1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ

Info.

お知らせ

海外ブログ

GitHubをサプライチェーン攻撃の経路として利用 のページ写真 1

GitHubをサプライチェーン攻撃の経路として利用

2025年3月25日、Tony Burgess GitHubは、ワークフローの管理、バージョン管理の維持、コードの保存と共有、プロジェクトでの共同作業など、アプリ開発者が利用する非常に重要なプラットフォームです。しかし、GitHubのアクションや成果物が侵害された最近の攻撃は、サードパーティのコードを利用する際にサプライチェーンセキュリティのベストプラクティスを実践することの重要性を改めて認識させるものです。 魅力的なベクター GitHub はその性質上、ソフトウェアサプライチェーン攻撃のベクターとしてサイバー犯罪者にとって非常に魅力的です。攻撃者が GitHub のセキュリティを侵害し、多数の開発者によって一般的に使用されているコードの一部(共有されたビルディングブロック)を侵害することができれば、価値のあるデータが保存されている何百、何千ものネットワークにバックドア経由でアクセスできるようになります。 侵害されたアクションは23,000件に影響 今日、私がこれを書いている2025年3月19日、大規模な攻撃が発見されました。米国サイバーセキュリティ・インフラストラクチャ保護機関(CISA)が発表した警告によると、 人気の高いサードパーティGitHub Actionであるtj-actions/changed-files(CVE-2025-30066として追跡)が侵害されました。このGitHub Actionは、プルリクエストやコミットで変更されたファイルを検出するように設計されています。サプライチェーンが侵害されたことで、有効なアクセスキー、GitHubパーソナルアクセストークン(PAT)、npmトークン、プライベートRSAキーなど、秘密情報の情報漏洩が可能になりました。これはv46.0.1で修正されています。 侵害されたGitHub Actionは、約23,000の異なるGitHubリポジトリでアクティブであったため、アクティブであった期間中、機密情報が大規模に公開されていた可能性がある。 この攻撃の予期せぬ特徴の1つは、悪意のあるペイロードが盗んだデータを外部サーバーに流出させないことである。代わりに、単にリポジトリにダンプし、アクセス権を持つ誰もがそれを見ることができる。 アーティファクト侵害の影響を受けた大手企業 2024年8月、研究者らはオープンソースの成果物が「汚染」された攻撃を発見し、Google、Microsoft、Amazon Web Services、その他多数の企業が所有するプロジェクトに影響を与えていることを突き止めました。継続的インテグレーション/継続的デプロイメントのパイプラインが侵害されると、攻撃者は簡単に悪意のあるコードを本番環境にプッシュしたり、GitHubリポジトリやネットワーク上の他の場所にある機密情報にアクセスしたりできるようになります。 幸いにも、確認されたケースはすべて迅速に緩和され、それ以上の悪質な活動が行われた形跡は見られませんでした。 Elizabeth MontalbanoによるこのDark Readingの記事では、この攻撃について詳細な技術的な説明が提供されています。 Coloramaが侵害され、データ盗難が発生 2024年4月、Matthew Russoはこのブログで、GitHubを悪用した新たなサプライチェーン攻撃について報告しました。盗まれたブラウザのクッキー、タイポスクワッティング、その他の組み合わせを使用して、犯罪者は何百万人もの開発者が使用するサードパーティパッケージであるColoramaの改ざんされたコピーを展開することができました。 悪意のあるリソースは、複数のブラウザのデータを盗むことができました。 データには、オートフィル情報、クッキー、クレジットカード、ログイン認証情報、閲覧履歴が含まれます。また、Discordに侵入し、被害者のアカウントにアクセスして暗号通貨ウォレットを盗み、Telegramのデータを取得し、コンピュータファイルを外部に持ち出すために復号化できるトークンを探します。さらに、セッショントークンを使用してInstagramファイルから機密情報を盗み、被害者のキーストロークを記録し、パスワード、個人メッセージ、財務情報などの情報を公開することも可能です。 サプライチェーンセキュリティ GitHub自体は、強力なセキュリティリソースを提供しています。 この記事では、サードパーティのアクションやワークフローを安全に使用するための具体的なセキュリティ対策の指針を提供しています。これには、アクションを完全なコミットSHAに固定すること、アクションのソースコードを監査することなどが含まれます。 GitHubのセキュリティガイドの一覧はこちらからご覧いただけます。 ソフトウェアサプライチェーンセキュリティの一般的な指針として、以下の事項が挙げられます。 依存関係やリソースと関わる、やり取りをする前に、それらを検証する 疑わしいネットワークアクティビティを監視する 適切なセキュリティ対策を維持する Barracuda Application Protectionのような強力なWebアプリケーションおよびAPI保護(WAAP)プラットフォームは、開発中および開発後に脆弱性を検知して修復し、アクティブな脅威インテリジェンスを使用して新しい脆弱性や攻撃に迅速に対応することで、役立ちます。 Barracuda Application Protectionの詳細はこちら

海外ブログ

FAQ: Barracuda Cloud-to-Cloud Backupのマルウェア検出機能についてのよくある質問 のページ写真 2

FAQ: Barracuda Cloud-to-Cloud Backupのマルウェア検出機能についてのよくある質問

2025年2月12日、Tony Burgess 以前のバラクーダ本社のウェビナー(現在オンデマンドで視聴可能/英語)では、当社のデータ保護エキスパートにより、Barracuda データ保護ソリューション、Barracuda BackupとBarracuda Cloud-to-Cloud Backupに追加・利用可能になった最新の機能と特徴を紹介しました。 これらの新機能の1つが、Barracuda Cloud-to-Cloud Backupのマルウェア検出です。この機能の詳細については、12月に公開したこブログ記事で説明しました。 しかし、以前のウェビナー後、参加者の皆様から多くの質問が寄せられました。当記事は、これらの質問にすべて回答するために作成されたFAQ形式のブログ記事です。それでは、以下より内容をご確認ください、より理解を深めていただけますと幸いです。 Cloud-to-Cloud Backupのマルウェア検出とは何ですか? 非常にシンプルなもので、Cloud-to-Cloud Backupからデータを復元する場合は、1つのファイル、メール、Microsoft 365のデータストア全体、またはその間のいずれであっても、Barracudaの強力な高度な脅威保護マルウェア検出機能を使用してスキャンされます。 復元中のデータにマルウェアやその他の悪意のあるファイルが検出された場合、そのファイルは隔離され、管理者に通知が送信されます。 マルウェアはどのようにバックアップに侵入するのでしょうか? もし理想的な世界があるとすれば、その世界では、マルウェアは受信トレイやその他のMicrosoft 365データストアに到達する前に検出およびブロックされるため、バックアップに侵入することはないでしょう。 しかし、この不完全な現実世界では、サイバー犯罪者は常に革新的な新しいマルウェアを開発しています。もちろん、バラクーダや他のセキュリティベンダーは、最新の脅威データを収集し、それをBarracuda Email Protectionに組み込まれているような検出システムに組み込むことで、常にこれに対応しています。 しかし、バックアップされたアイテムがマルウェアとして特定されるまでの間に、遅延が発生することがあります。たとえば、11月にアイテムがバックアップされた場合、そのアイテムはまだ発見されていないマルウェアの形態であるため、スキャンで問題なしと判断され、バックアップされる可能性があります。しかし、数か月後の2月にデータをリストアする場合、既知のマルウェアの形態が本番環境のシステムにリストアされないようにする必要があります。これが、バラクーダのCloud-to-Cloud Backupのマルウェア検出機能です。 バックアップ中にデータをスキャンすれば良いのでは? これは、リソースの効率的な割り当ての問題です。原則として、バックアップ中だけでなく、リストアプロセス中にもデータをスキャンできます。しかし、これはリソースの有効な利用方法とはいえず、どちらかというと無駄遣いになります。まず、マルウェアがメールや添付ファイルで検出されない場合、バックアップ中(システムに到着後すぐに実行される)に検出される可能性は極めて低くなります。 幸いにも、これは実際には問題ではありません。バックアップファイルは暗号化され、休止中は完全に不活性状態にあるため、バックアップ内のマルウェアがアクティベートされ、何らかの被害をもたらす可能性は低いといえます。 しかし、バックアップからファイルを復元する場合は、バックアップから数日、数週間、数ヶ月が経過している可能性が高いです。その間に、当社の検出システムはほぼ確実にそのマルウェアを検出する能力を獲得しています。そのため、復元直前にデータをスキャンすることで、以前は検出されなかったマルウェアを検出およびブロックする最高の機会が得られるのです。 マルウェア検出が機能しているかをどのように確認できますか? マルウェア検出が機能していることを示す唯一の兆候は、リストア操作中にマルウェアが検出され、アラートが送信された場合のその時点のみです。しかし、この機能は、Barracuda Cloud-to-Cloud Backupに完全に統合されていますのでご安心ください。通知が送信されない場合は、リストアプロセス中にマルウェアが検出されなかったことを意味します。 マルウェア検出を有効にするために何をすべきか? 何もする必要はありません。すべてのCloud-to-Cloud Backupの契約者に対して完全に有効になっています。特に何もする必要はなく、追加費用も発生いたしません。これは、誰もが利用できる新しいセキュリティ機能です。 さらに質問、確認点のある場合 上記の内容で、Barracuda Cloud-to-Cloud Backupのマルウェア検出に関する疑問がすべて解決したことを願っています。しかし、まだ疑問がある場合は、遠慮なくバラクーダにお問い合わせください。メールまたはフォームよりお送りください。 また、まだBarracuda Cloud-to-Cloud Backupを契約していない場合は、無料トライアルを今すぐお試しいただき、そのシンプルさと信頼性をぜひご自身でお確かめください。 Barracuda Cloud-to-Cloud Backupの無料トライアルをリクエスト

海外ブログ

ワールドバックアップデーが14周年を迎える のページ写真 3

ワールドバックアップデーが14周年を迎える

2025年3月26日、Christine Barry 2011年3月23日、あるRedditユーザーが、技術愛好家が集うコミュニティに「バックアップデー」を提案しました。「大切な写真や動画、その他の重要なデータを安全な場所に保存するよう思い出させることは、誰にとっても有益であると私は考えます。」 8日後、「ワールド・バックアップ・デー」はRedditを基盤とした一大イベントとなった。 それ以来、データの生成と保護は飛躍的に増加している。デジタル化の加速、インダストリー4.0、オンラインコンテンツ、そして個人用デバイスやスマートデバイスの普及により、データは優先度の高い資産へと昇格した。 データバックアップソリューションも進化を遂げ、外付けハードドライブ、専用バックアップサーバー、クラウドベースのバックアップソリューション、バックアッププロセスの多くを自動化するソフトウェアの強化など、さまざまな進歩を遂げています。 ワールドバックアップデー(WBD)は今となっては不要に思えるかもしれませんが、システムとデータ保護について考える時間を確保することがこれほどまでに重要だったことはありません。 なぜワールドバックアップデーなのか? データ保護には課題があります。WBDは、これらの課題に焦点を当て、解決策を見つけるための良い理由を与えてくれます。WBDに関する最もよくある質問からいくつか見てみましょう。 なぜワールド・バックアップ・デーが必要なのでしょうか?WBDは個人や組織にバックアップの方法を再評価し、データ損失の可能性に備えるよう促します。 毎日バックアップすべきではないのですか? もちろん、バックアップの頻度はビジネスのニーズによって異なります。 しかし、年に一度、意識を高める日を設けることで、潜在的な被害を軽減することができます。 また、データの価値と保護について、互いに教育し合う機会にもなります。 結局のところ、すべてクラウドにあるのではないですか? Microsoft OneDriveのようなクラウドサービスでは、自動同期と自動保存機能が提供されていますが、それでも設定が必要です。 また、ファイル同期はデータバックアップではないという点にも注意が必要です。ファイル同期は、ビジネスバックアップとしては受け入れられません。 この点を念頭に置き、現在企業が直面している最も一般的なデータ保護の課題について見ていきましょう。 バックアップソリューションを選択する際に最も考慮すべき事項 バックアップソリューションは簡単に手に入りますが、ニーズに最適なソリューションを選択するのは難しい場合があります。バックアップアプライアンスおよびサービスを選択する際に考慮すべき最も一般的な要素をいくつかご紹介します。 可用性(拡張性):可用性(拡張性)のあるソリューションは、頻繁な変更を必要とせずにビジネスの成長に対応します。 これらのバックアップサービスは、パフォーマンスを低下させることなく、ニーズの変化に応じてストレージ容量を拡張することができます。 柔軟性:クラウド、オンプレミス、個々のエッジロケーション、またはこれらの組み合わせなど、データの保存場所に関わらず、データを保護する必要があります。 バックアップアーキテクチャは、データの保存場所に関わらず、データを取得できなければなりません。 複数の導入オプションを備えた単一ベンダーのソリューションは、この目的のために作られています。 使い易さ:ユーザーフレンドリーなソリューションは管理コストを削減し、人的エラーのリスクを最小限に抑えます。バックアップ管理者は、日常的な作業の自動化、包括的なレポートおよび監視ツール、直感的なユーザーインターフェースによる容易な管理を求めています。 リカバリ環境の柔軟性:これにより、災害復旧などのさまざまなシナリオでデータを確実に復元できます。物理から仮想、またはオンプレミスからクラウドへの復元が必要になる場合があります。 Barracuda Backupは、これらの要件をすべて満たしています。当社のオンプレミスモデルは、シンプルなテラバイト単位のサブスクリプションライセンスで利用できるため、データ増加に対応するための多額の初期費用は発生しません。また、Barracuda Cloudのサブスクリプションを利用すると、ローカルアプライアンスが不要になり、いつでもどこからでもデータを復旧できます。さらに、Barracuda LiveBootは、仮想環境がオフラインになった場合に、バックアップイメージから仮想マシンを起動するオプションを企業に提供します。これらの機能の詳細については、当社のWebサイトをご覧ください。 見落とされがちなアプリケーションとデータの種類 この領域こそ、WBDが最も価値を発揮できる領域です。どんなに綿密な計画でも、抜け落ちがある可能性があります。バックアップ戦略を評価する際には、必要なものをすべてバックアップしていることを確認してください。 ウェブアプリケーションおよびクラウドベースのデータ:クラウドにのみ保存されているデータは、バックアップの際に見落とされることがよくあります。クラウドサービスではバージョン履歴や復旧オプションが限られている場合もありますが、データ保護の責任はお客様にあります。Entra ID情報やMicrosoft Teamsで共有されているデータは、ミッションクリティカルなものであっても、バックアップの設定時に忘れられてしまうことがあります。組織で使用されているすべてのものを棚卸しし、これらのプラットフォーム用に特別に設計されたサードパーティのバックアップソリューションによってデータが保護されていることを確認してください。 独自開発のソフトウェアおよびデータベースアプリケーション:ITチームは、よく理解していないアプリケーションやデータベース内で生成されたデータを把握できていない可能性があります。アプリケーションベンダーと緊密に連携し、これらのシステムのバックアップに関するベストプラクティスを決定します。定期的にこれらのバックアップを評価し、データの増加がバックアップ用に確保されている容量を上回っていないことを確認します。 履歴およびレガシーデータ:一部の企業では、古いデータのバックアップを意図的に保持していますが、システムからは古いデータを削除しています。このデータがテープや外付けハードドライブ上にある場合、物理的な故障のリスクにさらされます。テープドライブが利用できない場合もありますし、ハードドライブは長期間使用されていないと、起動しないことがあります。レガシーデータが重要である場合は、最新のバックアップシステムに移行します。 運用テクノロジおよびその他のスマートデバイス:産業用IoT(IIoT)デバイスは、製造、輸送、医療、およびほぼすべての重要なインフラストラクチャに不可欠なものとなっています。 これらのデバイスは複雑な構成であることが多く、転送の間にデバイス上にデータを保持することがあります。 このデータをバックアップすることで、障害発生時の迅速な復旧と生産への復帰をサポートします。 Barracuda Backupは、Microsoft SQLおよびMicrosoft Exchangeアプリケーションのアプリケーション認識バックアップとリカバリをサポートしています。Barracuda Cloud-to-Cloud Backupは、Entra IDデータに加えて、Microsoft 365 Teams、Groups、Exchange、SharePoint、OneDrive、およびOneNoteをサポートしています。 見落としがちなデータバックアップの実践 多くの組織では、バックアップ戦略にギャップがあります。時間をかけて計画を評価し、すべてが機能していることを確認してください。 バックアップとリカバリプロセスの定期的なテスト:バックアップとリカバリプロセスの定期的なテストをスケジュールし、問題を事前に特定します。破損または不完全なバックアップや設定ミスは、災害が発生するまで気づかないことがあります。 エンドポイントデバイスの保護:...

海外ブログ

AIの安全性とセキュリティに関する懸念が浮上 のページ写真 4

AIの安全性とセキュリティに関する懸念が浮上

2025年2月10日、Mike Vizard 通常、技術が飛躍的に進歩した場合には、サイバーセキュリティへの影響が完全に理解されるまでにしばらく時間がかかるが、大規模言語モデル(LLM)の台頭により、人工知能(AI)のセキュリティを達成し維持できるかどうかが、サービス間の大きな差別化要因となりつつある。 例えば、Anthropic社は現在、同社のAIモデルの各インスタンスが従うべき一連の原則を提供するAI安全システム「Constitutional Classifiers」の解読を研究者に呼びかけています。同社は、この安全対策を回避できる研究者に2万ドルを提供しています。 このオファーは、中国で開発されたオープンソースのAIモデルであるDeepSeekのリリースを巡る論争の直後に発表された。DeepSeek AIモデルには、セキュリティ上の欠陥が多数存在しており、企業IT環境での適用には疑問が残る。 DeepSeekを巡る激しい議論は、サイバーセキュリティチームにとっては願ってもないことかもしれない。実際、企業が採用しているAIの安全性やサイバーセキュリティのプロトコルは、存在しないものから甘いものまでさまざまです。正式なポリシーが存在しないため、多くのエンドユーザーは、AIモデルのプロバイダーと機密データを共有していますが、そのデータが将来、正しいプロンプトを作成しようとする人なら誰にでもそのデータを吐き出す可能性のある次世代モデルのトレーニングに使用される可能性があることをほとんど、あるいはまったく認識していません。極端な例の反対側では、ポリシーを強制する能力を持たないAIモデルの使用を禁止している組織もあります。多くのエンドユーザーにとっては、AIモデルは、自分たちで勝手にこっそりと採用する、単にもう一つのシャドーITサービスに過ぎません。 願わくば、サイバーセキュリティチームと協議した上で、より多くの組織が、自らが定めるポリシーに実効性を持たせるために必要な管理策を導入するようになるでしょう。その一方で、サイバーセキュリティチームは、各AIサービスがアクセスしたデータをどのように使用しているかを正確に理解するために必要な時間を確保する必要があります。その際には、顧客データがAIモデルのトレーニングに使用されないことを保証するコミットメントから始めるべきでしょう。問題は、その誓約がエンドユーザーがチェックボックスにチェックを入れ、デフォルト設定から除外することを明確に指定したデータのみに適用される可能性があることです。 これは、ソフトウェアライセンス契約の数百ページにわたる条項のなかでも、エンドユーザーが目にする可能性が低いと思われるものです。すでに、ほとんどの既存のソフトウェアライセンス契約の条項を理解するには、かなり経験を積んだ弁護士の助けが必要ですが、AI時代にはさらに多くの注意事項が追加されるため、エンドユーザーが外部AIサービスとのデータ共有の意味を理解できない可能性は高まる一方です。 一方で、サイバー犯罪者たちは明らかにAIのジェイルブレイク(脱獄)スキルを磨いており、これはプロンプトエンジニアリングのスキルを使って、機密データを含む出力が生成されないようにするためのAIガードレールの制限を回避する方法です。 結局のところ、AIが関わる重大なサイバーセキュリティインシデントが発生するかどうかというよりも、いつ、どの程度の規模で発生するかということが問題です。ただし、これらの侵害が以前に経験されていないような場合に、組織がそれに対してどのように対応するかは、あまり確実ではありません。

海外ブログ

Akira:レトロな雰囲気を持つ最新のランサムウェア のページ写真 5

Akira:レトロな雰囲気を持つ最新のランサムウェア

2025年2月11日、Christine Barry ランサムウェアグループであるAkiraは2023年3月に登場し、たちまちに恐るべき脅威アクターとしてその地位を確立しました。Akiraは、主に米国およびその同盟国における複数の業界を標的とするランサムウェア・アズ・ア・サービス(RaaS)の活動です。2024年1月1日までに、アキラは「250を超える組織に影響を与え、およそ4200万ドル(米ドル)のランサムウェアによる収益を得ていた」とされています。 Akiraの脅威アクターは多額の金銭を盗み出していますが、攻撃が常に成功するわけではありません。当社のセキュリティオペレーションセンターは最近、失敗したAkira攻撃について詳しく説明しています。Akira攻撃チェーンを調査する際には、後ほどこのレポートを参照します。 起源についての話 Akiraの物語は、2019年12月から2022年5月まで攻撃を展開していたContiランサムウェアグループから始まります。アナリストらは、このグループがロシアを支援したことが原因で、Contiが活動を停止したと考えています。 この支援表明への報復として、正体不明の11人物が数百ものContiの非公開ファイルを流出させ、ビットコインのアドレス、プライベートメッセージ、グループのランサムウェアのプレイブックを公開しました。Contiは、この混乱から立ち直ることはなかったようです。このグループは2022年5月に攻撃を停止し、翌月には最後のウェブサイトをオフラインにしました。流出したデータと攻撃分析を使用して、研究者は、AkiraとContiを結びつける膨大な数の証拠を発見しました。この関係は確認されていませんが、多くの専門家は、Akiraの初期の成功は、Contiのリソースと犯罪に関する専門知識へのアクセスによるものだと考えています。 コンティとは異なり、アキラはロシアやその同盟国への忠誠を誓っていません。Akiraはダークウェブのフォーラムを使用する際にはロシア語でコミュニケーションを取っており、そのランサムウェアにはロシア語のキーボードレイアウトを持つシステム上での実行を防ぐための安全対策が含まれています。コンティとのつながりにこの証拠を加えると、Akiraがロシアと何らかのつながりがあることを示唆していますが、グループの所在地を証明するものではありません。また、このグループがロシア発であることを裏付けるには不十分な証拠です。 ブランド化 研究者は、この「Akira(アキラ)」という名称は、1988年のサイバーパンクアニメ映画「AKIRA」から着想を得たものであり、その映画の主人公は制御不能で破壊的な力を持つと信じています。 主流の説では、このグループも同様に、この名称を使用して自分たちを表現していると考えられています。 このグループは、リークサイトにレトロなグリーンスクリーン端末のようなデザインを採用しており、ナビゲーションと通信にはコマンドラインインターフェース(CLI)を使用し、5つのコマンドのみを受け付けています。 このシンプルさとヴィンテージな外観は、Akira が非常に洗練された攻撃的なグループであるという事実を覆い隠しています。 動機 Akira の唯一の目的は金銭です。このグループは中堅中小企業(SME)を標的にしていますが、日産自動車やスタンフォード大学など、有名な大企業も被害に遭っています。 このグループはあらゆるセクターを攻撃対象としていますが、特に製造業や重要なインフラストラクチャを好んでいるようです。 攻撃チェーン Akira攻撃チェーンでは、初期アクセスからデータの外部流出、暗号化に至るまで、攻撃で使用される一連のイベントとツールについて詳しく説明しています。 ここでは、最近Akiraと戦った経験を基に、防御が部分的にしか施されていない被害者に対する実際の攻撃でAkiraが攻撃チェーンをどのように使用しているかを見ていきます。 初期アクセス: バラクーダSOCの専門家は、被害者のネットワークに存在する既知のリスク領域を複数発見しました。これには、オープンなVPNチャネル、保護されていないデバイス、多要素認証(MFA)の一貫性のない使用などが含まれます。これらの条件は、VPNを介した初期アクセスから始まる攻撃と直接関連していました。 特権の昇格と水平方向への移動 これは、攻撃者が被害者ネットワーク内で影響力を最大限に拡大しようとするため、ほとんどの攻撃チェーンにおける初期の「感染後」のステップです。このケースでは、Akiraは「パス・ザ・ハッシュ」技術を使用して、パスワードで保護されたネットワークシステムにアクセスしました。パスワードハッシュについて詳しくない場合は、こちらにわかりやすい紹介ビデオがあります。 バラクーダSOCが記録した次のステップは、Advanced IP Scannerの実行でした。これは、ネットワーク上のデバイスをリスト化する無料かつ合法的なソフトウェアツールです。これは、ネットワーク資産の特定とラテラルムーブメントの確立に使用されます。 防御回避 Akiraの防御回避技術は、エンドポイントセキュリティとアンチウイルスソリューションを無効にするために、さまざまなリソースを組み合わせて使用しています。 PowerTool、KillAV、およびTerminatorは、アンチウイルス関連のプロセスを終了するために使用されるプログラムです。 PowerShellコマンドは、Microsoft Defender Real-Time Protectionを無効化するために使用されます。また、PowerShellは暗号化の前にVolume Shadow Copy Services (VSS)ファイルを削除するためにも使用されます。 レジストリの変更は、Microsoft Defenderを無効化または再構成します。その他の編集には、ログイン画面のアカウントを隠すためのUserlistレジストリの変更、および認証なしでログインを許可するためのDisableRestrictedAdminレジストリの変更が含まれます。 バラクーダ XDR エンドポイントセキュリティには、保護機能を無効化または再構成する攻撃を防止する改ざん防止機能があります。 データの外部流出と暗号化 回避策と並行して、Akiraは被害者から窃取するデータを圧縮するためにWinRarを実行し始めました。通常、データは正当なトラフィックを模倣する手法を使用して外部流出されます。このイベント中、Akiraは無防備なサーバで管理者レベルのアクセス権を獲得することに成功しました。これにより、暗号化攻撃を開始することが可能になりました。 ランサムウェアは、無防備なサーバから到達可能なネットワークデバイスをリモートで暗号化しようと試みました。Barracuda XDRはこれを即座に検知し、すべての保護されたエンドポイントをネットワークから切断しました。 Barracuda XDRは被害者のネットワーク全体に展開されておらず、内部セキュリティポリシーが常に適用されていませんでした。 その後の経過と教訓についてはこちらをご覧ください。 交渉 攻撃が成功すると、Akiraは身代金要求のメモをドロップし、グループに連絡するよう指示します。 これにより、Akiraは主張を証明し、身代金を要求することができます。 身代金要求の例を以下に示します。...

海外ブログ

バラクーダの経営陣による、2025年の7つのセキュリティ予測 のページ写真 6

バラクーダの経営陣による、2025年の7つのセキュリティ予測

2025年1月13日、Anne Campbellのブログを基に一部編集 この1年で脅威の状況は急速に進化し、あらゆる規模の組織がデータ、ネットワーク、アプリケーションの保護に躍起になっています。2025年に入ってもその傾向に減速の兆しは見られません。 2025年に備えるため、私たちは最近、バラクーダの3人の経営幹部と対談し、来年に起こる変化、発展、トレンドについて、それぞれの視点と予測を語ってもらいました。また、企業が保護を維持するために注意すべき点についても説明しています。 バラクーダCIO Siroui Mushegian 2025年はAIセキュリティの転換点となる 企業は今、AIイノベーションの重要な局面に立たされています。これはスリリングな機会であると同時に、大きなリスクも伴います。AIはサイバーセキュリティにおける盾であり、剣でもあります。サイバーセキュリティを強化するこれまでにない可能性をもたらす一方で、攻撃者に悪用される新たなツールも提供します。企業がAIの利用を進めるにあたっては、慎重に進める必要があります。AIを誇大広告のために採用するのではなく、真に価値をもたらす場所に戦略的に展開することが成功の鍵となります。 企業は、新たな脅威に対するサイバーセキュリティレジリエンス(回復力)構築に真剣に取り組むことになる ランサムウェアやサプライチェーン攻撃が急増する中、コンプライアンス業界はサイバーセキュリティ基準のハードルを上げ、企業に適応と防御の強化を迫っています。世界的に重複する部分はあるかもしれませんが、地域的なニュアンスの違いにより、コンプライアンスには個別のアプローチが必要です。サイバーセキュリティレジリエンス(回復力)は極めて重要です。変化する規制に先手を打つだけでなく、不可避な事態が発生した場合に組織が迅速に対応し、回復できることを保証するためにも不可欠です。来年には、あらゆる業界の企業が統一されたアプローチを採用し、サイバーセキュリティを組織全体の責任とし、進化し続ける脅威に対するサイバーレジリエンスを全体的に向上させるでしょう。 最高情報セキュリティ責任者(CISO) Riaz Lakhani 2025年にはシャドーITのリスクが拡大する 企業が積極的に取り組まない限り、シャドーITに関連するリスクは大幅に拡大するでしょう。セキュリティレビューなしで簡単に導入できる、より革新的なツールが数多く登場しているため、従業員や契約社員、その他の人々によって多くのSaaS型サービスが導入されるようになり、データ漏洩や一般的なセキュリティ脅威のリスクが高まっています。さらに、承認されていないAI SaaSツールの使用が増加し、悪意のあるLLMや改ざんされた正規LLMをダウンロードするリスクも高まります。 脅威の主体はランサムウェアにさらに力を入れる ランサムウェアは引き続き大きな問題であり、大企業だけでなく、中小規模の医療機関や個人にも影響を与えています。昨年、私はUHC/Change Healthcareの問題を取り上げましたが、これは、個人開業医として診療所を所有し、収益サイクル管理にChange Healthcareを使用している私の妻に個人的な影響を与えた問題でした。また、GMのような事件も発生しました。脅威の主体はランサムウェア攻撃に高い投資対効果(ROI)を見出しており、さらに攻撃を強化するでしょう。バラクーダは、脅威の主体が個人の自宅の写真を公開し、身代金を支払わなければ物理的な脅威を与えるとほのめかすキャンペーンに関する脅威のスポットライトを公開しました。 ソーシャルエンジニアリング攻撃は極めて説得力を持つようになる これまでにないほど説得力のあるソーシャルエンジニアリング攻撃が増加するでしょう。脅威の主体は、コンテンツ作成の規模拡大、より説得力のあるコンテンツの作成、高度なフィッシング攻撃やソーシャルエンジニアリング攻撃のためのディープフェイク/音声複製の採用にAIを使用するでしょう。フィッシングはすでに脅威の主体にとって十分な投資対効果(ROI)をもたらしていますが、今後は、ターゲットをウォームアップするための高品質なフィッシングと、その後の段階的なソーシャルエンジニアリング戦術が組み合わさるようになるでしょう。 グローバルセキュリティオペレーション担当 シニアバイスプレジデント(SVP) Adam Khan AIがXDRの革新と進化を推進する 2025年には、XDRは単なる事後対応型の監視を超えて、予測的かつ自動化されたセキュリティ運用の中核となるでしょう。XDRプラットフォームがSOARやAI駆動型の脅威インテリジェンスなどのより幅広いエコシステムと統合され、クラウド、エンドポイント、ネットワークなど、さまざまな環境で動的なリスク評価と優先順位付けされた対応が可能になることが期待されます。AIが中心的な役割を果たし、XDRが膨大な量のデータをリアルタイムで分析し、微妙な攻撃パターンを検知し、潜在的な脅威が現実のものとなる前に予測できるようになるでしょう。このAI主導の進化により、XDRは対応型のツールから、刻々と変化する脅威の状況に適応できる先を見越したセキュリティ戦略へと変貌を遂げるでしょう。 中小企業は、攻撃者にとって格好の標的と見られがちですが、XDRを導入する企業はますます増えるでしょう。XDRは、防御を統合し、手の届く規模でエンタープライズクラスのセキュリティを反映する費用対効果の高いソリューションだからです。AIの自動化機能により、リソースに制約のある組織でも高度なセキュリティを実現できるようになり、大規模なSOCチームへの依存度を大幅に低減できます。XDRを単にビジネスにおける110番、119番としてではなく、AIによって駆動されるフルサービスの司令センターとして考えてみてください。脅威を事前に鎮静化し、継続的に学習してレジリエンス(回復力)を強化します。 データ保護戦略は、新たな方法でデータを保護する方向にシフトする 2025年までに、データ保護戦略は、静止中または転送中のデータの保護から、使用中のデータの保護へとシフトするでしょう。 準同型暗号化や機密コンピューティングなどのプライバシー保護技術は、コンプライアンス要件や機密データを損なうことなくリアルタイムでコラボレーションを行う必要性によって推進され、広く採用されるでしょう。 医療や教育などの分野では、個人や組織の貴重なデータを保護するために、AIベースの異常検知を採用し、これらの業界に対する攻撃者の注目が高まっている問題に対処するでしょう。インシデント対応は、年1回の机上訓練から、攻撃シミュレーションプラットフォームによる継続的なテストに移行し、組織はリアルタイムで対応能力を測定できるようになります。 サイバーセキュリティ予測ウェビナーアーカイブ(英語)のご紹介 1月22日、バラクーダは、サイバーセキュリティのトップトレンドと2025年以降の予測を行うウェビナーを開催しました。アダムとリアズが、進化する脅威の状況に関する予測や、来年に向けての準備に役立つベストプラクティスなど、洞察に富んだディスカッションが行われました。 当ウェビナーは英語のウェビナーとはなりますが、ご興味のある方はアーカイブをご覧いただき、ビジネスと顧客を今年守るために必要な知識について、バラクーダの2人の幹部より専門的なインサイトを得てください。 サイバーセキュリティ予測ウェビナー(英語)のアーカイブを視聴

海外ブログ

数字で振り返る2024年 のページ写真 7

数字で振り返る2024年

2025年1月9日、Christine Barry 脅威の状況は常に変化しており、新たな脅威が出現する一方で、消滅したり、関連性を失ったりする脅威もあります。 2024年2月にChange Healthcareから2200万ドルを身代金として要求した個人ハッカーにインフラ、ツール、管理サービスを提供したランサムウェア・アズ・ア・サービス(RaaS)グループであるALPHVを考えてみましょう。 ALPHVは、攻撃を実行した脅威行為者と身代金を分け合うことを望んでいなかったようです。このグループは暗号通貨口座を空にし、解散し、2024年に登場した33の新しい、または”ブランド変更”されたランサムウェアグループの1つへと姿を消しました。 これらの33のグループと40以上の既存のアクティブなグループは、ランサムウェアの脅威アクターの30%増を占めているようです。 一部のグループはそのまま残りましたが、ランサムウェアへの注意を外し、目をそらしました。 状況の変化は結果の変化にもつながります。2024年のデータ侵害の平均コストは488万ドルに跳ね上がり、2023年の445万ドルから増加しました。これらのコストは2018年以降増加しており、目新しいものではありません。興味深いのは詳細です。医療業界におけるデータ侵害関連コストは109.3億ドルから97.7億ドルに減少しました。また、データ侵害の特定と封じ込めにかかる平均時間は277日から258日に減少しました。フィッシングと盗難または侵害された認証情報は、依然として上位2つの攻撃ベクトルでした。 ランサムウェアによる被害額も増加傾向が続きましたが、身代金を支払った企業の数は減少しました。2024年の平均的な身代金支払額は273万ドルに増加し、2023年の182万ドルから増加しました。最も高額な身代金支払額として知られているのは、約7,500万ドルでした。この支払額は被害者によって公表されておらず、研究者によって発見・確認されたためわかったことです。このように当該企業が公表しないということが、グローバルなサイバー犯罪によるコストやその他の被害の全体像を把握することが難しい理由の1つです。脅威の全体像とその影響について完全な把握はできていませんが、他にも興味深いデータがあります。 9.22ドル~9.5兆ドル 先ほど世界的なサイバー犯罪の総コストについて触れたばかりなので、そこから始めましょう。これについては正確な数字は一つではありませんが、データに基づく被害額の推定値はいくつかあります。 世界的なサイバー犯罪のコストとして最も頻繁に引用されるのは、9兆5000億ドルという数字です。これは、サイバーセキュリティベンチャーズ社(Cybersecurity Ventures)による推定値で、同社はコストを「データの損傷と破壊、盗まれた金銭、生産性の低下、知的財産の盗難、個人情報および財務データの盗難、横領、詐欺、攻撃後の通常の業務への支障、法医学的調査、ハッキングされたデータおよびシステムの復旧と削除、評判の低下」と定義しています。同じ定義を使用して、StatistaのMarket Insightsは2024年の被害額を9兆2200億ドルと推定しています。これはCybersecurity Venturesの推定額より若干低いですが、両者とも2025年には被害額がさらに1兆ドル増加すると予測しています。 世界的なサイバー犯罪の総被害額について明確な全体像を把握できない理由のひとつは、風評被害のようなものを考慮しなければならないことです。ブランドイメージの回復や消費者および株主の信頼の回復は、困難で費用のかかる作業です。セキュリティインシデントの直後に失った顧客数や売上減、ダウンタイム関連のコストを測定することはできますが、「評判やブランドの修復」に対する”請求書”は届きません。被害の全容とコストを把握するには、長期的な視点が必要です。 サイバー犯罪のコストを算出するには、正確な報告も必要となりますが、ほとんどの攻撃は一般公開も法執行機関への報告も行われません。評判を守るという理由以外にも、被害者の中には自力で解決できる事件を報告する意味を見出せない、あるいは誰に連絡すればよいのかわからないという理由で報告を行わないケースもあります。 米国にはサイバー犯罪に関する情報を収集する連邦機関が少なくとも12機関ありますが、それらの機関は犯罪を追跡し、分類する方法が統一されていません。この断片化により、サイバー攻撃の特定や追跡が困難になっています。 標準的な分類法と一元化されたサイバー犯罪データベースの作成に向けた取り組みが進行中です。また、「Secure Our World」プログラムも、サイバー犯罪の撲滅と報告に関する意識向上を目指す取り組みの一例です。 4億 約4億台のデスクトップパソコンが、残り10ヶ月の寿命を残して2024年に終了しました。これらのシステムは、2025年10月にマイクロソフトがWindows 10の公式サポートを終了すると、セキュリティ更新プログラムや技術サポートへのアクセスを失うことになる。企業は、この日付以降の更新プログラムのサブスクリプションを購入できるが、デバイスあたりの価格は毎年2倍になる。 Microsoft WindowsはデスクトップOSの世界を独占しており、複数のバージョンを合わせると市場シェアは約99.93%に達しています。 2024年12月現在の内訳は以下の通りです。 Windowsバージョン 市場シェア(%) Windows 10 62.73 Windows 11 34.1 Windows 7 2.4 その他のWindowsバージョン 0.7 Windows 10 より古いシステムはすでにサポート対象外となっており、今後、Windows 10 搭載のデバイスもサポート対象外となることが予想されます。セキュリティ対策が施されていないシステムを稼働させるのはリスクが高いですが、実際にはそのような状況が発生しています。しかし、すべてのデスクトップがアップデートされると仮定した場合、企業や個人に600億ドル以上のコストがかかる可能性があります。その理由は以下の通りです。 カテゴリー デバイス数(推定) デバイスあたりのコスト(想定) 総コスト(米ドル) 交換が必要なシステム 4800万(12%) 1,000ドル 480億ドル ハードウェアのアップグレードが必要なシステム...

海外ブログ

専門家が振り返る2024年のサイバーセキュリティニュース のページ写真 8

専門家が振り返る2024年のサイバーセキュリティニュース

2025年1月2日、Kevin Williams 2024年はサイバーセキュリティに関するニュースが数多く報道された年でした。データ侵害、ランサムウェア、量子コンピューティングの台頭など、さまざまな出来事がありました。唯一変わらないことがあるとすれば、それは変わり続けることそのものでした。 ランサムウェアが引き続き被害をもたらす中、Security Intelligence によると、2024年にはランサムウェアの支払額が過去最高を記録し、被害者は上半期だけで約4億5,980万ドルを支払いました。 開示された単一のランサムウェア支払額としては、Fortune 50社にランクインする未公開企業がダークエンジェルズ(Dark Angels)ランサムウェアグループに支払った7,500万ドルが最高額でした。 2024年にはゼロトラストの採用が増加し、IoTデバイスの爆発的な成長が続きました。IoT Analytics によると、2024年時点で、世界中で接続されたモノのインターネット(IoT)デバイスの数は約188億台と推定され、2023年の166億台から13%増加しています。この成長は今後も続き、予測では2030年までにIoTデバイスの数は約400億台に達する見込みです。 大手医療企業からKrispy Kreme(クリスピー・クリーム・ドーナツ)まで、あらゆる企業が大規模なデータ侵害の被害に遭いました。 2024年のサイバーセキュリティの主な出来事 5人のサイバーセキュリティの専門家たちに、2024年の最も印象に残った出来事について意見を聞きました。以下は、その年の主なサイバーセキュリティの出来事についての彼らの見解です。 Simon Wijckmans(サイモン・ウィックマンズ:c/sideのCEO):2024年の最大の課題は、ブラウザ側のサプライチェーン攻撃でした。脆弱なサードパーティのウェブサイトスクリプトは、決済ポータルから分析、チャットボットに至るまで、あらゆる用途で使用されており、サイバーセキュリティの主要な話題となりました。 2024年に発生した注目度の高いPolyfill攻撃は、50万ものウェブサイトに影響を与えました。 この攻撃は、監視されていないサードパーティのスクリプトがどれほど大きな問題となっているかを如実に示しました。 これらの攻撃の範囲は、ユーザーを悪意のあるサイトにリダイレクトするものから、機密性の高い決済情報を取得するものまで多岐にわたりました。 「マネージドサービスプロバイダー(MSP)にとって、これらの攻撃は新たなセキュリティ上の懸念事項です。 彼らは今、従来のネットワークの脅威からだけでなく、複数のクライアントを同時に侵害する可能性のある改ざんされたサードパーティスクリプトからも、クライアントを保護しなければなりません」とWijckman氏は説明します。 さらに同氏は、2025年3月に発効するPCI DSS v4.0.1の要件により、組織に対するプレッシャーは高まっていると付け加えています。特に決済ページでは、サードパーティスクリプトに対する十分な監視と検知戦略が必要です。 QRコード開発企業のコミュニケーションコーディネーター、ジョー・ロビンソン氏は、「今年私が聞いた中で最も懸念すべきことは、悪意のある人物がAIを使用して、わずか3秒の音声から人の声を複製できるようになったという話です」と語り、さらに次のように付け加えています。「この話を詐欺師の詐欺という文脈に当てはめると、心配になります。詐欺師の詐欺はここ数年で急速に増加しています。「高齢者は、親戚の実際の声のように聞こえる精巧な偽装の孫からの詐欺に特に高いリスクにさらされており、このようなテクニックを使ったホエール・フィッシングが話題になるようになると思います。 専門家が振り返る重要な瞬間と新たな脅威 AdGuard VPNの最高製品責任者、デニス・ヴィヤゾヴォイ氏:「2024年1月に起こったことなので、忘れてしまった人もいるかもしれませんが、ハッカーが260億件のレコードを盗み出した、史上最大のデータ漏洩事件がありました。これは「史上最大の漏洩」と呼ばれています。その影響は今後何年にもわたって続くでしょう。特に、量子コンピューティングの出現と、将来的にデータ復号化を促進する可能性を考慮すると、その影響は計り知れません。 SureShieldのセールスおよびマーケティング担当上級副社長、トム・リーヒー氏:Change Healthcareのデータ侵害は、最も重大なサイバーセキュリティ事件のひとつでした。その規模と影響は、何百万人もの個人とその機密情報に及びました。この侵害により、約1億件の通知が送信されました。これにより、多数の米国人の個人情報や医療記録が公開されてしまいました。この事件の犯行グループはBlackCat/ALPHVです。彼らは Change Healthcare のネットワークに侵入し、9日間、データを外部に持ち出すために操作を行いました。その後、ランサムウェアを展開してファイルを暗号化し、ネットワークにさらなる被害をもたらしました。 AJ Thompson(Northdoor 最高セキュリティ責任者):2024年の最大のサイバーセキュリティ関連の話題は、データ侵害のコストが引き続き上昇していることです。この傾向は、IBMの2024年データ侵害コストに関するレポートで強調されています。世界平均のデータ侵害コストは488万ドルに達しました。これは驚異的な10%の急増であり、パンデミック以来最大の増加です。重要なのは、これらの侵害の35%がシャドーデータに関係しており、パブリッククラウドの侵害が現在、517万ドルでコストチャートのトップに立っていることです。この憂慮すべき傾向は、サイバーリスクの複雑化を強調しています。企業は、強化されたサイバーセキュリティ対策と意識の向上によって、これに対処しなければなりません。 2024年のまとめ 2024年を振り返ると、サイバーセキュリティではランサムウェアによる支払いが過去最高額を記録し、ゼロトラストの台頭が見られました。また、IoTデバイスの爆発的な増加も目立った年でした。マネージドサービスプロバイダー(MSP)は、ヘルスケアから小売業まで、さまざまな業界に影響を及ぼした大規模なデータ侵害により、脅威の増加に直面しました。この状況は急速に進化しており、マネージドサービスプロバイダー(MSP)には課題と機会の両方が生じています。

海外ブログ

新機能:Cloud-to-Cloud Backupのマルウェア検出 のページ写真 9

新機能:Cloud-to-Cloud Backupのマルウェア検出

2024年12月18日、Tony Burgess 絶対に避けておきたいシナリオを考えてみましょう。Microsoft 365に保存されている重要なデータが削除されてしまったとします。 事故によるものかもしれませんし、悪意のある行為によるものかもしれませんし、ランサムウェア攻撃によるものかもしれません。 「まあ、問題ない」とあなたは考える。「バラクーダのCloud-to-Cloud Backupがあるから、失われたデータを正確に復元するのに数分かければ、何事もなかったかのように作業を再開できる」という考えが浮かぶかもしれません。 ただし、そのデータの中に誰かが起動するのを待っているマルウェアの断片が含まれていたとします。 なぜこのようなことが起こるのでしょうか。 犯罪者によって常に新しいマルウェアが開発されているため、たとえばBarracuda Email Protection のような最も洗練された脅威検出でも、システムに侵入した新しい未知の脅威を検出できない可能性があります。 そのため、データの保護に依存しているバックアップシステムが、以前は検出できなかったマルウェアを、ユーザがうっかりクリックする可能性のある場所に再び配置してしまう可能性があります。つまり、データ漏洩やさらに深刻な問題が発生するリスクに再びさらされることになります。このような事態は避けなければなりません。 マルウェア検出で救済 バラクーダの開発チームは、弊社の最高クラスのクラウドデータ保護製品の新機能の開発に全力で取り組んできました。 最近の英語圏のウェビナーに参加された方は、新しいEntra IDデータ保護機能について学んだだけでなく、マルウェア保護についても簡単に紹介されました。 この度、Barracuda Cloud-to-Cloud Backupのマルウェア検出機能が利用可能になりました。すでにCloud-to-Cloud Backupをご利用中のお客様は、何もする必要はありません。マルウェア検出機能は無料でご利用いただけます。この新機能はすでに動作しており、マルウェアが検出されてデータ復元ジョブから除外されたことを通知するまで、お客様は気づかないかもしれません。 また、まだCloud-to-Cloud Backupを導入していない場合は、今こそ導入する絶好のタイミングです。まずは、無料トライアルを設定するか、デモを予約してください。 機能と動作 原則として、非常にシンプルです。バックアップからデータを復元するたびに、Cloud-to-Cloud Backupは、シグネチャベースの検出や、長年Barracuda Email Protectionの主要コンポーネントとして使用されてきた当社の高度な脅威防御スタックなど、バラクーダの実績ある独自のマルウェア検出システムにすべてのデータを実行します。 また、これらの検出システムは常に新しい脅威データでリアルタイムに更新されるため、メールが最初に到着したときにメールフィルタリングを回避したマルウェアも、バックアップからリストアされるとほぼ確実に検出されます。 リストア処理中に悪意のあるファイルを検出すると、クラウド間バックアップはデータリストアプロセスからそのファイルを削除し、管理者にマルウェアを通知するアラートを送信します。 この機能は、Cloud-to-Cloud Backupを単独ソリューションとして、またはBarracuda Email Protectionのサブスクリプションの一部として使用している場合でも、すでに有効になっています。 バラクーダの利点 他のベンダーはマルウェア検出機能を備えたバックアップソリューションを提供していますが、これらはほとんどが純粋なバックアッププロバイダです。独自のマルウェア検出技術を持っていないため、他のセキュリティベンダーからライセンスを取得する必要があります。また、その効果、速度、信頼性、およびバックアップソリューションへの統合の度合いを把握することは困難です。 一方、バラクーダは、高度な脅威検出技術の開発、展開、および改善に数十年にわたる実績があり、それをセキュリティソリューションおよびプラットフォームのポートフォリオに統合しています。弊社の高度な脅威防御システムは、それを支えるグローバルな脅威インテリジェンスネットワークとともに、Barracudaだけが提供できる、テスト済みの実証済みのテクノロジです。 つまり、Barracuda Cloud-to-Cloud Backupでは、最新のイノベーションを活用し、最も高度なサイバー攻撃を検出するための効果的なマルウェア検出機能を備えています。この機能はシームレスに統合され、かつ常に最新の状態に保たれており、企業はより安全な形でデータ保護を実現できます。 参考リンク 無料トライアル

海外ブログ

BianLian:顔を変えるランサムウェアの脅威 のページ写真 10

BianLian:顔を変えるランサムウェアの脅威

2024年8月9日、Christine Barry サイバー犯罪の世界では、奇妙なブランド名は尽きることがありません。脅威をもたらす行為者は、人々を威嚇し、強力で巧妙な脅威であるというイメージを植え付けようとします。「ボブのランサムウェア」と呼ばれるものは、REvilやHiveほど不穏なものではありません。 REvilとHiveはどちらも「バイオハザード」を思わせる不穏な雰囲気を持っています。そして、Rhysidaというランサムウェアもあります。これはランサムウェアにふさわしい名前ですが、Rhysidaが何なのか知っている人だけがそう思うでしょう。詳細を理解するには調べる必要があるでしょう。そして、RansomHubは不気味な出会い系アプリのように聞こえます。 今日は、BianLianと呼ばれるランサムウェアの脅威に注目しますが、このグループは私が尊敬しうる命名を行いました。オリジナルのBianLianは「ビーイェンリーイェン」と発音され、四川オペラに組み込まれた伝統的な中国の芸術形式です。この名前は「顔が変わる」と訳され、パフォーマーがさまざまなキャラクターや感情状態を描写、巧妙な手口やその他の技術を使用して、マスクをほぼ瞬時に交換します。以下のビデオで例を見ることができます。 まるで魔法のようです。 脅威アクターのBianLianは、Bian Lianの美しい芸術とはまったく異なりますが、「顔を変える」という名前は的を射ているということができます。 BianLianの起源について BianLian関連のインフラストラクチャは早くも2021年12月に検出されており、専門家は、グループがその時点でツールセットを積極的に開発していたと考えています。このランサムウェアは2022年7月に登場し、8月末までに、このグループはコマンド&コントロール(C2)インフラストラクチャを3倍に増やし、いくつかの業界で被害者をリストアップしました。 活動から1か月以内のBianLianの被害者、Cyble経由 一部の専門家は、BianLianは、同様の戦術、技術、手順(TTP)と観察可能な活動のタイムラインにより、Pysaグループのブランド変更または分派であると推測しています。この理論を裏付ける証拠は、公式の勧告や詳細な分析を発表していません。それどころか、Recorded Futureの研究者は、BianLianが2022年のランサムウェアシーンの真の新参者であると理論付けました。彼らは当時、これらの観察結果を発表しました。 …BianLianグループは、ランサムウェアエコシステムにおける新しい存在であるように見えます。さらに、BianLianの攻撃者は、ネットワークへの侵入に非常に長けているが、恐喝/ランサムウェアビジネスには比較的新しい個人のグループを表していると評価しています。… このアクターは、被害者のネットワークを侵害することに長けていることを証明していますが、私たちは以下のことを見てきました。 被害者から別の被害者に誤ってデータを送信する。 比較的安定したバックドアツールキットを所有していますが、進化する身代金メモを備えた暗号化ツールを積極的に開発しています。 被害者とのコミュニケーションに長い遅延。 グループ自身がOnionのサイトで認めているため、インフラストラクチャのビジネス面は信頼できません。 それ以来、BianLianは成熟しており、グループはランサムウェアの運用により経験豊富な新しいメンバーを獲得した可能性があります。私たちが確実に知っているのは、約2年間の運用で、BianLianは世界中のあらゆる規模の企業を犠牲にしてきたということです。 BianLianの脅威アクターの正確な場所は不明のようですが、グループは通信にロシア語を使用しており、ロシア語圏の国を標的にしていません。彼らの脅威活動は、米国(米国)、オーストラリア、およびヨーロッパの被害者に重点を置いています。これらの攻撃の大部分は、米国の製造業者や医療機関に対するものです。このグループは、イデオロギーや国民国家と結びついているようには見えない。BianLianはただお金を稼ぐために出かけており、ここでの彼らのプロフィールは、金銭的な動機を持つランサムウェアグループの典型です。政治や社会経済の問題はさておき、このグループは、対象国の法執行機関に協力しない場所で活動したいと考えています。 BianLian グローバル インパクト (Bleeping Computer 経由) BianLianと暗号化 BianLianは、ここ数年でその名にふさわしいことを証明しました。このランサムウェアはGo(またはGoLang)で書かれているため、コードの更新プロセスが簡素化され、機能、ステルス性、永続性が向上しています。この継続的な開発により、BianLian ランサムウェアのいくつかのバージョンが生まれましたが、ほとんどの場合、新しいセキュリティ対策に対応していました。また、このグループは、ツールセットの速度とパフォーマンスを向上させるために、コードを微調整しました。しかし、最も顕著な変化は、2023年にグループが暗号化からデータ流出に業務を移行したことです。 BianLian ランサムウェアは、2022 年に発売されたときにいくつかの脆弱性がありました。初期のバージョンでは、欠陥のある暗号化アルゴリズムや壊れた実装を使用していたため、身代金を支払わずにファイルを復号化して復号化キーを取得することができました。2023 年 1 月、アバストの研究者は無料の BianLian 復号化ツールを一般に公開し、脅威アクターに多大な損害をもたらしました。BianLian ランサムウェアは、暗号化キーもコマンド アンド コントロール (C2) サーバーとの通信に依存しており、これらのサーバーへのアクセスをブロックすると暗号化プロセスがブロックされます。ネットワーク監視ツールは、簡単な自動化でそのタスクを実行できます。 BianLianは、C2通信を含むツールセットのステルス機能とバックドア永続性機能を改善し、脅威のデータ流出側に傾倒することで、これらの欠陥と公開されている復号化機能に対応しました。「恐喝のないランサムウェア」の使用は増加しており、多くの脅威アクターは、企業がデータのプライバシーを維持するためよりも復号化にお金を払うことを望んでいないことに気づいています。ほとんどのランサムウェアグループは、いまだに恐喝の手段として暗号化を使用していますが、最近では盗まれたデータが現実の金銭となっています。 BianLianがランサムウェアのバイナリを実行すると、ファイルの名前が変更され、身代金要求メモが生成されます。 BianLianは、サイバーエクスプレスを介してファイルを暗号化しました BianLian 身代金メモ (2023)、アバスト経由 BianLianが米国や世界経済にどれだけの損害を与えたかを知る方法はありませんが、「膨大な規模」と捉えることができます。米国では、昨年、医療侵害の平均コストは1,100万ドル近くに達しました。製造業者のインシデントあたりのコストは低くなっていますが、上昇し続けています。これらのセクターは、BianLianや他の多くの脅威アクターにとって好ましいターゲットです。 BianLian攻撃の仕組み BianLian ランサムウェアの感染は、多くの場合、フィッシング メール、侵害された資格情報、または脆弱性の悪用から始まります。これらの戦術は脅威アクターにとって一般的なものであるため、BianLianはこれに関して特別なことは何もありません。しかし、この機会に、私たちは自分自身(そして私たちが知っているすべての人)に、自分の資格情報を保護することが非常に重要であることを思い出すべきです。RockYou2024やCollection #1のようなリストは、攻撃者が自動化された攻撃に使用される何十億ものユニークなメールとパスワードの組み合わせを含む新しいリストを作成する可能性を提供します。認証情報は脅威アクターにとって常に価値があり、AIの助けを借りて、認証情報の盗み、推測、または実際のデータセットへの道筋を計算することがはるかに容易になります。多くの脅威アクターは、侵害されたシステムへのアクセスを販売することを専門とする他の攻撃者から資格情報セットを購入するだけです。...

海外ブログ

公式Twitter