1. HOME
  2. Blog
  3. Blog

Info.

お知らせ

Blog

マルウェア概説:Androidが標的に — FvncBot、SeedSnatcher、ClayRat のページ写真 1

マルウェア概説:Androidが標的に — FvncBot、SeedSnatcher、ClayRat

2025年12月9日、Tony Burgess 新たなAndroidマルウェア:戦術、ターゲット、防御戦略 主なポイント: Androidマルウェアの脅威が急速に進化しており、世界中の個人と組織の両方が標的となっています。 FvncBotは、VNCベースのリモートアクセスを使って認証情報を窃取し、リアルタイムでデバイスを制御します。 SeedSnatcherは、Androidユーザーから暗号資産ウォレットのシードフレーズと秘密鍵の窃取に特化しています。 ClayRatは、監視、データ窃取、持続的なデバイス侵害に使用されるモジュール型スパイウェアツールです。 攻撃者は、ソーシャルエンジニアリング、フィッシング用オーバーレイ、悪意あるアプリの配布を悪用して、Androidデバイスに感染させます。 防御のために、信頼できるソースからのみアプリをインストールし、デバイスを常に最新状態に保ち、二要素認証を有効にします。 長年のAndroidユーザーである私は、iPhone愛好家の友人からの軽蔑や嘲笑を受け流すことには慣れています。Androidは、(個人的見解では)多くの利点がありますが、iOS/iPhoneよりもマルウェア攻撃を受けやすいのも事実です。(ただし、Googleが最近発表したレポートでは、その逆の状況が示唆されています。) Androidは、世界中で数十億人が使用する人気の高いデバイスであり、バンキングや決済、個人の通信、ビジネス業務まで、あらゆる用途に活用されています。このように広く普及していることから、サイバー犯罪者や高度な攻撃主体にとって格好の標的となっています。 この数か月で、ソーシャルエンジニアリングやAndroidのアクセシビリティ機能、サードパーティ製アプリの配布チャネルを悪用した巧妙なマルウェアキャンペーンが急増しています。これらの攻撃は、技術的に複雑化しているだけでなく、検知を回避し、金融情報や暗号資産ウォレットを含む価値の高いデータを狙う能力も高めています。 ここでは、現在実環境で活動が確認されているAndroidマルウェアのうち、最も懸念すべき3つのファミリーとして、FvncBot、SeedSnatcher、ClayRatを取り上げます。それぞれが特徴的な機能と攻撃ベクトルを備えており、より高い警戒と強固なモバイルセキュリティ対策の必要性を浮き彫りにしています。 FvncBot:VNCによるリモート操作を特徴とするAndroid RAT 種類:リモートアクセス型トロイの木馬(RAT) 機能:VNCベースの画面共有、認証情報の窃取、デバイスの制御 脅威アクター(攻撃者):複数(金銭目的のグループを含む) FvncBotは、新たに開発されたAndroid向けバンキング型トロイの木馬で、仮想ネットワークコンピューティング(VNC)を利用してリアルタイムのデバイス制御と監視を可能にするという特徴を持ちます。正規のセキュリティアプリ(特にポーランドのmBank向け)を装い、Androidのアクセシビリティサービスを悪用してキー入力を記録し、Webインジェクト攻撃を実行し、デバイスの画面をストリーミングし、認証情報窃取のための隠しオーバーレイを展開します。 このマルウェアは、ユーザーに偽のGoogle Playコンポーネントをインストールするよう促すドロッパーアプリを介して配布され、新しいAndroidバージョンのセキュリティ制限を回避します。当初はポーランドのユーザーを主な標的としていましたが、その手口は他の地域や組織にも容易に適用可能であると研究者は警告しています。 SeedSnatcher:暗号資産に特化した認証情報窃取マルウェア 種類:インフォスティーラー 機能:クリップボードの監視、シードフレーズの窃取、フィッシング用オーバーレイ、SMSの傍受 脅威アクター(攻撃者):金銭目的とみられ、中国を拠点とする、または中国語話者の可能性 SeedSnatcherは、暗号資産ユーザーを標的にした巧妙なインフォスティーラーです。Telegramなどのソーシャルチャネルを通じて「Coin」という名前で配布され、人気のある暗号資産アプリを模倣した説得力のあるフィッシング用オーバーレイにより、ウォレットのシードフレーズや秘密鍵を収集することに特化しています。 さらに、SMSメッセージを傍受して、二要素認証コードの窃取、デバイスのデータの持ち出し、連絡先/通話ログ/ファイルにアクセスするための権限昇格も実行します。 SeedSnatcherの運用者は、動的クラスローディングやステルス性の高いWebViewインジェクションなど、高度な回避手法を使用しているため、検知や削除が困難です。 ClayRat:モジュール型ペイロードを備えたスパイツール 種類: モジュラー型RAT/スパイウェア 機能: キー入力の窃取、音声/動画の記録、ファイルの持ち出し、オーバーレイ攻撃、デバイス制御 脅威アクター(攻撃者): APTグループの疑い(国家関与の可能性を含む) ClayRatは、幅広い監視機能とデバイス制御機能を含むように急速に進化してきた高度なAndroidスパイウェアファミリーです。最新バージョンでは、SMSとアクセシビリティの両方の権限を悪用して、キー入力の取得や画面の録画、通知の収集を行います。また、システム更新やブラックスクリーンを装ったオーバーレイを表示することで、不正活動を隠蔽します。 ClayRatはフィッシングドメインやTelegramチャネルを通じて配布され、しばしばYouTubeや地域のタクシーサービスのような人気アプリを装います。永続化メカニズムとデバイスのロック解除を自動化する機能により、特にBYOD(個人所有デバイスの業務利用)環境では深刻な脅威になります。 Androidデバイスの保護 Androidデバイスを狙うマルウェアは急速に進化しており、攻撃者はアクセシビリティ機能、フィッシング用オーバーレイ、ソーシャルエンジニアリングを利用して、デバイスを侵害し、機密データを窃取しています。FvncBot、SeedSnatcher、ClayRatのような脅威から防御する最善策は、他のデバイスやエンドポイントをマルウェアから保護する場合と同じ基本原則に従うことです。 アプリをインストールするには、信頼できる配布元(Google Play、ベンダーの公式サイト)のみを利用する デバイス、アプリ、モバイルセキュリティを常に最新の状態に保つ 一意の強力なパスワードを使用し、二要素認証を有効にする 不審なリンク、ダウンロード、権限要求に注意し、フィッシングを見破る方法を理解する BarracudaONEプラットフォーム BarracudaONE AI搭載サイバーセキュリティプラットフォームで保護とサイバーレジリエンスを最大化。メール・データ・アプリケーション・ネットワークを保護し、24時間365日運用されるマネージドXDRサービスで強化。セキュリティ防御を統合し、深層的でインテリジェントな脅威検知・対応を実現。高度な保護機能、リアルタイム分析、先制対応能力を活用し、組織のセキュリティ態勢を確信を持って管理できます。堅牢なレポートツールは明確で実用的なインサイトを提供し、リスク監視、ROI測定、運用効果の証明を支援します。 その他のバラクーダソリューションについても、当社ウェブサイトのお問い合わせフォームよりお気軽に当社へお問い合わせください。 BarracudaONE AI搭載サイバーセキュリティプラットフォーム バラクーダジャパンお問い合わせフォーム

海外ブログ

マルウェア概説:新たに出現したボットネット群がDDoS攻撃の混乱を拡大 のページ写真 2

マルウェア概説:新たに出現したボットネット群がDDoS攻撃の混乱を拡大

2026年1月29日、Tony Burgess 絶え間ないDDoS攻撃の新時代をボットネットがどのように加速させているのか 主なポイント Kimwolf、Aisuru、Mirai(およびその亜種)という3つの主要なボットネットが、高度に自動化されたDDoS攻撃を急増させています。 攻撃者は、Kimwolfキャンペーンでの非正規のAndroid TVストリーミングボックスを含む、セキュリティが不十分なIoTデバイスや家庭用デバイスをますます悪用しています。 ボットネットは、適応型の攻撃パターン、大規模な悪用パイプライン、検知を回避する通信メカニズムを利用しています。 根本的な問題は、脆弱な初期設定、古いファームウェア、一貫性のないセキュリティ慣行を持つデバイスが世界的なサプライチェーンを通じて流通していることにあります。 ボットネットのエコシステムは、セキュリティが不十分な家庭向け/小規模オフィス向けハードウェアが大量に出回っていることによって後押しされ、急速に進化し続けています。ルーターやWebカメラから非正規のAndroid TVストリーミングデバイスに至るまで、多くの場合、未検証のアプリや隠されたリモートアクセス機能を搭載したまま出荷され、持続的なDDoS攻撃活動を支える世界的な基盤の一部となっています。 今日の環境で最も支配的な3つの脅威を以下に紹介します。 Kimwolf:企業や政府のネットワークに侵入するステルス型ボットネット 種類: ボットネット、DDoS マルウェア:Kimwolf 拡散経路: 侵害されたIoTデバイス、家庭用機器、非正規のAndroidストリーミングボックス 攻撃ベクトル: 家庭向け/小規模オフィス向けテクノロジーにおけるサプライチェーンの弱点 標的: 企業、政府、自治体ネットワーク 活動開始: 2025年 Kimwolfボットネットは、企業、政府、自治体の環境内に気づかれることなく組み込まれ、定着しています。Krebs on Securityには、「Kimwolfは、企業レベルの脅威を想定して堅牢化されていない、日常的に使用されるオフィス機器や家庭用ルーターに潜入している」と報告されています。 追加の報告によると、Kimwolfは検知を逃れるため、動的に切り替わるステルス型通信チャネルを使用しています。 Kimwolfの拡散で注目すべき攻撃ベクトルは、非正規またはクローン化されたAndroid TVデバイスです。これらのデバイスは、マルウェアやセキュリティが不十分なリモートアクセスコンポーネントが仕込まれた状態で出荷されることがあります。家庭や小規模オフィスのネットワークに接続されると、リモートシェルや管理インターフェイスが露出し、容易に悪用可能になります。 企業ネットワーク内では、侵害されたデバイスが持続的な足がかりとして機能し、ラテラルムーブメントを通じて、内部インフラが不本意な形で大規模DDoSキャンペーンに加担させられます。 Aisuru:世界的なDDoS記録を打ち立てた先行ボットネット タイプ: ボットネット、DDoS マルウェア: Aisuru 拡散経路: 脆弱なIoTデバイスの自動スキャンと悪用 攻撃ベクトル: 脆弱な認証、古いファームウェア、サプライチェーン段階で組み込まれた脆弱な初期設定 標的:全世界の消費者/企業ネットワーク 活動開始: 2024年 Kimwolfに先立ち、自動化されたIoTデバイス悪用の破壊力を浮き彫りにしたのがAisuruです。Cybersecurity Diveによると、Aisuruは過去最大級の複数のDDoS攻撃を引き起こし、「トラフィックがそれまでに世界全体で観測されたピーク値を大幅に上回った」キャンペーンも含まれています。 Aisuruは、予測可能なデバイスモデル(多くの場合、古いファームウェアを搭載した低価格のIoTハードウェア)を迅速に侵害し、数時間以内に数千台のデバイスを感染させます。侵害されたノード群は、大規模なボリューム型フラッド攻撃を生成し、攻撃ベクトルを動的に切り替えつつ、世界規模の緩和システムを圧倒します。 代表的なあるキャンペーンでは、複数のサービスプロバイダーが同時に標的となり、防御側が緩和を試みるたびに負荷をリアルタイムで切り替えていました。Cloudflareの2025年第3四半期脅威分析は、DDoSの規模と高度化におけるこの広範な拡大と高度化について考察を提供しています。 Miraiおよび新世代のIoTボットネット亜種 種類: ボットネット、DDoS マルウェア: Miraiおよび最近の亜種(Satori, Moziの残存系統、Katanaなど) 拡散経路: セキュリティが不十分なIoTデバイスの自動悪用 攻撃ベクトル: デフォルトの認証情報、パッチ未適用のファームウェア、公開されたサービス(Telnet/SSH/HTTP API) 標的: ISP、ホスティングプロバイダー、ゲームプラットフォーム、企業エッジネットワーク 活動開始: 2016年(主要な亜種は2025年まで活動) Miraiは、登場から10年近く経った現在も、インターネット上で最も持続性が高く、広く適応されているボットネットファミリーの一つです。その理由は、セキュリティが不十分なIoTデバイスが大量に供給され、更新され続けている点にあります。ルーター、DVR、スマートカメラ、低価格の家電製品など、古いファームウェアや推測可能な認証情報を含んだ状態で出荷されるデバイスが後を絶ちません。 Miraiの最近の亜種は、元のオープンソース版をはるかに超えて進化しています。KatanaやSatoriなどの新たに出現している派生系には、以下のような機能が含まれています。 IoTデバイスに存在する数十件の脆弱性を同時に狙う大規模なエクスプロイトライブラリ 1時間に数千台のデバイスの侵害が可能な高速拡散エンジン ドメインフラクシングや暗号化コマンドチャネルなどの回避的なコマンド&コントロール手法 攻撃者が新しいエクスプロイトを迅速に配布できるようにする自己更新モジュール 研究者によれば、Miraiに感染した多くのデバイスはファームウェアのライフサイクル管理が不十分であり、パッチ適用がほとんど行われないため、脆弱なノードが長期にわたり存続し、持続的なDDoS攻撃を支えているとのことです。 総括 Kimwolf、Aisuru、Miraiのようなボットネットの増加は、家庭用デバイスやIoTデバイスのグローバルなサプライチェーンがDDoS攻撃活動の主要な戦場となっているという、重大な事実を浮き彫りにしています。 攻撃者は、セキュリティが不十分なハードウェアの尽きることのない供給から利益を得ています。 予測可能な構成を持つ安価なIoTデバイス 管理インターフェイスが露出した家庭用機器...

海外ブログ

スミッシング阻止に向け、法の包囲網が狭まる のページ写真 3

スミッシング阻止に向け、法の包囲網が狭まる

2025年11月26日、Mike Vizard 世界的なSMSフィッシング詐欺を法的措置とテクノロジーで封じ込めるための取り組み 主なポイント Googleは、RICO法、ランハム法、コンピュータ詐欺・不正利用防止法に基づき、PhaaS(サービスとしてのフィッシング)プラットフォームのLighthouseを標的として、サイバー犯罪グループ「Smishing Triad」を提訴しました。 Lighthouseは2023年から活動し、膨大なクレジットカード情報を収集しています。攻撃は2020年以降で5倍に増加し、120か国以上で被害が発生しています。 Googleは、金融詐欺の捜査、海外から発信されるロボコールの阻止、大規模な詐欺拠点への対策など、州や関係機関がより効果的に詐欺に対処できるようにすることを目的とし、審議中の法案の可決に向けて連邦議会議員と協力しています。 Googleは、通行料金や荷物の配達に関するものなど、一般的な詐欺メッセージを予防的に検知して警告するため、AIツールを導入してプラットフォームを強化しました。 サイバー攻撃はほぼどこからでも発生する可能性があるという単純な事実を踏まえ、法制度の下で取り得る手段が限られていることについて、長年にわたって多くの不満が上がってきました。多くの場合、攻撃元の国が他国への影響を特に問題視していないことから、こうした攻撃を阻止する手段はほとんどありませんでした。 しかし、法制度への信頼が回復する出来事もまれに起こります。100万人以上を標的にして、未配達の荷物や未払いのE-ZPass通行料金の警告を装ったテキストメッセージを使い、個人情報やクレジットカード番号を収集しようとする世界的なスミッシング攻撃を阻止するための多面的な取り組みの一環として、Googleが訴えを起こしました。この訴訟は、Smishing Triadと呼ばれるサイバー犯罪グループがキャンペーンに利用していた、LighthouseというPhaaS(サービスとしてのフィッシング)プラットフォームの解体を目的とするものです。 Smishing Triadに対するGoogleの訴訟の影響 具体的には、Googleは威力脅迫および腐敗組織に関する連邦法(Racketeer Influenced and Corrupt Organizations Act、RICO法)、ランハム法(Lanham Act)、コンピュータ詐欺・不正利用防止法(Computer Fraud and Abuse Act)に基づく請求を行い、Lighthouseの運営停止を求めています。 さらに、この取り組みの一環として、Lighthouseをホストしていた運営主体が中国語で投稿した、「悪意ある苦情によりクラウドサーバーがブロックされた」というメッセージも公開しました。Lighthouseや同様のPhaaSプラットフォームの提供者は、複数のクラウドサービスプロバイダーを利用しているため、この中断がどのようにもたらされたのかは明らかではありません。しかし、こうした攻撃を仕掛けるために利用されたクラウドサービスのプロバイダーは、訴訟で名指しされることを好まないと推測されます。その結果、クラウドサービスプロバイダーは、自ら提供しているインフラストラクチャが、これらの犯罪組織にどのように利用されているかに注意を払うようになり、また同様に重要なこととして、こうしたトラフィックを遮断する方向に動いているように見受けられます。 しかし、残念ながら、すでに多くの被害が発生しています。Lighthouseは2023年から活動しており、過去2年間で、米国だけでも1,270万~1億1,500万件のクレジットカード情報を収集しました。全体として、このような攻撃は2020年以降で5倍に増加し、120か国以上で被害が発生しています。 立法措置とAIによる革新が詐欺対策を強化 Googleは、こうした詐欺の加害者に法的責任を問うために既存の法律を利用するだけでなく、米国民を詐欺から守ることを目的とした審議中の3つの法案の可決に向けて、連邦議会議員と協力していることも明らかにしています。 1つ目の法案は、退職者を狙った金融詐欺などの詐欺行為を捜査するために、州が連邦補助金を利用できるようにするものです。2つ目は、海外から発信されるロボコールを米国民に到達する前に遮断する方法を調査するタスクフォースを設置する法案です。3つ目は、ロマンス詐欺や投資詐欺など、さまざまなオンライン詐欺に人々を誘導する大規模な詐欺拠点への対策として国家戦略を策定するものです。 最後に、Googleは、人工知能(AI)を活用して、通行料金や荷物の配達に関連する一般的な詐欺メッセージを検知し、警告する機能もプラットフォームに追加しました。 ネット詐欺撲滅への圧力の高まり 無防備な一般市民にとってインターネットをより安全なものにするために、これらの取り組みが与える影響については、現時点では未知数です。しかし、少なくとも明確な警告は出されています。特に、インターネットやクラウドサービスのプロバイダーは、自らのサービスが悪意ある攻撃者によってどのように利用されているかを認識しながら放置していたと証明されれば、RICO法違反で訴えられる可能性があります。 単純かつ残念な現実は、詐欺に使われるITインフラストラクチャを誰が所有しているのかを突き止めるには多少の労力がかかる一方で、突き止めること自体は不可能ではないという点です。問題は、こうしたサービスのプロバイダーに自社サービスが悪用されていることを知らせるだけでなく、対応を怠れば責任を問われることを明確に示す意思を持てるかどうかです。 原文はこちら:Long arm of the law finally starts to thwart smishingNov. 26, 2025 Mike Vizardhttps://blog.barracuda.com/2025/11/26/law-starts-thwart-smishing

海外ブログ

組織全体にわたるインサイダー脅威の管理 のページ写真 4

組織全体にわたるインサイダー脅威の管理

2026年2月3日、Christine Barry 信頼されたアクセス権がどのように見えにくい露出を生むのか、そしてセキュリティ、IT、ビジネス部門はインサイダーリスクをどのように軽減できるか 主なポイント: インサイダー(内部関係者)脅威は悪意ある行為によるものだけではありません。不注意、悪意のない人的ミス、侵害されたアカウントが、インサイダーによるインシデントのかなりの割合を占めています。 リスクは従業員ライフサイクルの重要な局面で高まります。オンボーディング、役割の変更、厳しい納期、従業員の離職といった状況では、インサイダーリスクが一貫して高まる傾向があります。 レジリエンスは信頼以上に重要です。効果的なインサイダーリスク管理は、最小特権、行動パターンの監視、実際のワークフローに適合したセキュリティ統制の設計に重点を置きます。 インサイダー脅威は、企業が直面するリスクの中でも最も過小評価され、予期されないものの一つです。信頼されたアクセス権を持つアイデンティティに起因するインシデントは、ほとんどの場合、防御の欠陥を突いて侵入したインシデントよりも検知や追跡が困難です。調査によると、インサイダー関連のインシデントは組織に年間平均1,740万ドルの損失をもたらし、侵害された認証情報やユーザーの不注意な行為によって、最も大きな財務的影響と最長の検知時間が生じています。こうしたインシデントの特定、緩和、調査に数か月を要することも珍しくありません。Verizonの2025年データ漏洩/侵害調査報告書(DBIR)でも、ミスか悪意かを問わず、侵害の大半にインサイダーが関与していることが明らかになっています。インサイダーは、あらゆる業種、あらゆる規模の企業にとって現実的なリスクとなります。 インサイダー脅威は、悪意のある従業員に限定されるものではありません。どのユーザーも意図せず企業にリスクを生じさせる可能性があります。インサイダーリスク管理を検討する際には、カーネギーメロン大学の専門家による次の定義が参考になります。 インサイダー脅威:組織の重要資産への認可されたアクセスを現在または過去に持つ個人が、悪意をもって、または意図せずに、そのアクセスを利用して、組織に悪影響を及ぼすような行動をとる可能性。 ~Software Engineering Institute(SEI)、CERT Insider Threat Center、Daniel L. Costa氏 この定義は、あらゆる種類のインサイダー脅威によるあらゆる種類のリスクを包含できる十分な範囲を持っています。これにより、セキュリティ戦略においてインサイダーリスクを可視化し続けることが可能です。 インサイダー脅威の主な種類 意図的に被害を与える悪意あるインサイダー 文字どおり、企業機密の窃取、デジタル資産の破壊、機密データの漏洩など、企業に損害を与えることを目的とする人です。 こうした破壊的行為には複数の動機があります。不満を持つ従業員が、企業や同僚に報復しようと考えることがあります。また、利益目的で便乗するインサイダーは、報酬と引き換えにサイバー攻撃者にアクセスを提供したり、競合他社に情報を提供したりする場合があります。このリスクは離職前後に急激に高まる傾向があるため、企業は規律あるオフボーディング(離職)プログラムを維持する必要があります。 意図せずリスクを生み出す不注意なインサイダー 信頼されたアクセス権を持つ人が、常にルールを順守するとは限りません。害を与える意図はなくても、パスワードを使い回したり、興味本位でスパムをクリックしたり、機密ラベルを無視したりする可能性があります。また、手順に従うよりも簡単または迅速であるという理由で、セキュリティ統制を迂回する可能性もあります。 多くの場合、こうした行為は問題解決の意図から行われます。迅速に作業する必要があるため、時間外に作業できるよう自分宛てにファイルをメール送信したり、単一ユーザー向けのリソースに複数人がアクセスできるよう認証情報を共有したりします。セキュリティプロセスが実際のワークフローに適合しているかを検討することで、こうしたリスクを軽減できる可能性があります。ユーザーが「ただ業務を遂行しようとしているだけ」であれば、影響を受ける対象システムをより安全に運用する別の方法があるかもしれません。統制の背景にある目的を理解してもらう上では、トレーニングが役立ちます。ユーザーからフィードバックを集めることは、セキュリティポリシーが更新された場合の合意形成にも役立ちます。 悪意のない人的ミスを犯すインサイダー これらのユーザーは「偶発的インサイダー」とも呼ばれ、メールの送信先を間違えたり、セキュリティポリシーの構成を誤ったり、機密データを保護されていない場所に保存したりする可能性があります。悪意があるわけでも不注意なわけでもありませんが、露出につながるミスを犯します。 急いでいるときや疲れているときなど、誰でもミスを犯しますが、環境要因を整えることでリスクを低減できる可能性があります。しかし、このリスクを軽減する環境的要因も存在します。定期的なセキュリティ監査や自動スキャンによって、ITチームが見落としているセキュリティギャップや脆弱性を特定できます。明確なデータ機密区分ルールと自動暗号化により、ユーザーのセキュリティ対応の負担を軽減できます。 侵害され、意図せず攻撃者にアクセスを提供してしまうインサイダー 外部のサイバー攻撃者にアクセス権を「乗っ取られた」インサイダーを指します。サイバー攻撃者は、正規のアカウントを制御してユーザーとして活動し、通常のトラフィックに紛れ込み、アラートを発生させないよう徐々に権限を拡大させていきます。多くの場合、フィッシングや偶発的なマルウェアのインストールから始まります。典型例として、 2025年8月のネバダ州への攻撃が挙げられます。 第三者インサイダー ベンダー、請負業者といった第三者のパートナーは、ドメインへの正当なアクセスを持つことが多い一方、異なる統制や監督の下で運用されます。これによって攻撃対象領域が拡大し、セキュリティ態勢に盲点が生じる可能性があります。信頼できる第三者のパートナーであっても、インサイダーリスクなどの脅威に直面していることを念頭に置く必要があります。 セグメンテーション、強力なアイデンティティ管理、最小特権アクセス、ジャストインタイム(JIT)アクセスといったベストプラクティスを適用することで、このリスクを軽減できます。 インサイダー脅威の種類 ライフサイクルでリスクが高まる段階/イベント リスクシグナルの例 悪意あるインサイダー(意図的な被害) 経済的ストレス、懲戒処分、退職予告期間、解雇、法的な紛争 離職直前の通常とは異なるデータアクセスや持ち出し 不注意なインサイダー(規則の回避) 厳しい納期、組織変更、ツールの移行、ワークフローの摩擦 「業務遂行」のために繰り返されるポリシー回避 偶発的インサイダー(悪意のない人的ミス) 入社直後、役割の変更、疲労、マルチタスク メールの誤送信、権限の構成ミス 侵害されたインサイダー(乗っ取られたアカウント) フィッシングキャンペーン、リモートワーク、出張、脆弱な認証 異常なログインやラテラルムーブメント 第三者インサイダー(ベンダー、請負業者) ベンダーのオンボーディング、緊急サポート、契約の移行、M&A 第三者による過剰なアクセス、または残存アクセス インサイダー脅威を軽減するためのベストプラクティス インサイダーリスク管理(IRM)プログラムを構築する:インサイダーリスクを、単なるセキュリティ問題ではなく、部門横断的なビジネスリスクとして扱う正式なプログラムを確立します。セキュリティ、IT、人事、法務、コンプライアンスのステークホルダーにも関与してもらいます。 最小特権アクセスとジャストインタイム(JIT)アクセスを適用する:特権昇格は必要な場合にのみ許可し、目的を達成したら取り消します。常時アクセスよりも管理負担が増える可能性がありますが、悪意あるインサイダー、侵害されたアカウント、第三者による悪用の影響を低減できます。 ワークフローを中心としたセキュリティ統制を設計する:特にセキュリティ統制に関しては、ユーザーは摩擦を避けようとします。従業員の働き方を見直し、安全な経路が最も容易な経路となるようにプロセスを再設計します。 可能な限り保護を自動化する:自動暗号化や既定で安全な共有設定は、人的ミスの排除に役立ちます。 アイデンティティと認証を強化する:すべてのユーザーに対して一意のアイデンティティと多要素認証(MFA)を強制します。 リスクパターンを監視する:データアクセスの後にローカルダウンロードと外部転送を行うような、通常とは異なる行動の組み合わせに検知の重点を置きます。 必要に応じて統制を調整する:オンボーディング、ベンダーの移行、役割の変更、従業員の離職など、リスクの高い期間には、必要に応じてアクセスを制限し、監視を強化します。 クラウド、アプリケーション、デバイスの構成を可能な限り自動化する:自動化によって、エラー率を下げ、ミスが発生した場合の影響を抑えることができます。 第三者アクセスを個別のリスク領域として扱う:第三者アクセスを分離し、個々のアイデンティティやその他の技術的統制を適用します。 インサイダーリスクの管理は、従業員やパートナーが信頼できるかどうかの問題ではなく、レジリエンスの問題です。組織は、インサイダーのミス、不正利用、侵害が「起こるかどうか」ではなく「いずれ起こる」ことを前提に、そうした事態に耐えられるシステムを設計すべきです。 原文はこちら:Managing insider threats across the organizationFeb. 3, 2026 Christine Barryhttps://blog.barracuda.com/2026/02/03/managing-insider-threats-across-the-organization

海外ブログ

OpenAI、AIモデルのサイバーセキュリティに関する警告を共有 のページ写真 5

OpenAI、AIモデルのサイバーセキュリティに関する警告を共有

2025年12月16日、Mike Vizard AIイノベーションがもたらす利点とサイバーリスクの両面に対応する 主なポイント OpenAIは、将来のAIモデル、特に大規模言語モデル(LLM)に基づくモデルが、高度なサイバーセキュリティ能力を備えるようになり、サイバー犯罪者に悪用される可能性があると警告しています。 同社は、安全でない活動を検知するためにモデルの利用状況を監視するとともに、安全対策の強化に向けてレッドチーム組織と連携しています。 セキュリティ研究の用途に特化して訓練されたAIエージェント「Aardvark」は、開発者やセキュリティチームが脆弱性を特定するのを支援するためにプライベートベータ版として提供されており、一部のオープンソースプロジェクトには無償で提供されます。 OWASP GenAI Security ProjectやNISTによるAIセキュリティの分類体系整備などの取り組みは、AIテクノロジーの進化に伴う新たな脅威の理解と緩和に役立っています。 OpenAIは、自社の大規模言語モデル(LLM)を基盤とする次世代の人工知能(AI)モデルが、高度なサイバーセキュリティ能力を持つようになり、それがサイバー犯罪者によって悪用される可能性があると警告しています。 OpenAIのブログ記事は、サイバー犯罪者がLLMを用いて、防御が堅固なシステムに対して実際に機能するゼロデイのリモートエクスプロイトを開発したり、複雑で秘匿性の高い侵入を支援したりすることを、サイバーセキュリティチームが想定すべきであると推奨しています。 OpenAIは、自社モデルの潜在的な悪用を最小化するため、明確なサイバー不正利用につながる要求に対して安全に応答するようモデルを訓練するなどの取り組みを進めており、同時に教育目的や防御用途では引き続き有用性を維持するよう努めています。 さらに、LLMの利用状況を監視し、安全でない活動を検知した場合にはブロックする、あるいは能力の低いモデルへ振り分ける方針を表明しています。同時に、レッドチーム組織と連携し、安全対策の評価と改善を進めています。 また、OpenAIは、信頼済み利用者向けアクセスプログラムを追加する計画であり、サイバー防御に取り組む適格なユーザーや顧客に対して、防御用途に限定した強化されたAIモデル機能への段階的アクセスの提供を検討しています。加えて、経験豊富なセキュリティ専門家が同社チームと密接に連携する諮問グループ「Frontier Risk Council」も設立する予定です。さらに、脅威モデルとベストプラクティスに関する共通理解の促進を目的とした非営利コンソーシアム「Frontier Model Forum」とも協力しています。 最後に、OpenAIは「Aardvark」をプライベートベータ版として提供していることにも言及しています。Aardvarkは、開発者やセキュリティチームが脆弱性を発見し修正できるよう支援するための、セキュリティ研究者として訓練されたAIエージェントです。ソフトウェアサプライチェーンの改善を目的として、一部の非営利オープンソースリポジトリに対して無償での提供も計画しています。 AIイノベーションと新たなサイバーセキュリティリスクのバランス もちろん、OpenAIが開発するAIモデルは、現在多数あるオプションの一つに過ぎず、その多くも同様に、悪意ある主体による悪用という観点でも、今後さらに高度化していくと考えられます。実際、Anthropicは先月、中国を拠点とする国家主体の脅威アクターが同社のClaude AIモデルを悪用し、一連のサイバースパイ活動を実行したと公表しました。この事例は、将来、AIおよび関連エージェントが攻撃者によってどのように利用される可能性があるかを示す雛形となり得ます。 名称が公表されていない当該グループは、Claude Codeを使用し、20以上の組織を標的としたキャンペーンを展開しました。このキャンペーンでは、攻撃実行プロセスの80~90%が自動化され、各侵害ごとに人間の介入が必要だったのは4~6の重要な意思決定ポイントのみでした。 一方で、AIセキュリティの強化を支援する取り組みも進められています。最近では、OWASP GenAI Security Projectが、AIエージェントの構築と導入で組織が直面する可能性が高いセキュリティ脅威のトップ10リストを公開しました。また、米国国立標準技術研究所(NIST)は、AIエージェントを保護するための攻撃手法と緩和策の分類体系を整備しています。 現時点では、サイバーセキュリティの観点から、AIが諸刃の剣であることに疑いの余地はほとんどありません。それでも、最終的にサイバーセキュリティチームが攻撃者よりもAIの恩恵を多く受けることが期待されています。しかし、これまでに見られる初期の兆候を踏まえると、サイバーセキュリティチームは最悪の事態が起きる可能性も視野に入れて、今から備え始めることが賢明であると考えられます。 原文はこちら:OpenAI shares AI model cybersecurity warningDec. 16, 2025 Mike Vizardhttps://blog.barracuda.com/2025/12/16/openai-ai-model-cybersecurity-warning

海外ブログ

Qilinランサムウェア、2026年に急拡大 のページ写真 6

Qilinランサムウェア、2026年に急拡大

2026年1月15日、Christine Barry Qilinは2026年に入り、急速な成長、攻撃性の高まり、監視強化に伴うリスク増大を伴って進出 主なポイント Qilinは減速せず加速中 ― 2026年初頭ですでに55件の被害を報告しており、2025年のペースを上回っています。 標的を限定しない攻撃によりリスクプロファイルが上昇——医療機関や公共サービス機関も対象となり、壊滅的な反動の発生確率が高まっています。 グループの成長は脆弱——歴史的にランサムウェアグループは影響力の大きい攻撃後に崩壊することが多く、キリンの攻撃的戦略も同様のリスクに晒されています。 2025年7月にQilinランサムウェアグループを分析した際、同グループが年を越えられるかは不透明でした。2月にはQilinがロンドン医療システムの主要プロバイダーに侵入し、170件以上の患者被害(うち2件は長期・永続的障害、1件は死亡)を引き起こしました。このレベルの混乱は脅威主体に厳しい監視と現実的な運用リスクをもたらします。例えば、 ダークサイドはコロニアル・パイプライン攻撃後、米国からの「非公開の圧力」に屈しました。 ALPHV/ブラックキャットはチェンジ・ヘルスケア攻撃後に姿を消しました。これは広く「出口詐欺」と見なされていますが、医薬品へのアクセス遅延による圧力を感じていたのではないかと考えざるを得ません。 ブラック・バスタは、メンバーの一人がアセンション・ヘルスを攻撃した直後に活動を停止しました。他のブラック・バスタメンバーはこの攻撃について懸念を表明しています: GG:「FBIとCISAの100%が介入を義務付けられており、これら全てがブラック・バスタに対する厳しい対応につながるでしょう。…今これを洗い流すことはできず、おそらくソフトウェアはゴミ箱行きとなるでしょう」 Tinker: 「万が一、誰かが亡くなった場合…問題は我々の責任となります。これはテロ攻撃と分類されるでしょう。…心臓疾患を持つ子供が亡くなるような事態が起きたら、私は地獄へ行きたくありません」 医療、燃料、その他の重要資源など、公共資源に大規模な混乱を引き起こした後、著名なグループが活動を停止することは珍しくありません。 Qilinも急速に成長しました。RansomHubやLockBitといったランサムウェア・アズ・ア・サービス(RaaS)事業から離脱した提携組織が、経験と勢いをもたらし、グループを強化したのです。Qilinにとっては追い風でしたが、これらの加盟組織は忠誠心のある者ではありませんでした。彼らは不安定さの兆候があればいつでもRaaS事業から離脱することを既に証明していました。そのため2025年7月時点では、Qilinが年末まで脅威として存続できるか疑問視されていました。しかし驚くべきことに、このグループは現在も勢いを増しています。 Qilinは2025年、自身の情報流出サイトで1,000件以上の被害を主張し、下半期には月間40件以上の被害者をリストアップしました。製造業が最も攻撃を受けたセクターで、Qilinの全リストの約23%を占めています。同グループは被害者から31.2ペタバイトを窃取したと主張しており、その大半は1つの製造メーカーからのものです。これらの主張は未確認です。 同グループの活動は衰える気配を見せておりません。2026年に入ってわずか数週間で、Qilinは既に55件の被害者情報を流出サイトに掲載しています。これらは未確認の主張ではありますが、一部の投稿には盗まれたとされるデータのサンプルが添付されています。このペースであれば、Qilinは2025年の記録的な数値をさらに上回る見込みです。 Qilinは成熟したグループであり、洗練されたプラットフォームを有しています。脅威環境や業界の防御策の変化に適応できることを示しており、今年前半を通じて主要なランサムウェア攻撃グループであり続ける可能性が高いでしょう。ただし、いかなるグループも適切な条件下では崩壊する可能性があります。例えば、 内部対立による情報漏洩や法執行機関への暴露 注目を集めすぎる大規模攻撃による活動の継続困難 大規模かつ持続的なインフラ障害によるアフィリエイトの離散 Qilin及びその関連組織は、医療提供者、自治体サービス、インフラ、あるいは公衆衛生と福祉を支えるあらゆる組織を攻撃対象から除外する規律を持っていません。こうした攻撃こそが最も望ましくない注目を集め、たった一つの的確な攻撃で地域全体や特定層へのサービス提供を混乱させる可能性があります。そしてQilinから「安全」とマークされたセクターが存在しない以上、同組織は依然として自ら最大の脅威なのです。 原文はこちら:Qilin ransomware surges into 2026Jan. 15, 2026 Christine Barryhttps://blog.barracuda.com/2026/01/15/qilin-ransomware-surges-into-2026

海外ブログ

ネバダ州のランサムウェア攻撃:州政府全体に及んだサイバーレジリエンスの教訓 のページ写真 7

ネバダ州のランサムウェア攻撃:州政府全体に及んだサイバーレジリエンスの教訓

2025年12月11日、Christine Barry 戦略的な計画とインシデント対応が、壊滅的な攻撃を復旧の模範例に変える 重要ポイント 備えの重要性:ネバダ州では、サイバーレジリエンスへの事前の投資により、攻撃者がバックアップボリュームを削除した後でも、迅速な初動対応と復旧が可能になりました。 高度な攻撃手法:サイバー攻撃者は、検知を回避して何か月も潜伏して、何千件もの機密ファイルにアクセスしました。 周到に調整された対応と復旧:演習で十分に検証されたプレイブック、ベンダーとの関係、連邦政府とのパートナーシップにより、ネバダ州は業務上重要なサービスを1週間以内に復元させ、28日で完全復旧を達成しました。 2025年8月、米国ネバダ州政府のシステムが突然停止しました。当初は日常的な障害のように見えましたが、実際には60を超える州政府機関に影響を及ぼす大規模なランサムウェア攻撃であることが判明しました。影響を受けたのは、車両管理局(DMV)のシステム、社会福祉、法執行機関、州の給与支払いシステムなどで、一部のシステムは停止が28日間続きました。 この攻撃と、それがネバダ州政府全体に及ぼした影響については、10月下旬に公開された事後報告書(AAR)に詳述されています。同報告書は、ネバダ州行政府との協力の下でInfo-Tech Research Groupが作成し、州の最高情報責任者(CIO)による冒頭声明に続いて、攻撃の概要と州のインシデント対応(IR)計画に関する洞察を提供しています。このインシデントでは、ネバダ州がこれまで行ってきたレジリエンスと運用準備態勢への投資が中心的な役割を果たしています。PDFはこちらからダウンロードできます。 攻撃前 ネバダ州は、長年にわたるインシデント対応の計画と演習を重ねてきました。その結果、この危機に直面した時点で、多くの州よりも十分に備えができていました。報告書によれば: ネバダ州は、IR計画、サイバー保険、迅速な復旧を可能にするための技術的なセキュリティ強化策に資金を提供してきました。バックアップ戦略、スタッフのトレーニング、復旧準備への事前の投資によって、攻撃者がバックアップボリュームを削除した後でも、州の迅速な初動対応が下支えされました。 十分に整備され、演習で検証されたプレイブックと、毎年の複数機関合同シミュレーションにより、実際の緊急事態における各機関の役割が明確化されました。これらの演習は、意思決定と意思疎通のための統一的なガバナンス構造の確立にも役立ちました。 サイバー保険プログラムと、Mandiantをはじめとするベンダーとの事前契約により、技術やフォレンジックの専門家を数時間以内に投入できました。国土安全保障省(DHS)や連邦捜査局(FBI)との関係も構築されていたため、連邦政府の支援も円滑に組み込まれました。 報告書は、こうした準備が統制のとれた規律ある対応につながったと評価しています。 攻撃 報告書では、脅威主体やマルウェアの亜種の名称は特定されていません。公的な報告では、防御策を露呈したり他の攻撃者を助けたりする可能性があるため、詳細が記載されることはほとんどありません。こうした情報は、防御強化を目的として、州政府内部や、情報共有/分析センター(ISAC)のようなクローズドな枠組みを通じて共有されています。この報告書は、2025年10月28日の時点で、州政府全体に影響が及んだ本サイバーインシデントに関する最も包括的な公開記録となっています。 初期アクセス 2025年5月14日、州職員が誤って偽装Webサイトからマルウェアが仕込まれたシステム管理ツールをダウンロードし、実行しました。攻撃者は、SEOポイズニングとGoogle広告を使って、悪意あるリンクを正規のものに見せかけていました。報告書ではマルウェアは特定されていませんが、手口はNitrogenローダー攻撃で使われているものに類似しています。帰属は不明ですが、類似点は注目に値します。 報告書では、従業員が管理者権限を持っていたかどうかは明記しておらず、ローカル管理者権限を持っていた可能性や、管理ツールが一般的にインストールされているシステムを使用していた可能性なども否定できません。 永続化と通信 インストールされたマルウェアは、5月14日にバックドアを作成し、6月26日にSymantecがソースファイルを検知して削除した後も活動を継続しました。バックドアは構成を変更し、痕跡を残しながらもエンドポイント保護で検知されなかった可能性が高いと考えられます。ユーザーがサインインするたびに攻撃者のインフラに接続し、サイバー攻撃者がユーザー権限のコンテキスト内で活動し、システム全体のチェックやネットワークの異常によるアラートを最小化していました。 権限昇格とラテラルムーブメント ワークステーションの足がかりを得た攻撃者は、リモート監視/管理(RMM)ツールをインストールし、キー入力の記録や画面閲覧を通じて、最終的に26組の認証情報を取得しました。バックドアが継続的なアクセスを確保する一方で、RMMツールが情報収集の主要な手段となりました。これを念頭に置き、ワークステーション/ユーザーのコンテキストから、ネットワークやサーバーへのアクセスに至った可能性の高い経路は以下のとおりです: ユーザーレベルのアクセスを開始し、バックドア通信を維持する。 ユーザーの認証情報を使って、市販のRMMツールを手動でインストールする。 RMMを使用して標準および特権アカウントの認証情報を取得し、管理者ログインを可能にする。 管理者権限とRDPを活用し、暗号化されたトンネルを経由してネットワーク内で移動する。 データ持ち出し 攻撃者は数万件の機密ファイルを1つのZIPアーカイブに集約し、転送しやすいよう6つに分割しました。調査では、実際に持ち出されたことを示す確証や、リークサイト上の証拠は確認されていません。しかし、8月27日付の知事府技術局が発表した声明では、では、一部データがネットワーク外へ移動した可能性が示唆されています。「証拠」や「確認」には決まった基準があるわけではないため、どちらの記述も成り立つ可能性があります。 報告書によると、26,408件のファイルがアクセスされ、3,241件のファイルが漏洩した可能性があります。元州職員の個人情報が記載されたファイルも1つ含まれており、当人に通知されました。調査担当者は、引き続き持ち出しの兆候を監視しています。 暗号化 ランサムウェアファミリーや暗号化バイナリは特定されていません。攻撃者は展開前に、すべてのバックアップボリュームを削除し、仮想化管理サーバーに対するルート権限を用いて、複数の仮想マシンを同時に暗号化しました。 ネットワーク障害は太平洋時間午前1時52分ごろに発生し、DMV、公安、保健サービス、裁判所、その他の州全体で利用される複数のポータルに影響が及びました。被害を受けたシステムには、身代金要求のメモが残されていました。 インシデント対応 知事府技術局は、CIOのTimothy D. Galluzi氏らにこの問題をエスカレーションしました。対応チームは以下を実施しました: 影響を受けた仮想マシンを隔離する サイバー保険の枠組みを通じて法律顧問とMandiantを関与させる 復旧プレイブックを即日開始する 州政府全体の完全復旧には28日かかりましたが、業務上重要なサービスは1週間以内に復元させました。影響を受けたデータの90%を復旧し、身代金は支払われませんでした。 事後改善策 攻撃後、ネバダ州はサイバーセキュリティ体制を強化し、複数の改善を実施しました: エンドポイント検知/応答(EDR)の拡張:高度な行動分析と継続的な監視を含むエンドポイント保護をアップグレードし、検知されないまま潜伏が継続するリスクを低減しました。 ゼロトラストアーキテクチャへの取り組み:ゼロトラストの原則の採用を加速し、より厳格なアイデンティティ検証、最小特権アクセス、重要システム全体のセグメンテーションを実施しました。 バックアップ戦略の強化:攻撃者による復旧ボリュームの削除を防止するため、イミュータブル(変更不可)バックアップとオフサイトストレージを導入し、将来のインシデント発生時に迅速な復元を可能にしました。 ベンダーおよびインシデント対応契約の改善:フォレンジックと復旧の専門家がより迅速に関与するよう保証するため、事前に交渉された契約を改訂し、緊急対応に関するサービスレベル契約(SLA)をより明確にしました。 包括的なスタッフトレーニング:初期侵害のリスクを低減するため、サイバーセキュリティの意識向上プログラムを拡張し、フィッシングのシミュレーションや安全なツール利用を取り入れました。 継続的な脅威ハンティングとレッドチーム演習: 専門の脅威ハンティングチームを設置し、脆弱性を事前に特定するためにレッドチームによる定期的な評価を実施しています。 セキュリティ運用の一元化: 24時間365日の監視態勢を整え、リアルタイムの検知と対応のための脅威インテリジェンスフィードを統合したセキュリティオペレーションセンター(SOC)に投資しました。 振り返り ネバダ州の復旧対応に対する評価はおおむね好意的です。報告書は、完全復旧までの28日間という日数は「全国平均を下回る」ものであり、「この規模の公共部門インシデントとしては一般的な期間を大きく下回る」と指摘しています。Comparitechによると、政府機関の平均復旧時間は27.8日ですが、ネバダ州は1週間以内に重要サービスを復元し、給与支払いも期限内にすべて完了しました。また、復旧作業に取り組み、ファイル復号のために身代金を支払うこともありませんでした。部分的には全国平均を下回る回復期間ですが、28日間での全面復旧は公共部門インシデントとしては標準的であると言えます。 また、102日という潜伏期間も、全国平均を下回っている可能性があります。ネバダ大学ラスベガス校(UNLV)のGregory Moody氏によれば、こうした侵入の検出には通常7~8か月を要しています。IBMの2024年データ侵害のコストに関する調査レポートによると、全世界のデータ侵害の平均発見時間(MTTI)は194日(約6.5か月)です。 ネバダ州は身代金を支払わなかったことから、この項目で200万ドル以上を節約できたと思われます。ネバダ州の直接復旧費用は、業者費用とスタッフの残業代でおよそ150万ドルで、全国平均と同等またはそれ以下とみられます。複数の報告で、平均的な費用は150万~180万ドル程度とされています。 総合すると、ネバダ州が十分に備え、プレッシャー下でレジリエンスを発揮したことを示しています。潜伏時間も完全復旧までの期間も突出して短かったとは言えませんが、重要なサービスを数日で復元させ、身代金の支払いを回避し、全体的な復旧費用を全国水準内に抑えました。こうした能力は、よく構築されたサイバーセキュリティプログラムの成果を反映しています。 本インシデントは、周到な準備によって、巧妙かつ広範な攻撃からの回復速度と有効性が大きく左右されることを示す好例と言えます。 BarracudaONE プラットフォームの詳細 原文はこちら:Nevada ransomware attack offers lessons in statewide cyber resilienceDec. 11,...

海外ブログ

調査結果:2026年に急増が見込まれるセキュリティ支出 のページ写真 8

調査結果:2026年に急増が見込まれるセキュリティ支出

2025年12月29日、Mike Vizard 2026年のサイバーセキュリティ予算:AI投資、人材確保の課題、高まるリスク許容度 主なポイント: 2026年にはサイバーセキュリティ予算が急増する見込みで、米国の大企業の半数以上が、進化する脅威に対処するため大幅な支出増を計画しています。 不正防止、予測分析、脅威検知の強化といったAI主導の取り組みが最優先課題です。 投資が増加する一方で、生産性とイノベーションを推進するため、組織はより高いリスクを受け入れる傾向が強まっています。 2026年に向けてサイバーセキュリティチームにとって朗報なのは、経済的な不確実性が多く存在するにもかかわらず、サイバーセキュリティ予算は増加が見込まれていることです。売上高10億ドル以上の米国企業における最高経営責任者(CEO)級セキュリティリーダー310名を対象とした調査によれば、回答者のほぼ全員(99%)が、今後数年間でサイバーセキュリティ予算の増加を計画している組織を率いており、将来の脅威に備えるため、過半数以上(54%)が6%から10%の大幅な増加を計画しています。 回答者の70%は、既に予算の10%以上を人工知能(AI)を活用したサイバーセキュリティ施策に充てていると回答。主な焦点は、詐欺防止(57%)、予測分析(56%)、検知能力強化(53%)による脅威の事前検知・阻止にあります。 こうしたAI投資がサイバーセキュリティ人材に与える影響は依然として不透明ですが、少なくとも短期的には人材不足が重大な課題として残っています。調査によれば、リーダーの半数以上(53%)が依然として適格な候補者の不足を重大な課題と認識しており、報酬の引き上げ(49%)、社内研修の強化(49%)、マネージドセキュリティサービスプロバイダー(MSSP)などの外部パートナーへの依存度向上(25%)を余儀なくされています。(MSSP)などの外部パートナーへの依存度を高めています。 既に大半の企業が第三者のパートナーに大きく依存しており、ITサービスプロバイダー(67%)が最も多く、次いでコンサルティング会社(47%)、MSSP(45%)が続きます。回答者のほぼ半数(47%)が、今後2~3年でパートナーへの投資が最も大きく増加すると回答し、クラウドセキュリティ(45%)がそれに続いています。 経営幹部が感じるプレッシャーの多くは、過去12か月間に発生したサイバー攻撃の急増に起因しているようです。回答者の83%が増加を報告しており、主な攻撃種別としてはフィッシング(51%)、サービス拒否攻撃(49%)、ランサムウェア(39%)が挙げられています。 最大の懸念事項はいずれも、AIを活用した攻撃の強化に関連しています。回答者の55%がAIによるソーシャルエンジニアリング攻撃の強化を懸念しており、AI駆動型マルウェア・ランサムウェア攻撃を懸念する50%を上回りました。これらの攻撃を阻止する防御体制について「高い」と評価した回答者は、それぞれ35%と46%にとどまっています。3分の1以上(38%)が、AIを活用した攻撃が今後2~3年で大きな課題となると回答しています。 60%が非人間的なIDの著しい増加を認識しており、43%が今後2~3年でIDおよびアクセス管理(IAM)を大幅に優先度を高める計画です。 もちろん、支出の増加にはより大きな責任と説明責任が伴います。経営陣はサイバーセキュリティへの投資に明らかに意欲的ですが、ガートナーの最近の調査では、非執行取締役(NED)の90%がサイバーセキュリティの価値に対して何らかの不安を抱いていることも明らかになりました。同報告書はまた、同じ調査回答者の多くが、特にAI投資に関して、新興技術の導入時には組織がより多くのリスクを取るよう促しているとも指摘しています。 この結果、サイバーセキュリティチームは新年度において投資額が増加すると予想できます。同時に、組織は潜在的な結果にかかわらず、生産性向上のために高いリスク水準を受け入れる可能性が高いでしょう。 BarracudaONE AI搭載サイバーセキュリティプラットフォームで、保護とサイバーレジリエンスを最大限に強化してください。本プラットフォームはメール、データ、アプリケーション、ネットワークを保護し、24時間365日対応のマネージドXDRサービスによって強化されます。これによりセキュリティ防御が統合され、高度でインテリジェントな脅威検知と対応が実現します。高度な保護機能、リアルタイム分析、先制対応能力を活用し、組織のセキュリティ態勢を確信を持って管理いただけます。堅牢なレポートツールが明確で実用的な洞察を提供し、リスク監視、ROI測定、運用効果の証明を支援します。また、質問がございます場合、ぜひバラクーダの日本のWEBサイトよりお問い合わせください。 原文はこちら:Survey: Security spending to increase sharply in 2026Dec. 29, 2025 Mike Vizardhttps://blog.barracuda.com/2025/12/29/survey–security-spending-to-increase-sharply-in-2026

海外ブログ

基本のさらにその先へ:Microsoft Entra ID の高度な復旧性 のページ写真 9

基本のさらにその先へ:Microsoft Entra ID の高度な復旧性

2025年11月24日、Christine Barry 主なポイント: 復旧性は不可欠:インシデント発生後にデータを復旧させるだけでなく、機能を迅速に復元できるようにします。 Barracuda Entra ID Backup Premium が提供する高度な機能:ポリシーレベルおよびオブジェクトレベルの復元、バージョン履歴管理、重要なアイデンティティ構成要素の保護などが含まれます。 運用のレジリエンスは堅牢な復旧性に左右される:効果的なアイデンティティ管理には、アクセスコントロールだけでなく、障害から復旧する能力が求められます。 Microsoft Entra IDはMicrosoftのクラウドベースのアイデンティティおよびアクセス管理ソリューションです。今日の企業環境において、デジタルアイデンティティの保護に不可欠な役割を果たします。Entra IDの導入環境を実効的に保護するためには、管理者はバックアップだけでなく、復旧性の観点から検討する必要があります。 Entra IDとは? Microsoft Entra ID(旧称:Azure Active Directory)は、従業員、パートナー、顧客のリソースへのアクセスを安全に制御するための仕組みです。Microsoftとサードパーティのクラウドアプリケーションを含むクラウドおよびハイブリッド環境を対象に、シングルサインオン(SSO)、多要素認証、包括的なアクセスポリシーを提供します。何らかの理由でEntra IDデータが利用できなくなると、従業員はこれらのリソースにアクセスできなくなり、業務は中断します。 バックアップと復旧性 復旧性を取り上げる必要があるのは、端的に言ってバックアップだけでは不十分だからです。Entra IDのバックアップとは、ユーザー、グループ、ロール、ポリシー、設定など、Entra IDデータのコピーを作成することを指します。これはデータの保持と復元に焦点を当てた予防的な対策ですが、アイデンティティシステムの複雑さにすべて対処するものではありません。 復旧性とは、インシデントの種類を問わず、インシデント発生後に迅速かつ確実に既知の良好な状態に戻すことです。バックアップからデータを復元するだけではなく、認証やコンプライアンスを損なわずに機能を復元させることを意味します。 復旧性が重要なのは、アイデンティティが現代のセキュリティを支える基盤となっているためです。 Entra IDのテナントに侵害や設定ミスが起こると、ユーザーがサインインできず、アプリが機能せず、ビジネスが停止してしまいます。復旧性は、以下の保証を提供します: 操業停止やサイバー攻撃時のダウンタイムを最小限に抑える リスクのある変更を迅速にロールバックする 最悪のシナリオでも事業継続を確保する Barracuda Entra ID Backup Premium バックアップは不可欠ですが、プロセスの一部に過ぎません。Barracuda Entra ID Backup Premiumは、単純なバックアップにとどまらず、ポリシーレベルおよびオブジェクトレベルの復元、バージョン履歴管理、自動化されたワークフローを提供することで、アイデンティティ環境を確実に復旧できるようにします。 このソリューションは、Microsoftのネイティブな30日間バックアップでは保護できない、影響の大きい設定も対象とします。たとえば、条件付きアクセスポリシー、認証方法および認証強度のポリシー、複数の重要なアイデンティティ構成要素が含まれます。 自社環境で実際に試す 効果的なアイデンティティ管理は、アクセスコントロールだけでなく、堅牢な復旧性に支えられて初めて成り立ちます。その結果、組織は複雑化が進むクラウド環境においても、運用のレジリエンスを維持できます。Barracuda Entra ID Backup Premiumの無料トライアルをぜひご利用ください。また、質問がございます場合、ぜひバラクーダの日本のWEBサイトよりお問い合わせください。 Barracuda Entra ID Backup Premiumページを確認 原文はこちら:Beyond the basics: Advanced recoverability for Microsoft Entra IDNov. 24, 2025 Christine Barryhttps://blog.barracuda.com/2025/11/24/beyond-the-basics–advanced-recoverability-for-microsoft-entra-i

海外ブログ

2025年の最も興味深いサイバー犯罪の摘発事例 のページ写真 10

2025年の最も興味深いサイバー犯罪の摘発事例

2025 年 12 月 3 日、Andrew Sanders 信頼された内部関係者が、今年最大のサイバーセキュリティの脅威の一つとなった経緯 要点 2025 年の最も注目すべきサイバー犯罪の摘発事例は、サイバーセキュリティの主要な懸念事項が、外部の脅威から悪意のある内部関係者へと移行していることを明らかにしています。 2025 年には、特権的なアクセス権を持つ信頼された従業員が、その立場を利用してサイバー犯罪者に機密情報を販売した、いくつかの注目すべき事例がありました。 法執行機関は、多くの著名なサイバー犯罪者を逮捕することに成功していますが、内部関係者による脅威は、依然として検出と防止が特に困難です。 組織は、従業員は誰も疑いの目を逃れることはできないことを認識し、内部セキュリティプロトコルを強化して内部関係者によるリスクを軽減する必要があります。 毎年「史上最大のデータ侵害」が報じられていますが、明るい兆候として、世界的に活動する攻撃者の逮捕件数が増加しています。2024年には29億件超の機密ファイルが流出する記録的な侵害が発生しましたが、犯人であるUSDoDの別名で知られる攻撃者は迅速に逮捕されました。しかし新たな傾向として、外部脅威によるデータ侵害は最も心配すべき問題ではないかもしれません。 問題点:2025年に摘発された最も注目すべきサイバー犯罪は、より深刻な傾向を示しています。今年法執行機関が標的とした最も目立つ人物は、悪意のある外部関係者や国家主体の攻撃者ではありません。むしろ内部関係者——倫理観を捨て、専門知識を悪用して金銭を得るために法に背くことを選んだ信頼された専門家たちです。 内部の犯行:防衛企業の幹部がサイバー機密を売却 防衛請負企業L3Harrisは210億ドルの収益を誇り、世界中で約5万人の従業員を擁します。自律型水中ドローンから衛星光学機器まであらゆる製品を販売しています。同社のサイバーセキュリティ部門トレンチャントは、米国および同盟国政府向けの侵入ツール開発を専門とします。そして痛ましい教訓も学びました——最も信頼される従業員でさえ内部脅威となり得るのです。 トレンチャントの元ゼネラルマネージャー、ピーター・ウィリアムズは最近、ロシア政府を含む国家機関への機密資料販売で有罪を認めました。この資料は8つの未公表ゼロデイエクスプロイトを含み、所有者はスマートフォンやウェブブラウザなどのシステムを侵害・監視できます。 Techcrunchによれば、ウィリアムズは「スーパーユーザー」権限を利用して、通常はエアギャップ(隔絶)された安全なシステムに保管されていたこの資料にアクセスし、個人用ハードドライブに転送しました。コード漏洩の通報を受けた組織はウィリアムズを調査責任者に任命しましたが、彼はこの権限を悪用して別の従業員を陥れました。 この事件は、サイバーセキュリティ分野において「疑いの余地がない」従業員など存在しないことを示しています。 身代金交渉人が脅威アクターに転身 ランサムウェアの台頭により、サイバーセキュリティ分野に新たな職種が誕生しました。ランサムウェア交渉人は、暗号化攻撃成功後に直接攻撃者と交渉します。その役割は身代金総額の削減を図り、必要に応じて技術支援を得てファイルの円滑な復号・復旧を保証することです。 脅威グループは交渉担当者との緊密な連携に強いインセンティブを持ちます。取引が容易な評判を得られれば、標的が身代金を支払う可能性が高まるからです。しかし、ランサムウェア交渉担当者が敵側に寝返った場合、何が起きるのでしょうか? 最近公開された大陪審起訴状によると、インシデント対応マネージャー兼ランサムウェア交渉担当者が、ALPHV/BlackCatと呼ばれるマルウェア株を用いて被害者を標的にし、恐喝した容疑で告発されています。ある事例では、共犯者らは医療機器メーカーから130万ドルの支払いを成功裏に強要しました。 交渉担当者が自社リソースを攻撃に利用した証拠はないものの、その示唆するところは憂慮すべきです。本件のインシデント対応マネージャーは、借金返済のためにランサムウェア攻撃を企てました。高額報酬に誘惑されサイバーセキュリティ専門家が闇の側に転落するのを防ぐため、どのような対策が講じられているのでしょうか? 国際協力で摘発された3億ユーロ詐欺組織 明るいニュースとしては、国際共同作戦により2016年から2021年にかけて活動した多国籍クレジットカード詐欺組織が最近摘発されました。このグループは月額50ユーロ未満の偽クレジットカード契約を大量に作成し、最終的に地球上のほぼ全ての国で1,900万人の顧客を標的にしていました。 一方、暗いニュースとしては、逮捕された18名の容疑者のうち少なくとも5名が大手決済プロバイダーの従業員や幹部であったことが判明しました。彼らはアクセス権限のあるシステムに関する知識を悪用し、不正取引を隠蔽し、資金洗浄を行い、一連のペーパーカンパニーを通じて収益を分配していました。 注目すべきは、いわゆる「犯罪サービス」企業が違法活動に利用された点です。こうした組織の多くはランサムウェアやサービス拒否攻撃を提供するために設立されますが、本事件で利用された企業は、ターンキー方式の一環として追跡困難な金融ネットワークを構築しました。ペーパーカンパニーのネットワークを構築したことで、個々の消費者が自身の資金の行き先を正確に把握することはほぼ不可能となりました。 2025年は内部脅威の年だったのか? ここ3つの事例に共通する傾向に気づいたかもしれません。今年最も注目を集めたサイバー摘発事例では、経験豊富な情報セキュリティ専門家や決済業界のエキスパートが、悪意ある者たちと共謀して数百万ドルを稼いだのです。 情報産業のベテランがロシアのエクスプロイトブローカーと結託 ランサムウェア交渉担当者がランサムウェア・アズ・ア・サービス(RaaS)事業者と共謀 決済業界幹部がプロの資金洗浄業者を利用 なぜこれほど多くのセキュリティ専門家が突然敵側に転向するのでしょうか?その答えは本記事の範囲を超えます(ただし私なりの見解はあります)。一方で、最も信頼される内部関係者でさえ、疑いの対象から外せないという事実を物語っています。今こそ企業は、内部脅威を示す不審な活動を検知できるアクセス制御・監視ソリューションを導入すべきです。 バラクーダなら、内部関係者が不正行為に走る兆候となる行動をネットワーク監視で検知できます。アカウントが侵害された場合でも、賄賂に誘惑された場合でも、バラクーダ マネージド XDR は、重要な知的財産の窃取や不正取引の隠蔽を示唆する可能性のある予期せぬファイル転送や削除を検知します。詳細を以下ページより確認し、次なる内部者による侵害を回避する方法をご確認ください。 24時間365日体制のマネージドサイバーセキュリティで脅威を阻止

海外ブログ