海外ブログ

ゼロトラストのコア原則—オープングループ

トピック: Series: Understanding Zero TrustJuly 13, 2022年7月13日、Christine Barry 注：これはゼロトラストの源流と原則についての5回シリーズの第4回です。オープングループ（Open Group）は、数百の加盟団体からなり、特定のベンダーおよびテクノロジーに依拠しない国際コンソーシアムです。このコンソーシアムは、技術標準や認証の開発を行っており、2013年に解散したジェリコフォーラム（Jericho Forum）の活動を吸収しています。Open Groupは、ゼロトラストのコア原則を定義したホワイトペーパーを含む出版物のライブラリーを維持管理しています。以下は、11のコア原則を4つの共通テーマに基づいて整理したものです。 1 組織価値とリスク調整の原則は、ビジネス、IT、セキュリティのステークホルダーが全体的な戦略推進要因に対応するための重要な目標に取り組むものである。　　1 現代の仕事の実現　　2 目標の調整　　3 リスク調整 2 ガードレールとガバナンスの原則は、コンプライアンス、リスク、情報セキュリティのステークホルダーが、ゼロトラストを導入し、保証の持続可能性を確保するためのものである。　　1 人々のガイダンスとインスピレーション　　2 リスクと複雑性の軽減　　3 調整と自動化　　4 ライフサイクル全体をカバーするセキュリティ 3 テクノロジー原則は、IT 組織、情報セキュリティ、リスクおよびコンプライアンスのステークホルダーを対象とし、アイデンティティ、アクセス、脅威の表面積の減少に関連する懸念など、ZTA の開発の基礎となる技術的な意思決定を決定するものである。　　1 資産中心のセキュリティ　　2 最小限の特権 4 セキュリティ管理の原則は、機密性、完全性、可用性の保証の強固な基盤を確保するために、セキュリティとITアーキテクトに対処するものである。　　1 シンプルかつ広範　　2 明示的な信頼性検証上述の原則やテーマの説明は、The Open Group Zero Trust Core Principles文書から直接引用しています。この文書には、さらに詳細が記載されています。ゼロトラストの実施例これらのテーマは、ビジネスニーズやリスクマネジメントの懸念に対応するために利用できます。Open Groupはアクメ銀行の例を挙げています。対面式の銀行であるアクメ銀行はコロナ禍に加え、デジタルトランスフォーメーションと規制の変化によって利益を上げられずにいます。そこでアクメのリーダーが新しい要件に対応する戦略を求めてきました。アクメ銀行は、従業員が自宅で仕事をし、自分のデバイスを使って仕事をするためのリモートワークをサポートしなければなりません（オンラインモデルで顧客とやり取りする銀行スタッフを含む）。アジリティを推進するために、アクメ銀行はデジタルにシフトする必要があります。オンラインでのやり取りが増え、対面式の銀行での業務は減っています。競合他社や顧客の好みに対応するため、営業や顧客との関係（およびアプリケーション）を継続的に進化させる必要があり、そのためには増大する複雑性を管理しなくてはなりません。 The Open Groupの原則とテーマの構成を利用することで、新しいビジネス要件とゼロトラストセキュリティの整合性を保つことができます。最初のテーマである「組織価値とリスク調整」を見てみましょう。コア原則 1: 現代の仕事の実現 – アダプティブ・アイデンティティというゼロトラスト能力を活用し、急速に進化する消費者ニーズやビジネス関係に対応する。コア原則 2: 目標調整 – リアルタイム/ほぼリアルタイム・レスポンスというゼロトラスト能力を活用し、脅威の特定、対応、および軽減を行います。コア原則 3: リスク調整 – 業界標準のリスクフレームワークと自動監査による定量的リスクというゼロトラスト能力を用いて、規制当局にコンプライアンスを報告します。このようにセキュリティ戦略を構築することで、うっかり何かを見逃すことはありません。また、「ゼロトラスト」のコンセプトをビジネスの言葉を使って伝えることができます。次回は、「CISAゼロトラスト成熟度モデル」を見ていきます。本シリーズの全記事はこちらからご覧いただけます。原文はこちらThe core...

海外ブログ 2022.08.09

バラクーダがアプリケーションセキュリティのAWSセキュリティコンピテンシーを取得

海外ブログ 2022.08.09

脅威のスポットライト悪質なHTML添付ファイル

June 28, 2022年6月28日、Olesia Klevchuk バラクーダのリサーチャーは最近、過去1カ月間にバラクーダシステムでスキャンされた数百万件の添付ファイルのデータを分析し、悪質である可能性が最も高いものを特定しました。このリサーチによると、他のタイプの添付ファイルと比較して、HTML添付ファイルは突出して悪意のある目的に使用されています。実際、バラクーダがスキャンしたすべてのHTML添付ファイルの21%は悪質でした。そこで、悪意のあるHTML添付ファイルについて、詳しく見ていきましょう。サイバー犯罪者はどのように利用しているのでしょうか。また、このような攻撃から身を守るにはどうすればよいのでしょうか。注目すべき脅威悪意のある HTML 添付ファイル: HTML 添付ファイルは、電子メールによるコミュニケーションで広く使用されています。とりわけ、システムが生成した電子メールレポートによく見られます。ユーザーが定期的に受け取る可能性のあるメールで、そのメッセージには実際のレポートへの URL リンクが含まれています。攻撃者は、週報を装った電子メールにHTML形式の添付ファイルを埋め込み、ユーザーを騙してフィッシング・リンクをクリックさせるという手口を取っています。ハッカーがメール本文に悪意のあるリンクを含める必要がなく、アンチスパムやアンチウィルスのポリシーを簡単に回避できるようになるという、非常に成功率の高い手法です。詳細ハッカーがHTMLの添付ファイルを利用する方法はいくつかあります。まず、クレデンシャルフィッシングです。悪質なHTML添付ファイルには、フィッシング・サイトへのリンクが含まれています。HTMLファイルを開くと、Javaスクリプトを使用してサードパーティのマシンにリダイレクトされ、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、ユーザーに認証情報を入力するように要求します。しかし、ハッカーは、必ずしも偽のウェブサイトを作成する必要はありません。彼らは、添付ファイルに直接フィッシング・フォームを埋め込んで、最終的にフィッシング・サイトをリンクではなく、添付ファイルとして送信することができるのです。これらの攻撃は、HTMLの添付ファイル自体に悪意がないため、検出が困難です。攻撃者は、添付ファイル自体にマルウェアを含めるのではなく、別の場所でホストされているJavaスクリプトライブラリを使って複数のリダイレクトを行います。このような攻撃から身を守るには、HTMLファイルの添付されたメール全体を対象としてすべてのリダイレクトを確認し、悪意があるかどうかをメールの内容から分析する必要があります。悪意のあるHTML添付ファイルから身を守る方法電子メールのセキュリティ対策で悪意のあるHTML添付ファイルを確実にスキャンし、ブロックする。これらの添付ファイルを正確に特定することは難しく、検出には多くの場合、誤検出が含まれます。最適なソリューションとは、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれていることです。悪意のある可能性の高い HTML 添付ファイルを特定し、報告するようユーザーを訓練する。この手の攻撃が多発していることを考えると、ユーザーはすべてのHTML添付ファイル、特に知らない送信元からのものを警戒する必要があります。このような攻撃の例をフィッシング・シミュレーションのキャンペーンに盛り込み、ログイン情報を共有する前に必ずダブルチェックするようユーザーに教育してください。悪意のあるメールが届いた場合に備え、配信後用修復ツールをいつでも使えるようにしておく。このツールを使って、すべてのユーザーの受信トレイから悪意のあるメールのインスタンスを迅速に特定し、削除しましょう。自動化されたインシデントレスポンスならば、攻撃が組織全体に広がる前にこの作業を迅速に行えます。また、アカウント乗っ取り防止は、ログイン認証が侵害された場合に疑わしいアカウントの活動を監視して警告することができます。無料レポート – スピアフィッシング：主要な攻撃と攻撃トレンド原文はこちらThreat Spotlight: Malicious HTML attachmentsJune 28, 2022　Olesia Klevchukhttps://blog.barracuda.com/2022/06/28/threat-spotlight-malicious-html-attachments/

海外ブログ 2022.08.04

Atlassian Confluence RCE 脆弱性: CVE-2022-26134

トピック: Attacks and Threat Actors2022年6月9日、Vishal Khandelwal 脆弱性の詳細 Atlassian Confluence は、共同作業をするためのワークスペースを提供するツールです。今ではCVE-2022-26134と呼ばれる脆弱性の情報が、6月2日に公表されました。その週末には、さまざまな脅威アクターがこの脆弱性を攻撃に利用し、その存在はすぐさま悪意あるアクターの間に知れわたりました。この脆弱性を利用すると、認証されていない遠隔の攻撃者が新しい管理者アカウントを作成したり、特権的なコマンドを実行したり、ひいてはサーバーを制御したりすることができるようになります。リバースシェルの構築、強制DNSリクエストの実行、データ収集、新しい管理者アカウントの作成など、さまざまな手法で多様なエクスプロイトが作成されました。脅威アクターは、HTTPリクエストのURIに悪意のあるペイロードを配置します。現状では、実際に使われている概念実証（PoC）のほとんどはGETメソッドを使用していますが、どのようなリクエストメソッドでも、たとえ無効なリクエストメソッドであっても、同じ効果が得られると思われます。 CVSS: 9.8 | クリティカル | 解析待ち CVE: CVE-2022-26134 攻撃の検知と防御この脆弱性の修正として、Confluence にパッチを当てます。Atlassianはその詳細な推奨事項を提供しています。バラクーダのOSコマンドインジェクションおよび他のコマンドインジェクションシグネチャのシグネチャパターンは、現在野生で見られるエクスプロイトの試みを阻止しています。Atlassianは当初、Barracuda Web Application Firewallの顧客が手動で適用できる基本パターンを提供していました。今ではWAFルールを提案していませんが、アップデートを適用できない場合の緩和策としては今なお安全かつ効果的であるといえます。当社のアプリケーションセキュリティチームは、上述の手動ステップを自動化する新しいシグネチャを展開しようとしているところです。このシグネチャはパターンが一般的であるため、アクティブモードでは自動的には適用されません。Atlassian Confluenceを使用中ならば誰でも、このシグネチャを有効にできます。また、そのためのバラクーダのサポートもあります。この緩和策に必要な新しいシグネチャと設定の詳細については、こちらのキャンパスドキュメントをご覧ください。設定に関するサポートや攻撃パターンに関するご質問は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。原文はこちらAtlassian Confluence RCE vulnerability: CVE-2022-26134June 9, 2022　Vishal Khandelwalhttps://blog.barracuda.com/2022/06/09/atlassian-confluence-rce-vulnerability-what-you-need-to-know/

海外ブログ 2022.07.15