1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ

Info.

お知らせ

海外ブログ

バラクーダの注目する脅威:悪意のあるHTMLファイルを添付した攻撃メールの割合が1年以内に倍増 のページ写真 1

バラクーダの注目する脅威:悪意のあるHTMLファイルを添付した攻撃メールの割合が1年以内に倍増

2023年5月3日 Fleming Shi セキュリティ業界では、長年にわたりサイバー犯罪者によるHTMLの悪用に注目してきました。その証拠に、HTMLは依然として成功し、人気のある攻撃ツールであることが示されています。昨年、私たちは、2022年5月にバラクーダがスキャンしたすべてのHTML添付ファイルのうち、約5分の1(21%)が悪意を持っていたことを報告しました。10ヶ月後の2023年3月には、スキャンされたHTMLファイルの45.7%が悪意を持っていることが判明しており、この数字は2倍以上に増加しています。 HTMLの正当な利用 HTMLはHypertext Markup Languageの略で、オンラインで表示されるコンテンツを作成・構成するために使用されます。HTMLは、メールでのコミュニケーションにもよく使われます。例えば、ニュースレターやマーケティング資料など、ユーザーが定期的に受け取る可能性のある自動化されたレポートなどです。多くの場合、レポートはHTML形式(ファイル拡張子が.html、.htm、.xhtmlなど)でメール添付されます。 既知のブランドや信頼できるブランドからの通信に見える場合、受信者が不審に思うことはまずないでしょう。 HTMLの悪意ある利用 しかし、攻撃者は、巧妙に作られたメッセージや乗っ取られたウェブサイト、悪意のあるHTMLファイルの添付ファイルを使ってユーザーをだますことで、攻撃手法としてHTMLをうまく活用しています。 この手法は、攻撃者がフィッシングや認証情報の盗み出しなど、悪意を隠蔽するために使用されます。 受信者がHTMLファイルを開くと、別の場所でホストされているJavaScriptライブラリを経由して、フィッシングサイトや攻撃者が管理する他の悪意のあるコンテンツに複数回リダイレクトされます。その後、ユーザーは、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、認証情報を入力するよう求められます。 しかし、バラクーダの研究者が見たいくつかのケースでは、HTMLファイル自体に、強力なスクリプトや実行ファイルを含む完全な悪意のあるペイロードが埋め込まれた高度なマルウェアが含まれています。この攻撃手法は、外部でホストされたJavaScriptファイルを含む攻撃手法よりも、広く使用されるようになっています。 悪意のあるHTMLベースの攻撃に対する防御は、HTMLの添付ファイルを運ぶメール全体を考慮し、すべてのリダイレクトを調べ、悪意があるかどうかメールの内容を分析する必要があります。詳しくは後述します。 最近の悪意のあるHTMLファイル添付の例は、過去に見られたものと類似していることが多い 例えば、マイクロソフトのログインを装った以下のようなフィッシングの添付ファイルは、数年前から流行していますが、攻撃に継続して広く使用されていることから、攻撃者は依然として被害者を罠にかけることに成功していると考えられます。                               ユニークな攻撃の割合 悪意のあるHTMLの検出総数と、異なる(ユニークな)ファイルの検出数を比較すると、悪意のあるファイルの検出量が増加しているのは、単に限られた数の大量攻撃の結果ではなく、それぞれが特別に細工されたファイルを使用する多くの異なる攻撃の結果であることが明らかとなります。 例えば、2023年1月から3月までの3ヶ月間の日次検知データを見ると、3月7日と3月23日の2回、大きな攻撃ピークがあることがわかります。 3月7日に検出された悪意のあるHTMLアーティファクトは全部で672,145件となっており、181,176の異なるアイテムから構成されています。これは、検出されたファイルの約4分の1(27%)がユニークなもので、残りはそれらのファイルの繰り返しまたは大量展開であることを意味します。 しかし、3月23日には、475,938件の悪意のあるHTMLアーティファクトのうち、ほぼ10分の9(405,438個 – 85%)がユニークで、つまり、ほとんどすべての攻撃が異なっていたことになります。 悪意のある目的で使用されるファイルタイプにおいて引き続きHTMLの添付ファイルが上位を占める バラクーダの分析によると、悪意のあるHTMLファイルを添付した攻撃メールの全体量が増加しているだけでなく、前回のレポートから約1年が経過した現在も、HTMLファイルは悪意のある目的で使用される可能性が最も高いファイルタイプであることが明らかになっています。 2022年 2023年 攻撃方法や攻撃ツールに関して言えば、以前から存在するものだからといって、その威力が弱まることはありません。悪意のあるHTMLが攻撃者に利用されているのは、それが有効だからです。適切なセキュリティを導入することは、これまでと同様に、いやそれ以上に重要です。 悪意のあるHTML添付ファイルからの保護方法 メール保護 – 効果的なメール保護を実施し、セキュリティスキャンで悪意のあるHTML添付ファイルを識別し、ブロックできるようにすることが不可欠です。上記のような理由から、添付ファイルの特定は必ずしも容易ではないため、最適なソリューションには、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれます。 ユーザー教育・啓発 –悪意のある HTML 添付ファイルを発見し、報告できるような訓練の実施が必要です。この種の攻撃の量と多様性を考えると、すべてのHTML添付ファイル、特に見たことのないソースからの添付ファイルには注意したほうがよいでしょう。ログイン情報を誰にも教えないよう、注意を喚起してください。 強固な認証とアクセス制御  – 多要素認証(MFA)は依然として優れたアクセス制御ですが、攻撃者は、多くのタイプのMFA保護をバイパスするために、MFA疲労などの高度なソーシャルエンジニアリング技術にますます目を向けるようになっています。セキュリティ強化のため、ゼロトラスト・アクセスへの対応を検討する必要があります。Barracuda CloudGen Accessなどの効果的なゼロトラストソリューションは、ユーザ、デバイス、場所、時間、アクセスされているリソースなどの複数のパラメータを動的に監視するため、攻撃者が盗んだ認証情報を使用してネットワークを侵害することが非常に難しくなっています。 万が一、悪意のあるHTMLファイルが侵入してしまった場合 – すべてのユーザーの受信トレイから悪意のあるメールを迅速に特定し削除するために、配信後の修復ツールを用意してください。自動化されたインシデントレスポンスは、攻撃が組織全体に広がる前にこれを実行するのに役立ちます。さらに、「Account Takeover Protection(アカウント乗っ取りからの保護)」は、ログイン認証が侵害された場合に、疑わしいアカウントの活動を監視し、警告することができます。 バラクーダは、13のメール脅威タイプを特定し、それらがどのように被害者を狙い、侵害するかを説明するガイドを公開しています。 原文はこちら Threat Spotlight: Proportion of malicious HTML attachments doubles within a year  May 3, 2023...

Blog

Barracuda SecureEdge SASEプラットフォーム:ステファン・シャシンガーとのQ&A のページ写真 8

Barracuda SecureEdge SASEプラットフォーム:ステファン・シャシンガーとのQ&A

2023年5月17日、Tony Burgess バラクーダは、新しいSASE(セキュア・アクセス・サービス・エッジ)プラットフォームであるBarracuda SecureEdgeを発表しました。もしかしたら皆さん、これについて知りたいことがあるのではないでしょうか。私もいくつか質問がありました。そこで、バラクーダのネットワークセキュリティ担当シニアプロダクトマネジャーであるステファン・シャシンガーに話を聞きました。 ステファンはSecureEdgeの開発に最初から携わっているので、SecureEdgeとは何か、なぜ今必要なのか、今日の脅威の全体像やサイバーセキュリティ業界の変化を促す動きにどう適合するのか、説明してくれるはずだと思ったのです。その期待は裏切られませんでした。以下は、ステファンとの会話です。 バラクーダの新しいSASEプラットフォームで何ができるか まずはじめに、SecureEdgeとは一体何なのか、説明してください。 簡単に説明すると SecureEdge は、ネットワークを最適化し、セキュリティを確保するための当社の既存のいくつかのソリューションの機能と性能を組み合わせたプラットフォームです。したがって、SD-WAN、ネットワークファイアウォール、ゼロトラストアクセス、Webフィルタリング、IoT セキュリティなどを提供します。SecureEdge を利用することで、顧客はさまざまなソリューションから独自の SASE システムを組み立てる必要がなく、1つのベンダーのプラットフォームソリューションで最新の SASE インフラを効果的に導入できます。 基本的にこのプラットフォームを使えば、ネットワークのセキュリティと最適化がぐっとシンプルになります。使いやすい単一のクラウドポータルで全体を管理することができるからです。また管理者は、セットアップと運用のために何週間もの集中的なトレーニングを受ける必要もありません。 そうなるとSecureEdgeは、バラクーダの既存のネットワークセキュリティ製品の代替品になるのでしょうか。 いいえ。そしてそこが重要なポイントです。Barracuda CloudGen FirewallやCloudGen Access、および当社の他のネットワークセキュリティ製品は、引き続き販売、サポート、更新される予定です。そのため、現在これらの製品を持っていたり、今後購入を検討している顧客が SecureEdge へのアップグレードを強要されることはありませんので、安心してください。 ただし、こうした当社製品をすでに使っていて、SecureEdge にアップグレードしたい場合は、非常に簡単かつシームレスな移行が可能であることを付け加えておきます。 SecureEdge が単なるバンドルではなく、真のプラットフォームである理由を教えてください。 バラクーダは他社からうらやましがられるくらい非常に広範で包括的な製品およびサービスのポートフォリオを持っています。自社開発と戦略的買収の組み合わせで、ここまで到達しました。当社の強みの1つは、提供する製品の相互運用性です。つまり、買収によって新しい製品を手に入れた場合、単にブランド名を変えて世に送り出すのではありません。新しく取得した製品が当社の他の関連製品とシームレスに動作し、データを透過的に共有できるよう、最初に多くのエンジニアリングを行います。こうして、純粋にバラクーダ製品となったことを確認するまでは販売しません。 こうして当社は、異なる製品間の複数の機能や特徴を統合するスキルを磨いてきました。SecureEdge は、私たちが長い間歩んできた軌跡につらなる次なる一歩を体現しています。SecureEdge は既存のさまざまな製品の機能を統合した、とだけ説明して済ませることもできますし、その機能の一部を伝えるうえではこうした表現はとても便利です。しかし、単に複数の製品を束ねただけではありません。むしろ、包括的な機能を完全に統合した、ひときわ新しい製品なのです。また、プラットフォームであるため、今後も新しい機能や特徴の開発を重ねて簡単に統合することができます。 SecureEdgeを必要とするのは誰で、最も恩恵を受けるのは誰なのでしょうか。 SecureEdgeは、主に中堅企業向けの製品です。しかし、非常に大規模なグローバル企業のニーズにも対応できるような拡張性を備えています。 ユースケースとしては、リモートワークへの大規模なシフトとクラウド型 SaaS ソリューションの普及により、攻撃対象が拡大かつ変化している現状に着目しています。 そのため、分散した遠隔地の従業員を抱える組織では、SecureEdgeを利用することで、社内のデータやアプリケーションだけでなく、SaaS アプリケーションなど、従業員がアクセス権限を持つリソースのみに安全にアクセスできるようにすることが容易になります。さらに、悪意や破損が確認されているサイトやサービスへのアクセスを自動的にブロックします。もちろん、管理者はニーズに応じて独自のブロックリストを構成することができます。 もちろん、従来の中央集中型のオフィスから出ていったのは、従業員だけではありません。従業員がアクセスするアプリケーションも散在しています。仕事で使うツールのほとんどはクラウド経由で提供されるようになりましたが、一部はまだオンプレミスでホストされています。こうした新しいハイブリッド的世界では、従来のオフィスやデータセンターが依然として存在し、さらにリモートワークやSaaSアプリケーションも存在するため、どこで働いていても、別の場所で稼働するリソースにアクセスできるようにするアーキテクチャにおいて、いかに安全な接続を確立するかが課題となっています。私たちがカバーしなければならないすべての場所、時には集中型ワークロードへのアクセスを必要とする分散型 IoT デバイスも含めて、スケーラブルでコスト効率の高い接続性とセキュリティがエッジで直接必要となります。そして、SecureEdge のような SASE の実装は、その課題に対処する最良の方法なのです。 SASEの主な使用例についてのより詳細な説明については、私の最近のブログ記事のこちらとこちらを参照してください。 SecureEdge の導入と運用開始には何が必要でしょうか。組織がサブスクリプションを購入した場合、管理者やユーザーは実際に何をしなければならないのでしょうか。 それは意図するユースケースによりますが、まず SecureEdge Manager と呼ばれるクラウドポータルのアカウントと、中央のセキュリティハブとしての SecureEdge Service が必要です。管理者にとって、クラウドサービスの設定は非常に直感的なものだと思いますよ。デフォルトの設定が組み込まれているため、実に簡単にサービスの利用を開始することができます。ゼロトラストアクセスやセキュアなインターネット・アクセスなど、多くの機能がすぐに使えますし、必要な情報を収集し、その入力に基づいて SecureEdge を自動的に設定するウィザードを使用して素早く設定することもできます。 ハードウェア面では、各拠点に設置する物理アプライアンスと仮想アプライアンスがあり、SD-WAN と Firewall-as-a-Service の機能を提供します。当社の高度なゼロタッチディプロイメントのおかげで非常にシンプルで、IT 担当者が現場にいる必要はありません。アプライアンスが現地に到着したら、電源とインターネット接続に接続するだけで、完了です。アプライアンスはクラウドサービスに対して自らを識別し、適切な設定ファイルを自動的にダウンロードし、インストールできます。 またユーザーにとっては、VPN 接続から SecureEdge が提供するゼロトラストアクセスモデルへの移行に伴う新たなログイン手順について説明を受けるだけで、そのプロセスはほぼ完全に透過的です。 ステファン、質問に答えるために時間を割いてくれたことに感謝します。今回の話は多くの情報が詰まっていました。読者の中には、ネットワークセキュリティとコネクティビティに対するこの新しいプラットフォームベースのアプローチについて、さらに深掘りしたいと思っている人もいるでしょう。そのような場合、どこに行けばさらなる情報を得ることができますか。 まずは、当社Wenサイトの SecureEdge のメインページで、多くの情報を得ることができます。 また、まもなく開催されるライブのウェビナーでも、皆さんの質問に答え、こうしたトピックについてさらに詳しく説明する予定です。このセミナーでは、SecureEdge がどのように機能するのかを実感していただくために、ライブデモも予定しています。登録はこちらからどうぞ。 そして最後に、もちろん、バラクーダのリセラーやMSP、またはバラクーダの営業担当者と直接連絡を取ることができます。  ...

海外ブログ

OWASP トップ 10 API セキュリティリスク:壊れた認証 のページ写真 9

OWASP トップ 10 API セキュリティリスク:壊れた認証

2023年4月28日、Paul Dughi Open Worldwide Application Security Project® (OWASP) トップ 10 API セキュリティリスクのドラフトリストの第2位は、壊れた認証です。 壊れた認証さえあれば攻撃者は、認証またはセッション管理ツールの脆弱性を悪用して認証方法をバイパスできます。 攻撃ベクトル 認証方法は、サーバーに接続する誰もが利用できるため、攻撃者の格好のターゲットとなります。弱いパスワードおよび推測されやすいパスワードとブルートフォース攻撃によって侵害の糸口をつかみます。ほかにもセッション固定化攻撃、不十分なセッション・トークン/クッキー、ユーザーのログアウト後のセッション無効化の失敗も、攻撃者の侵入を許します。 OWASPが指摘するように、APIにおける認証は複雑です。そのためソフトウェアエンジニアは、認証ツールや境界を実装する際に、しばしば間違いを犯します。 OWASPは、壊れた認証に悪用可能性スコア3(ハッカーによって多少悪用可能であることを意味する)を割り当てました。 セキュリティの弱点 API セキュリティの認証が壊される際、2つの重要な問題があります。1つめは、API エンドポイントによる認証の保護が不十分であることです。API エンドポイントは、通常のエンドポイントとは異なり、追加の保護レイヤーを必要としているのです。第2に、様々な攻撃ベクトルがあるがゆえに間違ったメカニズムが適用されがちです。たとえば、Web アプリケーション用に設計された認証メカニズムは、モノのインターネット(IoT)クライアントには適さないかもしれません。 OWASP は、「壊れた認証」を普及率と検出率で2と評価しています。これはつまり、この脆弱性が一般的であり、中程度の努力で検出できることを示しています。 ビジネスへの影響 技術的な観点からは最も深刻な脆弱性ではないかもしれませんが、不正なユーザーがアクセスすることは、企業にとって大きなリスクとなります。 侵害は、以下のような深刻な被害をもたらす可能性があります 機密データへの不正アクセス アカウントの乗っ取り データ操作 個人情報窃盗   攻撃者がユーザーアカウントにアクセスできるようになると、他の潜在的な脆弱性も悪用できます。たとえば権限昇格や、ネットワーク内での水平展開などです。このような攻撃は、GDPR、CCPA、HIPAA、PCI-DSSといったデータ保護規制を順守するうえでも問題を引き起こす可能性があります。 認証破り攻撃の仕組み 攻撃者は、システムの脆弱性を探り、さまざまな手口でアクセス権を獲得します。最も一般的な手法の1つに、ブルートフォースがあります。コンピュータで大量のパスワードを生成してユーザーの認証情報を推測するのです。何年も前から警告されている手法ですが、多くのユーザーはいまだに弱いパスワードを使用していたり、システムがハッシュ化されていないパスワードを保持したりしているのが現状です。 その他にも、以下のような攻撃があります。 セッションハイジャック:攻撃者がユーザーのセッショントークン/クッキーを傍受します。 セッションの固定化:攻撃者はユーザーのセッショントークンやクッキーを既知の値に設定し、そのトークンやクッキーを使ってユーザーにログインさせてセッションを乗っ取ります。 パスワードスプレー:攻撃者は、脅威のベクトルを見つけるために、ユーザーアカウントに共通のパスワードを「スプレー」します。 クレデンシャル・スタッフィング:あるアプリケーションから盗んだパスワードを使い、ユーザーが認証情報を再利用しているシステムへ不正にアクセスします。 URLの改ざん:攻撃者は、URLの一般的な書式を悪用して、認証を回避するためにURLを操作します。   実例の紹介 このような認証破りの攻撃は、一連のインシデントで注目を集めました。マリオットホテルチェーンを狙った攻撃もその1つです。このインシデントでは、2人の従業員の盗まれたログイン情報が、520万人以上の宿泊客の情報へのアクセスに使われました。 2023年には同様の攻撃がヤム・ブランズ(タコベル、KFC)、チック・フィレイ(Chick-fil-A)、ノートン・ライフロック、T-モバイル、メールチンプ(Mailchimp)に対して行われています。 壊された認証の脆弱性を検出する 破られた認証の脆弱性を検出するには、ユーザー認証、パスワード管理、セッション管理、アクセス制御など、認証機構を包括的にセキュリティ監査する必要があります。 自動化された脆弱性スキャナーは、一般的な API セキュリティの脅威を特定するのに役立ちます。また、手動テストを導入することで、認証が破られた脆弱性を特定することができます。 認証破りの脆弱性を防ぐ ソフトウェアエンジニアとセキュリティチームは、いくつかの簡単な戦略を導入することで、認証破りの脆弱性を防ぐことができます。各ステップだけでは API パスウェイ攻撃を防ぐことはできませんが、重層的なアプローチでリスクを軽減することができます。 多要素認証の採用 ユーザーにメールやテキストで送信されるワンタイムパスワード(OTP)、多要素認証(MFA)パスコード、その他の追加の検証手段は、ブルートフォース攻撃やクレデンシャルスタッフィングを防ぐのに役立ちます。 強固なパスワードの義務化 大文字、小文字、英数字、特殊文字を組み合わせた、より複雑なパスワードを使用するようユーザーに強制しましょう。管理者は、NIST 800-63B で定められた認証情報のガイドラインにも従うべきです。 レート制限の実施 システム管理者は、ブルートフォース攻撃やクレデンシャルスタッフィングを防ぐために、ログイン試行失敗回数を制限する必要があります。試行回数の制限は、サービス拒否攻撃の抑止力にもなります。また、ログインに何度も失敗した場合には、自動警告システムを導入し、潜在的な脅威を表面化させ、さらに評価する必要があります。 ログインフォームは一貫した応答を確実に送信する アカウント列挙攻撃は、攻撃者が異なるユーザー名とパスワードを使用して複数のリクエストを送信した場合に発生します。有効な組み合わせと無効な組み合わせで異なるエラーメッセージが表示される場合、攻撃者はシステムに登録されているユーザーを特定し、ブルートフォース攻撃やフィッシング攻撃を促すことができます。 ランダムなセッションIDを生成する ユーザーがログインした時点でランダムなセッションIDを生成することで、攻撃者は予測しづらくなります。ランダムなIDは、各セッションがユニークなIDを持ち、限られた時間しか有効でないことを保証します。すべてのセッションIDは、ログアウト時に失効するようにします。これは、弱いトークンや予測可能なトークンを排除することで、セッション固定化攻撃を軽減するのに役立ちます。 APIゲートウェイやリバースプロキシーを利用する 追加の認証なしにAPIへのアクセスを許可するマイクロサービスは、攻撃対象領域を大幅に拡大する可能性があります。APIゲートウェイやリバースプロキシーの使用は、すべての受信リクエストに対して単一のエントリーポイントを作成し、すべてのAPIリクエストに対して認証と認可のポリシーを義務付けます。 包括的なAPIセキュリティ計画 包括的なセキュリティ計画の一環として、ITチームは、転送中のすべてのデータに対するエンドツーエンドの暗号化、APIエンドポイント保護、パスワードのハッシュ化、脆弱性の定期的なテストも導入する必要があります。 Webアプリケーションと API を包括的プラットフォームで保護しましょう...

海外ブログ

繰り返されるランサムウェア攻撃:何が被害者を危険にさらしているのか のページ写真 10

繰り返されるランサムウェア攻撃:何が被害者を危険にさらしているのか

2023年3月28日、Tilly Travers ランサムウェアのリスクと影響に対する認識は高まり、より効果的なセキュリティ対策や、攻撃グループをとらえ犯罪活動を阻止するための国際協力の理解も進んでいます。にもかかわらず、ランサムウェアは依然として進化し続けているサイバー脅威です。すべての組織が潜在的な標的なのです。 新たな国際調査によると、調査対象となった組織の4分の3弱(73%)が、2022年に少なくとも1回はランサムウェア攻撃を受け、実害を被っていることが明らかになりました。被害数が多いのは、ランサムウェア・アズ・ア・サービスの提供により、低コストでアクセス可能な攻撃ツールが普及し、多くのサイバー犯罪者がランサムウェア攻撃をしやすくなったことを反映していると思われます。 しかし、懸念事項はそれだけではありません。この調査では、調査対象組織の3分の1以上(38%)が、2022年にランサムウェア攻撃を繰り返し受けていたという結果も出ています。つまり、同じ攻撃者または異なる攻撃者から、2回以上ランサムウェア攻撃を受けたということです。近年、多くの調査レポートがこのリスクを取り上げているとはいえ、もっと注目されるべきでしょう。 ランサムウェアの攻撃は、1回受けただけでも日常業務や顧客のサプライチェーンがマヒし、混乱と経済的損失が生じ、企業の評判や顧客との関係も損なわれることがあります。攻撃を繰り返し受けることが、特に前回のインシデントの影響から完全に回復していない場合などは、どれほど大きな破壊力を受けることになるのかは容易に想像できることでしょう。 繰り返しの攻撃から組織を守るためには、何が最初のリスクとなり得るかを探ることが重要です。調査結果によると、セキュリティやインシデント対応策が効果的でないこと、自ら進んで、あるいはほかに手段がないという理由で身代金を支払う意思があることなど、いくつかの要因が重なっている可能性が高いようです。 組織が繰り返し攻撃にさらされる可能性のあるリスク要因 不十分なセキュリティ対策:調査によると、ランサムウェアの被害にあった組織の69%は、攻撃者がネットワークに侵入するための認証情報を盗むために設計されたフィッシングメールなど、悪意のあるメールから攻撃が始まっていることがわかりました。WebアプリケーションとWebトラフィックは、2番目に多く見られる開始点であり、拡大し続ける脅威がおよぶ範囲として、リスクが高まっている領域です。組織は、これらの点をカバーしておく必要があります。 攻撃時および攻撃後のインシデント対応と無力化が不十分であること:複数回の攻撃が可能であるということは、最初のインシデントの後、セキュリティギャップに十分に対処していないことを示唆しています。これにはいくつかの理由が考えられます。たとえば、セキュリティ管理やインシデントレスポンス、調査能力の不足です。そこに、攻撃者の高度化、ステルス化が加わると、攻撃者が残したバックドアやその他の永続的なツールが特定・削除されない可能性があります。アクセスポイントが開かれたままになっていたり、アカウントのパスワードがリセットされていなかったりして、盗まれた認証情報が再び悪用される可能性があるのです。攻撃を完全に無効化することをさらに難しくしているのは、攻撃者がしばしば組織のIT管理ツールを悪用することです。同じIT管理ツールをITチームが日常業務で使用しているため、ネットワークに出現してもすぐに疑われない可能性があるのです。 身代金を支払うこと:複数回被害を受けた組織では、暗号化されたデータを復元するために身代金を支払ったことがあると回答する傾向があることが調査から明らかになっています。3回以上被害にあった組織の42%が暗号化されたデータを復元するために身代金を支払ったのに対し、2回被害にあった組織の34%、1回だけ被害にあった組織の31%が身代金を支払っています。また、繰り返し被害にあった組織は、復旧のためにデータバックアップシステムを利用する割合も低くなっています。ある組織が身代金の支払いに応じることが知られると、ほかの攻撃者が同じ被害者を狙うというリスクもあります。 サイバー保険に加入していること:調査によると、サイバー保険に加入している組織の77%が少なくとも1回のランサムウェア攻撃の被害を受けているのに対し、サイバー保険に加入していない組織は65%であることが判明しました。これはサイバー犯罪者が、保険をかけている組織を標的にする可能性が高いことを意味します。保険会社が迅速な復旧のために身代金の費用を肩代わりするだろうと踏んでいるのです。また、2回以上のランサムウェア攻撃の影響を受けた組織は、サイバー保険を導入している割合が高いです(70%)。 ランサムウェアに対する防御 多くの組織は、自分たちがどれほど危険にさらされているかを過小評価しているのではないでしょうか。調査結果によると、ランサムウェア攻撃に取り組む準備が不十分だと感じている組織は、調査対象者のうちわずか27%でした。 セキュリティ業界は、組織がランサムウェアの課題に対処するために、深く、多層的なセキュリティ技術を駆使するという不可欠な役割を担っています。深く、多層的なセキュリティ技術とはすなわち、AIを活用したメール保護やゼロトラストアクセス対策、アプリケーションセキュリティ、脅威ハンティング、拡張検知・応答(XDR)機能、侵入者を発見し攻撃者が容易に侵入できないようにギャップを埋める効果的なインシデントレスポンスなどです。 主要なセキュリティ対策については、当社のガイド『身代金を支払わないために ~ランサムウェア対策のための3ステップ~』をご覧ください。ランサムウェア対策のチェックリストもダウンロードできますので、ぜひご活用ください。 調査の詳細は、「2023 Ransomware Insights」レポートに記載されています。 この調査は、独立系調査会社Vanson Bourneがバラクーダのために実施したもので、米国、欧州、中東、アフリカ、およびAPAC諸国のさまざまな業種の従業員100~2500人の企業において、第一線から最上級の役割を担うIT担当者を対象としています。 Get the report 原文はこちら Repeat ransomware attacks: What’s putting victims at risk? Mar. 28, 2023 Tilly Travers https://blog.barracuda.com/2023/03/28/repeat-ransomware-attacks/

海外ブログ

パスワードのセキュリティを習慣化する のページ写真 11

パスワードのセキュリティを習慣化する

2023年5月4日、Christine Barry 2023年5月4日は5月の第1木曜日、「世界パスワードの日」だそうです。ワクワクしているフリもできませんよね。 パスワードにはイライラします。 今やっていることを邪魔されるからです。どれも違っていて複雑で、推測しにくいものでなくてはならず、しかも覚えにくい。パスワードは面倒なもの、そう感じているのは私だけではないだろう。「アクティブ」なインターネットユーザーの42%以上が、パスワードのセキュリティはあまりに面倒からと「オプトアウト」しています。複数のサイトで同じパスワードを使い、しかも多くの場合、簡単に解読できる弱いパスワードを使っているのです。気持ちはよくわかります。でも、そのような行動では、この世界の危険には太刀打ちできません。 悪意あるボットと自動化された攻撃 パスワードのセキュリティは、自動化された攻撃を受けるたびに重要性を増しています。 インターネットトラフィックに関するバラクーダの最新の調査によると、少なくとも40%は「悪意あるボット」によることが明らかになっています。 これは、脅威アクターが脆弱なWebアプリケーション、ファイアウォール、およびその他のインターネットにアクセス可能なデバイスを探し出すために使用する自動スクリプトです。これらのボットの多くは、電子商取引アプリケーションやログインポータルに着目し、ブルートフォースやクレデンシャルスタッフィングなどのパスワード攻撃を仕掛けてきます。 ブルートフォース攻撃では、体系的な「トライアルアンドエラー」手法を使い、考えられるすべてのパスワードとパスフレーズをテストします。「123456」や「abc123」のような最も一般的なパスワードを使用すると、ブルートフォース攻撃は1秒未満でそれを突破します。クレデンシャルスタッフィング攻撃は少し違って、ボットがほかの攻撃で盗んだクレデンシャルのセットをローテーションしています。攻撃対象のサイトでユーザーが別のサイトでも使っているパスワードを使い回しているなら、ボットはそのユーザーの有効なログイン情報を以前データ侵害した際に入手している可能性があります。そうなるとボットは、わずかな時間さえあればユーザーになりすましてログインできるようになります。 機会を狙ったフィッシング フィッシング攻撃もまた、パスワードセキュリティの重要性をあらためて強調する攻撃です。 フィッシングメール、Webサイト、そしてメッセージは、非常にうまく機能するため、企業や個人にとって最も脅威となるものの1つです。フィッシング攻撃は、ユーザーをだまして認証情報やその他の情報を提供させようとするもので、システムからデータを盗むように設計されたマルウェアが含まれていることもあります。このような攻撃は、インフラ、機密研究、国家機密に対する攻撃の出発点となることがよくあります。受信トレイのセキュリティやユーザの認識などのフィッシング対策は、このような攻撃に対する最良の防御策であり、これらを導入していない場合は、バラクーダがこれを支援します。 こうした対策を取ったとしても、フィッシング攻撃は有効な攻撃であり、その攻撃力はますます向上しています。 爆発を止めることはできなくても、それをできるだけ小さく抑えたいものです。 ベストプラクティス ずさんなパスワード管理の習慣は、ビジネスメールの漏えい、アカウントの乗っ取り、ランサムウェア、その他の有害なサイバー攻撃につながる可能性があります。ログイン情報を保護することは、たいていの場合、自分で直接コントロールできます。 たとえば、以下が考えられるでしょう。 固有のパスワードをアカウントごとに使用する。(42% !!!) パスワードマネージャーを使用してパスワードを管理する。強力なマスターパスワードを備えたパスワードマネージャーは、すべてのアカウントに固有のパスワードを管理するための安全な方法です。これらのアプリケーションを使えば、複雑なパスワードをその場で簡単に作成できるため、万が一パスワードが漏えいした場合でも、すぐにパスワードを変更することができます。LastPassのインシデントのようなことが心配なら、KeePassのようなオフラインのパスワードマネージャーを調べてみるのもよいでしょう。 情報漏えいを監視する。パスワード管理ソフトの中には、これを監視し、情報漏えいが見つかったら警告してくれるものもありますが、これは有料の機能かもしれません。また、Webサイトの「have I been pwned」を利用して、あなたの電子メールやパスワードの侵害データベースをチェックすることもできます。 一般的なパスワードを使用しない。たとえば「qwerty」や「password」などです。こうした最も一般的なパスワードは、前述したパスワードと同様、ブルートフォース攻撃で解読するのに1秒とかかりません。 個人情報をパスワードに使わない。名前、住所、誕生日など、あなたを連想させるような情報は、誰かに推測されやすくなります。複雑なパスワードやパスフレーズを使用するのがよいでしょう。 パスワードを他人と共有しない。文書、カレンダー、電子メールなどの共有は、パスワードやアカウントアクセスを共有しなくても安全に行えます。誰かがあなたの認証情報でログインできるようにするのではなく、適切なコラボレーションワークフローを構成しましょう。ほとんどの SaaS の生産性アプリケーションは、コラボレーションツールを備えています。   ここに多要素認証を挙げていないのは、そのオプションが常に利用できるわけではないからです。しかし可能な限り、多要素認証を利用しましょう。 パスワードセキュリティを習慣にする 「世界パスワードの日」を祝う必要はありませんが、パスワードのセキュリティに改めて取り組むことでこの日を過ごしましょう。自分のアカウントや認証情報が重複していないか、漏えいしていないか、弱いパスワードがないか、見直してみてください。友人や家族、同僚にも同じことをするよう、注意を促してください。さて、来年5月の最初の木曜日までに、42%より良い結果を出せるでしょうか。   原文はこちら Make password security a habit May. 4, 2023 Christine Barry https://blog.barracuda.com/2023/05/04/make-password-security-a-habit/

海外ブログ

SASEのエンドポイント保護とセキュアリモートアクセス のページ写真 12

SASEのエンドポイント保護とセキュアリモートアクセス

2023年4月27日、Stefan Schachinger セキュア・アクセス・サービス・エッジ(SASE)に関するこれまでの深堀りブログでは、SD-WANなどの接続性、ファイアウォール・アズ・ア・サービス(FWaaS)やセキュア Web ゲートウェイ(SWG)が提供するセキュリティ機能などについて紹介しました。今回は、SASE 環境におけるエンドポイント保護について紹介します。 ご記憶にあるとおり、 SASE のコンセプトは、ネットワーク(WAN エッジ)とセキュリティ(セキュリティサービスエッジ)のコンポーネントを統合するものです。この記事では、リモートアクセス、ZTNA(ゼロトラスト・ネットワークアクセス)、および SIA(セキュアインターネットアクセス)を取り上げます。これらは SASE の展開に密接に関係しており、通常、エンドポイントソフトウェアコンポーネントが関与しています。 ここでは、SASEのネットワークとセキュリティのコンポーネントを簡単に紹介します。 SASE WAN エッジ セキュリティサービスエッジ SD-WAN FWaaS 前方誤り訂正 ZTNA ルーティング VPN 最適経路指定 CASB トラフィックフェイルオーバー SWG … SIA   お気づきの通り、SASE プラットフォームに含まれるセキュリティ機能のほとんどは、かつて別の製品として展開されていたものです。これは、ここ数年の要件やユースケースの変化による自然ななりゆきです。メインオフィスとデータセンターが真ん中にある城と堀のようなアーキテクチャでは、もはや十分ではありません。ペリメーターは消え去ったか、あるいはソフトウェアで定義されるようになりました。しかし、ひとつだけ非常に簡単になったことがあります。これまでは FTP や SSH などのさまざまなネットワーク・プロトコルが使われていましたが、現在ではエンドユーザーのトラフィックはほとんどすべて Web ベースになっています。Microsoft 365のような一般に公開されているサービスでも、イントラネットのような社内のプライベートなリソースでも、使用されているプロトコルはほぼ常に HTTPS です。 パンデミックによるロックダウンで働き方が変化したことで、それまで見過ごされていた脆弱性が露呈しました。エンドポイントでの保護が十分でなく、ビジネスネットワーク VPN 上で会社のリソースへの無制限の信頼とアクセスが行われていたのです。この2つの条件が、多要素認証(MFA)の欠如やパスワードのセキュリティの低さと組み合わさると、致命的なことになりかねません。脅威者は、技術的な脆弱性を容易に利用したり、ソーシャルエンジニアリング攻撃を使って、被害者のネットワークやワークロードにアクセスすることができます。 セキュアインターネットアクセス (SIA) SIAは、セキュア Web ゲートウェイ(SWG)をエンドポイントに拡張したものです。SWG クラウドサービスが提供する詳細な Web トラフィック検査は、トラフィックのバックホールやリダイレクトを伴いますが、それらが常に必要というわけではありません。エンドポイントに Web セキュリティ機能を追加することで、この追加ステップを回避できます。これにより、クラウドに置いてある大がかりなツールを持ち出さずとも、デバイスが Web トラフィックについて簡単な判断を下すことができます。たとえば、シンプルな DNS ベースのフィルタリングを使用することで、禁止されていたり不要だったりする Web カテゴリをそれ以上検査することなく直ちにブロックできます。規制や企業のコンプライアンス、企業倫理や行動規範に抵触するコンテンツや、悪意があるとして知られている Web サイトなどが考えられます。このフィルタリングは、すでにデバイス上にあり、コマンド&コントロールサーバーに電話をかけようとする悪意のあるソフトウェアの「発信」をブロックすることもできます。この種のトラフィックは、エンドポイントでブロックできるのですから検査のためにわざわざクラウドに送信しなければならない理由はありません。 一方、信頼できるアプリもあります。なかには、トラフィックがリダイレクトされ、直接のブレイクアウトが必要な場合はうまく機能しないものも少なくありません。Microsoft 365 は、詳細な Web トラフィック検査が不要といえる例の1つです。アプリケーションに接続する前に Microsoft 365 のトラフィックを SWG に誘導すると、パフォーマンスも低下する可能性があります。このシナリオでは、エンドポイントセキュリティで十分な場合があるため、SWG のクラウド検査を回避することができます。...

海外ブログ

Barracuda Application Protection の新しいプランがサポートする3つの方法 のページ写真 13

Barracuda Application Protection の新しいプランがサポートする3つの方法

2023年4月19日、Tushar Richabadas 本日は、2つの新しい Barracuda Application Protection プランに関するニュースを共有します。この新プランでは、Webサイトとアプリケーション、および API をエンタープライズクラスの包括的な保護で簡単に保護できます。 しかも、この新しいパッケージのメリットは目を見張るものがあります。Barracuda 経営陣とパートナーから意見を聞き、このパッケージがビジネスに貢献する主な方法を詳しく調べました。 顧客にとって最大のメリット 1.洗練された保護機能 WAF-as-a-Service は、高度なボット攻撃からの保護、API ディスカバリー機能、アクティブ脅威インテリジェンスを提供し、これらが連携して、今日の最も高度な脅威からの防御を支援します。自動設定エンジンやシャドー API ディスカバリーなど、機械学習を活用した機能により、管理者は未知の攻撃対象領域を減らすことができます。 「新プランは、脆弱性や API 攻撃、DDoS 攻撃、およびボット攻撃からの機械学習を駆使した保護と、ゼロトラストセキュリティを組み合わせた独自の機能で、今日の最も困難な脅威に対抗できるよう支援します」と述べるのは、バラクーダネットワークスSVP(エンジニアリング&プロダクトマネジメント、データ・ネットワーク・アプリケーションプロテクション担当)のティム・ジェファーソンです。   2.柔軟性 今求められているのはオンプレミス、ハイブリッド、マルチクラウドなど、アプリケーションの設置場所を問わず、Web  アプリケーションと API の保護(WAAP)を提供するソリューションです。新プランは、顧客が必要なセキュリティ機能を選択し、アプリケーションの数を入力し、開始できるように設計されています。 「新しいアドバンスプランとプレミアムプランでは、Web アプリケーションと API のセキュリティを確保する際に、より多くのオプションのなかから選べます」と語るのは、パートナー会社 ilionx のケヴィン・フィーンストラです。「Barracuda WAF-as-a-Serviceがあれば顧客はこれまで以上に容易に、既知または未知の攻撃に対してアプリケーションを保護できます。またこの WAF-as-a-Service は、完全なデータ駆動型の保護も提供します」 3.購入・導入・使用がすべて容易な包括的ソリューション バラクーダでは、容易に購入・導入・使用できるクラウド対応のエンタープライズクラスのセキュリティソリューションにはどんな企業でもアクセスできるべきだと信じています。Barracuda WAF-as-a-Service は、あらゆる規模の Web アプリケーションと API に包括的なアプリケーションセキュリティを提供します。アプリケーションは、3つのステップのオンボーディングウィザードで迅速に導入し、なおかつセキュリティを確保できます。 「私たちが新プランで目指したのは、顧客がこれまで以上に容易に Barracuda Application Protection を導入できるようにするここと、そして同時に顧客が必要な包括的セキュリティを確保できるようにすることでした。その2つのゴールを見事に達成できたと思っています」と、バラクーダ VP (プロダクトマネジメント、アプリケーションプロテクション担当)のニッツァン・ミロンは述べています。   Barracuda Application Protection の新プランの詳細については、プレスリリースをご覧ください。   原文はこちら 3 ways the new Barracuda Application Protection plans help customers Apr. 19, 2023 Tushar Richabadas...

海外ブログ

OWASP Top 10 APIセキュリティリスク:壊れたオブジェクトレベル認可 のページ写真 14

OWASP Top 10 APIセキュリティリスク:壊れたオブジェクトレベル認可

2023年4月12日、Paul Dughi 2023年のリストはまだ確定していませんが、Open Worldwide Application Security Project® (OWASP) のGithubサイトでは、API セキュリティリスク TOP 10 をすべて確認し、コメントすることができます。リストのNo.1リスクは、壊れたオブジェクトレベル認可(BOLA、broken object level authorization)です。 BOLA は、脅威アクターが本来ならば制限されるべきデータオブジェクトのリクエストに成功した場合に発生します。 攻撃ベクトル 攻撃者は、リクエストに含まれるオブジェクトのIDを操作してAPI エンドポイントを悪用し、API を騙して機密データや保護データを返させます。BOLA は、サーバーコンポーネントがクライアントの状態を完全に把握しておらず、どのオブジェクトにアクセスすべきかをオブジェクト ID に依存しているようなアプリケーションで発生する可能性があります。 OWASPは、ハッカーによって容易に悪用されることを意味する悪用可能性スコアを 2 点としました。 セキュリティの弱点 OWASPによると、これは API に対する最も一般的かつインパクトの大きな攻撃の1つです。 アプリケーションが認可をチェックする適切なインフラストラクチャを実装していても、開発者がそのチェックを使用することを忘れて機密性の高いオブジェクトへのアクセスを許可してしまうことがあります。アクセス制御の検出は、自動化された静的テストや動的テストに必ずしも反応しないため、欠陥が検出されないことがあります。 OWASPもBOLAを普及度の点で3点としています。このセキュリティ脅威は、さまざまなドメインやアプリで見受けられます。 ビジネスへのインパクト 機密データへの不正アクセスは常に、暴露と責任のリスクを伴います。また、あるオブジェクトへの不正アクセスから、アカウントの乗っ取りなど、さらなる侵害へつながっていく可能性があります。 BOLAエクスプロイトは、以下のようなインシデントを引き起こす可能性があります。 機密記録の大規模な流出 閲覧、修正、削除を含む記録の操作 特権のエスカレーション 管理者アカウントのフルテイクオーバー   BOLA 攻撃の仕組み 攻撃者は、リクエストのコードにパターンを使っているシステムを探ります。たとえば、ユーザー ID やオブジェクト ID を変更し、API がどのように応答するかを確認することで、BOLAの欠陥を探り当てます。こうして見つかった欠陥からアクセスされると、適切なセキュリティプロトコルが導入されていないAPI は大きなリスクにさらされます。脅威アクターが API を通じてアクセスすると、すべてのデータが危険にさらされるのです。 実際にどのようなシナリオが想定されるかを説明しましょう。ある人が、顧客 ID を使用して合法的または非合法的に企業のシステムにアクセスしたとします。アクセスがいったん認証されると、その人のアイデンティティはトークンで表現されます。API リクエストでアクセスに使用した顧客 ID をほかのユーザーの ID に置き換えて、ほかのユーザーの個人情報にアクセスします。 これがうまくいくことを確認した攻撃者は、その後のリクエストで顧客 ID 番号を代用するプロセスを自動化し、さらに記録を流出させられます。 たとえば金融機関への侵入には、クレデンシャルスタッフィング攻撃が使われるかもしれません。リクエストの識別子を変更することで、攻撃者は異なるユーザーアカウントにアクセスでき、送金やデータのリダイレクトを異なるエンドポイントに行うこともできるかもしれません。 OWASPは、自動車メーカーが、車両の車体番号を用いてドライバーの携帯電話から API 経由で車両のリモートコントロールを可能にした例を挙げています。脅威者は理論上、デバイスを認証し、オンラインまたは車両本体で容易に入手できる別の車両の車体番号をすり替えることができます。実際の所有者の認証ではないことを API が検出できなければ、攻撃者は車両へのアクセスや始動、窃盗を行うことができるかもしれません。 実社会における例 このような侵害が、2018年に約230万人の加入者に影響を与えたT-Mobileの顧客データ漏洩の原因とされています。また、別のAPIベースの攻撃でも、2023年に3700万人のT-Mobileユーザーに影響が及んだ可能性があります。 Facebook および...

海外ブログ

メールを媒介とする大規模な攻撃の実質的なコスト のページ写真 15

メールを媒介とする大規模な攻撃の実質的なコスト

2023年2月8日、Tilly Travers 最新の国際的な調査から、メールを利用したセキュリティ攻撃が引き起こす多大な金銭的コストと混乱が浮き彫りになりました。 「2023年のメールセキュリティトレンド」の調査対象となった組織の 4 分の 3(75%)が、過去12カ月の間に少なくとも1回はメール攻撃の実害をこうむったと回答しており、なかでも最も被害額が高額だった攻撃からの回復には平均100万ドル以上の費用がかかったといいます。 しかもこの高額のコストは、上昇の一途をたどっています。被害を受けた企業の23%によると、攻撃による経済的な影響は、昨年に比べて劇的に増加しています。 電子メールは、依然として強力な攻撃チャネルです。サイバー犯罪者が利用しやすく、効果的で、低コストなツールだからです。また、電子メールを使った攻撃は進化を続けており、AI や高度なソーシャルエンジニアリングの技術を活用し、ますます高度でステルス性の高い攻撃を行っています。バラクーダの調査チームは、13タイプのメール攻撃を特定しています。 混乱、損害、そして損失 この調査結果から、電子メールによるセキュリティ攻撃の成功がもたらす影響は甚大かつ深刻であることが浮き彫りになりました。 最も多く報告された影響は、最も深刻なものでもありました。ダウンタイムとビジネスの中断(被害を受けた企業の 44 %が影響を受けた)、機密データや事業にとってクリティカルなデータの損失(43%)、ブランドイメージへの損害(41%)などです。 業界によって、その影響はさまざまでした。金融業界では貴重なデータと資金を犯罪者に奪われ、医療業界ではシステムの迅速な復旧に多大なコストがかかりました。製造業界では、業務が中断されたことによる影響がとりわけ大きかったのです。 小規模な企業ほど、機密データや重要データの損失による影響が大きく、次いでブランドイメージの低下による影響が大きいことがわかりました。しかし、調査対象となった中規模以上の組織では、最も一般的な影響は、ダウンタイム/ビジネスの中断と従業員の生産性の損失でした。これはすなわち、大規模な組織は、攻撃に耐えられるブランドイメージが確立されているものの、事業継続の面ではより大きな打撃を受けていることを示しています。 リモートワークのリスク しかし、企業規模や業種に関係なく、従業員の半分以上がリモートで働く企業は、より高いレベルのリスクと回復コストに直面しています。 というのも、リモートワーカーに対して、常時一貫してセキュリティポリシーを適用させ、最大限の防御を確保することが企業にはなかなかできないためと考えられます。また、従業員が日々の業務を遂行できるよう、ビジネスアプリケーションや重要なデータへのリモートアクセスを可能にする必要があります。結果的に、サイバー犯罪者が利用できる攻撃対象領域を増やすうえ、サイバー攻撃の検知や対応、回復を大幅に遅らせることになります。 組織は準備が足りないと感じている 調査対象となった組織の大半(97%)は、最大級のセキュリティ脅威への対策が十分でないと感じています。約 3 分の 1(34%)がデータ損失やマルウェアへの対策が不十分であると感じており、4 分の 1 以上(27%)がランサムウェアについても同じように感じています。さらに、28%はスパムのような複雑ではない脅威への対策もできていないと感じています。大規模な組織ほど、ほぼすべての脅威への対策が遅れていると感じています。 悪いニュースばかりではない 全体として組織は、フィッシング、スピアフィッシング、ランサムウェアなどの高度な脅威への対策は、3年前に電子メール攻撃の影響について調査したときよりも進んでいると感じているようです。 また今回の調査では、全体の 26 %がメールセキュリティへの投資を増やし、89 %が 12 カ月前よりもシステムやデータの安全性が高まったと感じていることがわかりました。電子メールのリスクと強固な保護の必要性に対する認識と理解の高まりは、2023年の電子メールセキュリティにとってポジティブな出発点です。 「メールは信頼できるユビキタスな通信チャネルであり、そのためサイバー犯罪者にとって魅力的なターゲットとなっています。メールベースの攻撃は、AI と高度なソーシャルエンジニアリングを活用して、目的のデータやアクセスを取得し、セキュリティ対策を回避しようとするため、ますます高度化していると思われます」と、バラクーダのメールプロテクション、エンジニアリング&プロダクトマネジメント担当SVPのドン・マクレナンは述べています。「電子メールによる攻撃は、ランサムウェアや情報窃盗、スパイウェア、暗号マイニング、その他のマルウェアなど、さまざまなサイバー脅威の最初のアクセスポイントになる可能性があります。世界中の IT チームが、多くの電子メールベースの脅威に対する防御対策が不十分だと感じているのも無理はありません。電子メールのリスクと安全性を保つために必要な強固な保護機能に対する認識と理解を深めることが、2023年以降も組織とその従業員を守り続けるための重要な鍵となるでしょう」 この調査は、独立系調査会社のヴァンソン・ボーン社(Vanson Bourne)がバラクーダのために実施したもので、米国、欧州、中東、アフリカおよびAPAC諸国のさまざまな業界の従業員100~2,500人規模の企業の現場担当から最高位の役割の IT 専門家に質問しています。 レポートはこちらから 原文はこちら The real cost of a major email-borne attack Feb. 8, 2023 Tilly Travers https://blog.barracuda.com/2023/02/08/real-cost-email-attack/

海外ブログ

セキュア SD-WAN の威力:ネットワークとセキュリティの統合によるメリットを生かす のページ写真 16

セキュア SD-WAN の威力:ネットワークとセキュリティの統合によるメリットを生かす

2023年3月23日、Stefan Schachinger バラクーダがネットワークセキュリティの状況について調査した結果、過半数の企業がソフトウェア定義型広域ネットワーク(SD-WAN)を導入しているか、導入する予定であることが判明しました。このタイプのネットワークは、分散したネットワークに伴うパフォーマンス、セキュリティ、その他の課題に対するソリューションとして人気があります。SD-WAN のごく基本的な定義は、「広域ネットワークの管理を簡素化するソフトウェアベースのネットワークへのアプローチ」です。 SD-WANの基礎知識 SD-WAN の当初の目的は、支店を本社やデータセンターのサーバーリソースに安価に接続することでした。SD-WAN によって、企業は高価でしばしば低速な MPLS 接続をシンプルなインターネット接続に置き換え、なおかつ企業が専用線を使っていたときよりも高いレベルのセキュリティと信頼性を達成することができました。 サイト間 VPN 接続の暗号化により、費用対効果が高く、セキュリティの高いインターネット接続が可能になりました。この機能ではセキュリティのために高価な専用線を使用する必要はありません。もっとも、リモートデスクトップの接続やその他のアプリケーションで、遅延を可能な限り低く抑えることが要求される場面では高価な専用線が引き続き必要でしょう。 冗長性は、複数のプロバイダーを設定し、携帯電話ネットワークのようなフォールバック機構と組み合わせることで実現できました。複数の公衆インターネット接続のほうがしばしば、専用回線よりも安価な場合が多かったのです。 クオリティオブサービス(QoS, Quality of Service)を備えたアプリケーションベースのルーティングにより、管理者はネットワーク帯域幅を最大限に活用できました。適切な設定により、SD-WANは最も重要なネットワークトラフィックに必要な帯域幅を確保することができます。   初期の SD-WAN の構成は、ほとんどの企業にとってもはや十分ではありません。ここ数年の要件の変化により、ソフトウェアベースのネットワークを一から見直す必要があります。支店のロケーション接続はまだ有効なユースケースですが、ロケーション間の VPN トラフィックは大幅に削減されました。Slack、Microsoft 365、Salesforce といったソフトウェア・アズ・ア・サービス(SaaS)アプリケーションは、ほとんどの社内コミュニケーションをパブリッククラウドに移行させました。多くの企業が、会社のほかの拠点より、外部リソースへのアクセスを優先しています。 この外部アプリケーションへのシフトは、セキュリティ意識の転換を必要としました。従来型の SD-WAN は、サイト間の VPN 接続を保護しますが、ほかのセキュリティ機能が欠けていることが多いのです。ここでの解決策は、セキュア SD-WAN と呼ばれる新しいモデルです。複数のユースケースを組み合わせたソリューションで、直感的な操作と使いやすさを重視した統合管理のメリットは圧倒的です。従来の分離型ソリューションは、まもなく消えるでしょう。 SASE とセキュア SD-WAN セキュア SD-WANは、ガートナーが2019年に定義したクラウドネイティブなセキュア・アクセス・サービス・エッジ(SASE)アーキテクチャに含まれます。SASE(発音は「サシー」)は、ソフトウェアベースのネットワーキングとネットワークセキュリティサービスを組み合わせ、企業のリソースへの動的なセキュアアクセスを提供します。セキュリティ機能を追加することで、セキュア SD-WAN を実現しています。 SaaS アプリケーションやリモートワークの導入に伴い、企業は分散したリソースへの安全なアクセスをサポートできる俊敏なネットワークを必要としています。ユーザーやデバイスは、主にクラウド上にあるリソースにどこからでも接続できると同時に、オンプレミスでもアクセスできる必要があります。このようなハイブリッド化に対応するのに、サイト間接続に特化して設計されたネットワーキング・ソリューションではもはや十分ではありません。SaaS アプリケーションやその他のクラウドワークロードは、企業ネットワークに安全に接続する必要があります。セキュア SD-WANはこのニーズに応え、さまざまなパブリッククラウドに拡張できます。 ファイアウォール・アズ・ア・サービスとゼロトラスト・ネットワークアクセス SASE のアーキテクチャコンセプトのセキュリティコンポーネントには、ファイアウォール・アズ・ア・サービス(FWaaS)とゼロトラスト・ネットワークアクセス(ZTNA)があります。それぞれは、他のソリューションと連携することも、独立することも可能です。 FWaaS はその名の通り、サービスとしてクラウド上で動作するネットワークファイアウォールです。ネットワークのほかの部分とシームレスに統合できることが、このソリューションの主な利点の1つです。 FWaaS 単独の導入でも必要なセキュリティは確保できますが、SD-WAN と組み合わせることで、大きなメリットが得られます。クラウドとオンプレミスのソリューションコンポーネントを組み合わせることで、独自のセールスポイントを持つ、強力で管理しやすい導入バリエーションが生まれます。このようにして、会社のすべての拠点は、たとえ一般に公開されていない場所であっても、安全にクラウドに接続されます。それが拠点からの直接接続なのか、中央のハブにバックホールされるトラフィックなのかは、ユースケースによります。 安全なネットワークは、ファイアウォールや安全なサイト間接続だけにとどまりません。多くのネットワークユーザーはリモートで仕事をし、時には公衆無線やその他の安全でないネットワークを使っています。完全なセキュリティソリューションとは、インターネット接続があればどこからでも、クラウドまたはオンプレミスのプライベートリソースに安全にユーザーアクセスできることなのです。こうした安全なアクセスをユーザーに提供するには、ZTNA が最適です。 ZTNA は、ユーザーとデバイスのためのアクセスコントロールソリューションです。ゼロトラスト認証は、「決して信用せず、常に検証する」という原則のもとに成り立っています。VPN 接続とは異なり、ゼロトラスト接続では、ユーザーがネットワーク上で何かを要求するたびに、ユーザーとデバイスの認証を繰り返し行います。VPN が信頼を確立するためにクレデンシャルセットに依存するのに対し、ゼロトラストは管理者が設定したクレデンシャル、デバイス、時間、およびその他のパラメータに依存します。ゼロトラストはまた、「最小特権の原則」を確立し、実施します。 SD-WANとともに、これは最新の SASE アプローチに不可欠な要素であり、理想的には、目的のリソースへの最適な経路を自動検出することで完全に統合的に機能します。しかし、セキュア SD-WAN とユーザーのリモートアクセスを組み合わせることで、セキュリティ機能をエンドポイントまで拡張できるという利点もあります。同時に、デバイス上でセキュリティを実装し、さらに SD-WAN デバイスやクラウド上で疑わしい、あるいは危険なネットワークトラフィックを検査することで、セキュリティレベルを大幅に向上させることができます。 オンプレミスのセキュア SD-WAN 展開に有効なユースケースも存在します。クラウドトラフィックのコスト要因も考慮する必要があります。SD-WAN の場合、根本的な考え方は、MPLS を置き換えることによるコスト削減でした。SaaS アプリケーションとオンプレミスのアプリケーションサーバーの両方を使用している企業は、すべてのトラフィックをクラウド経由でルーティングする必要のない場合があります。このようなハイブリッドネットワークでは、SD-WAN で利用できるインテントベースのルーティングが有効です。最適なソリューションは、クラウドリソースを安全に接続するだけでなく、トラフィックに基づいて最適かつ最短の経路をインテリジェントに決定します。 組み合わせで差がつく ミックスアンドマッチのソリューションの本当の利点は、組織の既存の展開における要件を満たす柔軟性にあります。業界のトレンドは、特定の製品がより大きなプラットフォーム・ソリューションの機能へと変化していることを明確に示しています。...

海外ブログ