました。 Z 世代の約半数（48％）とミレニアル世代の 5 分の 2 （39％）は、仕事用のデバイスの保護よりも個人用デバイスのセキュリティのほうが重要であると認めています。 Z 世代（58%）と Y 世代（42%）は、X 世代（31%）とベビーブーマー世代（15%）よりも、IT の必須更新を可能な限り長く無視する傾向がある。 Z 世代（30％）と Y 世代（31％）は、X 世代（22％）とベビーブーマー世代（15％）よりも、仕事と個人のアカウントに同じパスワードを使用する傾向が強い。   　一見すると、この調査結果は直感に反しているように思われるでしょう。デジタルネイティブが技術に精通しているならば、サイバーリスクをよりよく理解し、セキュリティのベストプラクティスに従おうとするはずではないですか。なぜそうでないのか、その理由はこの調査では明らかにされていません。明らかになったのは、調査対象の従業員の大多数（83%）が、雇用主のサイバーセキュリティプロトコルを理解しているということです。つまり若い従業員は、意図的にプロトコルに従わないことを選択しているように見えるのです。 ハイブリッドで働くリスクの新時代 　このことは、Z 世代が社会に出て主要な労働力となるにつれて、IT およびセキュリティのリーダーにとってますます大きな課題となることでしょう。Z 世代は2025年には、労働者の４分の１以上（27%）を占めると予測されています。インターネットのない世界を知らずに育った最初の世代であるがゆえに、危険な行為がもたらす潜在的な影響について、より無関心になったということでしょうか。 　このことは、ハイブリッドな職場環境において、ますます大きな問題となります。 ハイブリッドな働き方では、リスクを取る自由度が高くなります。2021年のある調査によれば、多数の在宅ワーカーが会社のノートパソコンでゲームをしたり、オンラインショッピングをしたり、インターネットからダウンロードしたりするなど、個人的な用途に使っていました。 リモートワークをしている従業員は注意力が散漫になりがちです。その結果、フィッシングメールをうっかりクリックする可能性があります。 個人所有のデバイスやホームネットワークは、企業のものほど保護されていない可能性があります。   まずはトレーニングから始める 　このような背景から、企業のサイバーセキュリティは、人を中心に設計される必要があります。つまり、暗号化や多要素認証、データ損失防止など、ユーザーがミスをする前提で、重要なデータやシステムを保護するためにコントロールする必要があるのです。また、パッチやリモートデバイス管理に関するポリシーをより積極的に実施し、かつてなく分散化した IT 環境全体における攻撃対象領域を縮小する必要があります。しかし、これはユーザーの意識向上トレーニングプログラムの見直しと更新も意味します。 　企業のサイバーセキュリティ戦略において、この重要な部分を評価する際には、以下の点を考慮してください。 適切なツールを見つける：トレーニングソリューションは、高度にカスタマイズされた実環境のシミュレーションを提供する必要があります。フィッシングの手口は日々進化していますから、その進化に合わせて微調整のできるものがよいでしょう。また、ユーザーの行動に関する詳細な測定基準を提供し、従業員へのフィードバックやトレーニング方法の変更に利用できるとよいでしょう。 レッスンは短時間かつ簡潔に：退屈なレッスンを長時間、不定期に行うよりも、10～15分のインパクトのあるセッションを定期的に行うほうがよいでしょう。 誰も排除しない：役員からパートタイマー、契約社員に至るまで、誰もが潜在的な脅威の媒介者となります。すべての人がトレーニングや意識向上プログラムに参加する必要があります。 文化を作ることに焦点を当てる：脅威に対する認識を高めることと、インシデントの報告を促すように行動を変えることは、別の問題です。EYの調査によると、回答者の16%は、セキュリティ侵害の可能性がある場合、報告するよりも自分で対処しようとする傾向があることがわかりました。「報告しすぎている」という批判を受けたりせず、従業員が安心して報告できる環境が必要です。 プログラムの拡充を検討する：仕事とプライベートの境界線があいまいになりつつある今日、トレーニングと意識改革を両輪とする必要性が高まっています。社員の自宅をマイクロサテライトオフィスととらえましょう。 2 人として同じ従業員はいない：人事部と協力して、行動や役割に応じてユーザーを個別のグループにプロファイリングすることを検討する価値はあるでしょう。そうすれば、トレーニングプログラムを個人により特化し適切なものにすることができます。   　人目を引く見出しとは裏腹に、ユーザーのセキュリティ意識は、Z および Y 世代だけの問題ではありません。EY によると、強力なパスワードの使用、業務用デバイスの最新状態の維持、フィッシングの特定、その他のベストプラクティスについて「非常に自信がある」と回答した人は、全体的に半数以下であることがわかりました。IT とセキュリティのリーダーは、人とプロセス、そしてテクノロジーに焦点を当てることによって初めて、インサイダーリスクをより適切に管理することができます。   セキュリティ啓発トレーニングでセキュリティの脅威に対抗しましょう   原文はこちらMitigating the insider threat from digital nativesOctober...

海外ブログ 2022.11.07

AIを活用したメールセキュリティソリューションに求められる3つのポイント

2022年10月21日、Fleming Shi ランサムウェアは世界中の組織に災いをもたらし続けています。当社が行った調査によると、2021年には攻撃数が64%増加し、そのターゲットは自治体および医療や教育、その他の業界に広く及んでいます。こうしたランサムウェア攻撃は日々の業務を停滞させ、混乱をまき散らし、ダウンタイムや身代金の支払い、復旧費用などの金銭的損失をもたらします。予算外の予期せぬ出費は、大規模な組織をも崩壊させる可能性があります。 ランサムウェアには、国全体を倒壊させる力さえあります。コスタリカ政府は、2000万ドルの支払いを要求しているロシア系のランサムウェア集団Contiとの闘争に巻き込まれています。また、米イリノイ州にある157年の歴史を持つリンカーン・カレッジは、ランサムウェア攻撃で壊滅的な打撃を受け、今年初めに閉校を余儀なくされました。 しかし、負けてばかりというわけではありません。以前にも増して破壊的かつ広範になっているランサムウェアに対して、機械学習（ML）と人工知能（AI）の進歩がより効果的な防御の鍵を握っているのです。 ランサムウェア対策はメールから ランサムウェアは、あらゆる脅威ベクトルを通じて配信されますが、ほとんどの攻撃は電子メールを通じて行われます。電子メールは顧客やパートナーなど、組織外のエンティティとの接続に最も一般的に使用される通信手段ですから、当然のことでしょう。しかもユーザーはたいてい、組織のセキュリティチェーンの最も弱い部分です。企業ネットワークへの最初のアクセスと制御を得たい脅威者にとって、電子メールがいかに魅力的なバックドアを提供するかは一目瞭然です。１人のユーザーが１回クリックするだけで、ネットワークを侵害し、破壊的なランサムウェアのペイロードを送り込むことができるのです。 たしかに、Microsoft 365 や Gmail といったメールプラットフォームは幅広いセキュリティ機能を提供しています。しかし最近の攻撃から、こうしたメールゲートウェイソリューションのネイティブなセキュリティ機能には、悪意ある行為者にとって悪用しやすい脆弱性が多く存在することが明らかになっています。ブランド偽装、レガシー URL レピュテーション回避（LURE）、HTML 密輸、コード難読化などの高度な回避技術を使用し、攻撃者はセキュリティフィルターを騙して、悪意のあるリンクや侵害ファイルを正当なビジネスコミュニケーションであると思わせることができるのです。 また、高度化だけでは足りないとばかりに、ランサムウェア・アズ・ア・サービス（Ransomware-as-a-Service）攻撃により、ランサムウェアのペイロードの開発がアウトソーシングされるようになりつつあります。これにより、クレジットカードとお金さえあれば、遠隔地にあるシステムにアクセスし、そのシステムを乗っ取ることができる悪質なコードをダークウェブで購入できるようになりました。それだけではありません。身代金の支払い額は指数関数的に増加し続け、組織の財務にますます破壊的な影響を及ぼしています。前述の当社の調査によると、１件あたりの身代金要求額の平均は現在 1000 万ドル以上、2021 年の要求額の30％は、3000 万ドル以上となっています。 AI / MLは魅力的なソリューションを提供 多くのセキュリティツールは、被害が発生した後にランサムウェア攻撃を一掃するのに役立ちます。ただ、ランサムウェア攻撃による財務リスクとレピュテーションリスクを考えると、組織にはランサムウェア攻撃を事前に阻止できるソリューションが必要です。幸い、AI / MLを搭載したソリューションは、さまざまな形態のランサムウェア攻撃をエンドユーザーに到達する前に特定し、阻止することができます。新しい脅威が発見されるたびにリアルタイムで常にトレーニングされるこれらのソリューションは、不正なドメインや正当な送信者を装った異常な通信をもとにメールメッセージを識別します。特定されたメッセージは、隔離フォルダに移動され、さらに検査されます。 しかし、すべてのランサムウェア対策ソリューションが同じように作られているわけではありません。ここでは、セキュリティチームがAI / MLを搭載したメールセキュリティソリューションに求めるべき３つのポイントについて説明します。 メールプロバイダーへの API 統合 当然のことながら、メールプロバイダーが重点をおくのはセキュリティではなく、メールです。それがコアビジネスなのですから。最新のセキュリティ脅威や MITRE ATT&CK フレームワークの技術、およびランサムウェアのトレンドに対応し続けることは、時間とコストがかかります。そこで、顧客のビジネスを守ることを第一に考えている開発者によって構築され、維持されているサードパーティのメールセキュリティソリューションに頼ることをお勧めします。メールプロバイダーとメールセキュリティソリューションのシームレスな API 統合により、組織内の各個人の社内外のメールコミュニケーションや履歴を可視化します。これは、AI が企業内、従業員間、既知および未知の外部組織とのコミュニケーションパターンを学習するために使用できる重要なデータです。 なりすましの試行を AI で識別 完全な保護が可能かどうかは、なりすましを特定する能力にかかっています。AI / ML を搭載したソリューションには、社内外向けの電子メールおよび過去のメールのメタデータを使用して、それぞれの用途に応じた ID グラフを作成する能力が必要です。メールアドレス、文書の種類、使用する名前、自然言語解析（NLP）、個人のユニークなコミュニケーションパターンを定義するその他の特徴からなるパターンを学習することで、ソリューションが行動、コンテンツ、リンク転送の異常を識別することを可能にします。 ユーザーがメッセージを交わす前にリアルタイムで修復 ランサムウェアに関しては、スピードが重要です。メールセキュリティソリューションには、手遅れになる前に脅威を特定し、隔離する能力が必要です。AI / MLは人間よりも迅速に行動し、ユーザーがメッセージをやり取りする前に受信トレイから脅威を取り除くことができます。修復は、ユーザーと IT 管理者の両方に通知アラートを送信して、リアルタイムで行う必要があります。 ランサムウェアの阻止には、先手を打つ予防的メールセキュリティが重要 ランサムウェアは、より洗練され、より一般的になり、攻撃のコストはより低くなっています。一方で、身代金の支払い額は急騰し続けています。こうした回避的な脅威を阻止するには、AI / MLを活用して先手を打つ予防的なメールセキュリティが必要です。メールプロバイダーとシームレスに統合されたソリューションは、リアルタイムの行動分析に基づいてなりすましの試みを自動的に識別し、最も巧妙で回避的なランサムウェアの試みも、何も知らないユーザーがメールを通じたコミュニケーションをとる前に削除します。AI / MLを活用した自動化されたソリューションならば、ランサムウェアの広範な攻撃を阻止できます。最初のアクセスを足がかりにしてあなたの組織の最も重要なビジネスシステムを制御しようとする攻撃を先制することができるのです。 フィッシングやビジネスメール侵害をAIベースのソリューションで防御しましょう この記事は Spiceworks.com からの転載です。 原文はこちら 3 things to look for in an AI-powered email...

Others 2022.11.01

DDoS 攻撃はあまりにも一般的になりつつある

2022年10月17日、Mike Vizard ウクライナ戦争が始まって以来、分散型サービス拒否（DDoS）攻撃は日常茶飯事となりつつあり、しかも、まだまだ悪くなる可能性があります。 キルネット（Killnet）と呼ばれる親ロシア派のハッカー集団は、DDoS 攻撃で米国の複数の空港にアクセス障害を引き起こし、ロサンゼルス国際空港（LAX）、ハーツフィールド・ジャクソン・アトランタ国際空港、シカゴ・オヘア国際空港など、14の空港 Web サイトへのアクセスが一時的にできなくなりました。 この攻撃は、ロシアとウクライナの紛争が始まって以来、両国それぞれを支援するハッカー活動家が続けている攻撃の一部です。ウクライナはボランティアを募り、IT インフラを開放して誰でも DDoS 攻撃が仕掛けられるようにまでしています。 当然ながら、ほかのハッカー集団も様々な目的を達成するために同様の戦術をとっています。台湾やインドでは大規模な DDoS 攻撃があり、コロンビアでは対立する政治運動が DDoS 攻撃を利用してWebサイトにアクセス障害を起こしました。最新の調査によると、2022年上半期に世界で発生した DDoS 攻撃は601万9888件にのぼります。 世界中のインターネットサービスプロバイダー（ISP）から収集した統計によると、2021年初頭に登場した TCP ベースのフラッド攻撃が、現在最も多い攻撃ベクトルです。2021年初頭に始まったフラッド攻撃が全体の約46％を占めており、この傾向は今も続いているとこの調査は指摘しています。 DNS 水攻め攻撃は2022年にかけて加速度的に増え、主に UDP クエリフラッドを使用して46%増加しました。一方、カーペットボミング（じゅうたん爆撃）攻撃が第2四半期末に大きく復活したことも報告されています。逆に、DNS 増幅攻撃は上半期に前年同期比で31%減少しました。 この調査では、マルウェア・ボットネットの増殖が驚くべき速度で拡大していることにも注目しています。2022年第１四半期の２万1226ノードに対して、第２四半期には48万8381ノードが確認されたと述べています。これらのノードの多くは、アプリケーション層への攻撃に使用されていると調査は結論づけています。 最後にこの調査によると、2022年初頭に発見された TP240 PhoneHome リフレクション（アンプリフィケーション） DDoS 攻撃ベクトルは現在、42億9396万7296 対１という記録的な増幅率を示しています。 さらに厄介なことに、今では DDoS 攻撃がランサムウェア攻撃に組み込まれるようになっていることです。ランサムウェアの要求に応じない組織には、降伏を強要するために DDoS 攻撃が浴びせかけられるのです。 DDoS 攻撃の目的にかかわらず、インターネットそのものが攻撃ベクトルになっていることは明らかです。世界中の ISP は、インターネット上でビジネスを行うのはあまりに困難であると企業が結論づける前に、これらの攻撃を阻止するために団結する必要があるでしょう。DDoS 攻撃をはじめとする悪質な行為によって、ビジネスリーダーが現在のインターネットはその価値以上に厄介であると結論づけるまでにはまだ時間があるかもしれませんが、インターネットが攻撃を受けていることは明らかです。Eコマースサイトからデジタルトランスフォーメーション（DX）の取り組みまで、程度の差こそあれ、あらゆるものがすでに影響を受けているのです。 実のところ、ハッカー活動家にとって団結して DDoS 攻撃を始めることは朝飯前です。この状況が変わらない限り、様々な活動を支援する DDoS 攻撃はますます一般的になっていくでしょう。しかも困ったことに、怒りを表現するために DDoS 攻撃を仕掛けてきそうな新たな活動が、毎週のように生まれているのです。 原文はこちら DDoS attacks are becoming much too common October 17, 2022　Mike Vizard https://blog.barracuda.com/2022/10/17/ddos-attacks-are-becoming-much-too-common/

海外ブログ 2022.11.01

ランサムウェアを超えて：ほかのマルウェアの脅威について

トピック: Managed Services 2022年10月14日、Kevin Williams   ランサムウェアがいかに企業や組織に侵入しているかについては、今なお注目を集めています。しかし、「昔ながらのマルウェア」、すなわちウイルス、トロイの木馬、スパイウェア、ワームなど、ランサムウェア以外の厄介なものすべてを無視すると、大きな代償を払うことになります。 「企業や MSP （マネージドサービスプロバイダ）のITスタッフが不足しているなか、監視すべき脅威はほかに多くあるにもかかわらず、どうしてもランサムウェアやインサイダーの脅威の阻止にリソースが集中しがちです」と、フェニックスのサイバーセキュリティ・アナリストであるセシル・クレイグは、述べています。 「ほかの脅威」の中には、さまざまなペイロードが含まれています。「事例証拠から、ハッカーはこれまで以上に多様な手法でシステム侵入を試みているようです」とクレイグは言います。 ランサムウェア以外の最近の主なマルウェアのインシデント Nullmixer （ナルミキサー）：Google 検索結果の悪意のあるサイトで宣伝される偽のソフトウェアクラックを通じて、Windows デバイスを十数種類のマルウェアファミリーに同時に感染させる新しいマルウェアドロッパーです。NullMixer は感染経路として機能します。1つの Windows 実行ファイルから12種類のマルウェアファミリーを起動し、1台のデバイスを通して20数種類の感染を引き起こすのです。 「Nullmixer のようなマルウェアはハッカーにとって、パスワード窃盗やスパイウェアを含むワンストップショップのような役割を果たします」と、クレイグは言います。さらに、トロイの木馬、バックドア、スパイウェア、バンカー、偽の Windows システムクリーナー、クリップボードハイジャッカー、暗号通貨マイナーなどのドロッパーとなる可能性があるとの報告があります。 Chaos（カオス）：最近、目につくようになった IoT （モノのインターネット） マルウェアで、金融サービス業界を含む特定の業種をターゲットとしています。サイバー犯罪者は、Google のプログラミング言語である Go を使用して、特定の IoT デバイスを狙い撃ちしています。 ZDNetによると、Chaosは、ファイアウォールデバイスの既知だがパッチが適用されていない脆弱性を悪用して、ネットワークへの足がかりを得ようとします。これには、ファーウェイ社の家庭・小規模企業向け無線ルーターHG532に影響を与えるリモートコード実行の重大な欠陥（CVE-2017-17215）や、ザイセル社のルーターにあるより新しい欠陥（CVE-2022-30525）などが含まれます。 「これは IoT のエコシステム全体の一例です。実に多くのシステムにおける真の弱点なのです。MSP は、IoT のエントリーポイントを保護し、セキュリティを確保するために警戒を怠らない必要があります」と、クレイグは述べています。 Erbium（エルビウム）：あるアナリストはこの新しいマルウェアを「深刻な脅威」と呼びます。 Laptop Magazine は、Erbium を「パスワード、クレジットカード、クッキー、暗号通貨ウォレット、さらにはそれ以上を狙うデータ・情報窃取ツール」と表現しています。「急速な広がりと入手のしやすさから、将来的には新たな方法でユーザーを感染させられるよう適応していくでしょう」 パワーポイントマルウェア：Bleeping Computerによると、ロシアのために働いていると思われるハッカーが、マルウェアを配布する手段としてパワーポイントを使い始めたのが最初です。 「マイクロソフトのロゴにマルウェアを隠蔽したハッカーと同様、これもブランドの知名度を利用したハッカーの一例です。ほとんどの人はパワーポイントを信頼しており、それがマルウェアを送り込む手段であるとは考えもしないでしょう」と、クレイグは言います。 マルウェアの配布は、Microsoft PowerPoint のプレゼンテーションでのマウスの動きから始まります。これが、悪意のある PowerShell スクリプトを起動させるのです。 官公庁の求職サイト： TechRadar によると、サイバー犯罪者は米国とニュージーランドの求職者を食い物にして、Cobalt Strike （コバルトストライク）ビーコンをはじめとするウイルスやマルウェアも配布しているとのことです。 以下は TechRadar からの引用です。 　Cisco Talosの研究者によると、未知の脅威者が、米人事管理局（OPM）やニュージーランド公共サービス協会（PSA）になりすまし、電子メールで複数のフィッシングルアーを送信しています。　 このメールにWord文書が添付されていて、そこに求人情報の詳細が記載されているからダウンロードして実行するよう誘います。 「求職中のすべての人がわらにもすがる思いだというわけではないでしょうけれど、求職中の人はほかにも考えることがたくさんあり、普通ならありえないようなことに簡単にだまされるかもしれません」と、クレイグは警告します。MSP は、セキュリティの総合的なアプローチを取るべきです。広い網を張りめぐらせ、あらゆる脆弱性に目を光らせている必要があります。 「たとえランサムウェアの攻撃をうまくかわしたとしても、ほかの攻撃から同じくらい壊滅的な被害を受ける可能性があります。すべてに目配りをしていなければ、思うような効果は上がりません」と、クレイグは言います。 今すぐ知っておくべき13タイプのメール攻撃～高度化する攻撃をメールボックス保護によって防止する方法～ この記事はSmarterMSP.comからの転載です。SmarterMSP.com を定期購読すると、MSP ビジネスを強化するための最新のサイバーセキュリティに関する洞察、ニュース、情報がお手元に届きます。 原文はこちら Beyond ransomware: A look...

海外ブログ 2022.10.25

サイバーセキュリティの良心に関わる問題

October 10, 2022年10月10日、Mike Vizard 　長年サイバーセキュリティ専門家を悩ませてきた倫理的課題の１つは、セキュリティ専門家と雇用主である組織の間には秘匿特権で守られる情報がないことです。その結果、雇用主に対する義務と、多くの人やコミュニティ、あるいは人類の利益との間に矛盾が生じた場合に、サイバーセキュリティ専門家が依拠できる、一般に合意された倫理的手続きが存在しないのです。 　この問題は、最近の２つの著名な裁判の核となっています。サイバーセキュリティの専門家コミュニティが一方の側についたことに端を発した事件の裁判です。ひとつは、元Uber最高セキュリティ責任者のジョー・サリバンをめぐる裁判です。サリバンは、「Uberにおける2016年のハッキングの隠蔽工作に関連して、連邦取引委員会の手続きを妨害し、重罪を隠匿」したことで有罪を言い渡されました。 　連邦大陪審は政府側の言い分を認め、5万人以上の顧客の個人情報にアクセスされるという侵害を受け、脅迫されたUberが、そのサイバー犯罪者に対して報奨金プログラムを利用して支払ったことを規制当局に開示しなかったことを有罪とみなしたのです。争われた点は、侵害をどう処理したかよりも、侵害を開示しなかったことで上場企業の投資家に対する受託者責任が損なわれたことだったのです。 　ふたつ目の裁判は、ピーター・“マッジ”・ザトコが、ハッカーに対する防御とスパム対策における「極めて重大な欠陥」について連邦規制当局と取締役会を欺いたとして、かつての雇用主Twitter社を内部告発したものです。米証券取引委員会、司法省、連邦取引委員会（FTC）に提出された訴状によれば、Twitter社は強固なセキュリティ計画を有していると主張したことで、FTCと11年前に結んだ和解の条件に違反したとしています。 　当然ながら、大義のために訴訟を起こしたことに拍手を送る人がいる一方で、SECの内部告発者向けの報奨金目当てではないかと考える人もいます。報奨金が数百万ドルにのぼることもあり、それが訴訟を起こす動機になったと見る批判的な声があるのです。 　今後何年にもわたる訴訟合戦が予想され、最終的にどのような判決が下されるかわかりませんが、いずれにせよ、サイバーセキュリティ専門家は特に上場企業で働く場合、その法的責任の範囲をめぐり究極の試練に立たされています。企業評価に重大な影響を与える情報の隠蔽は、過去にも犯罪と見なされてきました。しかしこれまでと大きく異なるのは、データ侵害が株価に影響するため、連邦政府がサイバーセキュリティ専門家に証券取引法の文言を適用している点です。秘密保持契約（NDA）の有無にかかわらず、何であれ連邦規制当局に偽って伝えることは、常に法的な危険をはらんでいるのです。 　とはいえ、組織の側は、話したことすべてが訴訟のネタになると恐れたりせず、どのようなレベルのリスクが想定されるのかをサイバーセキュリティ専門家と率直に話し合うべきです。訴訟の恐れがあるとなると経営陣は、サイバーセキュリティの問題をできるだけ議論しないという道を選びがちです。しかしそれでは冷や水を浴びせることになり、関係者全員にとって逆効果となるでしょう。対話のできる安全な場が必要なのです。もちろん、株主が危険にさらされ、サイバーセキュリティのリスクが無視されていても内部告発を行うべきではない、と言っているのではありません。サイバーセキュリティのリスクに直面した場合にどう対処すべきか、その手順を文書化する必要があり、訴訟を起こすのは最後の手段とすべきなのです。 　サイバーセキュリティの専門家のなかには、株主に対してそのようなレベルの義務を負わなくて済む非公開企業で働くほうがよいという結論を出す人もいるでしょう。しかし大半は、どのような企業に勤めていようと、何を公表すべきか倫理的に悩み続けるでしょう。サイバーセキュリティ専門家に対する何らかの秘匿特権が法廷で認められることは、今後もおそらくないのですから。代わりにサイバーセキュリティ専門家は、これまでと同様、自らの良心に従うことになるのです。   原文はこちらA matter of cybersecurity conscienceOctober 10, 2022https://blog.barracuda.com/2022/10/10/a-matter-of-cybersecurity-conscience/

海外ブログ 2022.10.18

Microsoft Exchange Server の脆弱性：CVE-2022-41040およびCVE-2022-41082

2022年10月4日、Vishal Khandelwal 　Barracuda Web Application Firewall ハードウェアおよび仮想アプライアンス、AWSとAzure、およびGCP上のBarracuda CloudGen WAF、Barracuda WAF-as-a-Service、そしてBarracuda Load Balancer ADCは、Microsoft Exchange Server edition 2013、2016、2019に影響を与える、最近見つかったゼロデイ脆弱性の影響を受けないことを確認しています。CVE-2022-41040 として識別される脆弱性はサーバサイドリクエストフォージェリ（SSRF）であり、CVE-2022-41082 として識別される脆弱性はリモートコード実行（RCE）です。 　これらの脆弱性については、今後も継続的に更新していきますので、本スペースをご覧ください。 脆弱性の詳細 　最近、GTSCは２つのゼロデイ脆弱性を発見し、その詳細を Zero Day Initiative（ZDI） と共有しました。ZDIが検証し、認めたバグは以下の通りです。 ZDI-CAN-18333 | Microsoft | CVSS: 8.8 ZDI-CAN-18802 | Microsoft | CVSS: 6.3   　ZDIは、その内容をマイクロソフトと共有し、マイクロソフトの調査に基づき、特定された脆弱性に関して、以下のCVEを公開しました。　 CVE-2022-41040 | CVSS:3.1 8.8 / 8.1 | Vendor Severity: Critical| SSRF CVE-2022-41082 | CVSS:3.1 8.8 / 8.3 | Vendor Severity: Critical| RCE   　これらの脆弱性は2022年9月29日に公開されたもので、Microsoft Exchange Server 2013、2016、2019に影響を与えます。どちらのCVEも、攻撃者が認証されたユーザーとして、脆弱なExchange Serverにアクセスする必要があります。　 　SSRF 攻撃は、認証されたユーザーとしてPowerShellへのアクセスを取得した後に実行されます。その後、攻撃者はCVE-2022-41082 で説明されている RCE 攻撃を実行することも可能です。 　Barracuda Web Application Firewall、WAF-as-a-Service、およびLoad Balancer ADCは、この脆弱性の影響を受けません。 攻撃の検知と防御...

海外ブログ 2022.10.18

独立系調査会社がBarracuda Web Application Firewallをストロングパフォーマーに選出

2022年9月27日、Anne Campbell 　うれしいニュースがあります。Barracuda Web Application Firewall（WAF）が「The Forrester Wave™: Web Application Firewalls, Q3 2022」でストロングパフォーマーに選出されました。 　フォレスター社の製品・サービスに関する詳細な分析によると、WAFの利用者は以下のようなポイントを重視すべきです。 WAFの設定と管理をステークホルダーが自由に行える。 脅威インテリジェンスを使用して分析を強化し、保護を自動化する。 どこでも簡単に統合できる。   　Barracuda Web Application Firewall（WAF）は、OWASPトップ10、ゼロデイ脅威、データ漏洩、およびアプリケーションレイヤーのサービス拒否（DoS）攻撃など、さまざまな攻撃からアプリケーションおよびAPI、それにモバイルアプリケーションバックエンドを保護します。Barracuda WAFとWAF-as-a-Serviceは、クラウド、オンプレミス、またはハイブリッドのどこに存在するWebアプリケーションでも保護するプラットフォームBarracuda Cloud Application Protection（CAP）の一部です。 直感的な保護機能 　フォレスター社によると、「Barracudaは、すぐに使用できるデータ型の範囲、カスタムデータ型の定義機能、および表示する先頭文字または末尾文字の数の設定など、我々が見た中で最も詳細かつ直感的なデータ漏洩防止機能を実装しています。レポートやルール作成機能は、他に類を見ないとは言わないまでも、強力です」。１ 　これは、従来のWAFによる保護を超えた、包括的でエンタープライズグレードのアプリケーションセキュリティを顧客に提供するソリューションに、当社が多大なる投資を行ってきたことの現れでしょう。 　「バラクーダは、顧客のセキュリティを守るうえで必要な柔軟性を提供しています。リモートワークの生産性を維持しつつ保護することをはじめ、顧客の活動範囲は広く複雑です」と、バラクーダのデータ・ネットワーク・アプリケーションセキュリティ担当SVPであるティム・ジェファーソンは述べています。「今回の結果は、当社のWAFテクノロジーが顧客の進化するアプリケーションセキュリティのニーズを満たせるという信頼をいっそう高めるものと確信しています」 「The Forrester Wave™: Web Application Firewalls, Q3 2022」は今すぐ無料で入手できます。 今すぐレポートを入手する   1 Forrester 「The Forrester Wave™: Web Application Firewalls, Q3 2022」Sandy Carielli, Amy DeMartine, Lok Sze Sung,  Peggy Dostie著、2022年9月27日掲載。 原文はこちらBarracuda Web Application Firewall named a Strong Performer by independent research firmSeptember 27, 2022  Anne Campbellhttps://blog.barracuda.com/2022/09/27/barracuda-web-application-firewall-named-a-strong-performer-by-independent-research-firm/...

海外ブログ 2022.10.10

断続的な暗号化：ランサムウェアとの軍拡競争における最新の進歩

 2022年9月22日、Phil Muncaster  　ネットワーク攻撃者と防御者はここ何十年もの間、にらみ合いを続けてきました。この対決はしばしば「軍拡競争」と呼ばれています。技術的な優位性を少しずつ獲得しようとする努力に対するこの表現は、セキュリティ用語のなかでも最も古く、最も使い古されたメタファーの 1 つです。しかし15年たった今なお、現状を的確に表現しています。むしろ、技術革新のスピードは加速しています。　 　「断続的な暗号化」技術に関する最新の調査から得られた重要な結果からも、技術革新は確かに認められます。「断続的な暗号化」は、ランサムウェア関連の攻撃手法として最近流布している技術です。しかし、それだけで犯罪者は永遠に有利なのでしょうか。セキュリティベンダーが保護・検知・対応において革新を続けている限り、犯罪者の優位性がずっと保たれることはありません。 断続的な暗号化とは？ 　前述の研究によれば、新しい技術は攻撃者が 2 つのことを実現できるように設計されています。 高速で暗号化する。標的としている組織が攻撃を検知して阻止する前に、組織のすべてのファイルを暗号化する。 既存の検出方法を回避する。そのために、ファイル I/O （出入力）操作の強度を弱める。つまり、ランサムウェアの影響を受けていない現行バージョンのファイルと、変更され暗号化された疑いのあるファイルとの類似度を下げる。   　断続的な暗号化は、ファイルを部分的にしか暗号化しないため、前者を達成するのに役立ちます。結果的にランサムウェアは、これまで以上に短い時間で「回復不能な損害」を引き起こすことができるのです。LockFile 変種は、ファイルを16 バイトおきに暗号化する断続的暗号化の技術を最初に使用したケースの１つとされています。今年初めに行われた 10 種類のランサムウェアに関する調査では、暗号化が開始された後、ネットワーク防御者が攻撃を軽減できる時間は平均わずか43分しかないことが判明しています。 　断続的な暗号化は、現在の多くのセキュリティツールで使用されている統計分析手法を損なうことで検出を回避します。統計分析手法ではファイルの I/O （入出力）が際立っていることを検知しますが、部分的な暗号化によって入出力の動きが最小限に抑えられてしまうため、ランサムウェアの影響を受けていないファイルと変更を加えられたファイルを見分けることが難しくなります。 　悪いニュースは、この手法を使った攻撃種が増えていることです。Qyick、Agenda、BlackCat (ALPHV)、PLAY、Black Bastaなどが一例です。比較的簡単に実装できるとされ、ランサムウェアの標準となる可能性があります。 攻撃は止まらない 　ランサムウェアの技術革新の例は、断続的な暗号化にとどまりません。最近のレポートによれば、脅威者が一般的な VoIP ソフトウェアの脆弱性を悪用して、標的の企業ネットワークにアクセスしたことが明らかになっています。ランサムウェアにおける脆弱性の悪用は今に始まったことではなく、フィッシングや RDP 攻撃と並んで、初期アクセスベクトルのトップ 3 に入っています。これは、脅威者が攻撃対象領域をくまなく調べ、潜在的なセキュリティギャップを見つける準備に余念がないことの表れでもあります。 　その他の例として、台湾の QNAP 社が製造するネットワーク接続型ストレージ（NAS）デバイスを標的とした攻撃があります。中小企業や消費者に人気のあるこれらの NAS デバイスには、最近 QNAP がパッチを適用しましたが、顧客はすぐにそれに従わなかったのです。その結果、Deadbolt ランサムウェアに感染したデバイスが最近 674％増加したことが、研究者らによって検出されました。 　ランサムウェアの脅威はこうして、脅威者が防御者や現行のセキュリティツールを欺く新たな方法を模索する中で、今後も想定外の進化を遂げることが予想されます。最近では、米テキサス州のオークベンド医療センター、カナダの大手電気通信ベル・カナダ、米ニューヨークの救急サービスのエムプレスEMSといった有名企業が被害に遭っています。また、脅威が国家レベルにまでおよぶケースも出てきています。米国は最近、イラン当局とつながりのあるとされるアクターを起訴し、イラン当局に制裁を課しました。重要なのは、こうした脅威者は他国に対する地政学的な攻撃に加え、会計事務所から地域の公共事業や住宅供給業まで、金銭目的で民間企業を襲撃しているとされる点です。 優勢を取り戻す 　こうした動向を常に監視し、新たな脅威がどこからやってくるかを予測し、攻撃者が獲得しうる優位性を無効にするために製品をアップデートすることは、セキュリティ業界の仕事です。しかし、セキュリティ業界の顧客もまた、常に警戒を怠らず、積極的にセキュリティ体制をとることが必要です。つまり、3 つの主要な攻撃ベクトルに対して、ランサムウェアの影響を軽減するための防御策を積み重ねることです。そのためには、以下のようなセキュリティ管理のベストプラクティスを導入するとよいでしょう。 AI による検知を含む高度なフィッシング対策機能 ユーザー教育・啓発プログラム ウェブアプリケーションファイアウォール（WAF）によるデータの保護 リスクベースの自動パッチ適用プログラム 複数のレイヤーにまたがる脅威の検知と対応（XDR） IoTおよびOT環境向けのファイアウォールおよびその他の保護機能 定期的なバックアップ（オフラインでの１部コピーも含む） 定期的にテストを行なっているインシデント対応計画   　中小企業は、ランサムウェアの影響を軽減するために、セキュリティにゼロトラストアプローチを採用することも検討するとよいでしょう。主な内容は最小権限ポリシー、ネットワークセグメンテーション、多要素認証、継続的モニタリングなどです。ランサムウェアとの軍拡競争に、勝算はないように思えるかもしれません。しかし、組織全体のサイバーリスクを最小化するために、セキュリティ責任者にできることはたくさんあります。 ランサムウェアからの保護はとても簡単です   原文はこちらIntermittent encryption: The latest advance in the ransomware arms raceSeptember 22, 2022  Phil Muncasterhttps://blog.barracuda.com/2022/09/22/intermittent-encryption-the-latest-advance-in-the-ransomware-arms-race/

海外ブログ 2022.10.03

サイバーハイジーン：攻撃者に不利な状況を作り出す

トピック：User Training and Security Awareness 2022年9月15日、Tony Burgess   　サイバーセキュリティは、つまるところ割合の問題です。たとえば大雨のような攻撃が降り注いだとしたら、昔ながらの傘ではもはや完全に身を守れません。というのも、雨粒の多くは誘導システムを備えており、傘を回り込んで顔面を直撃してくるからです。 　OK、雨の例えは分かりづらかったかもしれません。ただ、ここで言いたいのは、ネットワークやアプリケーション、データ、それにユーザーを保護するためにあなたが行うすべてが攻撃の割合を減らすことにつながる、ということです。システムに侵入して侵害をはじめとする大変な損害を引き起こす可能性のある攻撃の割合を減らすのです。 　サイバーハイジーンとは、攻撃が成功する可能性を減らすために行われるさまざまな行動（多くは習慣的なもの）を指します。また、優れたセキュリティ対策を維持しようとする組織の文化的気質も指します。サイバーハイジーンは、セキュリティ対策全体を構成する要素の１つですが、その責任は組織全体に分散しているのが特徴です。 個人のサイバーハイジーン 　個人向けには、オンラインサービスを利用する際に個人情報の盗難を防ぐ良いサイバーハイジーン習慣がたくさんあります。例えば米個人情報窃盗リソースセンター（ITRC, Identity Theft Resource Center) は、自分の個人情報を保護するための 8つの良い習慣のリストを提供しています。その一部を紹介しましょう。 すべてのオンラインアカウントに多要素認証を設定する。 オンラインショッピングでは、安全な支払い方法のみを使用する。 不明な差出人からのリンクは決して開かない。 すべてのデバイスを確実にパスワードで保護する。 　こうしたガイドラインを忠実に守り、オンラインで自然に操作できるようになることで、個人情報を盗まれるリスクは大幅に軽減できます。仮にログイン情報を含む情報漏洩が発生しても、独自のパスフレーズを使用し頻繁に更新していれば、そのリスクは大幅に減るのです。 IT管理者のためのサイバーハイジーン 　管理者レベルでも、サイバーハイジーンのベストプラクティスについて同様の推奨事項があります。その一部を紹介しましょう。 複雑なパスワードと多要素認証を従業員に徹底する。犯罪者がブルートフォース攻撃でデータやその他のリソースにアクセスしづらくなるようにしましょう。リモートで働く従業員が増えていることから、アクセスを厳密に制御することが重要です。アクセス制御を最適化するために、Barracuda CloudGen Access など、ゼロトラストネットワークアクセスソリューションを検討してください。 すべてのデジタル資産の最新のインベントリーを維持する。すべてのデバイスとネットワークのすべての要素を完全に可視化しなければ、気づかぬうちに脆弱性が発生する可能性があります。そして攻撃者はその脆弱性を見逃さず、突いてくるのです。 すべてのソフトウェアをアップデートしておく。パッチ管理の不備は、驚くほど一般的です。そしてその代償は（驚くにあたらないのですが）非常に高くつきます。以前から知らされ、パッチが提供されているにもかかわらず組織側が対処していなかった脆弱性を利用した攻撃が成功することは非常によくあることです。 管理者権限を管理する。重要なシステムの管理者権限を持つ人を、本当に必要な人だけに限定しましょう。権限を頻繁に見直し、担当者が変わったり、退職したりした場合は速やかに対応することです。従業員が退職した後も放置された管理者権限は、サイバー犯罪者への贈り物です。 耐用年数の過ぎたシステムを管理する。ネットワーク上のハードウェアやソフトウェアが耐用年数に達した場合、つまりセキュリティパッチやアップデートのサポートが終了した場合は、直ちに交換しましょう。サポートが終了したソフトウェアは、多くの組織にとって大きなリスクとなります。 データをバックアップする。Barracuda Backup Serviceのような高度な自動バックアップシステムをまだ使用していない場合は、使用を開始してください。今すぐ、直ちにです。   組織におけるサイバーハイジーン 　組織レベルでのサイバーハイジーンで最も厄介な点は、ユーザーに良いサイバーハイジーン習慣を定着させるためにできることが限られていることです。 　組織全体のリスクを低減するためには、サイバーハイジーンの重要性を認識し、良い習慣と実践を称賛し、欠点やハイジーン上の失敗に効果的に対処する組織文化を醸成することが重要です。 　そのためには、模範を示すことと期待している行為を明確に伝えることの組み合わせに加え、定期的に注意を喚起し続けることです。時間をかけて誰もが自然に良い習慣を身につけられるようにするのです。 Barracuda Security Awareness Training のような高度なセキュリティ意識向上トレーニングシステムは、じょうずに活用すると非常に有用です。こうしたトレーニングツールをユーザーに適したゲーミフィケーション戦略で実装し、楽しく参加できるようにして大きな成功を収めている顧客もいます。 　例えば四半期に一度、フィッシング攻撃テストに正しく対応した従業員を称え報酬を与えると同時に、成績の良くなかった従業員に対しては罰する代わりに適切なトレーニングを与えるのです。そうすることで、セキュリティ意識とサイバーハイジーンのベストプラクティスを組織全体に効果的に浸透させられます。その結果、リスクもコストも、ダウンタイムも法規制の脅威も軽減するのです。 あらゆるツールを活用する 　メール、アプリ、データ、アクセスなどを保護する高度なセキュリティソリューションは、いずれもセキュリティインフラストラクチャに欠かせない重要なツールです。それぞれが特定の攻撃の可能性を低減させます。 　サイバーハイジーンもまた、重要なツールです。ほかのすべてのツールの有効性を最適化する基盤となるからです。組織全体でサイバーハイジーンに取り組むのは、新しいメールのセキュリティツールを設定して導入することに比べると大変ではありますが、最適なセキュリティ体制を維持し、サイバーリスクを可能な限り低減するためには同じくらい重要なことなのです。 お問い合わせはこちら   原文はこちら：Cyber hygiene: Stacking the odds against attackersSeptember 15, 2022  Tony Burgesshttps://blog.barracuda.com/2022/09/15/cyber-hygiene-stacking-the-odds-against-attackers/

海外ブログ 2022.09.26

NISTサイバーセキュリティ・フレームワークの活用によるセキュリティ強化

トピック： User Training and Security Awareness 2022年9月9日、Tony Burgess 米商務省に属する国立標準技術研究所（NIST）は、サイバーセキュリティ・フレームワークを頻繁に更新しています。このフレームワークは、サイバーセキュリティ全体を改善するための一連のガイドラインと推奨事例として、あらゆる組織が利用することができます。NISTは以下のように説明しています。 “フレームワークは、任意のガイダンスです。既存の基準、ガイドライン、慣行に基づき、組織がサイバーセキュリティリスクをよりよく管理し、削減する指針となります。組織のリスク管理と削減を支援することに加え、組織内外のステークホルダーの間でリスクとサイバーセキュリティ管理のコミュニケーションを促進するために設計されました。” フレームワークのガイダンスに従うことで、サイバーセキュリティのプロファイルは間違いなく向上します。しかし、コミュニケーションに関する2番目の文章も非常に重要です。さまざまなチームのすべてのステークホルダーが効果的に協調するためには、同じセキュリティ言語を話すことが非常に重要です。 これは長い文書です。リソースの限られた小規模なITチームにとって、その膨大な情報にアプローチし、サイバーセキュリティに最大の効果をもたらすために今できる実用的なステップに優先順位をつけることなど、とてもできないと思うかもしれません。しかし、見た目ほど複雑ではありません。 5つのコア機能 NISTのフレームワークは、最適なサイバーセキュリティのために取り組むべき5つのコア機能を挙げています。 特定 -サイバーセキュリティリスクに関する組織の理解力を深めることで、システムおよび従業員、資産、データ、能力へのセキュリティリスクを管理できるようにする。 保護 – 重要なサービスを確実に提供するために、適切なセーフガードを開発し、実施する。 検出 – サイバーセキュリティインシデントの発生を特定するための適切な活動を開発し、実施する。 対応 – 検出されたサイバーセキュリティインシデントに関して行動を起こすための適切な活動を開発し、実施する。 回復 – 回復のための計画を維持し、サイバーセキュリティインシデントによって損なわれた能力やサービスを回復するための適切な活動を開発し、実施する。 これらのコア機能を果たすための具体的な推奨事項を掘り下げ、どれが自社にとって最も重要かを見極めるのは大変な仕事です。しかし少なくとも、これらの推奨事項をざっと見て、各カテゴリーで最もはやく効果がも表れるのは何かを特定することはできます。 特定する インフラストラクチャ全体の徹底的なセキュリティ監査を実施することが重要です。個人、デバイス、データ構造、アプリ、その他の重要なサービスなど、さまざまなグループに対する具体的なリスクを理解すれば、その理解をもとにサイバーセキュリティを向上させるための取り組みを行うことができます。 Barracuda Email Threat Scan、Barracuda Vulnerability Manager、Barracuda Cloud Assessment Scan などの無料オンラインツールは、メールセキュリティ、Webアプリケーションセキュリティ、およびクラウドサービス設定の主要分野におけるサイバーリスクへのエクスポージャーに関する豊富な基本情報を提供します。 Barracuda Security Awareness Trainingなどのセキュリティ啓発シミュレーションおよびトレーニングプログラムは、個々のユーザのリスクプロファイルにさらに詳細な可視性を提供することができます。 Barracuda Data Inspectorは、Microsoft 365のデータをスキャンして、安全でない場所に保存されているか、侵害の潜在的な脅威を示す多くの種類の機密データや悪意のあるデータを識別します。 これらのツールを使って収集した情報は、今後のサイバーセキュリティ投資の優先順位付けに直接役立つ実用的なものです。 保護する このコア機能は、インシデントの可能性を低減し、サイバーセキュリティインシデントの影響を制限または抑制するために行うすべてのことを対象としています。これには以下が含まれます。 ID管理とアクセス制御する。最新のパスワードポリシーを適用し、Barracuda CloudGen Access などのゼロトラストネットワークアクセスソリューションで、不正アクセスから重要な資産とアプリケーションを保護します。 悪意のあるメールをユーザーが常に特定・報告できる。その際には、Barracuda Security Awareness Training などの高度なセキュリティ意識向上トレーニングソリューションが便利です。 偶発的または悪意のある損失からデータを保護・確保する。Barracuda Backup などの高度なクラウドファーストのバックアップソリューションの実装することで可能となります。 効果的なネットワークセグメンテーションを実装する。インシデントが最初の侵害領域以外に広がることを防止します。 検出する 進行中のサイバーセキュリティインシデントを検知するためには、インバウンドとアウトバウンド、およびあらゆる種類の内部トラフィックを監視し、悪意のあるメールやマルウェア、アプリケーション侵害の試み、データの不正な移動などを特定できるようにする必要があります。 Barracuda Email Protection をはじめとする強力なメールセキュリティは、既知と未知の脅威の両方を検出できます。すべてのメールトラフィックを監視し、AI を使用して、悪意のある異常を検出します。 悪意のあるネットワークトラフィックの検出には、Barracuda CloudGen Firewall のような、フル機能のネットワークファイアウォールが必要です。また、回避的なボットや最新世代のランサムウェア攻撃など、悪意のあるアプリケーションアクティビティを検出するには、Barracuda WAF-as-a-Service のように高度で使いやすいWebアプリケーションファイアウォールソリューションが必要です。...

海外ブログ 2022.09.19