OWASP Top 10 API セキュリティリスク:2023年版 2023年3月17日、Paul Dughi OWASP API セキュリティプロジェクトは、2023年の API セキュリティリスクトップ 10 を更新しています。2019年以来の更新で、新しいリストではこれまでと同じリスクもあれば、新しく追加されたものも、削除されたものもあります。たとえば、ロギングとモニタリング、インジェクションは、依然として重要な要因ではあるものの、トップ 10 には入っていません。新たに加わったもののなかには、SSRF(サーバーサイドリクエストフォージェリー)や API の安全でない利用があります。 現時点で、リストはまだ確定していませんが、OWASP のGithubサイトで公開されており、レビューやコメントが可能です。今のところ、2023 年版リストの項目は以下の通りです。 オブジェクトレベルの認可の不備 認証の不備 オブジェクトプロパティレベルの認可不備 無制限な資源消費 機能レベルの認可の不備 サーバーサイドリクエストフォージェリ セキュリティの設定不備 自動化された脅威からの保護の不足 不適切な資産管理 安全でないAPIの消費 1. オブジェクトレベルの認可の不備 オブジェクトレベルの認可は、一般的にユーザー検証のためにコードレベルで実装され、オブジェクトへのアクセスを制限する制御方法です。オブジェクトレベルの認可が適切に実施されない場合、システムを危険な状態にさらす可能性があります。Uberでは、攻撃者がユーザーの電話番号を含む API リクエストを送信してトークンにアクセスし、システムを操作したことでこのような脆弱性が発覚しました。 攻撃ベクター:リクエスト内で送信されるオブジェクト ID を操作することで、API エンドポイントを悪用する攻撃です。この問題は、API ベースのアプリケーションにおいて残念ながらとてもよく見られます。サーバー側のコンポーネントがクライアントの状態を完全に追跡せず、オブジェクト ID に多くを依存しているからです。 セキュリティの弱点:認可とアクセス制御は複雑なものです。適切なプロトコルと設定があっても、開発者は機密性の高いオブジェクトにアクセスする前に認可チェックを行うことを忘れてしまうことがあります。このような状態は、自動テストではなかなか事前に検出されません。 2. 認証の不備 認証エンドポイントは、ブルートフォース攻撃、クレデンシャルスタッフィング、弱い暗号化キー、認証を必要としないほかのマイクロサービスへの接続など、多くのリスクに対して脆弱です。 攻撃ベクター:これらのエンドポイントは、組織外の人がアクセスできる可能性があるため、いくつかの潜在的な脅威が存在します。しばしば、認証のための境界全体を完全に保護できていなかったり、適切なセキュリティ・プロトコルを実装していなかったりします。 セキュリティの弱点:OWASPは、エンドポイント認証に関する2つの具体的な問題点を指摘しています。 追加の保護レベルを含む保護メカニズムの欠如 認証メカニズムの不適切な実装、またはアプリケーションに対する誤ったメカニズムの使用 3. オブジェクトプロパティレベルの認可の不備 API 経由でオブジェクトにアクセスする場合、ユーザーが特定のオブジェクトプロパティにアクセスする権限を持っていることのバリデーションが必要です。オブジェクトプロパティレベルで認可に不備があると、権限のないユーザーがオブジェクトにアクセスしたり、変更したりすることができるようになります。 攻撃ベクター:脅威者は脆弱な API エンドポイントを悪用し、攻撃者が利用できないはずのオブジェクトのプロパティ値を読み取り、変更、追加、削除します。 セキュリティ上の弱点: 開発者が機能やオブジェクトへのユーザーアクセスのバリデーションを提供しても、ユーザーがオブジェクト内の特定のプロパティへのアクセスを許可されているかどうかをバリデーションしない場合があります。 4. 無制限な資源消費 API リクエストに制限がないと、攻撃者が複数のリクエストを送信したり、リソースをフラッディングしたりすることでサービス拒否(DoS)攻撃を実施できます。またリクエストごとの有料課金を利用している場合は、金銭的な損害を与えることができます。分散型サービス拒否(DDoS)攻撃は過去2年間で大きく増加し、60%も増加しています。 攻撃ベクター:API は、相互作用を制限していない API に対して複数の同時リクエストを送信することで、悪用される可能性があります。 セキュリティ上の弱点:API ではしばしば、実行タイムアウトや最大許容メモリ、クライアントリクエストの操作回数、サードパーティの支出制限の実装などの活動を制限していません。ロギングを行っても、初期段階で悪意のある活動が知らぬ間に行われていることになりかねません。 5. 機能レベルの認可の不備 機能レベルの権限で管理用エンドポイントにアクセスできるようになると、機密性の高いアクションを実行できるようになります。 攻撃ベクター:攻撃者は、アクセス方法がより構造化され予測可能であるため、API の欠陥を発見し、アクセスできないはずのエンドポイントに正規の API コールを送り込むことができます。場合によっては、エンドポイントの URL...
海外ブログ 2023.03.28
最近の銀行破綻の悪用を試みる攻撃者の先を行く 2023年3月15日、Fleming Shi ハッキング集団は、情報や金銭を盗む新しい機会を常に探しています。新型コロナウイルスのパンデミックやウクライナ侵攻のような大きな出来事があると、そのあとには必ず大きな詐欺インシデントがあることがこれまでに証明されています。今回の銀行セクターのトラブルに乗じた SMSやその他のフィッシング攻撃も、必ず出てくるはずだと私たちは予想しています。 銀行セクターが「パニック」を起こす可能性 3月10日、カリフォルニア州金融保護革新局(DFPI)は、流動性不足と債務超過を理由に、シリコンバレーバンク(SVB)を閉鎖しました。その後 DFPI は、連邦預金保険公社(FDIC)をシリコンバレーバンクの管財人に任命しました。FDICは管財人として、被保険者預金の管理、資産の売却・回収・債務整理などの業務を引き受けます。 FDICは銀行ではありませんが、破綻した銀行に代わって業務を行う預金保険国立銀行(DINB)を創設する権限を持っています(p.38)。この種の銀行は「ブリッジバンク」と呼ばれ、破綻した銀行が管財手続きを進めるなかで銀行業務を継続できます。今回はFDICが「金融機関を安定させ、秩序ある解決を実施する」まで、シリコンバレーブリッジバンクが、シリコンバレーバンクの残りの銀行業務を行うブリッジバンクとなります。FDICのウェブサイトには、シリコンバレーバンクの破綻に関する最新情報が掲載されています。 3月12日にニューヨーク州金融サービス局(DFS)がシグネチャーバンクを事業停止とした際も、同様の経過をたどりました。 FDIC が管財人に任命され、シグナチャーブリッジバンクが設立されて銀行業務を継続することになったのです。 この2つの銀行の破綻は、ハッキング集団がフィッシング詐欺やなりすまし詐欺で一般市民を狙う絶好の機会となります。シリコンバレーバンクやシグネチャーバンクの顧客で、銀行業務を他の金融機関に移管する可能性のある人をターゲットにすると、私たちはにらんでいます。また、Roku、Shopify、Pinterestなど、シリコンバレーバンクの著名なクライアントになりすます攻撃もおそらく出てくるでしょう。 銀行関連のSMS詐欺 サイバー犯罪者は SMS(テキストメッセージ)を好んで使用します。なぜなら、非常に短いメッセージを銀行からの緊急警告のように見せられるからです。ほかの銀行になりすましたSMSフィッシング詐欺の例をいくつか紹介します。 バンク・オブ・アメリカを装った詐欺:「口座に制限がかかっています」(出典:CBS 47 Action News) バンク・オブ・アメリカを装った詐欺:「口座を閉鎖します」(出典:リーダーズ・ダイジェスト誌) SMS 詐欺は、リンクにアクセスしたり、情報を返信したり、番号に電話するよう促すことがあります。これらの詐欺は、犯罪者が顧客の資金を管理するために、顧客から情報を盗むことを目的としています。これらのリンクをクリックしたり、見覚えのない番号に電話をかけたりしないでください。必ず知っている番号で銀行に電話するか、URL を手動で入力してオンラインにアクセスするか、銀行の確認済みモバイルアプリを使用してください。 また、FDIC は、特に最近の銀行閉鎖を踏まえ、同様のメッセージを送る可能性のある政府当局のなりすましに対しても警告を発しています。 メール詐欺 サイバー犯罪者はメール詐欺を好んで使用します。メールはあらゆる場所で使用されているからです。シリコンバレーバンクやシグナチャーバンク関連の詐欺では、犯罪者がこうした銀行になりすまし、新しい銀行情報を待っている顧客、パートナー、販売業者などにメールを送信することが予想されます。シグナチャーバンクは4つの州に数十のオフィスがありましたし、シリコンバレーバンクは米国および数カ国にオフィスがありました。メールを使ったなりすましをするのに大きなチャンスがあるわけです。 13タイプのメール攻撃のうち、シリコンバレーバンクとシグナチャーバンク、および FDIC 関連の詐欺では下記のようなタイプの攻撃が使われると予想されます。 なりすまし:ドメインやブランドのなりすましは、受信者をだまして、既知の信頼できる送信者からのメールであると思わせるように設計されています。 フィッシング:銀行のログイン情報、暗証番号、口座番号、その他の機密情報を盗み出そうとする攻撃です。 マルウェア:メールやメールの添付ファイルに隠された悪意のあるソフトウェアで、しばしばフィッシング攻撃とセットで行われます。また、メールに埋め込まれた悪意のあるスクリプトによって、外部のウェブサイトからマルウェアがダウンロードされることもあります。 アカウント乗っ取り(ATO): この種の不正行為は、フィッシング攻撃やその他のデータ漏えいによって、悪意のあるアクターが正規ユーザーアカウントの認証情報を入手することで発生します。企業アカウントの場合、会社の業務に関する情報の収集、マルウェアの配布、振り込め詐欺、ランサムウェア攻撃などが行われる可能性があります。 ビジネスメール詐欺(BEC): 犯罪者が組織の誰かになりすまして、会社、従業員、顧客、またはパートナーを詐取します。この場合、通常、正規の受取人から犯人に資金が流れます。この種の攻撃はしばしば、フィッシング攻撃が成功することで可能になります。 ほかの攻撃ももちろんありますが、上記がおそらく最も一般的な攻撃になるでしょう。 現在の銀行関連の脅威 バラクーダセキュリティオペレーションセンターでは、世界中の脅威を監視しています。 ここでは、私たちが共有できる銀行攻撃の事例を紹介します 脅威アクターは、パートナーになりすまして支払いをするそぶりを見せます。添付ファイルの bank-info.doc は、重要なアカウント情報を盗むように設計されています。 脅威者は、銀行口座をすぐに更新する必要がある従業員になりすましています。ジャネットが返信すれば、攻撃者はその情報を使って給与を流用することができるのです。 これはよくある単純な詐欺で、攻撃者は被害者が延滞金を支払うためにリンクをクリックすることを望んでいます。 このリンクは、被害者をフィッシングサイトに誘導し、支払われたお金と一緒に情報を盗みます。 このような詐欺から自分自身と会社を守るために メールセキュリティについて、以下の実践方法を採用し、早急に対応することをお勧めします。 メールやテキストメッセージに記載されているリンクをクリックしない。 電話やメールで個人情報を共有しない。合法的な組織は、安全でない方法でこれらの情報を求めることはありません。 情報提供や金銭の要求など、通常とは異なる要求に対して警戒する。送信者に連絡したい場合は、メッセージに記載されている連絡先を使うのではなく、自分で連絡先を探してください。 銀行やその他の金融機関に関連するすべての変更について、安全な通信を使用して連絡する。この場合、両者の身元を確認するうえで、対面で会ったり、ビデオ会議をしたりするとよいでしょう。 SPF、DKIM、DMARC エンフォースメントポリシーなどのツールを使用して、メールによるドメインのなりすましを防止する。 AI を活用したフィッシング・なりすまし対策ソリューションを導入する。このタイプのセキュリティは、複数のデータポイントを分析することで、メッセージの悪意ある意図を検出します。 完全な認証と受信者の検証で送信者と受信者を追跡するメール暗号化サービスを利用する。 今日のマクロ経済や財政政策を踏まえ、メールのやり取りを含む金融取引には細心の注意を払うよう、ユーザーを教育することが必要です。現在のような深刻な金融危機の際には、影響の大小にかかわらず、顧客やビジネスパートナー、ベンダーとコミュニケーションをとり、信頼できるコミュニケーションチャネルを確立して情報を共有することも重要です。メールセキュリティの態勢を改善し、特に検知、予防、対応のための優れたツールを活用することで、攻撃者の先を行けるようになります。 原文はこちら Stay ahead of attackers trying to capitalize on recent bank failures...
海外ブログ 2023.03.27
オークランド市、ランサムウェア攻撃を受け、大規模なデータ流出の被害に 2023年3月10日、Christine Barry オークランド市は2023年2月8日、ランサムウェア攻撃を受けて複数のシステムおよび公共サービスに障害が発生し、今なお復旧作業中です。 電話、電子メール、ウェブサイトのサービスだけでなく、支払い処理、許可証や免許証の発行にも支障をきたしました。311インフラ緊急通報システム(OAK311)も利用できない状態が続きました。警察や消防の緊急サービス、市の財務サービスには大きな影響はありませんでしたが、報告や内部コミュニケーションに問題が発生しました。2月14日に非常事態宣言が出され、市当局は復旧作業を支援するための追加リソースを利用することができました。 オークランド市のウェブサイトでは、サービス復旧の最新情報を掲載しています。 また3月6日に同市は、ランサムウェアの犯罪者集団がネットワークからデータの一部を盗み出し、公開したことを通知しました。FBIと第三者のデータ専門家は、市当局と協力してデータ侵害の範囲を特定しています。3月8日現在、流出したデータには、2010年7月から2022年1月までの間に給与を受け取っていた市職員の氏名、住所、運転免許証番号、社会保障番号などが含まれるとのことです。オークランド市当局は、この情報侵害の影響を受けるすべての人に、銀行口座の明細やクレジット口座を気をつけて見るよう求めています。 市は、影響を受けた人に詳細な情報を通知する予定です。 このランサムウェア攻撃は、ランサムウェア集団「Play」が展開するフィッシングメールが原因である可能性が高いです。 Play(PlayCrypt)は昨年の夏から活動しており、「大物狙い」と「二重の恐喝」という攻撃戦略を用いています。簡単に言うと、Playランサムウェアの一団は、通常、身代金を支払う能力または意思を持つという望ましい基準に基づいて、ターゲットを特定します。一団は、暗号化される前のデータを盗み、交渉に使用する電子メールアドレスが記載されたテキストファイルを残します。被害者が身代金の支払いを拒否すると、一団は機密データを漏えいさせると迫るのです。Playの犠牲になった著名な被害者のなかには、A10 Networks、H-Hotels(ドイツ)、ベルギーのアントワープ市などがあります。 下の画像は、オークランド市のデータを侵害した発表したPlayランサムウェアの恐喝Webサイトです。(出典:Bleeping Computer) オークランド市は身代金の支払いを拒否し、バックアップからシステムを復元しています。 オークランドはこうして、ランサムウェア軍団の犠牲になった地方自治体のリストに加わりました。リストは長くなっていく一方です。フロリダ州リビエラビーチとフロリダ州レイクシティは、2019年に攻撃された際に身代金を支払いました。両市とも、身代金要求の大部分を支払うための保険に加入していました。ただし、身代金を支払っても良い結果が得られる保証はありません。ジョージア州アトランタとメリーランド州ボルチモアは、いずれも支払いを拒否しました。ダウンタイムと復旧費用は身代金の要求額を上回りましたが、両市のサイバーセキュリティは大幅に改善しました。 ランサムウェアは国家安全保障上の問題です。米国は連邦政府レベルでこうしたギャングとの戦いに積極的になっており、地方自治体向けにサイバーセキュリティ助成金として10億ドルを割り当てています。対象となる事業者はサイバーセキュリティ戦略を準備し、準備が整った時点でこれらの資金を申請することを推奨します。バラクーダは、包括的なセキュリティソリューションとハードニングされてより堅牢となったデータ保護でランサムウェア攻撃を防御します。詳細は、当社のWebサイトをご覧ください。 原文はこちら City of Oakland ransomware attack results in massive data breach Mar. 10, 2023 Christine Barry https://blog.barracuda.com/2023/03/10/city-of-oakland-ransomware-attack-results-in-massive-data-breach/
海外ブログ 2023.03.21
悪意のあるドキュメントは死んだ。悪意のあるドキュメント万歳 2023年3月7日、Jonathan Tanner Microsoft Officeのマクロのマルウェアがコンピュータの感染に使用されるようになってから約30年、配布されるマルウェアの中で最も一般的なタイプの1つとなってから10年が経過しました。ついに Microsoft は、ダウンロードしたファイルのマクロをすべてデフォルトで無効にするという対応策に舵を切りました。これは、マクロのマルウェアに致命的な打撃を与えるでしょう。クリックするだけでマクロが有効になるようなメッセージはもう出ません。マクロは完全にブロックされ、再有効化するためにはユーザー側の多大な介入を必要とします。 しかし、「自然は真空を嫌う」といわれますし、脅威者は長年にわたって文書マルウェアを中心にソーシャル・エンジニアリングの手法を磨き上げてきました。さらに、サイバー犯罪者たちは成功に不可欠な既成概念にとらわれない発想をしますし、マルウェアの検出を回避するために長年、斬新なアプローチを繰り出してきました。こうしたことが、兵器化された OneNote ファイルを Qakbot の配布に使用するという方法に結実したのです。これは、文書マルウェアに対する新しいアプローチの最初の1つであり、今後、いくつもの新たなアプローチが生み出されるでしょう。 QuakNoteマルウェアキャンペーンの仕組み QuakNote と名付けられたこのキャンペーンは、過去によく見られたいくつかのテクニックを駆使しています。まず、あまり知られていない .oneというファイル拡張子を使うことで、多くの電子メールやマルウェアのスキャナーを回避することができます。問題をさらに深刻にしているのは、Microsoft Office ファイルの大半が使っている OLE2 または OOXML エンコーディングを OneNote が利用していない点です。その結果、マルウェアのスキャンソリューションによっては、そのままではファイルを分析することさえできない場合があります。 この悪意のある OneNote 文書を開くと、別のファイルを開くようユーザーに促します。Microsoft Office や PDF マルウェアによく見られるパターンです。この操作を通して、たいていは埋め込まれたスクリプトやファイルを実行するか、別のマルウェアにリンクしてダウンロードさせます。OneNoteの場合、埋め込まれた HTML アプリケーション(.htaファイル)が実行され、JavaScript を使用して WshShell を通じてWindows シェルコマンドを実行します。この方法は、少なくとも8年前から、いくつかの JavaScript 対応ファイルタイプで使用されています。これらのスクリプトが次のペイロード(この場合は Qakbot )をダウンロードします。しかし、興味深いことに、このキャンペーンでは、Windows 10以降にのみ付属するcurl.exeが使用されています。 Qakbot はボット、すなわち感染したシステム上で動作し、コマンド・アンド・コントロール・サーバーから次に何をするかというコマンドを待つソフトウェアです。Qakbot は特に金融データや認証情報を狙いますが、過去にはランサムウェアの展開にも使用されています。 マクロの扱い方が変わったことで、攻撃者はOfficeのマクロを悪用するのと同じくらい効果的な戦略を模索しています。今回紹介したものは、これから多く出てくるであろう新しい斬新な攻撃の最初の1つだと思われます。あまり知られていないファイルタイプを試す、という方法に加え、今後はPDFマルウェアが増加する可能性もあります。 E-Book:今すぐ知っておくべき13タイプのメール攻撃 原文はこちら Malicious documents are dead, long live malicious documents Mar. 7, 2023 Jonathan Tanner https://blog.barracuda.com/2023/03/07/malicious-documents-dead/
海外ブログ 2023.03.20
バラクーダがCRNの2023年 Security 100リストに選出されました 2023年2月27日、Anne Campbell うれしいニュースです。本日、ザ・チャンネル・カンパニー(The Channel Company)のブランドCRN®が、7 年連続でバラクーダを年次 Security 100 リストに選出したことを発表しました。IT チャネルのセキュリティリーダーを評価する Security 100 リストに選ばれる企業は、ソリューションプロバイダーに対して、チャネルへの注力と先駆的で革新的な技術の組み合わせを提供しています。 ハイブリッド型のリモートワークが新常態となりつつある今日、あらゆる業種のあらゆる規模の組織にとって、セキュリティは最重要課題となっています。サイバーセキュリティや重要なデータの損失に関する懸念は高まり、巧妙化するサイバー脅威からの保護が必要となっていることから、セキュリティ市場はさらなる成長をすると予想されます。 今年の Security 100 に選ばれたのは、5つのカテゴリーにおいて、チャネルに特化した優れたセキュリティ製品を提供しているとして、CRN 編集部によって特別に選出された企業です。5つのカテゴリーとは、アイデンティティ管理とデータ保護、エンドポイントとマネージドセキュリティ、ネットワークセキュリティ、Webと電子メールおよびアプリケーションのセキュリティ、セキュリティオペレーションとリスクおよび脅威インテリジェンスです。このリストは、ソリューションプロバイダーにとって包括的なガイドとなり、顧客のために革新的なソリューションを構築する際に、提携すべきトップセキュリティベンダーを特定するのに役立つものです。 バラクーダは、Webと電子メールおよびアプリケーションセキュリティのカテゴリーで評価されました。CRN は、メール保護、アプリケーションセキュリティ、ネットワークセキュリティ、データ保護などの幅広いセキュリティ製品群、および Barracuda XDR による拡張検出と応答への拡張を特に高く評価しています。記事全文はこちらでご覧いただけます。 「コロナ禍で組織はさまざまな予想外の変化に直面してきましたが、セキュリティが今日のビジネスにおいて最も重要な要素であることに変わりはありません。今年の Security 100 は、さまざまな脅威に耐えうる先駆的なセキュリティ製品を IT チャネルに提供する業界のリーダー企業を称えるものです。ここに挙げた 100 社は、最先端のサイバーセキュリティソリューションの基礎を築いているのです」とチャンネル・カンパニーのCEO、ブレイン・ラドン氏は述べています。 継続的な評価 CRN の 2023年 Security 100 リストに選ばれた以外にも、バラクーダは最近、いくつかのCRN賞や栄誉にあずかっています。 2023年2月初め、バラクーダのチーフ・レベニュー・オフィサーのクリス・ロスと MSP ビジネス担当 SVP のニール・ブラッドバリーが 2023 CRN Channel Chiefs リストに選出されました。 2022年11月には、Barracuda XDR と Barracuda CloudGen WAN がそれぞれ、2022年 CRN Tech Innovator Awardsのマネージドディテクション&レスポンス部門とセキュリティサービスエッジ部門のファイナリストに選ばれました。 2022 年 11 月には「最もホットなエッジセキュリティ企業 25 社」の 1 社にも選ばれました。 2022 年 8月には、CRN の2022年 Annual Report...
海外ブログ 2023.03.13
SASEとは? セキュア・アクセス・サービス・エッジ略史 2023年2月24日、Christine Barry Secure Access Service Edge(SASE)の誕生は、数年前にさかのぼります。業界最大手のITアドバイザリー会社ガートナーによる2019年の造語で、デジタルトランスフォーメーション(DX)における新しいユースケースと購買パターンの観察から生まれました。ビジネスワークフローやネットワーク設計の長期的な動向を見ている人ならば、SASE コンセプトを取り入れる企業が増えていると聞いても驚かないでしょう。 かつて、遠隔地の支社と本社を結ぶために使われたハブ&スポークの広域ネットワーク(WAN)トポロジーを覚えているでしょうか。支社の従業員は、ネットワーク認証やファイルの集中保管など、ネットワークサービスのためにメインオフィスのサーバーを利用していました。Microsoft 365 のような SaaS (Software-as-a-Service) アプリケーションが登場する以前は、会社全体をサポートする電子メールサーバーは、一般的に 1 カ所にしか置かれていませんでした。ディレクトリサービスやセキュリティポリシーも、一元管理されていました。企業は、オフィス間の専用接続のために高価な回線をリースしていました。支社から本社へのトラフィックを専用線でバックホールすることは、遠隔地の従業員が必要なアクセスを確保するための方法として認められていました。 企業はやがて、専用線に代わる仮想プライベートネットワーク(VPN)やソフトウェア定義型 WAN(SD-WAN)に目を向け、接続コストを削減するようになります。そのうち、アプリケーションやワークロードをクラウドに移行し、より簡単かつ安価に支社がそれらのリソースに直接アクセスできるようになりました。支社間の接続を可能にし、本社のファイアウォールからセキュリティポリシーを適用し、ローカルワークロードの優先順位に従ってトラフィックを最適化するうえで、支社ファイアウォールは最適でした。 パブリッククラウドには、オンプレミスのサーバーやアプリケーションでは対応できないメリットがあることが明らかになっていきます。ビジネスアプリケーションが SaaS 型に変化し、パブリッククラウドが使いやすくなるにつれて、企業はオンプレミスのリソースをさらに削減しました。これは、従業員が自宅やクライアント先で仕事をすることが多くなったというトレンドと完全に一致します。多くの社員が社内ネットワークにアクセスする必要がなくなり、アクセスが必要な社員は VPN やリモートデスクトッププロトコル(RDP)を使用するようになりました。その結果、従業員が複数回ログインすることになり、ワークフローに制約や遅延が生じ、ITチームには余計な管理負荷がかかることになりました。 ガートナー社は、こうしたトレンドがネットワーク・パフォーマンスとビジネス・セキュリティ・ニーズにどのような影響を与えるかを見定めました。研究者は、複数のネットワークおよびセキュリティ技術を単一の拡張可能な製品に統合する必要があることを見抜いたのです。こうして生まれたのがSASEなのです。 SASEのメリット SASE は、いくつかの理由で有用です。まず第一に、ネットワークが伝統的な境界を持たない可能性があることを認識しています。これは重要なポイントです。というのも、従業員はワークフローを通じて一貫したユーザーエクスペリエンスを必要としているし、企業は企業全体で一貫したセキュリティ姿勢を必要としているからです。適切に構築された SASE ネットワークは、インターネットに接続されたあらゆるエンティティが、許可され接続されたリソースに安全にアクセスすることを可能にします。これは、SD-WAN のようなネットワークサービスとファイアウォール・アズ・ア・サービス(FWaaS)のようなセキュリティサービスの組み合わせのおかげなのです。 SASE ネットワークはまた、従来の境界線ベースのネットワークに比べて、拡張や管理が容易です。帯域幅の使用は需要に応じて自動的に調整することができるし、コストもたいてい予測しやすいです。SaaS やクラウドライセンスは、オンプレミスのハードウェアやソフトウェアよりも簡単に予算をたてて購入できます。つまり SASE によって企業は、多くの IT 管理負荷を1〜2社のテクノロジーベンダーにオフロードできるようになるのです。 Barracuda CloudGen WAN と Barracuda CloudGen Access があれば、SASE ネットワークの利点を活用できます。当社の SASE ソリューションの詳細とリスクフリーのトライアルについては、こちらをご参照ください。 原文はこちら What is SASE? A brief history of Secure Access Service Edge Feb. 24, 2023 Christine Barry https://blog.barracuda.com/2023/02/24/what-is-sase–a-brief-history-of-secure-access-service-edge/
海外ブログ 2023.03.07
2023年、予算の逼迫でセキュリティのスリム化は必至 2023年2月21日、Phil Muncaster サイバーセキュリティは今日の組織にとって重要ですが、だからといってマクロ経済がもたらす嵐の影響を受けないわけではありません。最新の調査によると、多くの企業で予算は横ばい、あるいは減少していく傾向が見られます。ただでさえ厳しくなる一方の状況に直面しているITおよびセキュリティ部門のリーダーにとって、これは悪い知らせです。残念ながらサイバー犯罪の世界には、こうした予算的な制約がありません。サイバー犯罪者たちは今までと同じように、互いに助け合い、革新し合い、あらゆる機会を逃さず弱点につけ入ってくるでしょう。 IT 部門のリーダーにとって、この2つの圧力に対処する方法は、ベンダーとの関係を見直すことだといえます。ビジネスリーダーに効率性と生産性、財務規律を求められているのなら、妥協することなくセキュリティを実現する最善の方法は、より少ない製品やサプライヤーに統合することでしょう。 財布のひもを締める時 世界のほとんどの地域で、来年の経済見通しがかなり暗いものとなっています。IMF は最近、今年の成長率見通しを 2.9%に下方修正し、先進国ではさらに一段低く(1.2%)なっています。フランス、ドイツ、イタリア、イギリスといった欧州の大きな市場では、今年の GDP 予測が1%を超えることはないとされており、一部の経済は景気後退に陥る可能性さえあります。高インフレと高金利は、特にエネルギーコストの高騰など、企業に大きな打撃を与えています。また、同じマクロ経済要因が、消費者の消費意欲を減退させています。 世界経済の行方は、拡大する攻撃対象領域のセキュリティを確保することにも、デジタルトランスフォーメーション(DX)プロジェクトで組織が過剰なリスクにさらされないようにすることにも苦労しているITセキュリティリーダーにとっても重要です。最近の調査では、欧州と中東、アジア、そして米国の組織のうち現在の要件を満たすのに十分な予算があると信じているのはわずか半数(49%)であることが明らかになりました。さらに悪いことに、11%が最も重要な資産を保護する予算しかないと答えており、35%が2023年の予算は横ばいか減少すると考えています。 本調査レポートによると、経営幹部がサイバー脅威の深刻さを理解し、セキュリティ関連予算を削れば DX にも悪影響が及びかねないと認識しているにもかかわらず、予算の制約は避けられないとIT部門リーダーの多くが回答しています。つまり経営幹部にどれだけ懇願しても、これ以上の資金は出てこないということなのでしょう。 この課題は、中小企業にとってはさらに深刻です。2022年後半の別の調査によると、米国と英国およびオーストラリアの中小企業の半数以上(56%)が予算削減を懸念していることが明らかになりました。 脅威は続く その懸念も当然のことです。たとえ予算が変わらなかったとしても、目の前にある多くの課題を軽減するには十分ではないかもしれません。その課題とは、大きく分けて 2 つあります。 地下の最先端サイバー犯罪ワールドでは、相当に高度な脅威を仕掛けるために必要なツールやサービスを調達することなどもはや子どもの遊びと言っていいくらい簡単です。ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)が急速に増えていることからも、このサービスがいまなお大企業よりも中小企業に大きな打撃を与えていることがわかります。 企業の攻撃対象領域は拡大しています。背景には、コロナ禍によるクラウドコンピューティングへの投資やハイブリッド型の働き方へのシフトなどがあります。ある調査によると、グローバル企業の43%が、自社の攻撃対象領域が「制御不能なほど広がっている」ことを恐れていました。 こうした理由などから、事業の存続に関わりうる侵害は定期的に発生し続けています。PwC によると世界の CFO の4分の1以上(27%)が、過去3年間に重大なデータ侵害に見舞われ、100万ドル以上の損害を被ったことがあると回答しています。実際、情報侵害の世界平均コストは現在約 440 万ドルに上っています。PwC が英国で行った調査では、今年、脅威は大幅に増加すると、調査対象企業の約4分の1が予想しています。なかでもランサムウェア、ハック&リーク攻撃、クラウドベースの脅威、ビジネスメール侵害(BEC)などが最も懸念される脅威として挙げられています。 より少ないものでより多くを成し遂げる こうしたことから、中小企業のITリーダーは、限られたリソースをより有効に活用する方法について考え始める必要があります。もっとも、それはこれまでしたきたことでもあります。好景気の時でも、中小企業は大企業にはない方法でリソースを最適化する必要があったのですから。しかし、現在の経済情勢からは、より一層の引き締めが必要となりそうです。 ある調査によると、中小企業の大半でサイバーセキュリティチームのメンバーは5人未満です。調査対象となった中小企業の半数がサイバーセキュリティにかけている費用は年間 2 万ドルに届かず、年間5万ドル以上を費やしているのは 10 社に 1 社です。このような状況で、どうすればより少ないコストでより多くのこと成し遂げられるのでしょうか。適切に行えるのであれば比較的早く実現できることとして、ベンダーの統合があります。中小企業であっても、特定の問題を解決するために購入したツールや、長年にわたるM&Aで獲得したツールが、余るほどあるかもしれません。 しかし、重なり合う可能性のあるポイントソリューションは、いくつかの理由から好ましくありません。 サイロ化されたデータにより、セキュリティのカバーギャップが発生する。 各ツールの使い方を習得する必要があるため、ただでさえ余力のないITチームの管理諸経費が発生する。 不要なライセンスの追加など、コスト増につながる。 最新のダイナミックなクラウド環境との相性が悪い。 むしろ、より多くのセキュリティをより少ないベンダーに集約することで、IT リーダーは脅威に対する防御に妥協することなく、コストを削減できます。また、プラットフォームベースのアプローチにより、リスクを把握し管理する能力が向上することも期待できます。低コストのサイバー衛生ベストプラクティスと組み合わせることで、このアプローチは、組織が経済の荒波を乗り切ったその先でこれまで以上に強く成長する一助となるでしょう。業界最大規模のITアドバイザリー企業ガートナー社も、そう言っています。 原文はこちら Budgets are tightening in 2023: It’s time to streamline security. Feb. 21, 2023 Phil Muncaster https://blog.barracuda.com/2023/02/21/budgets-tightening-2023-streamline-security/
海外ブログ 2023.03.06
バラクーダ チャンピオンシップ、2025年まで延長 2023年2月14日、Christine Barry 2014年から毎年、バラクーダはリノ-タホ-トラッキー地区で開催されるバラクーダチャンピオンシップに顧客やパートナー企業を招待しています。プロ競技を観戦する前に、プロアマトーナメントやゴルフクリニック、チャリティーイベントなどをお楽しみいただきます。美しくリラックスした環境で開かれるこのイベントは、私たちにとってとても楽しみなものです。新しい友人を作れる一方で、昔からの友人と再会できるのですから。 このたび、本イベントのタイトルスポンサーを2025年まで延長することになりましたので、今年も顧客やパートナーのみなさまとご一緒できることをうれしく思います。 バラクーダ チャンピオンシップは、カリフォルニア州トラッキーにあるタホマウンテンクラブのオールドグリーンウッドゴルフコースで開催されるPGAツアーおよびDPワールドツアー共催の選手権です。このコースは、標高6,000フィート近いシエラネバダ山脈に位置し、ジャック・ニクラウスが設計したものです。またこの地域で唯一のTier 1プロスポーツイベントでもあり、地元チャリティーのために500万ドル以上の寄付金を集めています。 バラクーダ選手権は、選手にとってユニークかつやりがいのあるイベントです。2023年にはPGAツアーのフェデックスカップとDPワールドツアーのレース・トゥ・ドバイの両方に採用されます。優勝者にはフェデックスカップポイント300点、レース・トゥ・ドバイポイント710点、PGAツアーとDPワールドツアーの両方で2年間の出場権(非会員は1年間)が付与されます。また、この大会では、各スコアに対して付与されるポイントが変わる、モディファイドステーブルフォードというスコアリング方式で、アグレッシブなプレーを引き出します。このスコアリング方式は、標高の高いコースではとりわけ戦略やパフォーマンスに大きな影響を与える可能性があります。 「……このオールドグリーンウッドゴルフコースは素晴らしいです。このスコアリング方式でプレーするには本当に楽しいゴルフコースなので、また来るのが楽しみです」―― 2022年バラクーダチャンピオンシップで優勝したチェズ・リービー タイトリストのプリンシプル・サイエンティスト、スティーブン・アオヤマによる詳細な分析によると、標高はいくつかの側面からボールの空気力学に影響を与えるとのこと。バラクーダ選手権は、PGAツアーで唯一、モディファイドステーブルフォードを採用している大会です。 第25回バラクーダチャンピオンシップは、2023年7月20~23日に開催されます。写真や最新情報については、TwitterやInstagram、Facebookでイベントをフォローしてください。 原文はこちら Barracuda Championship extended through 2025 Feb. 14, 2023 Christine Barry https://blog.barracuda.com/2023/02/14/barracuda-championship-extended-through-2025/
海外ブログ 2023.02.27
マルウェア101:マルウェア入門 2023年2月1日、Jonathan Tanner 1971年に最初のウイルスが作成されて以来、精巧さにおいても拡散の度合いにおいても、マルウェアは大きく成長してきました。より多くの情報がデジタル化されるにつれて、その情報を盗み出そうとする試みも増え、その攻撃の連鎖の中にしばしばマルウェアが含まれています。このブログは、マルウェアの概要、特にさまざまなタイプのマルウェアの戦術および目的について理解を深めるためのシリーズの第1弾です。 新たな亜種と複雑化 マルウェアがいっそう複雑化し、複数インテント(意図)の亜種が増加するに従って、配布されるマルウェアの種類についても異なる対処法が必要になってきています。そこで、よりわかりやすくするためにこのシリーズではカテゴリー別に説明します。ウイルス対策ソフトで作成・使用されている「Win32/Trojan…」のような旧式の文字列では、このような文字列を使った異なるタイプの亜種を完全に捕捉することはできません。代わりに、実際にはいくつものタイプに分類されるべきであっても単一の亜種として認識するのです。 とはいえ、これらの文字列は、マルウェアのさまざまな側面を表すものであり、今でも非常に有用です。マルウェアのさまざまな動作や側面をとらえることができますが、マルウェアがあまりに多面的であるため、すべての側面・動作をとらえることはできません。 マルウェアの検出で最もよく知られている静的解析ソフトウェアは、現在でも「アンチマルウェア」ではなく「アンチウイルス」と呼ばれていますが、その使用目的は、意図よりも使用される特定の技術を示すものです。アンチウイルスソフトウェアはもともと、ウイルスが最も一般的なマルウェアとして使用され、配布されていた時代にさかのぼります。そこから、この名前が付きました。こうしたウイルスも、単に自己増殖するだけではありませんでしたが、高度で多面的な今日のマルウェアとは雲泥の差でした。 それ以降のマルウェアの変化は、動機の変化、つまり、今日流通しているほとんどのマルウェアの基礎となっている、国家/政治目的と金銭的利益という非常に実質的な2つの動機が組み込まれたことに大きく関係しています。最初のウイルスと最初のワームは、単にそれが可能であることを証明するために作成されたにすぎません。 デジタルで利用可能なデータの量と性質、そのようなデータを売買するマーケットプレイスの創設と進化、そしてデータを保有する組織とその他の組織の両方にとってのデータの重要性ににもとづいて、マルウェアの作成方法と使用方法は進化してきました。その結果、マルウェアの検出方法も変化しています。 マルウェア検知の進化 マルウェア対策ソフトには、近年いくつかの異なる手法が用いられています。ただ残念ながら、ビジネス環境以外のエンドユーザーにとって最も身近で手頃な価格で利用できるのは、従来のアンチウイルスソフトです。この技術では、ファイルやメモリ、ネットワークトラフィックなどを検索して、マルウェアと関連することが知られている特定のバイト列を探します。ここで登場するのが、前述の分類文字列です。というのも、マルウェアの検出に使用されるバイト列に、分類文字列が内部的にマッピングされるためです。これは静的解析の一種で、ファイルの実行を必要としない解析です。しかし最近では、これ以外の手法も使われています。より高度な静的解析のオプションも数多く存在し、しばしば検出を支援するために機械学習が使われています。Barracuda Advanced Threat Protectionも、検出の一部で同じような技術を使用しています。 マルウェアの解析と検知のもう一つの主要なタイプは動的解析です。サンプルを実行し、実行された動作や行為を観察するのです。悪意のあるファイルを実行する可能性もあるため、当然、エンドユーザーのマシンで実行されるべきものではありません。通常、ファイルを安全なサンドボックスのあるサーバにアップロードして実行し、挙動を観察します。このため、動的解析は 「サンドボックス化」と呼ばれることもあります。動的解析では、マルウェアの実行をエミュレートすることもできますが、これは複雑なプロセスであり、ほとんどのソリューションでは、単にサンドボックス環境を使用することが望ましいとされています。動的解析は、Advanced Threat Protection の原点であり核心です。というのも、ほかの方法は、特定のファイルタイプを対象としていたり、見逃す可能性があったりするのです。 今後に向けて このブログシリーズでは、マルウェアの側面によって 4 つのカテゴリ(感染方法、ペイロード/目的、伝播方法、回避方法)に分け、各ブログでそれぞれのタイプのマルウェアをみていきます。 例えば、先ほどの「Trojan」という文字列は、感染方法、つまりマルウェアがデバイスに感染するための手段を指します。感染が成功すると、マルウェアはその目的(ペイロード/目的)を達成するために、ほかのアクションを実行します。別のマルウェアをダウンロードしてシステムにインストールするといった単純な目的の場合もあれば、保存したパスワードを盗み、次いでシステムにボットを埋め込み、ネットワークの残りの部分をスキャンして他の脆弱なマシンを探すといった多くの目的から成るケースもあります。マルウェアはまた、感染したマシンや他のマシンに自分自身をコピーしようとする場合があります。これがすなわち、伝播です。さらにマルウェアは、特定の高度だが一般的なデザインパターンを使用して検知を回避するケースがあります。 各カテゴリーのタイプは、いずれも従来のアンチウイルスソフトウェアが使用していた分類文字列に関連するものですが、マルウェアの中には複数のタイプが含まれているため、カテゴリー別に見ていくことで、タイプが実際に説明している挙動を区別することができます。マルウェアの各タイプにどのような意味があり、どのような動作をするのか、また、「アンチウイルスをインストールする」以外にどのような防御方法があるのか、さらに歴史や進化についても紹介します。また、注目すべき事例を通して、マルウェアのタイプとそれを体現した有名な事例を結びつけられるようにします。 原文はこちら Malware 101: Introduction to malware Feb. 1, 2023 Jonathan Tanner https://blog.barracuda.com/2023/02/01/malware-101-introduction/
海外ブログ 2023.02.14
API セキュリティの問題点 2023年1月23日、Mike Vizard T-Mobileの3700万件のアカウント情報漏えいを受け、アプリケーションプログラミングインターフェース(API)のセキュリティに今、注目が集まっています。デジタル経済の時代において API は、データを共有する基盤であり、すでに何百万という API が使用されています。残念ながら、これらの API のセキュリティ確保は後回しにされてきました。そして今、そのツケが回ってきています。 T-Mobile の報告によると、侵害された API は顧客データへのアクセスを提供していましたが、顧客の決済カード情報(PCI)や社会保障番号/税金 ID、運転免許証やその他の政府から発行された ID 番号、パスワード/個人識別番号(PIN)やその他の金融口座情報は被害を免れたということです。つまり、もっと悪い事態に陥る可能性すらあったということです。 API セキュリティに関して多くの組織が直面しているのは、誰に責任があるかが必ずしも明確ではないという問題です。開発者は日常的にデータを共有するための API を作成しています。これらの API の大部分は REST アーキテクチャに基づいていますが、例えば、GraphQL に基づくほかのタイプの API も人気は高いです。問題の核は、こうした API を作成する開発者がサイバーセキュリティの専門知識をさほど持っていないため、サイバー犯罪者にとってデータを入手しやすくなるようなミスをしてしまいがちだということです。 一方でサイバーセキュリティチームも、こうした API がどのように作成され、展開されているのか、ほとんど知らされていません。その結果、API はすべて、実質的に安全でないエンドポイントになってしまっているのです。幸いなことに、API の大半は組織内部向けなので、当面は外部からアクセスできる API のセキュリティに集中すればよいでしょう。ただ、外部からアクセスできる API の数は少ないとはいえ、サイバーセキュリティチームは内部向けの API のセキュリティも甘く見てはいけません。社内の API に社外のユーザーもアクセスできるようにするのは開発チームにとってさほど大変なことではありません。したがって、今日は十分に安全だと思われても、何らかの理由である事業部門が既存の API を社外のエンティティからアクセスできるようにしてしまえば、明日には非常に大きな問題となりうるのです。 少なくとも理論上は、開発者が API セキュリティにより多くの責任を負うようになっています。DevSecOps のベストプラクティスを採用することで、一般的にアプリケーションセキュリティのシフトレフトが進んでいるからです。しかし、すでに作成された API の数は数百万にのぼります。加えて、開発チームから見捨てられてたものの今なおデータへのアクセスが可能な「ゾンビ API」も無数に存在します。作成されたすべての API エンドポイントを見つけ出し保護することは、やはりサイバーセキュリティチームの責任なのです。 組織の API セキュリティの最終責任を誰がとるかにかかわらず、API セキュリティに十分な注意が払われていないことは明らかです。Web アプリケーションを何年も悩ませてきたサイバーセキュリティの問題は、API にも影響を及ぼします。問題は、安全でない API の数が、Web アプリケーションの数よりもケタ違いに多いことです。今日のサイバーセキュリティチームは API セキュリティの専門知識をあまり持っていないため、2023年に組織が API セキュリティ問題を経験する確率は、残念ながら、誰も認めたくないほど高いでしょう。 原文はこちら The Trouble with API security Jan. 23,...
海外ブログ 2023.02.07
