メール脅威レーダー – 2025年7月
2025年7月24日、Threat Analyst Team 7月中に、Barracudaの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。その多くは、人気のフィッシング・アズ・ア・サービス(PhaaS)キットを活用していました。脅威には以下のものが含まれます: Tycoon PhaaSがAutodesk Construction Cloudを偽装した資格情報フィッシング攻撃 米国在住のドライバーを標的とした偽の道路料金違反詐欺 PhishingメールがZix Secure Messageサービスを模倣 EvilProxy攻撃がRingCentralを偽装 Gabagoolフィッシングキットがビジネス生産性ツールを悪用した毒性PDF CopilotとSharePointのブランドを組み合わせたフィッシング攻撃 LogoKit Roundcubeウェブメールサービスを利用した資格情報窃取攻撃 Tycoonリンクをドキュメントダウンロードとして配布 Autodesk Construction Cloudを悪用したフィッシング攻撃 脅威の概要:Barracudaの脅威アナリストは、攻撃者がAutodesk Construction Cloudを悪用して高度なフィッシング攻撃を配信していることを確認しました。Autodesk Construction Cloudは、設計から建設、プロジェクト管理、予算管理まで、建設プロジェクトに携わる人々が利用するオンラインコラボレーションツールのセットです。 Barracudaが確認した攻撃では、攻撃者は信頼できる役員を装い、Autodesk経由で公式に見えるプロジェクト通知を送信します。これらの通知は、Autodeskがホストするページに誘導し、一見無害なZIPファイルが含まれています。 ZIPファイルには、フィッシング攻撃を開始するHTMLファイルが含まれています。 HTMLファイルを開くと、フィッシング攻撃でよく使われる偽のCAPTCHA認証画面が表示されます。これは攻撃に信憑性を与え、自動セキュリティ検出を回避する効果があります。ユーザーは、本物そっくりのページでMicrosoftのログイン資格情報を入力するよう促されます。 このキャンペーンでは、Microsoftのログイン画面を模倣し、二要素認証の保護を回避するように設計された「Tycoon 2FAフィッシングキット」が使用されています。 攻撃者は米国在住のドライバーを標的とした新たな料金詐欺キャンペーンを展開 脅威の概要:米国在住のドライバーを標的とした新たなフィッシング詐欺が、未払いの料金に関する偽の通知を送信しています。被害者はテキストメッセージ、メール、または電話で緊急のメッセージを受け取ります。これらのメッセージは、正規の料金徴収機関から送信されたように見えます。メッセージでは、受取人が料金を支払わない場合、アカウントの停止や法的措置が取られると脅迫します。 メッセージには、車番やクレジットカード情報などの機密情報を入力させる偽のウェブサイトへのリンクが含まれています。詐欺師はこれらの情報を収集し、金銭的利益や身分盗用目的に利用します。 緊急性を強調し、公式ブランドを偽装する手法は、受信者がメッセージの正当性を確認せずに迅速に行動するよう圧力をかけ、この詐欺の有効性を高めています。 Zix Secure Message Centerを偽装したフィッシングキャンペーン 脅威の概要:このキャンペーンは、医療、金融、法律、政府機関など多くの組織で利用されている暗号化メールサービス「Zix Secure Message Center」を模倣しています。 被害者は、安全なメッセージに関するメールを受け取り、リンクをクリックして閲覧するよう促されます。リンクをクリックすると、偽のZixページに誘導され、メールアドレスの入力が求められます。その後、ユーザーは資格情報を盗むために設計された偽のMicrosoftログインページにリダイレクトされます。 このキャンペーンは、Zixの実際のワークフローとブランドを忠実に再現しているため、受信者が詐欺に気づきにくい点が特徴です。ZixやMicrosoft 365などのメール暗号化サービスを利用している組織は特にリスクが高いです。 EvilProxyによるRingCentralを偽装した偽のボイスメール攻撃 脅威の概要:Barracudaの脅威アナリストは、偽のボイスメール通知を利用して被害者を悪意のあるサイトに誘導し、資格情報を入力させる高度なフィッシング攻撃を確認しました。 RingCentral(人気のクラウドベースのビジネスコミュニケーションおよびコラボレーションプラットフォーム)を装った攻撃者は、個人情報を盛り込んだ「新しいボイスメール」に関する説得力のあるメールを送信します。再生ボタンをクリックすると、信頼できるニュースレタープラットフォーム(Beehiiv)から始まり、正当なクラウドホスティング(Linode)を経由し、最終的にglitch.meでの検証ステップにリダイレクトされます。 これらのステップは攻撃の検出を回避し、信頼性を高めます。最終的な目的地は、Microsoftの資格情報を収集するために設計されたEvilProxy PhaaSキットを使用したフィッシングページで、一般的なセキュリティチェックを bypass します。この多層的なアプローチにより、攻撃は検出が困難で非常に効果的です。 サマリ Gabagoolフィッシングキットがビジネス生産性ツールを悪用し、有害なPDFを拡散 脅威の概要:Gabagoolは、ステルス性と効果で知られる高度なPhaaSキットで、企業や政府の従業員を標的とした高度な資格情報の窃取戦術を使用します。Barracudaの脅威アナリストは、GabagoolとNotion.comのビジネス生産性ツールのファイル共有機能を使用して、フィッシングリンクを含む悪意のあるPDFファイルを配布する攻撃者を検出しました。これらのPDFは、ユーザーの資格情報を窃取する目的で設計されたフィッシングページに誘導します。信頼されたプラットフォームと一見無害なPDFファイルを悪用することで、攻撃者は標準的なセキュリティ対策を回避する可能性を高めています。 CopilotとSharePointのブランドを組み合わせたフィッシング 脅威の概要:サイバー犯罪者は、Microsoft SharePointとCopilotのブランドをフィッシングスキームに組み込み、内部またはベンダーのアカウントから送信された本物の「ドキュメント共有」アラートのように見えるメールを作成しています。これらのメッセージは、受信者にリンクをクリックさせ、巧妙に偽装されたMicrosoftログインページに誘導します。このキャンペーンは、Microsoftツールに依存する組織を標的とし、不注意な従業員からログイン資格情報を収集することを目的としています。 LogoKitはRoundcubeウェブメールサービスを利用して資格情報窃取をサポート 脅威の概要:このフィッシングキャンペーンは、Roundcubeの無料オープンソースウェブメールクライアントのユーザーを標的とし、パスワードが48時間以内に失効するとの偽の警告を表示します。メッセージには、現在のパスワードを維持するためと称するリンクが含まれていますが、これはLogoKitツールキットを使用して作成されたフィッシングサイトに誘導されます。ここでユーザーは資格情報を入力するよう促され、その情報が攻撃者に収集されます。 Tycoon PhaaSリンクがプロジェクト文書ダウンロードとして配布 脅威の概要:このフィッシングキャンペーンは、『Project Overview.pdf』などの正当なビジネス文書を装ったメールを流通させています。被害者はダウンロードリンクをクリックするよう誘われ、複数の中間ページを経由して悪意のある意図を隠蔽した後、最終的にTycoon PhaaSホストのフィッシングサイトに誘導されます。このモジュール式で回避性の高い戦略は、攻撃者が検出を回避し、悪意のあるURLの有効期間を延長するのに役立ちます。このキャンペーンは、文書をやりとりすることに慣れたビジネスユーザーを標的とし、フィッシングリンクを信頼してクリックする可能性が高く、資格情報の盗難やビジネスへの侵害につながる可能性があります。 Barracuda Email Protectionが組織を支援する方法 Barracuda Email Protectionは、高度なメール脅威から防御するための包括的な機能セットを提供します。これには、フィッシングやマルウェアから保護するEmail Gateway Defenseや、ソーシャルエンジニアリング攻撃から守るImpersonation...
海外ブログ
マルウェア概説:4つのマルウェアが連携して活動
2025年7月21日、Tony Burgess 本日のマルウェア概説では、ほぼ同じ時期に現れた4つの異なるマルウェアの例を簡単に紹介します。これらのマルウェアは、それぞれのグループによって異なる目的で利用される複雑な脅威の連鎖を実証しています。 このケースでは、RomCom RAT、TransferLoader、MeltingClaw、DustyHammockの4つが、2020年代初頭にロシアのウクライナ侵攻後に特定されました。これらのマルウェアは、ロシア語を話すグループによってウクライナ、ポーランド、および一部のロシアの標的に対して広く使用されています。 RomCom RAT タイプ: リモートアクセストロイの木馬(RAT) 配布方法: フィッシングキャンペーン、改ざんされたURL、偽のソフトウェアダウンロード 変種: SingleCamper 最初の特定: 2022年 主な標的: 主にウクライナの標的に対して展開されています 既知のオペレーター: TA829、UAT-5647 RomCom RATは、脅威アクターがエンドポイントコンピュータを遠隔操作するためのバックドアを作成するために使用されます。ロシア関連グループTA829は、このツールを含む他のツールを情報収集や金融詐欺に利用しています。このグループは通常、Mozilla FirefoxとMicrosoft Windowsの脆弱性を悪用してRomCom RATを拡散します。 RomCom RATでシステムが侵害されると、脅威アクターは通常、TransferLoaderやSlipScreenのようなステルスローダーをシステムに挿入します。これらのローダーは、ターゲットシステムにランサムウェアをロードするために使用されます。 当初はロシア語を話すグループによってウクライナとポーランドの標的に対して主に使用され、その後金融犯罪に適応されました。 TransferLoader タイプ: マルウェアローダー 配布方法: 就職応募をテーマにしたフィッシングキャンペーン、RAT感染 最初の発見: 2025年2月 既知のオペレーター: UNK_GreenSec、RomCom TransferLoaderは、ダウンロードツール、バックドア、バックドアローダーを組み合わせ、脅威アクターが侵害されたシステムに変更を加え、ランサムウェアや他のマルウェアを挿入する機能を可能にします。 初めて発見されたのは、アメリカのある法律事務所のシステムにMorpheusランサムウェアをロードするために使用された際です。その後、MeltingClawやDustyHammerなどのマルウェアをドロップするために使用されています。 TransferLoaderはステルス性を重視して設計されており、検出を回避するための多様な技術を採用しています。ダウンロードされた悪意のあるコードを実行する際、偽のPDFファイルを開くことで活動を隠蔽します。 MeltingClaw タイプ: ダウンロードツール バリエーション: RustyClaw 最初の発見: 2024 既知のオペレーター/作成者: RomCom — 別名 Storm-0978、UAC-0180、Void Rabisu、UNC2596、および Tropical Scorpius 高度な スピアフィッシングキャンペーンが、ダウンロードツール MeltingClaw とその派生版 RustyClaw の配信に利用されました。これらのツールは、バックドア DustyHammock または ShadyHammock をダウンロードしてインストールします。 これらのステルス性の高いバックドアは、ターゲットシステムへの長期アクセスを可能にし、データの発見・窃取やその他の悪意のあるタスクを実行できます。ロシアのウクライナ侵攻中に、ウクライナのシステムに対する諜報活動と破壊活動に利用されました。 DustyHammock タイプ: バックドア バリエーション: ShadyHammock 初確認: 2024 DustyHammockは、コマンドアンドコントロールサーバーとの通信、標的システムでの初期偵察、脅威アクターが任意のコマンドを実行したり、悪意のあるファイルをダウンロードして配置したりする機能を実行するように設計されています。 検出を回避しながら長期的なアクセスを可能にするため、DustyHammockはデータ漏洩とスパイ活動、および破壊活動に利用されています。...
海外ブログ
Barracuda Entra ID Backup Premiumで強化するサイバーレジリエンス
2025年7月8日、Christine Barry 数千社の企業がMicrosoft Entra IDをアイデンティティおよびアクセス管理(IAM)に依存しており、その中にはフォーチュン500企業の過半数が含まれます。ユーザー認証からMicrosoft 365のようなビジネスクリティカルなアプリケーションへのアクセス制御まで、Entra IDは現代のサイバーセキュリティの基盤を成しています。そのため、BarracudaはBarracuda Entra ID Backup Premiumのリリースを発表できることを嬉しく思います。これは、Entra ID環境を保護し、組織のビジネス継続性とサイバーレジリエンスを維持するための強力でコストパフォーマンスの高いソリューションです。 IAMとEntra IDの重要性にもかかわらず、Microsoftの復旧オプションは限定的で、保持されるデータは30日間リサイクルビンに送信されます。Barracudaのソリューションは、これらのネイティブ機能を超え、現代の脅威環境や誤削除、不適切な設定などのリスクからEntra IDを保護します。 Barracuda Entra ID Backup Premiumとは何ですか? Microsoft Entra ID(旧Azure Active Directory)は、現代のサイバーセキュリティに不可欠な「本人確認/身分証明」と「アクセス制御」を提供するクラウドベースのサービスです。認証は、ログインを試みるユーザーまたはデバイスの身分を検証し、不正なユーザーがネットワークにアクセスするのを防ぎます。権限付与は、ログインした各ユーザーに付与されるアクセス権限を制御します。これらの制御がなければ、ログインしたユーザーは許可されていないリソースにアクセスできてしまいます。 ドメインまたはSalesforceのようなサードパーティアプリケーション上のユーザー、デバイス、権限を管理するため、Microsoft Entra IDには、さまざまなデータタイプとその属性、およびそれらの関係性を含めて保存されています。もしオフィスビルがデジタルドメインだとすれば、Entra IDは外部と内部のドアの鍵を管理する場所です。各ユーザーがビルのどの部分を見たり入ったりできるか、いつ、どこからアクセスできるかを管理できます。これは単なる例え話ですが、その情報を突然失った場合を想像してみてください。 Microsoft Entra IDは月間6億1,000万人以上のユーザーが利用していますが、ネイティブのMicrosoft 365復元オプションではそのデータのほとんどが保護されません。Barracuda Entra ID Backup Premiumを使用すれば、安全で回復力のあるMicrosoft Entra ID環境を維持するために必要な最も重要なアイデンティティコンポーネントを保護できます。これには、ユーザー、グループ、役割、管理単位、アプリ登録、監査ログ、認証およびアクセスポリシー、BitLockerキー、デバイス管理設定などが含まれます。 このデータの損失または誤設定は企業にとって致命的な影響を及ぼす可能性があります。Microsoftの共有セキュリティモデル下では、顧客は自身のデータに対して責任を負います。Microsoftは支援を試みる可能性がありますが、その責任は負いません。Barracuda Entra ID Backup Premiumは、これらのすべてのデータタイプを保護し、バックアップ時の属性と関係性を保持します。また、すべてのBarracudaバックアップソリューション同様、クラウドベースのユーザーインターフェースにより、必要なデータを迅速かつ簡単に検索・復元できます。 バックアップの状態を監視し、データの健康状態を評価し、ストレージ統計にアクセスできます。 監査ログとメール通知により、実行されたすべてのアクションについて通知され、バックアッププロセスについて常に最新の状態を把握できます。 展開はわずか5分で完了します — 登録から最初のバックアップ実行まで。 Barracuda Entra ID Backup Premiumは、BarracudaONEプラットフォームとシームレスに統合され、バックアップの状態、データの状態、ストレージの洞察を中央集約型ダッシュボードで一元管理できます。リアルタイム監視、詳細な監査ログ、メールアラートでITチームはすべてのアクションを把握でき、高度な検索機能と詳細な復元機能で必要なデータを迅速に特定・復元できます。 マネージドサービスプロバイダー(MSP)や複数のテナントを管理する組織向けに、Barracuda Entra ID Backup Premiumは多様な環境におけるアイデンティティ保護管理を簡素化し、スケーラビリティを容易に実現します。このソリューションのメリットは、他のBarracudaセキュリティソリューションと組み合わせて展開し、BarracudaONEを通じて管理する場合にさらに拡大します。 Entra ID は主要な標的 世界最大のクラウドベースのアイデンティティサービスとして、Entra ID は、ヨーロッパ、北米、アフリカ、中東、時にはウクライナなどの重要なインフラセクターを標的とする脅威アクター(例:Storm-2372、Void Blizzard)の主要な標的となっています。Microsoft脅威研究によると、攻撃者は毎日6億件のアイデンティティ攻撃を実行しており、そのうち99%以上がパスワードベースの攻撃(フィッシングやパスワードスプレーなど)です。 Microsoftはまた、2024年に1秒あたり7,000件のパスワード攻撃をブロックしたと報告しており、2023年の1秒あたり4,000件から増加しています。 簡単に導入でき、利用が容易 Barracuda Entra ID Backup Premiumは、Barracudaの広範なリセラーネットワークおよびマネージドサービスプロバイダーを通じて、世界中で利用可能になりました。このソリューションは、アイデンティティ保護に特化した組織向けにスタンドアロン製品として購入可能であり、より広範なデータ保護機能を求める組織向けには、Barracuda Cloud-to-Cloud...
海外ブログ
新しいNIST LEVメトリクス:知っておくべきポイント
2025年6月25日、Doug Bonderud 増加する脆弱性報告と、重大な脆弱性および暴露(CVE)の未処理件数の増加が、企業をリスクにさらしています。新しいNIST Likely Exploited Vulnerabilities(LEV)メトリクスが役立ちます。以下にその仕組みを説明します。 CVEサイバーセキュリティの現状 NISTのCVEプログラムは、歴史的な脆弱性と新興の脆弱性を追跡し、企業のサイバーセキュリティリスクを軽減するのを支援しています。しかし、最近のNISTのアップデートによると、同機関は新しいCVEの処理と分類において遅れを取っています。このバックログの一因は、報告件数の増加です。2024年にはCVEの提出件数が32%増加し、NISTは「2025年も提出件数の増加が続く」と述べています。 手動プロセスと熟練の専門家不足もバックログに影響を与えています。NISTは内部プロセスの見直しと可能な限りのタスクの自動化により効率化を図る計画ですが、CVEのバックログは改善される前にさらに悪化する可能性があります。 これは、CVEデータを活用してサイバーセキュリティ対策を策定する企業にとって課題となっています。サイバー犯罪者が広く使用されるシステムを悪用する新たな手法を常に探求する中、報告と分析の遅延はセキュリティの隙間を生じさせます。企業が信頼するアプリケーションやAPIに未検出のリスクが存在する場合、攻撃者はセキュリティ介入なしに活動する時間を獲得できます。 近いものの、まだ十分ではない:KEVとEPSS CVE報告が遅れる中、Known Exploited Vulnerabilities(KEV)カタログやExploit Prediction Scoring System(EPSS)などの他のプログラムがリスク軽減の手段を提供しています。 KEVの理解 KEVリストはCISAによって維持されています。このリストには、実環境で悪用された1,300件を超える脆弱性が含まれています。そのため、リスクの源泉を把握し、効果的な対応策を策定する上で、セキュリティ情報源として広く利用されています。ただし、リストされた脆弱性の数が膨大であるため、カタログ全体に対する防御は現実的ではありません。代わりに、チームは最もリスクの高い脆弱性を特定し、標的を絞った対策を講じる必要があります。 EPSSの探索 EPSSは、2018年にインシデント対応とセキュリティチームフォーラム(FIRST)のセキュリティ専門家によって開発されました。このスコアリングシステムは、公開されているエクスプロイトの存在、エクスプロイトプロセスの複雑さ、脆弱なコードの普及度、侵入検知システム(IDS)やハニーポットなどのソースから収集された現実世界のデータなど、複数の要因を考慮します。 このデータを活用し、EPSSは設定された期間(通常は30日間)内に脆弱性が悪用される可能性を予測します。さらに、この30日間の期間中にリスクが最も高まる時期と低まる時期を提示します。EPSSの最新版は2025年3月にリリースされました。 両プログラムは侵害リスクの軽減に役立ちますが、注意点もあります。KEVは約1,300の脆弱性を検出しますが、これらのセキュリティ上の懸念は同等のリスクを伴いません。最近の『Security Week』の記事で指摘されたように、クラウドネイティブアプリケーションに影響を与える25のKEVバグの分析結果では、10件が技術的に悪用不可能か、実行に極めて特定の条件を要するものでした。そのため、これらの脆弱性は直ちに実行可能な脅威を意味しません。KEVのデータを活用するには、脆弱性の文脈を考慮する必要があります。これは、他のセキュリティ対策から時間とリソースを割く必要があります。 一方、EPSSは、30日間の期間で実際の侵害の発生可能性を予測することで、企業が脅威リスクをより正確に理解するのを支援します。課題はここにあります。サイバーセキュリティの landscape は30日間で大幅に変化するため、EPSSは長期的な計画には有用ですが、日常の運用には適していません。 LEVが公平性を保つ方法 LEVは脆弱性管理に新たなアプローチを提供し、脅威アクターによって既に悪用されている可能性を計算することに焦点を当てています。この悪用が観察されていない場合でもです。 LEV自体は、以下の項目を毎日更新する式です: CVEが既に悪用されている可能性 CVEが悪用される可能性 式は以下の通りです: LEVを使用すると、サイバーセキュリティチームは以下のデータを受け取ります: CVE名、日付、説明 過去の悪用確率 選択した30日間のウィンドウにおける最大EPSSスコア 各ウィンドウにおける最大EPSSスコアの日付 Common Product Enumeration(CPE)を使用して記述された影響を受けるソフトウェアまたはコードのリスト NIST LEVホワイトペーパーによると:「これらの結果は、既に悪用されたCVEの予想割合とKEVリストの網羅性を測定するために使用できます。これらの結果は、KEVベースおよびEPSSベースの脆弱性是正優先順位付けを補完することもできます。」 侵害の克服:協働による取り組み LEVはNISTのサイバーセキュリティツールキットにおける強力な新ツールですが、万能薬ではありません。既存のCVEの現実世界での影響に関する詳細な情報は侵害リスクの軽減に役立ちますが、LEVはEPSSやKEVなどの他の資産と組み合わせ、マルチモーダルAI脅威検出などの高度なサイバーセキュリティツールと統合することで、より効果を発揮します。 協働的な取り組みは、企業に既に発生した事象、現在進行中の事象、および今後数日または数週間で発生する可能性のある事象に関する重要な情報を提供します。その結果、攻撃者の活動を妨害し、侵害が発生する前に阻止するよりプロアクティブなサイバーセキュリティアプローチが実現します。 バラクーダの製品情報はこちら
海外ブログ
メール脅威レーダー – 2025年6月
2025年6月10日、脅威分析チーム 5月中に、Barracudaの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。これらの脅威は検出を回避し、成功確率を向上させるように設計されています。具体的には以下の通りです: EvilProxyフィッシングキットが新たな攻撃手法と戦術を伴って再出現: Upworkの雇用プラットフォームを偽装 偽のMicrosoft 365セキュリティ警告の送信 多層添付ファイルを使用した請求書詐欺攻撃 ClickFixのソーシャルエンジニアリング技術(国家支援型脅威アクターによって普及した手法)を活用した、ホスピタリティ業界を標的としたフィッシング攻撃。 EvilProxyが新たな戦術で再出現、人気雇用プラットフォームを偽装し、偽のMicrosoft 365警告を送信 脅威の概要 EvilProxyは、2025年初頭に活発だった主要なフィッシング・アズ・ア・サービス(PhaaS)プロバイダーで、ユーザーにリンクをクリックさせたり、資格情報を共有させたりする目的で設計された革新的な戦術を複数採用して再登場しました。最初の戦術は、信頼性の高いUpwork雇用プラットフォームを偽装したフィッシング攻撃で、偽の支払い通知を送信するものです。 Upworkのフリーランスプラットフォームを偽装 攻撃は、フリーランサーに最近の作業に対する支払い通知を装った、本物そっくりのメールから始まります。信頼性を高めるため、メールは信頼できるUpworkの顧客から送信されたように見せかけています。 メール本文には、支払い詳細を確認するよう促すリンクが記載されています。 このリンクをクリックすると、ShareFileページにリダイレクトされ、さらに別のリンクが表示されます。 ターゲットがこのリンクをクリックすると、「ボットではないことを証明する」ための「検証」ページに誘導されます。この追加の手順は、プロセスをより本物らしく見せかけ、被害者が続行するよう促す目的です。 その後、被害者はMicrosoftのログイン資格情報を盗むための偽のログイン画面にリダイレクトされ、攻撃者が個人アカウントや機密データにアクセスできるようになります。 標準的な「請求書詐欺」に新たな手口を加えた多層添付ファイル攻撃 Barracudaの脅威分析チームが先月調査した別のEvilProxy攻撃は、被害者を複数の添付ファイルを通じ、保護から遠ざける請求書詐欺でした。 これらの攻撃は、正当な支払い確認メールのように見えるメッセージと.msg添付ファイルで始まります。.msg添付ファイルは送金明細書と称し、PDF添付ファイルとして偽装された埋め込み画像を含んでいます。不審に思わないユーザーが画像をクリックすると、悪意のあるリンク経由でCloudflare Turnstile検証ページにリダイレクトされます。 Turnstile検証は、ユーザーがTurnstile検証を通過後に誘導されるEvilProxyフィッシングサイトを、自動化されたセキュリティツールが検出するのを困難にします。フィッシングページは、被害者のログイン資格情報を盗むように設計されています。 偽のMicrosoft 365セキュリティアラート 脅威アナリストは、EvilProxyがMicrosoft 365のログインアラートを装ったフィッシングメールを送信していることも発見しました。これらのアラートは、既知の信頼できるセキュリティベンダーから送信されたように見せかけています。 Barracudaの脅威アナリストが確認したキャンペーンでは、攻撃者は、一貫した本文の内容のメールでありながら、3つの異なる件名を持つメールを送信していることを確認しました。この手法は、セキュリティツールが1つの件名を検出・ブロックした後も攻撃を継続するためによく使用されます。 メールは、受信者に「特定のIPアドレスが繰り返しアカウントにログインを試みているため、緊急にブロックする必要がある」と警告します。これは、緊急性や迅速な対応の必要性を演出する一般的な手法です。 メールには、IPをブロックするためにクリックする必要がある埋め込みリンクが含まれています。このリンクは、ログイン資格情報を盗むために設計された偽のMicrosoftログインページにユーザーを誘導します。 詐欺師はClickFixテクニックを使用して、ユーザー自身に攻撃を仕掛けさせます 脅威のスナップショット ClickFixは、国家支援の脅威アクターやフィッシング集団に広く採用されているソーシャルエンジニアリング戦術です。これは、被害者が何か問題が発生していると誤信させる手法です。エラーメッセージやプロンプトが表示され、ユーザーに問題解決のため、Windowsのダイアログボックスにコマンドをコピーペーストするよう指示します。これらのコマンドは、攻撃者が被害者のコンピュータで悪意のあるコマンドを実行できるようにします。 ClickFixフィッシング詐欺は、標的が感染した文書を開いたり、悪意のあるリンクをクリックしたりする必要はありません。ユーザー自身に悪意のあるコマンドを追加させることで、自動化されたセキュリティシステムが検出するのが困難な攻撃です。 Barracudaが確認した最近の事例は、他の地域で確認されたものと類似しており、ホテル業界における組織を標的とし、「Booking.comでホテルを予約したが確認メールを受け取っていない”David”」と名乗る人物を装っているものです。 メールは感情的な表現を使用し、顧客が金銭を失う前に予約を確認するためリンクをクリックするよう促します。メールの信憑性を高めるため、「iPhoneから送信」という署名が含まれています。 Barracudaの脅威分析チームは、この攻撃の2つの変種を調査しました。 最初の変種では、ユーザーがリンクをクリックすると、標準的な「私はロボットではありません」検証ページに誘導されます。 ユーザーは簡単な指示に従うよう求められます:Windowsキー + Rを押してコマンドプロンプトを開き、Ctrl + Vでコマンドを貼り付け、Enterキーを押す。巧妙に配置された「Verify」ボタンが、被害者のクリップボードに悪意のあるコマンドを静かにコピーします。ユーザーが指示に従って手順を実行すると、そのコマンドが実行され、マルウェアがバックグラウンドでダウンロードされ、実行されます。これにより、攻撃者は被害者のシステムにアクセスできるようになり、侵害の兆候はほとんどありません。 攻撃者は、機密情報を盗む悪意のあるスクリプトや追加のマルウェアをインストールするなどの行為を行います。 攻撃の第二のバリエーションでは、「Verify」ボタンはありません。代わりに、一般的な CAPTCHA のようなシンプルなチェックボックスが表示されます。ユーザーがチェックボックスをクリックすると、短いローディングアニメーションが表示され、本物の検証プロセスに見えるように見せかけます。しかし、裏ではページがユーザーの知識なしに悪意のあるコマンドをクリップボードにコピーします。 このコマンドは、Windowsに組み込まれたツールを使用してHTMLアプリケーションファイル(HTA)を実行します。HTAファイル自体は正当な目的で利用されるものですが、攻撃者によって悪意のあるスクリプトを実行するために悪用されることが多くあります。Barracudaが確認した事例では、これらのファイルはURLに接続し、被害者のシステムでコードを実行するように設計された有害なHTAファイルまたはスクリプトを含む可能性が高いURLにアクセスします。 いずれの場合も、攻撃者の目的は、信頼されたWindowsコンポーネントを利用してセキュリティソフトウェアを回避し、ユーザーとの最小限のインタラクションで悪意のあるコードを配信・実行し、システムを静かに侵害することです。 Barracuda Email Protectionが組織に提供する支援 Barracuda Email Protectionは、高度なメール脅威から防御するための包括的な機能セットを提供します。 これには、フィッシングやマルウェアから保護するEmail Gateway Defenseや、ソーシャルエンジニアリング攻撃から守るImpersonation Protectionなどの機能が含まれます。 さらに、侵害されたアカウントや詐欺ドメインに関連するリスクを軽減するための「Incident Response」と「Domain Fraud Protection」を提供します。サービスには、メールセキュリティの全体的な態勢を強化するための「Cloud-to-Cloud Backup」と「Security Awareness Training」も含まれます。 Barracudaは人工知能とMicrosoft 365との深い統合を組み合わせ、潜在的に破壊的なハイパーターゲティング型フィッシングとなりすまし攻撃から保護する包括的なクラウドベースのソリューションを提供します。 詳細情報は こちらでご確認いただけます。 AI搭載のメールセキュリティについてはこちら
海外ブログ
新シリーズ:マルウェア概説
2025年6月24日、トニー・バーグス この投稿は、バラクーダブログの新しいシリーズの第1回目です。各マルウェア・ブリーフでは、トレンドの複数のマルウェア脅威を特集します。技術的な詳細と脅威タイプの分類における位置付けを解説し、それぞれが組織にどのように攻撃し損害を与える可能性があるかを分析します。 脅威の動向を追跡したい方にとって役立つリソースとして、Any Run Malware Trends Trackerがあります。今回は、そのリストで現在上位にランクインしているマルウェア「Tycoon 2FA」から始めます。 Tycoon 2FA タイプ:フィッシングキット(フィッシング・アズ・ア・サービス) サブタイプ: Adversary in the Middle (AiTM) 配布方法: Telegram チャンネル、10日間で$120 主な標的: Gmail、Microsoft 365 アカウント 既知のオペレーター Telegram ハンドル: Tycoon Group、SaaadFridi、Mr_XaaD Tycoon 2FAは、2023年8月に初めて確認されたPhishing-as-a-Service(PHaaS)プラットフォームです。2025年初頭まで定期的に維持・更新されています。 このバージョンの名前が示すように、最新の更新により、二要素認証戦略を回避する機能が追加されています。Tycoon 2FAの詳しい技術的分析は、このThreat Spotlightブログ記事をご覧ください。 Tycoon 2FAの主要な特徴は、その極端な使いやすさです。技術的な知識がほとんどない個人でも、標的を絞ったフィッシング攻撃を作成し実行することが可能です。URLやQRコードを使用して、標的を偽のウェブページに誘導し、資格情報を収集します。 Tycoon 2FAは、マルウェアの配信、拡張された偵察活動などにも使用可能です。MFAを回避するため、中間者攻撃(Man-in-the-Middle)として機能し、セッションクッキーをキャプチャして再利用します。これらのクッキーは、資格情報が更新された後も再利用可能であり、ユーザーが標的ネットワークへの長期的なアクセスを維持できます。 上記で述べたように、Tycoon 2FAのオペレーターは、Telegram経由で$120の10日間ライセンスを販売しています。 Lumma タイプ: インフォスティーラー 配布方法: マルウェア・アズ・ア・サービス 別名: LummaC、LummaC2 対象システム: Windows 7 ~ 11 Lummaインフォスティーラーは2022年8月に初めて出現しました。容易にアクセス可能で、複数の価格プランが用意されたサービスとして販売されています。 システムにアクセスすると(フィッシングキャンペーンの成功、偽のソフトウェアに隠蔽、またはDiscordでのダイレクトメッセージ経由など)、Lummaは非常に効果的です。多様な機密データを検出、収集、および漏洩します。主に暗号資産ウォレット、ログイン資格情報、その他の機密データを標的とします。 このマルウェアは、侵害されたエンドポイントからデータログを収集するほか、ローダーとして機能し、他の種類のマルウェアをインストールすることも可能です。 特に、2025年5月、マイクロソフトとEuropolは、Lummaの「中央指揮構造」を閉鎖し、1,300を超えるドメインを削除し、マルウェアと盗まれたデータの主要な販売市場を閉鎖する作戦を発表しました。(Europolの別の作戦も同時期に、他の多くのマルウェアタイプのインフラストラクチャを閉鎖しました。) それでも、数千のシステムが感染し続けており、LummaはAny Runのグローバルリストでアクティブなマルウェアの4位を維持しています。 Quasar RAT タイプ: リモートアクセストロイの木馬(RAT) 標的システム:Windows、全バージョン 作者:不明 配布方法:スパムメールキャンペーン Quasar RATは、犯罪者が感染したシステムを制御するマルウェアの一種です。オープンソースプロジェクトとして広く利用可能であるため、非常に人気があります。その元の作者は不明です。当初は合法的なリモートアクセスツールとして開発された可能性がありますが、サイバー脅威の武器として広く利用されるようになりました。 Quasarは繰り返し改変・更新され、実行可能な機能やユーザーが実行できる操作の範囲が拡大されています。ユーザーはマルウェアのサーバー側コンポーネント上のグラフィカルユーザーインターフェースにアクセスし、クライアント側のマルウェアを自身のニーズに合わせてカスタマイズできます。 機能には、感染したマシンでのリモートファイル管理、レジストリの改変、被害者の操作の記録、リモートデスクトップ接続の確立などが含まれます。 注目すべき機能の一つは、攻撃者が感染したPCを制御しながら長期間検出されないように「サイレントモード」で動作する能力です。 他のRAT同様、Quasarは主にメールのスパムキャンペーンを通じて配布され、マルウェア本体またはローダーを文書として偽装して配信されます。 現在、Quasar RATはAny Runのグローバルリストで第9位にランクインしており、最近の活動増加が報告されています。...
海外ブログ
BarracudaONE AI搭載サイバーセキュリティプラットフォームのご紹介
2025年6月2日、Tushar Richabadas 私たちは、中央集約型ダッシュボードからアクセス可能な統合型製品を提供するBarracudaONE AI搭載サイバーセキュリティプラットフォームをご紹介できることを大変嬉しく思います。BarracudaONEは保護とサイバーレジリエンスを最大化し、購入、展開/実装、使用が簡単です。 BarracudaONEは、ITチーム、ビジネスリーダー、および マネージドサービスプロバイダー(MSP)を以下の主要な機能で支援します: AI搭載の脅威インテリジェンスにより、リアルタイムの検出と対応を強化し、リアルタイムのフィードバックを通じて継続的に改善され、強化されます。 技術的なメトリクスをビジネス価値に変換する自動化されたレポートにより、ステークホルダーとのROIのコミュニケーションを改善します Barracuda AIとの統合により、自然言語クエリで生産性を向上させます 統合ダッシュボードにより、中央集約型の可視性と制御を提供します アラートの一元化により、対応時間を短縮し、アラート疲労とコンテキスト切り替えを排除 展開の健康状態管理機能により、システム全体を強化し、チームがセキュリティの脆弱性や設定ミスを特定・是正する能力を強化 ライセンス管理と、BarracudaONEの統一インターフェースを通じて新しいソリューションへの簡単なアクセス BarracudaONEはメール、データ、アプリケーション、ネットワークを保護し、24/7のマネージドXDRサービスにより強化されています。 Barracudaは、複数の脅威ベクトルにわたる防御を強化するため、人工知能(AI)と機械学習(ML)の機能の開発に長い歴史を有しています。当社のAIはすべてのBarracudaソリューションに統合されており、数千のエンドポイント、シグナル、テレメトリから脅威情報を継続的に学習し共有しています。BarracudaONEは、脅威の検出と対応を強化するため、継続的に進化する革新的なAIエンジンで駆動されています。 測定可能なレポートで関係性を変革 多くのビジネスや部門のリーダーはリスク管理と予算管理を担当していますが、サイバーセキュリティの専門家ではありません。BarracudaONEが提供する価値レポートは、非技術的なステークホルダー向けに明確でアクセスしやすい要約を生成し、彼らの業務を簡素化します。 BarracudaONEの価値レポートは、貴社の以下の支援が可能です: サイバーセキュリティの成果を非技術的な用語で説明 セキュリティイニシアチブの投資対効果(ROI)を明確化 将来のイニシアチブのための予算とリソースの要請を正当化 サイバーセキュリティ運用とビジネス目標を一致させる MSPの視点から、これらのレポートは非常に強力です: 透明性のあるデータ駆動型レポートを通じてクライアントとの関係を強化し、競合他社と差別化 サービスのROIを証明することでサービス料金を正当化 脅威の防止とシステムの保護を証明することで契約更新を獲得 サイバーセキュリティ運用とビジネス目標の整合性を示すことでサービス提供範囲を拡大 防御活動を測定可能なビジネス成果に結びつけることで、MSPはサービス効果とROIの具体的な証拠を提供できます。この可視性は、ITセキュリティをコストセンターから戦略的パートナーシップへと変革します。 単一のドメインまたは数百のクライアント環境におけるギャップを埋める セキュリティ設定の誤りは、最も一般的な侵害ベクトルの1つです。BarracudaONEは、誤設定されたツールを検出するマルチベクター可視化機能によりこれらのリスクを軽減し、設定推奨事項を提供し、ITチームがインシデントになる前に露出ギャップを埋めるのを支援します。 BarracudaONEの展開ヘルス機能の主要な機能は、製品購入とアクティベーションのリアルタイムな洞察です。これにより、ITチームはセキュリティツールが計画通りに使用されていることを確認できます。 MSPが数十、数百、甚至いは数千のクライアント環境を管理する場合、これらの洞察はすべての顧客に及ぶため、セキュリティツールが計画通りに展開され機能していることを確認でき、MSPがサービスレベル契約(SLA)への準拠を維持するのに役立ちます。また、MSPの評判を損なう可能性のあるセキュリティギャップを回避する取り組みも支援します。 これらの包括的でリアルタイムな洞察は、強固なセキュリティ態勢を維持し、コンプライアンス目標を達成するために不可欠です。脅威アクターは最新の対策に適応し、拡大する犯罪エコシステムを通じて攻撃を加速させます。当社のAI搭載サイバーセキュリティプラットフォームは、これらの脅威から自社を防御する立場を維持できるようにします。 アラートを実行可能なアクションに変換 セキュリティチームは、接続されていないツールから大量のアラートに埋もれている状態では、組織を効果的に保護できません。これらのアラートの多くは誤検知であり、それぞれを同じ緊急度で対応することは、時間を浪費しITリソースを消耗します。 これらはしばしば「アラート疲労」を引き起こします——チームが過負荷になり、アラートを無視し始める状態——これにより企業はより脆弱になります。 BarracudaONEは、複数のセキュリティレイヤーにわたる脅威データを自動的に相関分析し、検出と対応を効率化します。統一されたアラートフィードを提供し、ツール間の切り替えを不要にし、状況認識を向上させます。単一の調査ワークフローにより、チームは実際の脅威を優先順位付けし、対応を迅速化できます。 BarracudaONEのプラットフォーム全体でのメリット 複数のAIレイヤー:BarracudaONEの強力な機能は、Barracudaの革新的なAIエンジンによって実現されています。自然言語クエリ(「不審なログインを表示」)、自動脅威対応、予測分析などの機能は、スタッフの管理負担を軽減します。当社の実績あるAIプラットフォームは、防御者が対応時間を短縮し、人的ミスによるリスクを最小限に抑えるのを支援します。 シングルサインオン(SSO)と一貫性のある統一されたナビゲーション:複数のログインを作成したり、異なるインターフェースを学習する必要はありません。BarracudaONEはSSOと直感的な中央集約型ダッシュボードを採用しています。これにより、管理オーバーヘッドとオンボーディング時間を削減し、他のベンダーで発生する「SSO税」のような追加コストもありません。 コスト効果: BarracudaONEはベンダー統合をサポートし、複数のメリットを提供します。ベンダー統合は、サポートコストの削減、統合遅延の軽減、スタッフのトレーニング削減、および全体的なサポートコストの低減が確認されています。 迅速なROI: AI搭載ツール、事前設定済みのモジュール、自動レポートは、即時の価値を提供する機能の一部です。BarracudaONEは、導入初日から保護と高度な洞察を提供します。 MSPの成功への設計 BarracudaONEは、サイバーセキュリティのライフサイクル全体を効率化し、多層防御を簡単に購入、展開、使用できるようにします。さらに、複数のベンダーやセキュリティ製品からの移行を明確な道筋で支援します。AI搭載の単一プラットフォーム、統一されたダッシュボード、包括的な展開とセキュリティ管理戦略を1つに統合しています。 BarracudaONEは、Barracuda Email Protection、Barracuda Cloud-to-Cloud Backup、Barracuda Data Inspectorをご利用のチャネルパートナーおよび顧客に対し、追加費用なしで利用可能です。
海外ブログ
国連報告書、グローバルなオンライン詐欺シンジケートの実態を明らかに
2025年5月5日、Mike Vizard サイバー犯罪シンジケートがオンライン詐欺を継続する能力を妨げるための取り組みが、良い方向か悪い方向かに関わらず、徐々に効果を現し始めています。 国連は、カンボジア、ラオス、ミャンマー、フィリピンなどにおいて、これらの犯罪を犯すサイバー犯罪組織の活動が妨害されるにつれ、組織が対応策として、主要都市に比べて法執行能力がはるかに低い地域へ活動を移す動きが見られると指摘する報告書を発行しました。 同時に、報告書はこれらのグループが、取り締まり強化とグローバルな事業拡大の目的で、南米や中東など異なる地域への事業移転も進めていると指摘しています。 報告書は、さまざまなオンライン詐欺を仕掛けるサイバー犯罪シンジケートが年間約400億ドルの利益を稼いでいると推計しています。国連報告書によると、これらの活動の核心には、高度な国際犯罪組織と、資金洗浄業者、人身取引業者、データブローカー、その他の専門サービス提供者や支援者からなる相互接続されたネットワークによって支えられた、産業規模のサイバー詐欺センターが存在しています。 さらに、これらの組織は東南アジアで違法なオンラインマーケットプレイスを運営しており、詐欺の規模を拡大するだけでなく、正式な金融システムを回避して資金洗浄にも利用されています。国連報告書は例えば、最近「Haowang」にリブランドされた「Huione Guarantee」を、世界最大級の違法オンラインマーケットプレイスの1つとして特定しています。カンボジアのプノンペンに本社を置く、主に中国語で運営されるこのプラットフォームは、97万人を超えるユーザーと数千の相互接続された販売業者を抱えるまで成長しました。米国は現在、北朝鮮を拠点とするラザルス・グループなどのサイバー犯罪シンジケート向けに数十億ドルの暗号資産を資金洗浄したとして、このグループの米国金融システムへのアクセスを遮断する措置を講じています。現在の政治情勢下では、違法なオンライン市場を十分に規制していないとみなされる国が、いずれ高額な関税の対象となる可能性も考えられます。 これらの攻撃を実行するサイバー犯罪組織は、自発的に共謀する個人や、例えば孤独な人々を標的としたロマンス詐欺を強制的に作成させられる個人などのスキルを活用しています。 さらに深刻なのは、これらのオンライン詐欺が高度化している点です。生成型人工知能(AI)ツールがよりアクセスしやすくなるにつれ、サイバー犯罪シンジケートは、疑いを招きにくいより洗練されたサイバー攻撃を仕掛けるためにこれらを活用しています。 国連は、これらの組織の活動に対する意識向上だけでなく、資金洗浄を防止するためのより強力な金融規制の導入を呼びかけています。また、世界中の法執行機関がこのような取引を効果的に特定するための技術と訓練を提供することも求められています。 このような協調した取り組みが具体的な効果を発揮するまでには時間がかかるかもしれませんが、サイバー犯罪組織が地域の貧困を悪用し、オンライン詐欺を大規模に継続するために必要な労働力を提供していることは明白です。現在の課題と機会は、単にシンジケートやその活動拠点を提供する政府を罰するだけでなく、誰かが最初に巻き込まれることをはるかに魅力的ではなくするほどの繁栄を促進することです。
海外ブログ
Cl0pランサムウェア:眠っている間に襲いかかる悪質な侵入者
2025年5月16日、Christine Barry Cl0pランサムウェアは、組織化されたサイバー犯罪グループ「TA505」によって運営されるプライベートなランサムウェア作戦です。Cl0p作戦はTA505犯罪組織の複数のユニットの一つであり、最も利益率が高いとされています。2019年の登場以来、Cl0pは$5億ドルを超える身代金支払いを強要し、世界中で数千の組織と数千万の個人に直接的な被害を与えています。2024年第4四半期、Cl0pはAkiraを凌駕し、RansomHubを追い越して、最も活発なランサムウェアグループとなりました。2025年第1四半期には、公開された侵害事例に基づき、Cl0pはLockBitを凌駕し、最も活発なランサムウェアグループとなりました。 研究者たちは、ブランド名「Cl0p」がロシア語の「клоп」(「klop」)に由来すると推測しています。これは英語で「ベッドバグ」を意味します。Rhysida、Medusa、BianLianと同様、この名前はグループが採用した特徴を表現する意図があると考えられています。ほとんどのアナリストは、小さなが強力(かつ不快な)ベッドバグが、ステルス性と持続性を象徴していると指摘しています。 Cl0pはClopやCLOPとも表記されますが、グループはしばしば「o」の代わりに「0」を使用します。これは、ClopとCl0pの類似性を認識しないキーワードフィルターを回避するための古い手法であり、ハッカーの慣行である文字を数字や記号で置き換える手法へのオマージュです。ただし、このグループはこれにはそれほどこだわっていないようです。彼らは身代金要求書でCLOP^_、Clop、C|0pといった表記も使用しています。 Cl0pとは何者か? この質問に答えるため、まずロシア語を話すサイバー犯罪組織TA505から始めます。このグループは2014年から活動しており、DridexやLockyを含む複数のマルウェアファミリーを使用した攻撃を実施しています。Cl0p以外にも、TA505の犯罪活動には初期アクセスブローキング(IAB)、フィッシング、大規模なマルウェアスパム配布、金融詐欺、大規模なボットネット運営などが含まれます。 Cl0pランサムウェアの変種は2019年に登場し、CrypBossとCryptoMixランサムウェアから進化したものとされています。これらの2つの変種は2015年と2016年に登場し、2018年までに消滅していました。一部の研究者はCl0pがCryptoMixの直接の後継者だと考えていますが、より可能性が高いのは、以前のオペレーターが複数の異なるRaaSグループに分裂したということです。いずれにせよ、Cl0pランサムウェアは生き残り適応を続け、現在ではTA505オペレーションの「フラッグシップ」とされています。これは彼らの攻撃ツールの中でも最もよく知られたもので、攻撃手法における技術的高度さと適応性を示しています。Cl0pは、高プロファイルなサプライチェーン攻撃を通じて世界中で深刻な被害をもたらしてきました。 研究者はTA505とCl0pランサムウェアをロシアまたは独立国家共同体(CIS)に分類しています。Cl0pランサムウェアはロシア語システム上で実行されないように特別にプログラムされており、グループの通信やコードコメントにはロシア語の要素や文化的な参照が含まれています。コマンドアンドコントロールサーバーや支払いインフラの要素は、ロシアと東欧に遡及されています。 Cl0pの攻撃者は、ロシアや旧ソ連諸国内の組織を標的としない傾向があり、その活動パターンは東欧の時間帯の勤務時間と一致していることが観察されています。 ロシア起源の可能性にもかかわらず、Cl0pの攻撃者は、ハクティビストや国家機関との関連性を否定しています。 Cl0pの身代金要求メッセージには、グループの金銭的動機が強調されている可能性があります: 「私たちはこれを公開したり、あなたの機密情報を拡散したりするつもりはありません。私たちは金銭のみに興味があります。 政治的な発言には興味はありません。金銭のみがこれを終わらせるでしょう。」 ~via Ransomware.Live これらの声明と相反する証拠の欠如を考慮し、研究者はCl0pが金銭的利益を動機としており、政治的目標を持っていないと推測しています。 Cl0pのオペレーション Cl0pは、キャンペーンのほとんどをコアチームが管理するプライベートなランサムウェアオペレーションです。主要な攻撃、特にゼロデイ脆弱性を悪用した攻撃では、コアのTA505チームがエンドツーエンドの制御を維持しています。特定の作戦では、Cl0pはアフィリエイトモデルを selective に採用しています。信頼できるパートナーにランサムウェアコードの限定的な使用権を付与し、その見返りに身代金収入の一定割合を支払わせる仕組みです。これは、Cl0p / TA505が特定の作戦を計画し、より多くの「人手」が必要となる場合に適用される可能性があります。 この柔軟なアプローチにより、Cl0pはアフィリエイトに依存する純粋なランサムウェア・アズ・ア・サービス(RaaS)オペレーションと、完全に閉鎖されたチームとして活動するプライベートランサムウェアグループの中間に位置付けられます。一部の研究者や業界アナリストは、Cl0pをRaaSオペレーションと呼ぶのは、Cl0pが必要に応じてアフィリエイトを活用するためです。 Cl0pは他の点でも特徴的です。同グループは、これまで知られていなかった「ゼロデイ脆弱性」の悪用を専門とし、複数のサプライチェーン攻撃で成功裏に展開してきました。彼らは暗号化、データ窃取、分散型サービス拒否(DDoS)攻撃、利害関係者への嫌がらせを含む攻撃的な身代金要求戦術を採用しています。この嫌がらせには、被害を受けた従業員、顧客、パートナー、メディアに連絡を取り、侵害された企業に支払いを迫る行為が含まれます。 Cl0pはどのように機能するのでしょうか? Cl0pの主な配布と感染方法は、高度なフィッシング攻撃からゼロデイ脆弱性の悪用へと進化してきました。フィッシングキャンペーンでは、悪意のあるメール添付ファイル、侵害されたサイトへのリンク、ソーシャルエンジニアリング手法が使用されます。Cl0pは既存の被害者から盗んだデータを使用して、説得力のあるメッセージと行動喚起を作成します。これにより、パートナー、顧客、ベンダーなど、標的のネットワークへのアクセス経路を提供する可能性のある対象に対する攻撃がより効果的になります。 Cl0pの初期段階では、フィッシングキャンペーンはマクロ有効化されたMicrosoft ExcelやWordファイルに依存していました。これらのファイルは、ユーザーを文書にリダイレクトするHTML添付ファイルを通じて配信されたり、メッセージに直接添付されたりしていました。 マクロが有効化されたデバイスでは、文書はCl0pが制御するサーバーから以下のツールをダウンロードします: Get2: マルウェアローダー、ダウンロードツール、または「第一段階マルウェア」。Get2の主な目的は、被害者のサーバーに他の悪意のあるソフトウェアをダウンロードして実行することです。 SDBot: リモートアクセスと横方向の移動に利用されるバックドア型トロイの木馬のファミリー。Microsoftは子変種の詳細をこちらで公開しています。 FlawedAmmyy RAT: データ窃取とコマンド実行に利用されるリモートアクセストロイの木馬(RAT)。 ServHelper: リモートアクセスとバックドア機能を提供するマルウェアファミリー。資格情報を収集し、脅威の持続性を確立する機能も備えています。 Cl0pは、標的組織へのアクセスを得るためにInitial Access Brokers(IABs)も使用します。 Cl0pはゼロデイ脆弱性を活用して成功を収める Cl0pはフィッシング攻撃を継続していますが、ゼロデイ攻撃がグループの主要な手法となっています。多くのランサムウェアグループはパッチ未適用システム上の既知の脆弱性を悪用しますが、Cl0pは繰り返し未知の脆弱性に対するエクスプロイトを開発・展開しています。主なものは以下の通りです: Accellion FTA(2020年12月):このファイル転送アプライアンスはエンドオブライフ(EOL)間近だった際に、Cl0pによって複数の脆弱性が発見され悪用されました。攻撃は12月23日、米国のクリスマス休暇直前に実行されました。Cl0pはAccellion FTAを使用する約100の組織へのアクセスを獲得しました。脆弱性:CVE-2021-27101/27102/27103/27104 GoAnywhere MFT (2023年1月): Fortraのマネージドファイル転送ソリューションは、ベンダーが侵害に気付くまでの2週間、活発に悪用されていました。Cl0pはこの脆弱性を悪用し、130社を超える企業にアクセスしました。脆弱性: CVE-2023-0669 MOVEit Transfer(2023年5月):Cl0pは2023年5月末、米国のメモリアルデー休暇中に、別のファイル転送システムサービスプロバイダーを攻撃しました。この脆弱性はMOVEitのクラウド版とオンプレミス版の両方に存在し、Cl0pは数千の企業にアクセスし、数百万人の個人に影響を及ぼしました。このサプライチェーン攻撃の図解はこちらでご確認いただけます。脆弱性:CVE-2023-34362 Cleo Software(2024-2025):Cl0pは、3つのCleo Software製品に存在する2つの脆弱性を積極的に悪用しています: Cleo LexiCom: ベンダー、顧客、その他のビジネスパートナーとの間で機密文書を交換するために使用されるセキュアなファイル転送用のデスクトップクライアント。 Cleo VLTrader: 複数のプロトコルをサポートするサーバーベースのマネージドファイル転送(MFT)ソフトウェアで、自動化されたワークフローに対応しています。 Cleo Harmony: SAPやSalesforceなどのエンタープライズリソースプランニング(ERP)ソリューションと統合可能なエンタープライズグレードのプラットフォーム。 これらの脆弱性は、Cleoの顧客からバックドアを確立しデータを窃取するために利用されました。この攻撃は2025年5月現在も継続中です。脆弱性: CVE-2024-50623 /55956. これらの4つのサプライチェーン攻撃により、Cl0pは数千の被害者にアクセスできました。各攻撃の速度が重要でした。ほとんどのベンダーは迅速にパッチをリリースし、顧客と連絡を取りましたため、Cl0pの機会窓は時間ごとに縮小していました。データ暗号化に追加の時間をかける代わりに、Cl0pはデータ窃取に焦点を当て、これと他の種類の脅迫を組み合わせました。 これらの攻撃において速度が極めて重要だったため、Cl0pはデータ漏洩を支援するアフィリエイトに依存しました。これがハイブリッドRaaSモデルが機能するポイントです。Cl0pのコアチームは、すべての潜在的被害者を同時に攻撃する能力がなかったため、アフィリエイトはより多くの被害者から得られる身代金の一部を共有する形で協力しました。 研究者はCl0pの攻撃のタイミングにもパターンを発見しています。フィッシングメールは標的地域の一般的な勤務時間中に送信され、被害者がデスクにいる際に最も多くの被害者を捕獲するように設計されています。Cl0pはITスタッフが減少または不在のオフピーク時や長期休暇中に脆弱性を攻撃します。 初期アクセス以降、Cl0pの攻撃チェーンは次のように進行します: ラテラルムーブメント:...
海外ブログ
Barracuda Advanced Threat ProtectionおよびLinkProtectにおける次世代脅威検出機能の強化
2025年5月7日、Olesia Klevchuk 当社は、マルチモーダルAI技術を専用設計のサンドボックスエンジンに統合することで、Barracudaの脅威保護機能に重大な進化をもたらすことを発表します。この機能強化により、Barracuda Advanced Threat Protection (ATP) と Barracuda LinkProtect は、URL およびファイルのアートファクト(文書、画像、埋め込みリンク、QR コードなど)に対するリアルタイムの深層検査を実行できます。 新しい Barracuda の機能は、脅威検出能力を3倍以上、速度を約8倍向上させます。マルチモーダル AI の機能強化がこのパフォーマンス向上を可能にし、脅威検出機能の継続的な改善を通じてさらなるイノベーションを促進します。 専用設計のサンドボックスエンジンとマルチモーダルAI マルチモーダルAIは、テキスト、ビジュアル、行動、メタデータなど、複数のデータ層とメディアタイプを分析することで、悪意のあるファイルとURLの検出を強化します。ファイルの場合、埋め込まれたスクリプト、ファイル構造、PDF内のQRコードなどのビジュアル要素、実行時の行動を検査し、過去に例のない脅威でも検出可能です。URLの場合、ドメイン名、ウェブページの内容、リダイレクト、スクリーンショット、ホスティング詳細を評価し、フィッシングや資格情報窃取の試みを検出します。これらの異なるモダリティを組み合わせることで、マルチモーダルAIは精度を向上させ、ゼロデイ脅威を検出するとともに、潜在的な攻撃のコンテンツとコンテキストの両方を理解することで偽陽性を削減します。この機能により、当社の製品は市場で従来利用可能だったモデルと比較して、高度な脅威をより高い精度で検出可能です。 マルチモーダルAIによる悪意のあるSVG(Scalable Vector Graphics)ファイルの検出は、複数のデータタイプを組み合わせることで隠れた脅威を暴露する好例です。SVGファイルはXMLベースで、スクリプト、リンク、または難読化されたペイロードを埋め込むことができ、巧妙な攻撃ベクターとなります。 従来のスキャンでは、表面上はクリーンに見えるが隠れた脅威を含むSVGファイルを見逃す可能性があります。BarracudaのマルチモーダルAIは、コード検査、視覚的欺瞞検出、サンドボックス動作を組み合わせることで、高度で回避型のSVGベースの攻撃を検出します。 例えば、以下の画像は、偽装されたMicrosoftログインサイトのウェブブラウザで表示されるSVGファイルを示しています。フィッシングの標的のメールアドレスがファイルに埋め込まれており、フォームを事前入力します: PDFファイルは、スクリプト、画像、リンク、さらには実行可能コードを埋め込むことができるため、フィッシングやソーシャルエンジニアリング攻撃の一般的な攻撃ベクターです。 視覚的には、PDFは偽のログインフォームを表示し、ブランドを偽装して資格情報を収集します。一部には埋め込まれたQRコードやボタンに偽装されたリンクが含まれる場合もあります。これらの脅威は、ファイルの構造内に隠蔽されていることが多く、マルチモーダルAIは静的コード分析、ドキュメントのレンダリングによる視覚的欺瞞の検出、およびセキュアなサンドボックスでの実行による不審な動作の監視を組み合わせることで、これらの攻撃を検出します。 別の例では、401k情報を含むセキュアな文書として表示されるPDFに、フィッシングページへのリンクを含むQRコードが埋め込まれていました。このQRコードは、ログイン資格情報を盗むための偽のログインポータルに被害者を誘導します。従来のスキャナーはQRコードを静的画像として認識するため、これらを見逃す傾向があります。マルチモーダルAIは、PDFをレンダリングし、QRコードを視覚的に検出、その内容を解読し、目的先のリスクを分析します。必要に応じて、リンクをサンドボックスで実行し、リアルタイムで悪意のある動作を検出します。悪意のあるPDFの68%にQRコードが含まれているため、適切な防御レベルを欠くリスクは高すぎます。 これらの新機能は、悪意のある脅威の検出数を約3倍に、検出速度を約8倍に改善します。Barracuda ATPはBarracudaプラットフォーム全体で共有されているため、すべてのBarracudaセキュリティソリューションがこれらの強化機能の恩恵を受けます。 進化する戦術に対するアダプティブ(適応型)保護 脅威アクターはAIツールを攻撃の構築と展開に利用してきました。これは2018年から少なくとも始まっています。カスタムGPTsと生成AIは2023年にゲームチェンジをもたらし、これらの攻撃はAIの進化に伴いさらに悪化するでしょう。これらの脅威に関する詳細情報は、当社の無料レポート「2025 Email Threats Report」でご確認ください。 Barracuda Advanced Threat ProtectionとBarracuda LinkProtectは、これらの攻撃に対して企業に複数の保護層を提供します。新しいマルチモーダルAIイノベーションにより、脅威検出の速度と効果はこれまで以上に高まっています。Barracudaは、今日の最も高度で危険なサイバー脅威から防御するために必要な可視性、文脈、スピードを提供します。 AI搭載のメールセキュリティ機能を備える →Barracuda ATPに対応したBarracuda Email Protectionにご興味のある方はこちらもご確認ください。
海外ブログ
