1. HOME
  2. Blog
  3. Blog

Info.

お知らせ

Blog

2025年のサイバーセキュリティの動向:生成AIとサプライチェーンが脅威リストのトップに浮上 のページ写真 1

2025年のサイバーセキュリティの動向:生成AIとサプライチェーンが脅威リストのトップに浮上

2025年4月18日、Kevin Williams 2025年に入ってから既に3ヶ月が経過したことに驚かされます。第1四半期が終了し、年の3分の1に差し掛かったこの時期は、ステークホルダーとサイバーセキュリティの専門家に対し、今年前半に観察された新興トレンドについて調査する絶好のタイミングです。Gartnerは最近、2025年の新興サイバーセキュリティトレンドのリストを発表し、当社でも自社内の専門家数名に調査を実施しました。 Gartnerが指摘する主要トレンド トレンド1: 生成AIがデータセキュリティプログラムを牽引 – 従来、セキュリティ対策と財務リソースの大部分は、データベースなどの構造化データ保護に重点が置かれてきました。しかし、ジェネレーティブAI(GenAI)の台頭はデータセキュリティプログラムを変革し、テキスト、画像、動画などの非構造化データ保護への焦点移行を促しています。「多くの組織は投資戦略を完全に再方向転換しており、これは大規模言語モデル(LLM)のトレーニング、データ展開、推論プロセスに重大な影響を及ぼす」と、ガートナーのシニアプリンシパルアナリスト、アレックス・マイケルズは述べ、さらに「最終的に、このシフトはリーダーがGenAIがプログラムに与える影響を伝える際に直面する優先順位の変化を浮き彫りにしている」と付け加えました。 トレンド2:マシンアイデンティティの管理 – 生成AI(ジェネレーティブAI/GenAI)、クラウドサービス、自動化、DevOps実践の普及により、物理デバイスとソフトウェアワークロードの両方でマシンアカウントと資格情報が広く利用されるようになりました。ガートナーの報告書で指摘されているように、これらのマシンアイデンティティが制御されず管理されない場合、組織の攻撃対象領域を大幅に拡大する可能性があります。 ガートナーによると、セキュリティとリスク管理(SRM)のリーダーは、潜在的な攻撃から保護するための堅牢なマシンアイデンティティとアクセス管理(IAM)の戦略を策定する圧力に直面しています。この取り組みは、企業全体で調整される必要があります。2024年8月から10月に世界中で実施された335人のIAMリーダーを対象としたガートナーの調査では、IAMチームが組織のマシンアイデンティティの44%しか管理していないことが明らかになりました。 その他の注目すべきトレンドには、戦術的AI、サイバーセキュリティ技術の最適化、セキュリティ行動の拡張、文化プログラムの価値、およびサイバーセキュリティのバーンアウトへの対応が含まれます。バーンアウトについて、マイケルズは次のように述べています。「サイバーセキュリティのバーンアウトとその組織への影響は、サイバーセキュリティプログラムの有効性を確保するために認識され、対応する必要があります。最も効果的なSRMリーダーは、自身のストレス管理を優先するだけでなく、個人のレジリエンスを明確に改善するチーム全体のウェルビーイングイニシアチブに投資しています。」 専門家が解説 SmarterMSP.comは、2025年後半のサイバーセキュリティの動向について、業界の専門家から意見を収集しました: ジェフ・リー、100 Mile Strategies LLCの創設者兼GMU国家安全保障研究所の客員研究員:「ランサムウェア攻撃は増加傾向にあり、特にランサムウェア・アズ・ア・サービス(RaaS)の拡大に伴い、重要インフラが標的となるケースが増加しています。同時に、サプライチェーンと第三者リスクは多くの組織にとって依然として重大な弱点です。 クラウドシステム、接続デバイス、エッジ技術への依存が高まる中、ゼロトラストセキュリティモデルへの移行が加速しています。北朝鮮は違法資金獲得のため、暗号資産取引所を標的とし続けています。AIを活用したツールは、ディープフェイク、フィッシング、偽音声詐欺など、サイバー攻撃の信憑性をかつてないほど高めています。これらの変化に対応するため、組織はEUのAI法や米国で進化するプライバシー・セキュリティ法などの新たな規制に追従する必要があります。」 サプライチェーンの盲点を回避する ジョー・サンダース、RunSafe Security CEO: 「2025年、国家(特に中国)、敵対勢力、APTがオペレーショナルテクノロジー、ソフトウェアサプライチェーン、重要インフラを標的とし、情報収集やオペレーションの妨害・操作を行う事例が増加しています。これらの攻撃はますます破壊的になっています。国家が基本サービスの将来的な混乱を目的とした資産の事前配置を行う一方、悪意あるアクターはランサムウェア攻撃を通じて金銭的利益を追求しています。今年、米国の上位20都市の1つが、通信や水道サービスなどの重要なサービスをランサムウェア攻撃により喪失する可能性は、驚くべきことではありません。」 スティーブ・チェリアン、XPRO最高製品責任者:「2025年、サプライチェーンの整合性はサイバーセキュリティの重要な焦点となっています。最近の重大な情報漏洩事件は、第三者ベンダー内の脆弱性を露呈し、組織がサプライチェーン全体に焦点を当てる必要性を浮き彫りにしました。現代のビジネスエコシステムとレガシーシステムとの相互接続性により、単一のサプライヤーの侵害が組織全体のセキュリティを脅かし、消費者や経済に大規模な影響を及ぼす可能性があります。」 AIとゼロトラストの二面性 一方、Espresso TranslationsのCEO、ダニオ・カヴィエロは次のように指摘しました:「2025年のサイバーセキュリティは確実に意味のある変化を遂げており、私はその変化を自身の業務で直接目撃しています。最も目立つトレンドの一つは、防御側と攻撃側の両方でAIの活用が拡大している点です。 しかし、AIツールが進化するにつれ、セキュリティチームは脅威をこれまで以上に早期に検出できるようになっています。一方で、サイバー犯罪者も攻撃の自動化と拡大を可能にしています。ガートナーの新たな推計によると、2025年末までにサイバー攻撃の75%がAIによるものになるとされています。これは、双方が優位性を獲得するために高速化を競う、絶え間ない猫とネズミの駆け引きです。この動向は、私たちにこれまで以上にプロアクティブでアジャイルな対応を迫っています。 同時に、リモートワークの増加に伴い、企業はゼロトラストセキュリティモデルへの真剣な取り組みを始めているようです。最近の調査によると、2025年末までに80%の組織がゼロトラスト戦略を採用すると予測されています。この戦略は、ネットワーク内の誰かがデフォルトで安全であると仮定できない現在の状況下では理にかなっています。しかし、第三者のサプライヤーを標的とした攻撃の急増も私が注目している点です。サプライチェーン経由の侵害は今年だけで30%増加しています。さらに、企業はネットワークだけでなく、依存する広範なエコシステムも保護する必要があります。 進化し続けるサイバーセキュリティの世界をナビゲートするには 2025年に深く進むにつれ、サイバーセキュリティの風景が急速に変化していることは明白です。生成AI(ジェネレーティブAI/GenAI)の普及とマシンアイデンティティの管理の緊急性が、組織に新たな課題をもたらしています。同時に、サプライチェーン、重要インフラ、デジタルアイデンティティを標的とした脅威の増加が、サイバーセキュリティ環境を複雑化しています。 今年、組織にとって重要な優先事項は、新たなAI規制への適応と国家主体の脅威への対応です。さらに、進化するリスクに対抗するため、ゼロトラスト戦略の強化は不可欠です。専門家は、サイバー脅威に先んじるためには、俊敏性、警戒心、そして積極的な姿勢が不可欠だと指摘しています。トレンドが進化し続ける中、組織は直面する脅威と同じ速度で進化する準備を整える必要があります。 注:この投稿は、SmarterMSP.comに最初に公開されました。

海外ブログ

Medusaランサムウェアとサイバー犯罪エコシステム のページ写真 2

Medusaランサムウェアとサイバー犯罪エコシステム

2025年2月25日、Christine Barry ギリシャ神話に登場するメデューサは、アテナの呪いによって美しい女性から翼のある蛇の頭を持つ怪物に変身したと言われています。彼女は、その顔を見上げた者を石に変える力から、『怪物』でありながら『守護者』とも呼ばれています。彼女は、しばしば断片的に語られる巨大な物語の魅力的なキャラクターです。 ランサムウェアグループは、自身を強大で力強い存在に見せるためのアイデンティティを採用する傾向があります。このグループが2022年末にMedusaランサムウェアとして登場した際、その意図も同様だったかもしれません。このグループは2023年からランサムウェアの主要なアクターとして上位10位にランクインし、トヨタ・フィナンシャル・サービスやミネアポリス公立学校区などの著名な被害者を標的としています。メデューサをテーマにしたブランドがそのランサムウェア地下世界の頂点に上り詰めた要因だと考える人はいないでしょうが、サイバー犯罪者がその名前を使うことは否定できません。 メデューサ(Medusa)の混乱 メデューサという名前をブランドの一部として使用する、他の3つのアクティブな脅威が存在します。これらの脅威は、Medusaランサムウェアを調査する際の結果に表示される可能性があります。 Medusa・アンドロイド・バンキング・トロイの木馬: このマルウェアは2020年に初めて確認されました。現在のバージョンはマルウェア・アズ・ア・サービス(MaaS)モデルを通じて提供され、最新モデルのスマートフォンを標的としています。データ窃取、スクリーンショットの撮影、被害者のデバイスへの追加マルウェアの展開が可能です。 Medusa Botnet: これは2015年にダークネットで初めて確認された古いマルウェアの変種です。その後変更され、現在は漏洩したMiraiコードを基盤とした分散型サービス拒否(DDoS)ボットネットとなっています。このマルウェアには「Medusa Stealer」と呼ばれるランサムウェア機能がありますが、コードにバグが存在するため、ランサムウェアではなくワイパーとして機能するようです。 MedusaLockerランサムウェア:これは2019年に初めて観測されたが、Medusaよりも知名度の低い脅威である。この2つのランサムウェア脅威は、メディア報道でしばしば混同されるため、戦術、技術、手順(TTP)、侵害の指標(IoC)、その他の情報に関する混乱を招く可能性がある。 また、脅威アクターではないオペレーションMedusa(メデューサ作戦)というものがあります。これは、2023年に国際的な法執行機関がグローバルなSnakeマルウェアネットワークを混乱させた作戦のコードネームです。この法執行作戦は、Medusaランサムウェアの変種を標的としていませんでした。 Medusaランサムウェアとはどんなものですか? Medusaの正確な所在地や個々のオペレーターは不明ですが、アナリストは同グループがロシアまたはその同盟国を拠点に活動していると推測しています。同グループはロシア語のサイバー犯罪フォーラムで活動し、ロシアの犯罪サブカルチャー特有のスラングを使用しています。また、ロシアや独立国家共同体(CIS)加盟国の企業を標的から避けています。Medusaランサムウェアの被害者は、主にアメリカ合衆国、イギリス、カナダ、オーストラリア、フランス、イタリアに集中しています。研究者は、Medusaランサムウェアグループがロシアの利益を支援している可能性があると指摘していますが、国家支援を受けたグループではないとされています。 Medusaランサムウェアグループの主な動機は金銭的利益です。多くのグループ同様、Medusaは二重恐喝戦略を採用し、高額な要求から交渉を開始します。グループのデータ漏洩サイト、TORリンク、フォーラム、その他の重要な恐喝リソースはダークウェブ上に存在します。このような構成は脅威アクターの間で一般的です。 Medusa の特徴的な点は、パブリックインターネット(別名「クリアネット」または「クリアウェブ」)を利用していることです。Medusa は、パブリック Telegram チャンネル、Facebook プロフィール、および「OSINT Without Borders」というブランド名の X アカウントにリンクされています。これらのプロパティは、「Robert Vroofdown」および「Robert Enaber」という仮名を使用するオペレーターによって運営されています。OSINT Without Borders のウェブサイトもあります。 これらの公開プロパティは、被害者にさらなる圧力をかけ、Medusa ランサムウェアの脅威に関する認識を広めることを目的としている可能性があります。 Medusa ランサムウェアグループは、独自のインフラストラクチャを用いて独立して活動しているようです。Medusa が別のグループのブランド名変更や分派であるとの証拠はなく、他の脅威とのコードの類似点も報告されていません。しかし、専門家は、組織的なサイバー犯罪グループ「Frozen Spider」が Medusa ランサムウェアの運用において重要な役割を果たしていると断定しています。Frozen Spider は他の脅威アクターと協力しており、より大規模なサイバー犯罪サービス(CCaaS)エコシステムの一部です。 Medusa の攻撃チェーン Medusaは、攻撃を加速するために初期アクセスブローカー(IAB)に依存しています。IABは、資格情報詰め込み、ブルートフォース攻撃、フィッシングなど、企業のネットワークに侵入するためのあらゆる攻撃手法を専門としています。IABが求めるのは初期アクセスだけで、この情報を他の脅威アクターに販売することで利益を得ています。 IABは他のサイバー犯罪者のサプライチェーンの一部と考えることができます。Medusaのようなランサムウェアグループは、データを盗み暗号化して利益を得るため、ネットワークへのアクセスを購入する方が、侵入を試みる時間をかけるより効率的です。IABとランサムウェアオペレーターとの協力関係は、現代の脅威環境において最も効果的なサイバー犯罪加速要因の一つです。 Medusaオペレーターはフィッシングキャンペーンを実施し、公開されている脆弱性を悪用します。IABはランサムウェアオペレーションの効率化に貢献しますが、Medusaや他の脅威オペレーターは必要な場合、独自の侵入攻撃を実施します。 システム内に侵入すると、メデューサは横方向の移動と権限の昇格により足場を拡大しようとします。また、ネットワーク内からより多くの資格情報を収集するため、OS資格情報ダンプ技術を発動します。これらの技術は、正規のオペレーティングシステム(OS)機能から資格情報を盗むための異なる手法に過ぎません。これらについては今後の投稿で詳しく解説します。 Medusaはネットワークをスキャンし、盗んだ資格情報でアクセス可能な脆弱なシステムやリソースを探します。 これは、最小権限の原則(PoLP)を適用し、公開インターネットに露出していない内部システムであってもパッチを適用し、セキュリティを強化すべき理由の好例です。また、Windows 10のサポートは2025年10月に終了するため、該当するマシンについてはアップグレード、置き換え、または拡張サポートの購入を検討する必要があります。 MedusaはPowerShellやその他のツールを使用して防御機能を無効化し、ネットワークを探索し、権限を昇格させます。データ窃取の準備として、ランサムウェアのバイナリ「gaze.exe」を実行します。このバイナリはデータ窃取のための環境を構築するプロセスを起動しますが、実際のデータ転送はPowerShellスクリプトとサポートツールによって処理されます。MedusaはTORのセキュアチャネルを使用して被害者のデータをコピーし、ダークウェブの漏洩サイト「Medusa Blog」で攻撃を公表します。 Medusaの暗号化プロセスは、影響を受けた各ファイルに.MEDUSA拡張子を付加し、暗号化されたファイルを含む各フォルダーに身代金要求メッセージを作成します。このメッセージは!!!READ_ME_MEDUSA!!!.txtという名前で、通信と支払いに関する標準的な指示と警告、および一意の被害者識別子が含まれます。また、彼らと協力しないよう警告する標準的な文言も含まれます。 自身を防衛する ほぼすべての高度な脅威は個人のミスに依存しています。以下は、各人が守るべきベストプラクティスです: すべてのアカウントに強固で一意のパスワードを使用し、可能な限り多要素認証(MFA)を有効化してください。これにより、追加の認証要素がない限り、攻撃者が資格情報を盗んでもアカウントにアクセスできなくなります。 個人用デバイスでオペレーティングシステム、アプリケーション、アンチウイルスソフトウェアを定期的に更新してください。多くのデバイスは、資格情報やその他の情報を盗むマルウェアに感染しています。この盗まれたデータは、資格情報詰め込み攻撃やその他の初期アクセス攻撃に利用される可能性があります。 不審なリンクをクリックしたり、不明なソースからの添付ファイルをダウンロードしたりしないでください。悪意のあるファイルを誤って実行すると、情報窃取ツールやその他のマルウェアがインストールされ、デバイスに損害を与える可能性があります。また、自宅ネットワーク内の他のデバイスに拡散する可能性もあります。 企業を保護するには、これらのベストプラクティスに加え、さらに多くの対策が必要です: すべてのオペレーティングシステム、アプリケーション、ファームウェアを最新のバージョンに更新し、ランサムウェアが利用する脆弱性を修正してください。Windows 10のサポート終了(2025年10月14日)に備えて早期に計画を立ててください。 ランサムウェアによって変更できない不変のバックアップを提供する堅牢なバックアップソリューションを使用してください。バックアップは複製し、少なくとも1つのコピーをネットワーク外に保管してください。 最小権限の原則を適用し、管理アクセスを絶対に必要とするユーザーに限定してください。役割ベースのアクセス制御を使用して露出を最小限に抑えてください。使用されていないリモートアクセスツールを無効化するか、強固なパスワードと多要素認証(MFA)で保護してください。 AI搭載のエンドポイント保護ソリューションを使用して、不審な活動を監視し、攻撃に対応してください。Barracuda Managed XDRは、高度な脅威インテリジェンスと自動化されたインシデント対応を提供し、攻撃を特定・軽減しながら、企業チームが復旧作業を進めることができます。 詳細なインシデント対応計画を作成し、感染したシステムの隔離、攻撃中の安全な通信、バックアップからの業務復旧を含む手順を定義します。この計画を定期的にテストし、欠陥を是正します。 強力なAI搭載メール保護システム(SPF、DMARC、DKIMプロトコルを含む)を展開します。従業員がフィッシングメールを識別し、不審なリンクを回避し、潜在的な脅威を即時報告する方法を教える定期的なトレーニングプログラムを実施します。 ネットワークセグメンテーションを使用して、重要なシステムとデータをセキュリティが低い領域から隔離します。これにより、脅威アクターが攻撃チェーンを実行するために必要なネットワーク内の横方向の移動を遅らせたり、防止したりできます。メデューサは機密データを優先的に窃取するため、それらを見つけるのを困難で時間のかかるようにしてください。 全社的にすべてのアカウントとシステムに多要素認証(MFA)を必須化してください。これは、不正アクセスに対する追加のセキュリティ層を追加する基本的な手順です。 Barracudaソリューションを活用 Barracudaは、今日の複雑な脅威に存在する主要な攻撃ベクトルから組織を防御する包括的なサイバーセキュリティプラットフォームを提供しています。Barracudaは、幅広い脅威ベクトルから保護するコストパフォーマンスに優れた機能豊富なワンストップソリューションを提供し、受賞歴のある完全なカスタマーサポートでバックアップされています。単一のベンダーと協力することで、複雑さの軽減、効果の向上、総所有コストの低減というメリットを享受できます。世界中で20万社を超える顧客が、メール、ネットワーク、アプリケーション、データの保護にBarracudaを信頼しています。 製品リンク...

海外ブログ

Fogランサムウェアの分析 のページ写真 3

Fogランサムウェアの分析

2025年4月30日、Christine Barry Fogランサムウェアは2024年4月に、高速暗号化と二重身代金要求戦術を組み合わせた高度なサイバー脅威として登場しました。Fogの攻撃者は当初、侵害されたVPNアカウントを通じて教育機関を標的としました。その後、攻撃範囲を政府機関や企業部門に拡大しました。2025年2月現在、Fogの被害を受けた上位5つの業種は、ビジネスサービス、テクノロジー、教育、製造業、政府です。Fogの被害者の大多数は米国に拠点を置いています。 研究者は、Fogの脅威アクターがロシアまたは旧ソビエト連邦諸国から活動していると推測しています。これは、東欧諸国や中華人民共和国を標的から明らかに避けているためです。2024年の攻撃において、研究者はFogに関連するIPアドレスの起源をモスクワに追跡しました。 グループか、変種か? アナリストは、Fogランサムウェアを脅威グループではなく変種として区別するように注意しています。Fogの使用背後には中央集権的な運営の証拠は確認されていません。異なる脅威アクターが攻撃に利用可能であり、開発者と侵入を行う者とは別組織であることが確認されています。 ランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトはランサムウェア開発者と別個に活動していますが、ソフトウェアの背後には組織的な階層構造や役割分担の証拠があります。アフィリエイトにはルールや支払い構造が存在します。Fogはこれらの特徴に該当しないため、RaaSオペレーションとは見なせません。 FogがRaaSオペレーションとして使用されたり、その意図があった可能性も排除できません。そのモジュール式設計により、攻撃者は暗号化対象、攻撃のペース、暗号化範囲、身代金要求文の内容を制御できます。RaaSオペレーションを念頭に開発された可能性もあります。 Fogは単一の組織ではないようですが、一般的に理解されている「脅威アクターグループ」のパラメーターに適合しています。Fogの攻撃者はインフラストラクチャとマルウェアを共有し、共通の戦術、技術、手順(TTPs)を有し、攻撃間で類似したフィッシングメール、身代金要求書、交渉チャットを使用しています。また、Fogブランドの漏洩サイトと交渉ポータルが存在し、これらの脅威アクターが被害者とのコミュニケーション方法を調整していることを示しています。 Fogのアクターは、攻撃中にコマンドアンドコントロール(C&C)サーバーと暗号化通信チャネルを使用して通信していることが確認されています。 Fogの主要な指標 利用可能なデータに基づき、アナリストは以下の指標を算出しています: 公に報告された被害者の数: 189件(2025年4月現在) 初期の身代金要求の中央値: $220,000 身代金支払額の中央値: $100,000 Fogが収集した金額は不明です。公開報告されたすべての被害者が中央値の身代金を支払った場合、総額は$18.9百万ドルになります。ただし、すべての被害者が身代金を支払うわけではなく、すべてのインシデントが報告されるわけではありません。最近の調査では、過去1年間に身代金要求を支払った組織は世界中で86%に上ることが判明しましたが、これは興味深い結果ですが、Fogの被害者には適用されない可能性が高いです。 Fogの脅威アクターが金銭以外の動機で行動している証拠はありません。彼らは国家支援を表明したり、特定の思想や運動を支援したりしたことはありません。 Fogの動作 Fogは通常、以下の初期アクセス手法の1つを通じて拡散します: 侵害されたSonicWall VPNアカウント:これらのアカウントは通常、初期アクセスブローカー(IAB)を通じて購入されますが、フィッシングキャンペーンを通じて直接盗まれる可能性もあります。 脆弱性の悪用:このグループはパッチが適用されていないソフトウェアを積極的に標的とし、特にVeeam Backup & Replication(CVE-2024-40711)を標的としています。 フィッシングキャンペーン:Fogの脅威アクターは、ランサムウェアローダーを展開するためにフィッシングキャンペーンを使用します。これらのメールは通常、VPNの更新要求、未払いの請求書に関する問い合わせ、人事(HR)ポリシーの変更通知を装っています。添付ファイルは異なる動作をしますが、すべてFogランサムウェアローダーのダウンロードを試みます。 最近のフィッシングキャンペーンでは、ZIPファイル添付のフィッシングメールが使用されています。このZIPファイルには悪意のあるLNKショートカットが含まれており、LNKファイルは攻撃者が制御するドメインから「stage1.ps1」という名前のPowerShellスクリプトをダウンロードするコマンドを実行します。このスクリプトはその後、複数のペイロードとサポートファイルをダウンロードします。これらの攻撃に関連するランサムノートは、被害者を嘲笑する内容を含み、エドワード・コリステインと米国政府効率化省(DOGE)への言及を盛り込んでいます。 研究者は、FogランサムウェアとDOGEの間には実際の関連性がないことを確認しています。 システムに侵入すると、Fogは即座にシステム偵察を開始し、システム構成の改変や追加スクリプトの展開により、システム再起動後もマルウェアをアクティブに保つための永続化を試みます。次に、Mimikatz のようなツールや、LSASSメモリダンプやNTLMリレー攻撃のような技術を使用して、管理権限を取得します。Fogはまた、バックアップの暗号化やボリュームシャドウコピーの削除など、復旧防止措置を確立します。 攻撃は横方向の移動とデータ窃取を続けます。Fogの攻撃者は、ネットワークを暗号化する前に盗んだデータをゼロ知識クラウドサービスMega.nzに保存します。これにより、二重身代金要求スキームが設定されます。このプロセスが完了すると、Fogは文書、データベース、バックアップ、その他の重要な運用データを暗号化します。暗号化されたファイルには拡張子.fog、.Fog、または.FLOCKEDが追加され、ネットワーク全体に「readme.txt」という名前の身代金要求メッセージが配布されます。被害者の情報はFogの漏洩サイトに追加されます。 攻撃後 交渉戦術は他のグループと同一です。 データを完全に復号化し、盗んだファイルをソースから削除したい場合は、料金を支払う必要があります。また、セキュリティレポートを提供し、侵入方法も説明できます。(source) Fogは高額な身代金要求から始まり、受け入れ可能な金額であれば妥協します。 支払いが完了すると、Fogは復号化キーを送信し、盗んだデータの削除を確認します。利用可能なチャットの2件(こちら)では、被害者が復号化に困難を覚え、脅威アクターとトラブルシューティングを行いました: Fogが約束したセキュリティレポートは、既にベストプラクティスを遵守している被害者には有用でない可能性があります。 ネットワークへのアクセスはフィッシングメールを通じて取得されました。従業員は、不明なファイルのダウンロードと開封に注意を払う必要があります。企業ネットワークを保護するため、以下の措置を実施することを推奨します:1) ローカルおよびドメイン管理者のパスワードを強制適用。すべてのユーザーに対するパスワードのグループポリシーを強化;2) 「保護されたユーザー」グループを使用;3) ウイルス対策の集中管理を実施;4) ユーザーに不審なメールやファイルを開かないよう通知;5) ソフトウェアとOSを最新バージョンに更新;6) Active Directoryでの権限委譲を設定;7) Active Directoryの活動を監視するアプリケーションをインストール;8) Vmware Esxi ver. 7.0 以降。当社のチームは、ネットワークから取得したデータが漏洩、販売、または公開されないことを保証します。当然ながら、この会話も機密保持されます。(source) 言語は、Akiraが提供する「詳細なセキュリティレポート」と類似しています。 友人や家族 Fogはわずか1年足らずの新しい脅威ですが、研究者はそのオペレーターが経験豊富なランサムウェア脅威アクターであると推測しています。SonicWall VPNアカウントの侵害を通じて行われたFogの侵入分析によると、侵入の25%のみが直接Fogと関連付けられていました。残りの75%のFog侵入は、Akiraランサムウェアと関連付けられており、協力関係や共有インフラストラクチャの存在を示唆しています。FogとAkiraは類似したツールやエクスプロイトを使用し、高速な暗号化技術で知られています。 Fogは共有された暗号資産ウォレットを通じてContiランサムウェアとも関連付けられています。研究者は2023年にAkiraをContiと関連付けたため、Contiとの関連性は驚くべきものではありませんが、調査員と研究者にとって注目すべき点です。以下はContiファミリーの概要です: Ryuk:2018年8月 – 2022年初頭。Hermesから進化し、Contiの直接の前身です。 Conti: 2019年12月 – 2022年6月。活動停止し、複数のグループに分裂しました。 Karakurt: 2021年6月に登場し、2025年現在も活動中です。Contiのスピンオフです。 Quantum: 2021年8月に登場し、2025年現在も活動中です。ContiとつながりのあるMountLockerのリブランドです。 BlackByte: 2021年半ばに現れ、2025年現在も活動中。Contiの関連グループ。 Zeon:...

海外ブログ

GitHubをサプライチェーン攻撃の経路として利用 のページ写真 4

GitHubをサプライチェーン攻撃の経路として利用

2025年3月25日、Tony Burgess GitHubは、ワークフローの管理、バージョン管理の維持、コードの保存と共有、プロジェクトでの共同作業など、アプリ開発者が利用する非常に重要なプラットフォームです。しかし、GitHubのアクションや成果物が侵害された最近の攻撃は、サードパーティのコードを利用する際にサプライチェーンセキュリティのベストプラクティスを実践することの重要性を改めて認識させるものです。 魅力的なベクター GitHub はその性質上、ソフトウェアサプライチェーン攻撃のベクターとしてサイバー犯罪者にとって非常に魅力的です。攻撃者が GitHub のセキュリティを侵害し、多数の開発者によって一般的に使用されているコードの一部(共有されたビルディングブロック)を侵害することができれば、価値のあるデータが保存されている何百、何千ものネットワークにバックドア経由でアクセスできるようになります。 侵害されたアクションは23,000件に影響 今日、私がこれを書いている2025年3月19日、大規模な攻撃が発見されました。米国サイバーセキュリティ・インフラストラクチャ保護機関(CISA)が発表した警告によると、 人気の高いサードパーティGitHub Actionであるtj-actions/changed-files(CVE-2025-30066として追跡)が侵害されました。このGitHub Actionは、プルリクエストやコミットで変更されたファイルを検出するように設計されています。サプライチェーンが侵害されたことで、有効なアクセスキー、GitHubパーソナルアクセストークン(PAT)、npmトークン、プライベートRSAキーなど、秘密情報の情報漏洩が可能になりました。これはv46.0.1で修正されています。 侵害されたGitHub Actionは、約23,000の異なるGitHubリポジトリでアクティブであったため、アクティブであった期間中、機密情報が大規模に公開されていた可能性がある。 この攻撃の予期せぬ特徴の1つは、悪意のあるペイロードが盗んだデータを外部サーバーに流出させないことである。代わりに、単にリポジトリにダンプし、アクセス権を持つ誰もがそれを見ることができる。 アーティファクト侵害の影響を受けた大手企業 2024年8月、研究者らはオープンソースの成果物が「汚染」された攻撃を発見し、Google、Microsoft、Amazon Web Services、その他多数の企業が所有するプロジェクトに影響を与えていることを突き止めました。継続的インテグレーション/継続的デプロイメントのパイプラインが侵害されると、攻撃者は簡単に悪意のあるコードを本番環境にプッシュしたり、GitHubリポジトリやネットワーク上の他の場所にある機密情報にアクセスしたりできるようになります。 幸いにも、確認されたケースはすべて迅速に緩和され、それ以上の悪質な活動が行われた形跡は見られませんでした。 Elizabeth MontalbanoによるこのDark Readingの記事では、この攻撃について詳細な技術的な説明が提供されています。 Coloramaが侵害され、データ盗難が発生 2024年4月、Matthew Russoはこのブログで、GitHubを悪用した新たなサプライチェーン攻撃について報告しました。盗まれたブラウザのクッキー、タイポスクワッティング、その他の組み合わせを使用して、犯罪者は何百万人もの開発者が使用するサードパーティパッケージであるColoramaの改ざんされたコピーを展開することができました。 悪意のあるリソースは、複数のブラウザのデータを盗むことができました。 データには、オートフィル情報、クッキー、クレジットカード、ログイン認証情報、閲覧履歴が含まれます。また、Discordに侵入し、被害者のアカウントにアクセスして暗号通貨ウォレットを盗み、Telegramのデータを取得し、コンピュータファイルを外部に持ち出すために復号化できるトークンを探します。さらに、セッショントークンを使用してInstagramファイルから機密情報を盗み、被害者のキーストロークを記録し、パスワード、個人メッセージ、財務情報などの情報を公開することも可能です。 サプライチェーンセキュリティ GitHub自体は、強力なセキュリティリソースを提供しています。 この記事では、サードパーティのアクションやワークフローを安全に使用するための具体的なセキュリティ対策の指針を提供しています。これには、アクションを完全なコミットSHAに固定すること、アクションのソースコードを監査することなどが含まれます。 GitHubのセキュリティガイドの一覧はこちらからご覧いただけます。 ソフトウェアサプライチェーンセキュリティの一般的な指針として、以下の事項が挙げられます。 依存関係やリソースと関わる、やり取りをする前に、それらを検証する 疑わしいネットワークアクティビティを監視する 適切なセキュリティ対策を維持する Barracuda Application Protectionのような強力なWebアプリケーションおよびAPI保護(WAAP)プラットフォームは、開発中および開発後に脆弱性を検知して修復し、アクティブな脅威インテリジェンスを使用して新しい脆弱性や攻撃に迅速に対応することで、役立ちます。 Barracuda Application Protectionの詳細はこちら

海外ブログ

FAQ: Barracuda Cloud-to-Cloud Backupのマルウェア検出機能についてのよくある質問 のページ写真 5

FAQ: Barracuda Cloud-to-Cloud Backupのマルウェア検出機能についてのよくある質問

2025年2月12日、Tony Burgess 以前のバラクーダ本社のウェビナー(現在オンデマンドで視聴可能/英語)では、当社のデータ保護エキスパートにより、Barracuda データ保護ソリューション、Barracuda BackupとBarracuda Cloud-to-Cloud Backupに追加・利用可能になった最新の機能と特徴を紹介しました。 これらの新機能の1つが、Barracuda Cloud-to-Cloud Backupのマルウェア検出です。この機能の詳細については、12月に公開したこブログ記事で説明しました。 しかし、以前のウェビナー後、参加者の皆様から多くの質問が寄せられました。当記事は、これらの質問にすべて回答するために作成されたFAQ形式のブログ記事です。それでは、以下より内容をご確認ください、より理解を深めていただけますと幸いです。 Cloud-to-Cloud Backupのマルウェア検出とは何ですか? 非常にシンプルなもので、Cloud-to-Cloud Backupからデータを復元する場合は、1つのファイル、メール、Microsoft 365のデータストア全体、またはその間のいずれであっても、Barracudaの強力な高度な脅威保護マルウェア検出機能を使用してスキャンされます。 復元中のデータにマルウェアやその他の悪意のあるファイルが検出された場合、そのファイルは隔離され、管理者に通知が送信されます。 マルウェアはどのようにバックアップに侵入するのでしょうか? もし理想的な世界があるとすれば、その世界では、マルウェアは受信トレイやその他のMicrosoft 365データストアに到達する前に検出およびブロックされるため、バックアップに侵入することはないでしょう。 しかし、この不完全な現実世界では、サイバー犯罪者は常に革新的な新しいマルウェアを開発しています。もちろん、バラクーダや他のセキュリティベンダーは、最新の脅威データを収集し、それをBarracuda Email Protectionに組み込まれているような検出システムに組み込むことで、常にこれに対応しています。 しかし、バックアップされたアイテムがマルウェアとして特定されるまでの間に、遅延が発生することがあります。たとえば、11月にアイテムがバックアップされた場合、そのアイテムはまだ発見されていないマルウェアの形態であるため、スキャンで問題なしと判断され、バックアップされる可能性があります。しかし、数か月後の2月にデータをリストアする場合、既知のマルウェアの形態が本番環境のシステムにリストアされないようにする必要があります。これが、バラクーダのCloud-to-Cloud Backupのマルウェア検出機能です。 バックアップ中にデータをスキャンすれば良いのでは? これは、リソースの効率的な割り当ての問題です。原則として、バックアップ中だけでなく、リストアプロセス中にもデータをスキャンできます。しかし、これはリソースの有効な利用方法とはいえず、どちらかというと無駄遣いになります。まず、マルウェアがメールや添付ファイルで検出されない場合、バックアップ中(システムに到着後すぐに実行される)に検出される可能性は極めて低くなります。 幸いにも、これは実際には問題ではありません。バックアップファイルは暗号化され、休止中は完全に不活性状態にあるため、バックアップ内のマルウェアがアクティベートされ、何らかの被害をもたらす可能性は低いといえます。 しかし、バックアップからファイルを復元する場合は、バックアップから数日、数週間、数ヶ月が経過している可能性が高いです。その間に、当社の検出システムはほぼ確実にそのマルウェアを検出する能力を獲得しています。そのため、復元直前にデータをスキャンすることで、以前は検出されなかったマルウェアを検出およびブロックする最高の機会が得られるのです。 マルウェア検出が機能しているかをどのように確認できますか? マルウェア検出が機能していることを示す唯一の兆候は、リストア操作中にマルウェアが検出され、アラートが送信された場合のその時点のみです。しかし、この機能は、Barracuda Cloud-to-Cloud Backupに完全に統合されていますのでご安心ください。通知が送信されない場合は、リストアプロセス中にマルウェアが検出されなかったことを意味します。 マルウェア検出を有効にするために何をすべきか? 何もする必要はありません。すべてのCloud-to-Cloud Backupの契約者に対して完全に有効になっています。特に何もする必要はなく、追加費用も発生いたしません。これは、誰もが利用できる新しいセキュリティ機能です。 さらに質問、確認点のある場合 上記の内容で、Barracuda Cloud-to-Cloud Backupのマルウェア検出に関する疑問がすべて解決したことを願っています。しかし、まだ疑問がある場合は、遠慮なくバラクーダにお問い合わせください。メールまたはフォームよりお送りください。 また、まだBarracuda Cloud-to-Cloud Backupを契約していない場合は、無料トライアルを今すぐお試しいただき、そのシンプルさと信頼性をぜひご自身でお確かめください。 Barracuda Cloud-to-Cloud Backupの無料トライアルをリクエスト

海外ブログ

ワールドバックアップデーが14周年を迎える のページ写真 6

ワールドバックアップデーが14周年を迎える

2025年3月26日、Christine Barry 2011年3月23日、あるRedditユーザーが、技術愛好家が集うコミュニティに「バックアップデー」を提案しました。「大切な写真や動画、その他の重要なデータを安全な場所に保存するよう思い出させることは、誰にとっても有益であると私は考えます。」 8日後、「ワールド・バックアップ・デー」はRedditを基盤とした一大イベントとなった。 それ以来、データの生成と保護は飛躍的に増加している。デジタル化の加速、インダストリー4.0、オンラインコンテンツ、そして個人用デバイスやスマートデバイスの普及により、データは優先度の高い資産へと昇格した。 データバックアップソリューションも進化を遂げ、外付けハードドライブ、専用バックアップサーバー、クラウドベースのバックアップソリューション、バックアッププロセスの多くを自動化するソフトウェアの強化など、さまざまな進歩を遂げています。 ワールドバックアップデー(WBD)は今となっては不要に思えるかもしれませんが、システムとデータ保護について考える時間を確保することがこれほどまでに重要だったことはありません。 なぜワールドバックアップデーなのか? データ保護には課題があります。WBDは、これらの課題に焦点を当て、解決策を見つけるための良い理由を与えてくれます。WBDに関する最もよくある質問からいくつか見てみましょう。 なぜワールド・バックアップ・デーが必要なのでしょうか?WBDは個人や組織にバックアップの方法を再評価し、データ損失の可能性に備えるよう促します。 毎日バックアップすべきではないのですか? もちろん、バックアップの頻度はビジネスのニーズによって異なります。 しかし、年に一度、意識を高める日を設けることで、潜在的な被害を軽減することができます。 また、データの価値と保護について、互いに教育し合う機会にもなります。 結局のところ、すべてクラウドにあるのではないですか? Microsoft OneDriveのようなクラウドサービスでは、自動同期と自動保存機能が提供されていますが、それでも設定が必要です。 また、ファイル同期はデータバックアップではないという点にも注意が必要です。ファイル同期は、ビジネスバックアップとしては受け入れられません。 この点を念頭に置き、現在企業が直面している最も一般的なデータ保護の課題について見ていきましょう。 バックアップソリューションを選択する際に最も考慮すべき事項 バックアップソリューションは簡単に手に入りますが、ニーズに最適なソリューションを選択するのは難しい場合があります。バックアップアプライアンスおよびサービスを選択する際に考慮すべき最も一般的な要素をいくつかご紹介します。 可用性(拡張性):可用性(拡張性)のあるソリューションは、頻繁な変更を必要とせずにビジネスの成長に対応します。 これらのバックアップサービスは、パフォーマンスを低下させることなく、ニーズの変化に応じてストレージ容量を拡張することができます。 柔軟性:クラウド、オンプレミス、個々のエッジロケーション、またはこれらの組み合わせなど、データの保存場所に関わらず、データを保護する必要があります。 バックアップアーキテクチャは、データの保存場所に関わらず、データを取得できなければなりません。 複数の導入オプションを備えた単一ベンダーのソリューションは、この目的のために作られています。 使い易さ:ユーザーフレンドリーなソリューションは管理コストを削減し、人的エラーのリスクを最小限に抑えます。バックアップ管理者は、日常的な作業の自動化、包括的なレポートおよび監視ツール、直感的なユーザーインターフェースによる容易な管理を求めています。 リカバリ環境の柔軟性:これにより、災害復旧などのさまざまなシナリオでデータを確実に復元できます。物理から仮想、またはオンプレミスからクラウドへの復元が必要になる場合があります。 Barracuda Backupは、これらの要件をすべて満たしています。当社のオンプレミスモデルは、シンプルなテラバイト単位のサブスクリプションライセンスで利用できるため、データ増加に対応するための多額の初期費用は発生しません。また、Barracuda Cloudのサブスクリプションを利用すると、ローカルアプライアンスが不要になり、いつでもどこからでもデータを復旧できます。さらに、Barracuda LiveBootは、仮想環境がオフラインになった場合に、バックアップイメージから仮想マシンを起動するオプションを企業に提供します。これらの機能の詳細については、当社のWebサイトをご覧ください。 見落とされがちなアプリケーションとデータの種類 この領域こそ、WBDが最も価値を発揮できる領域です。どんなに綿密な計画でも、抜け落ちがある可能性があります。バックアップ戦略を評価する際には、必要なものをすべてバックアップしていることを確認してください。 ウェブアプリケーションおよびクラウドベースのデータ:クラウドにのみ保存されているデータは、バックアップの際に見落とされることがよくあります。クラウドサービスではバージョン履歴や復旧オプションが限られている場合もありますが、データ保護の責任はお客様にあります。Entra ID情報やMicrosoft Teamsで共有されているデータは、ミッションクリティカルなものであっても、バックアップの設定時に忘れられてしまうことがあります。組織で使用されているすべてのものを棚卸しし、これらのプラットフォーム用に特別に設計されたサードパーティのバックアップソリューションによってデータが保護されていることを確認してください。 独自開発のソフトウェアおよびデータベースアプリケーション:ITチームは、よく理解していないアプリケーションやデータベース内で生成されたデータを把握できていない可能性があります。アプリケーションベンダーと緊密に連携し、これらのシステムのバックアップに関するベストプラクティスを決定します。定期的にこれらのバックアップを評価し、データの増加がバックアップ用に確保されている容量を上回っていないことを確認します。 履歴およびレガシーデータ:一部の企業では、古いデータのバックアップを意図的に保持していますが、システムからは古いデータを削除しています。このデータがテープや外付けハードドライブ上にある場合、物理的な故障のリスクにさらされます。テープドライブが利用できない場合もありますし、ハードドライブは長期間使用されていないと、起動しないことがあります。レガシーデータが重要である場合は、最新のバックアップシステムに移行します。 運用テクノロジおよびその他のスマートデバイス:産業用IoT(IIoT)デバイスは、製造、輸送、医療、およびほぼすべての重要なインフラストラクチャに不可欠なものとなっています。 これらのデバイスは複雑な構成であることが多く、転送の間にデバイス上にデータを保持することがあります。 このデータをバックアップすることで、障害発生時の迅速な復旧と生産への復帰をサポートします。 Barracuda Backupは、Microsoft SQLおよびMicrosoft Exchangeアプリケーションのアプリケーション認識バックアップとリカバリをサポートしています。Barracuda Cloud-to-Cloud Backupは、Entra IDデータに加えて、Microsoft 365 Teams、Groups、Exchange、SharePoint、OneDrive、およびOneNoteをサポートしています。 見落としがちなデータバックアップの実践 多くの組織では、バックアップ戦略にギャップがあります。時間をかけて計画を評価し、すべてが機能していることを確認してください。 バックアップとリカバリプロセスの定期的なテスト:バックアップとリカバリプロセスの定期的なテストをスケジュールし、問題を事前に特定します。破損または不完全なバックアップや設定ミスは、災害が発生するまで気づかないことがあります。 エンドポイントデバイスの保護: ノートパソコン、モバイルデバイス、デスクトップには重要なビジネスデータが保存されている場合もありますが、バックアップ戦略の対象外となっていることがよくあります。 また、これらのデバイスは可動式であることや、遠隔地の作業環境に置かれていることから、盗難や破損のリスクが高い場合もあります。 オフサイトバックアップと3-2-1ルール:3-2-1ルールとは、少なくとも2種類の異なるメディアタイプに3つのデータのコピーを保存し、そのうち1つはオフサイトに保存するというものです。これを簡単に実現する方法は、バックアップソリューションを使用して、バックアップをクラウドまたは2つ目の物理的な場所に自動的に複製することです。 バックアップ管理にロールベースのアクセス制御(RBAC)を実装する:バックアップオペレータと管理者には、それぞれの役割を実行するために必要な権限のみが必要です。RBACは、バックアップシステムにとって重要なセキュリティおよび管理手法です。バックアップ環境とやり取りする個人に異なるロールを割り当てることで、運用効率が向上し、リスクが最小限に抑えられ、セキュリティが強化され、セキュリティポリシーへの準拠が保証される場合があります。 Barracuda Backupは、安全なアクセスを実現するために、5つのユーザロールをサポートしています。これにより、最も強力な管理者権限でバックアップシステムにアクセスする攻撃者の可能性を最小限に抑えることができます。 ランサムウェア対策としてのデータバックアップ 信頼性の高いデータバックアップがランサムウェア対策の要であることは間違いありません。ほとんどの高度なランサムウェアは、攻撃の一連の流れの一部としてデータバックアップの破壊を含んでいます。バラクーダは、脅威の主体からバックアップを保護することを最優先事項としています。 イミュータブル・バックアップ保護により、いったんデータが書き込まれると、ランサムウェアによって変更または削除されることがなくなり、バックアップの整合性が維持されます。 強化されたLinuxプラットフォーム(オペレーティングシステム)により、ランサムウェアが利用する可能性のある攻撃対象領域と脆弱性が削減され、バックアップシステムへのマルウェアの侵入がより困難になります。 多要素認証(MFA)により、セキュリティのレイヤーが追加され、ランサムウェアの攻撃者によってパスワードが侵害された場合でも、バックアップシステムへの不正アクセスが防止されます。 安全な、ネットワーク的に隔離されたクラウドストレージは、バックアップをプライマリネットワークから物理的に分離し、メインシステムに感染した可能性のあるランサムウェアからアクセスできないようにします。 統合されたバックアップソフトウェア、ストレージ、オフサイトストレージは、異種システム間の潜在的な脆弱性を排除することで、ランサムウェアに対する包括的で統一された防御を実現します。 ロール(役割)ベースのアクセス制御は、ユーザーの権限を制限し、侵害されたアカウント1つでアクセスまたは変更できるデータを制限することで、ランサムウェア攻撃の影響を低減します。 ネットワーク共有プロトコルを排除することで、ランサムウェアがネットワーク全体に拡散し、バックアップを感染させるために悪用する一般的な侵入ポイントを排除します。 エンドツーエンドの暗号化により、ランサムウェアがバックアップデータにアクセスできたとしても、攻撃者にとっては読み取りも使用もできない状態が維持されます。 IP/ネットワーク制限を作成できる機能により、特定の信頼された場所からのバックアップシステムへのアクセスを制限でき、バックアップ環境へのランサムウェアの侵入リスクを低減できます。 バックアップソリューションを購入する際は、効率的で信頼性の高いデータ復旧をサポートする機能を優先してください。迅速な復旧時間、きめ細かい復旧オプション、柔軟な復旧環境、自動テスト機能、および堅牢なデータ整合性検証を提供するソリューションに注目してください。これらの考慮事項は、選択したバックアップソリューションがデータを保護するだけでなく、必要に応じて迅速かつ効果的な復旧を可能にすることを保証するのに役立ちます。 バラクーダの受賞歴のあるデータ保護の機能等の詳細については、是非以下を参照してください。...

海外ブログ

AIの安全性とセキュリティに関する懸念が浮上 のページ写真 7

AIの安全性とセキュリティに関する懸念が浮上

2025年2月10日、Mike Vizard 通常、技術が飛躍的に進歩した場合には、サイバーセキュリティへの影響が完全に理解されるまでにしばらく時間がかかるが、大規模言語モデル(LLM)の台頭により、人工知能(AI)のセキュリティを達成し維持できるかどうかが、サービス間の大きな差別化要因となりつつある。 例えば、Anthropic社は現在、同社のAIモデルの各インスタンスが従うべき一連の原則を提供するAI安全システム「Constitutional Classifiers」の解読を研究者に呼びかけています。同社は、この安全対策を回避できる研究者に2万ドルを提供しています。 このオファーは、中国で開発されたオープンソースのAIモデルであるDeepSeekのリリースを巡る論争の直後に発表された。DeepSeek AIモデルには、セキュリティ上の欠陥が多数存在しており、企業IT環境での適用には疑問が残る。 DeepSeekを巡る激しい議論は、サイバーセキュリティチームにとっては願ってもないことかもしれない。実際、企業が採用しているAIの安全性やサイバーセキュリティのプロトコルは、存在しないものから甘いものまでさまざまです。正式なポリシーが存在しないため、多くのエンドユーザーは、AIモデルのプロバイダーと機密データを共有していますが、そのデータが将来、正しいプロンプトを作成しようとする人なら誰にでもそのデータを吐き出す可能性のある次世代モデルのトレーニングに使用される可能性があることをほとんど、あるいはまったく認識していません。極端な例の反対側では、ポリシーを強制する能力を持たないAIモデルの使用を禁止している組織もあります。多くのエンドユーザーにとっては、AIモデルは、自分たちで勝手にこっそりと採用する、単にもう一つのシャドーITサービスに過ぎません。 願わくば、サイバーセキュリティチームと協議した上で、より多くの組織が、自らが定めるポリシーに実効性を持たせるために必要な管理策を導入するようになるでしょう。その一方で、サイバーセキュリティチームは、各AIサービスがアクセスしたデータをどのように使用しているかを正確に理解するために必要な時間を確保する必要があります。その際には、顧客データがAIモデルのトレーニングに使用されないことを保証するコミットメントから始めるべきでしょう。問題は、その誓約がエンドユーザーがチェックボックスにチェックを入れ、デフォルト設定から除外することを明確に指定したデータのみに適用される可能性があることです。 これは、ソフトウェアライセンス契約の数百ページにわたる条項のなかでも、エンドユーザーが目にする可能性が低いと思われるものです。すでに、ほとんどの既存のソフトウェアライセンス契約の条項を理解するには、かなり経験を積んだ弁護士の助けが必要ですが、AI時代にはさらに多くの注意事項が追加されるため、エンドユーザーが外部AIサービスとのデータ共有の意味を理解できない可能性は高まる一方です。 一方で、サイバー犯罪者たちは明らかにAIのジェイルブレイク(脱獄)スキルを磨いており、これはプロンプトエンジニアリングのスキルを使って、機密データを含む出力が生成されないようにするためのAIガードレールの制限を回避する方法です。 結局のところ、AIが関わる重大なサイバーセキュリティインシデントが発生するかどうかというよりも、いつ、どの程度の規模で発生するかということが問題です。ただし、これらの侵害が以前に経験されていないような場合に、組織がそれに対してどのように対応するかは、あまり確実ではありません。

海外ブログ

Akira:レトロな雰囲気を持つ最新のランサムウェア のページ写真 8

Akira:レトロな雰囲気を持つ最新のランサムウェア

2025年2月11日、Christine Barry ランサムウェアグループであるAkiraは2023年3月に登場し、たちまちに恐るべき脅威アクターとしてその地位を確立しました。Akiraは、主に米国およびその同盟国における複数の業界を標的とするランサムウェア・アズ・ア・サービス(RaaS)の活動です。2024年1月1日までに、アキラは「250を超える組織に影響を与え、およそ4200万ドル(米ドル)のランサムウェアによる収益を得ていた」とされています。 Akiraの脅威アクターは多額の金銭を盗み出していますが、攻撃が常に成功するわけではありません。当社のセキュリティオペレーションセンターは最近、失敗したAkira攻撃について詳しく説明しています。Akira攻撃チェーンを調査する際には、後ほどこのレポートを参照します。 起源についての話 Akiraの物語は、2019年12月から2022年5月まで攻撃を展開していたContiランサムウェアグループから始まります。アナリストらは、このグループがロシアを支援したことが原因で、Contiが活動を停止したと考えています。 この支援表明への報復として、正体不明の11人物が数百ものContiの非公開ファイルを流出させ、ビットコインのアドレス、プライベートメッセージ、グループのランサムウェアのプレイブックを公開しました。Contiは、この混乱から立ち直ることはなかったようです。このグループは2022年5月に攻撃を停止し、翌月には最後のウェブサイトをオフラインにしました。流出したデータと攻撃分析を使用して、研究者は、AkiraとContiを結びつける膨大な数の証拠を発見しました。この関係は確認されていませんが、多くの専門家は、Akiraの初期の成功は、Contiのリソースと犯罪に関する専門知識へのアクセスによるものだと考えています。 コンティとは異なり、アキラはロシアやその同盟国への忠誠を誓っていません。Akiraはダークウェブのフォーラムを使用する際にはロシア語でコミュニケーションを取っており、そのランサムウェアにはロシア語のキーボードレイアウトを持つシステム上での実行を防ぐための安全対策が含まれています。コンティとのつながりにこの証拠を加えると、Akiraがロシアと何らかのつながりがあることを示唆していますが、グループの所在地を証明するものではありません。また、このグループがロシア発であることを裏付けるには不十分な証拠です。 ブランド化 研究者は、この「Akira(アキラ)」という名称は、1988年のサイバーパンクアニメ映画「AKIRA」から着想を得たものであり、その映画の主人公は制御不能で破壊的な力を持つと信じています。 主流の説では、このグループも同様に、この名称を使用して自分たちを表現していると考えられています。 このグループは、リークサイトにレトロなグリーンスクリーン端末のようなデザインを採用しており、ナビゲーションと通信にはコマンドラインインターフェース(CLI)を使用し、5つのコマンドのみを受け付けています。 このシンプルさとヴィンテージな外観は、Akira が非常に洗練された攻撃的なグループであるという事実を覆い隠しています。 動機 Akira の唯一の目的は金銭です。このグループは中堅中小企業(SME)を標的にしていますが、日産自動車やスタンフォード大学など、有名な大企業も被害に遭っています。 このグループはあらゆるセクターを攻撃対象としていますが、特に製造業や重要なインフラストラクチャを好んでいるようです。 攻撃チェーン Akira攻撃チェーンでは、初期アクセスからデータの外部流出、暗号化に至るまで、攻撃で使用される一連のイベントとツールについて詳しく説明しています。 ここでは、最近Akiraと戦った経験を基に、防御が部分的にしか施されていない被害者に対する実際の攻撃でAkiraが攻撃チェーンをどのように使用しているかを見ていきます。 初期アクセス: バラクーダSOCの専門家は、被害者のネットワークに存在する既知のリスク領域を複数発見しました。これには、オープンなVPNチャネル、保護されていないデバイス、多要素認証(MFA)の一貫性のない使用などが含まれます。これらの条件は、VPNを介した初期アクセスから始まる攻撃と直接関連していました。 特権の昇格と水平方向への移動 これは、攻撃者が被害者ネットワーク内で影響力を最大限に拡大しようとするため、ほとんどの攻撃チェーンにおける初期の「感染後」のステップです。このケースでは、Akiraは「パス・ザ・ハッシュ」技術を使用して、パスワードで保護されたネットワークシステムにアクセスしました。パスワードハッシュについて詳しくない場合は、こちらにわかりやすい紹介ビデオがあります。 バラクーダSOCが記録した次のステップは、Advanced IP Scannerの実行でした。これは、ネットワーク上のデバイスをリスト化する無料かつ合法的なソフトウェアツールです。これは、ネットワーク資産の特定とラテラルムーブメントの確立に使用されます。 防御回避 Akiraの防御回避技術は、エンドポイントセキュリティとアンチウイルスソリューションを無効にするために、さまざまなリソースを組み合わせて使用しています。 PowerTool、KillAV、およびTerminatorは、アンチウイルス関連のプロセスを終了するために使用されるプログラムです。 PowerShellコマンドは、Microsoft Defender Real-Time Protectionを無効化するために使用されます。また、PowerShellは暗号化の前にVolume Shadow Copy Services (VSS)ファイルを削除するためにも使用されます。 レジストリの変更は、Microsoft Defenderを無効化または再構成します。その他の編集には、ログイン画面のアカウントを隠すためのUserlistレジストリの変更、および認証なしでログインを許可するためのDisableRestrictedAdminレジストリの変更が含まれます。 バラクーダ XDR エンドポイントセキュリティには、保護機能を無効化または再構成する攻撃を防止する改ざん防止機能があります。 データの外部流出と暗号化 回避策と並行して、Akiraは被害者から窃取するデータを圧縮するためにWinRarを実行し始めました。通常、データは正当なトラフィックを模倣する手法を使用して外部流出されます。このイベント中、Akiraは無防備なサーバで管理者レベルのアクセス権を獲得することに成功しました。これにより、暗号化攻撃を開始することが可能になりました。 ランサムウェアは、無防備なサーバから到達可能なネットワークデバイスをリモートで暗号化しようと試みました。Barracuda XDRはこれを即座に検知し、すべての保護されたエンドポイントをネットワークから切断しました。 Barracuda XDRは被害者のネットワーク全体に展開されておらず、内部セキュリティポリシーが常に適用されていませんでした。 その後の経過と教訓についてはこちらをご覧ください。 交渉 攻撃が成功すると、Akiraは身代金要求のメモをドロップし、グループに連絡するよう指示します。 これにより、Akiraは主張を証明し、身代金を要求することができます。 身代金要求の例を以下に示します。 我々が提供するすべてのサービスに対して、25万ドルの価格を設定したいと思います。1)完全な暗号解読支援、2)データ削除の証拠、3)我々が発見した脆弱性に関するセキュリティ報告書、4)データの公開または販売を行わない保証、5)今後、攻撃を行わない保証。全体または一部に関心があるかお知らせください。最終的な価格に影響します。 身代金を支払うべきではないことは誰もが知っていますが、時には身代金を支払うこともあることも知っています。しかし、Akiraがやり方を変えない限り、Akiraのセキュリティレポート「サービス」に対して支払う理由など決してないでしょう。 ネットワークへの最初のアクセスはダークウェブで購入されました。その後、ケルベロス攻撃が実行され、パスワードハッシュを取得しました。そして、これをブルートフォース攻撃し、ドメイン管理者のパスワードを取得しました。 これは、こちらで入手可能なすべての交渉チャットで使用されているコピペ文であり、その後にベストプラクティスのリストが続きます。Akiraは、脆弱性、侵害された認証情報、または認証情報がどこで購入されたかに関する情報を一切提供しません。この報告書には、被害者に特有の情報は何もありません。Akiraと交渉中の方は、このことを考慮し、この報告書を購入する前に、入手可能な最新の交渉チャットを確認してください。 被害者が身代金を支払わない場合、Akiraは次のようなメッセージを送ります。 ニュース欄にあなたの情報が掲載される可能性があります。https://akiral2iz6a7qgd3ayp3l6yub7xx2uep…. [削除済み] この投稿を削除したい場合は、何らかの合意が必要です。 結論 Akira攻撃の被害に遭う理由はまったくありません。これは危険なグループですが、その攻撃はベストプラクティスによって頻繁に修正されるセキュリティギャップを利用しています。Akiraの被害に遭った場合は、交渉に備えるためにこの情報を確認してください。 バラクーダのマネージドXDRとSOCは、統合された拡張可視性により、包括的で多層的な防御を提供します。Akiraのような高度な脅威に対して強力な防御を提供し、購入、導入、管理が容易です。 詳細については、以下をご覧ください。 SOCの事例ファイル:XDRが「ゴースト」アカウントと保護されていないサーバを悪用するAkiraランサムウェアを検出(英語) バラクーダのマネージドXDRとSOC(英語)

海外ブログ

キヤノンシステムアンドサポート株式会社、 Barracuda Backupの出荷台数が10,000台を突破 のページ写真 9

キヤノンシステムアンドサポート株式会社、 Barracuda Backupの出荷台数が10,000台を突破

バラクーダネットワークスジャパンのセールスパートナーである、キヤノンシステムアンドサポート株式会社が、バラクーダのバックアップ製品「Barracuda Backup」の出荷台数10,000台を突破しました。Barracuda Backupは、ソフトウェアとハードウェアが一体化した市場をリードするバックアップアプライアンスです。 突発的な災害や、日々ニュースが絶えないランサムウェアへの脅威に対し、組織における対策が一層求められています。そのような中で、バックアップへの重要性が高まっており、一般企業のほか、行政書士、公認会計士といった士業、病院などで、Barracuda Backupの導入が増加しています。 本件について、キヤノンシステムアンドサポート株式会社 ITソリューション推進本部 インフラソリューション推進部 部長の石井雄太氏は、「実際に災害やウイルス感染の被害を受けた私たちのお客様の中には、“Barracuda Backupを導入していたおかげで早急に復旧できた”という事例がいくつもあり、感謝のお言葉をいただいております。今後もバラクーダネットワークスジャパン株式会社様と連携し、お客様の大切なデータを保護するとともに、導入から運用まで充実したサポート体制による安心・安全な事業環境を提供してまいります」と語っています。 <Barracuda Backupの主な特長> 設定が簡単 一般的なバックアップシステムは、ハードウェアとソフトウェアが別々のソリューションが多い中、Barracuda Backupは、構築時に箱を開けてアプライアンスを設置し、基本設定とバックアップジョブの設定を行うだけで稼働します。またトラブル時は、弊社リモートサポートをご利用いただけるので、ログファイル収集、送信、ハードウェア、ソフトウェアの切り分けが不要なため解決までの時間を大幅に削減します。 ライセンスフリー Barracuda Backupは、バックアップ製品についてまわる複雑なオプションや追加ライセンスを一切なくし、ライセンスフリーを実現しました。システム・アプリケーション・仮想環境、すべてのバックアップが追加料金不要でご利用頂けます。 操作も簡単 Barracuda Backupは、クラウドベースのWeb GUIにより、どこからでも状態確認・操作が可能です。またBox To Boxなどにより機器を複数管理している場合も、単一ユーザインターフェースで、すべてのバックアップサーバを管理することができます。 リンク キヤノンシステムアンドサポート株式会社: https://corporate.canon.jp/profile/group/system-and-supportBarracuda Backup: https://www.barracuda.co.jp/products/backup/

Blog

バラクーダの経営陣による、2025年の7つのセキュリティ予測 のページ写真 10

バラクーダの経営陣による、2025年の7つのセキュリティ予測

2025年1月13日、Anne Campbellのブログを基に一部編集 この1年で脅威の状況は急速に進化し、あらゆる規模の組織がデータ、ネットワーク、アプリケーションの保護に躍起になっています。2025年に入ってもその傾向に減速の兆しは見られません。 2025年に備えるため、私たちは最近、バラクーダの3人の経営幹部と対談し、来年に起こる変化、発展、トレンドについて、それぞれの視点と予測を語ってもらいました。また、企業が保護を維持するために注意すべき点についても説明しています。 バラクーダCIO Siroui Mushegian 2025年はAIセキュリティの転換点となる 企業は今、AIイノベーションの重要な局面に立たされています。これはスリリングな機会であると同時に、大きなリスクも伴います。AIはサイバーセキュリティにおける盾であり、剣でもあります。サイバーセキュリティを強化するこれまでにない可能性をもたらす一方で、攻撃者に悪用される新たなツールも提供します。企業がAIの利用を進めるにあたっては、慎重に進める必要があります。AIを誇大広告のために採用するのではなく、真に価値をもたらす場所に戦略的に展開することが成功の鍵となります。 企業は、新たな脅威に対するサイバーセキュリティレジリエンス(回復力)構築に真剣に取り組むことになる ランサムウェアやサプライチェーン攻撃が急増する中、コンプライアンス業界はサイバーセキュリティ基準のハードルを上げ、企業に適応と防御の強化を迫っています。世界的に重複する部分はあるかもしれませんが、地域的なニュアンスの違いにより、コンプライアンスには個別のアプローチが必要です。サイバーセキュリティレジリエンス(回復力)は極めて重要です。変化する規制に先手を打つだけでなく、不可避な事態が発生した場合に組織が迅速に対応し、回復できることを保証するためにも不可欠です。来年には、あらゆる業界の企業が統一されたアプローチを採用し、サイバーセキュリティを組織全体の責任とし、進化し続ける脅威に対するサイバーレジリエンスを全体的に向上させるでしょう。 最高情報セキュリティ責任者(CISO) Riaz Lakhani 2025年にはシャドーITのリスクが拡大する 企業が積極的に取り組まない限り、シャドーITに関連するリスクは大幅に拡大するでしょう。セキュリティレビューなしで簡単に導入できる、より革新的なツールが数多く登場しているため、従業員や契約社員、その他の人々によって多くのSaaS型サービスが導入されるようになり、データ漏洩や一般的なセキュリティ脅威のリスクが高まっています。さらに、承認されていないAI SaaSツールの使用が増加し、悪意のあるLLMや改ざんされた正規LLMをダウンロードするリスクも高まります。 脅威の主体はランサムウェアにさらに力を入れる ランサムウェアは引き続き大きな問題であり、大企業だけでなく、中小規模の医療機関や個人にも影響を与えています。昨年、私はUHC/Change Healthcareの問題を取り上げましたが、これは、個人開業医として診療所を所有し、収益サイクル管理にChange Healthcareを使用している私の妻に個人的な影響を与えた問題でした。また、GMのような事件も発生しました。脅威の主体はランサムウェア攻撃に高い投資対効果(ROI)を見出しており、さらに攻撃を強化するでしょう。バラクーダは、脅威の主体が個人の自宅の写真を公開し、身代金を支払わなければ物理的な脅威を与えるとほのめかすキャンペーンに関する脅威のスポットライトを公開しました。 ソーシャルエンジニアリング攻撃は極めて説得力を持つようになる これまでにないほど説得力のあるソーシャルエンジニアリング攻撃が増加するでしょう。脅威の主体は、コンテンツ作成の規模拡大、より説得力のあるコンテンツの作成、高度なフィッシング攻撃やソーシャルエンジニアリング攻撃のためのディープフェイク/音声複製の採用にAIを使用するでしょう。フィッシングはすでに脅威の主体にとって十分な投資対効果(ROI)をもたらしていますが、今後は、ターゲットをウォームアップするための高品質なフィッシングと、その後の段階的なソーシャルエンジニアリング戦術が組み合わさるようになるでしょう。 グローバルセキュリティオペレーション担当 シニアバイスプレジデント(SVP) Adam Khan AIがXDRの革新と進化を推進する 2025年には、XDRは単なる事後対応型の監視を超えて、予測的かつ自動化されたセキュリティ運用の中核となるでしょう。XDRプラットフォームがSOARやAI駆動型の脅威インテリジェンスなどのより幅広いエコシステムと統合され、クラウド、エンドポイント、ネットワークなど、さまざまな環境で動的なリスク評価と優先順位付けされた対応が可能になることが期待されます。AIが中心的な役割を果たし、XDRが膨大な量のデータをリアルタイムで分析し、微妙な攻撃パターンを検知し、潜在的な脅威が現実のものとなる前に予測できるようになるでしょう。このAI主導の進化により、XDRは対応型のツールから、刻々と変化する脅威の状況に適応できる先を見越したセキュリティ戦略へと変貌を遂げるでしょう。 中小企業は、攻撃者にとって格好の標的と見られがちですが、XDRを導入する企業はますます増えるでしょう。XDRは、防御を統合し、手の届く規模でエンタープライズクラスのセキュリティを反映する費用対効果の高いソリューションだからです。AIの自動化機能により、リソースに制約のある組織でも高度なセキュリティを実現できるようになり、大規模なSOCチームへの依存度を大幅に低減できます。XDRを単にビジネスにおける110番、119番としてではなく、AIによって駆動されるフルサービスの司令センターとして考えてみてください。脅威を事前に鎮静化し、継続的に学習してレジリエンス(回復力)を強化します。 データ保護戦略は、新たな方法でデータを保護する方向にシフトする 2025年までに、データ保護戦略は、静止中または転送中のデータの保護から、使用中のデータの保護へとシフトするでしょう。 準同型暗号化や機密コンピューティングなどのプライバシー保護技術は、コンプライアンス要件や機密データを損なうことなくリアルタイムでコラボレーションを行う必要性によって推進され、広く採用されるでしょう。 医療や教育などの分野では、個人や組織の貴重なデータを保護するために、AIベースの異常検知を採用し、これらの業界に対する攻撃者の注目が高まっている問題に対処するでしょう。インシデント対応は、年1回の机上訓練から、攻撃シミュレーションプラットフォームによる継続的なテストに移行し、組織はリアルタイムで対応能力を測定できるようになります。 サイバーセキュリティ予測ウェビナーアーカイブ(英語)のご紹介 1月22日、バラクーダは、サイバーセキュリティのトップトレンドと2025年以降の予測を行うウェビナーを開催しました。アダムとリアズが、進化する脅威の状況に関する予測や、来年に向けての準備に役立つベストプラクティスなど、洞察に富んだディスカッションが行われました。 当ウェビナーは英語のウェビナーとはなりますが、ご興味のある方はアーカイブをご覧いただき、ビジネスと顧客を今年守るために必要な知識について、バラクーダの2人の幹部より専門的なインサイトを得てください。 サイバーセキュリティ予測ウェビナー(英語)のアーカイブを視聴

海外ブログ