Blog

October 10, 2022年10月10日、Mike Vizard 　長年サイバーセキュリティ専門家を悩ませてきた倫理的課題の１つは、セキュリティ専門家と雇用主である組織の間には秘匿特権で守られる情報がないことです。その結果、雇用主に対する義務と、多くの人やコミュニティ、あるいは人類の利益との間に矛盾が生じた場合に、サイバーセキュリティ専門家が依拠できる、一般に合意された倫理的手続きが存在しないのです。　この問題は、最近の２つの著名な裁判の核となっています。サイバーセキュリティの専門家コミュニティが一方の側についたことに端を発した事件の裁判です。ひとつは、元Uber最高セキュリティ責任者のジョー・サリバンをめぐる裁判です。サリバンは、「Uberにおける2016年のハッキングの隠蔽工作に関連して、連邦取引委員会の手続きを妨害し、重罪を隠匿」したことで有罪を言い渡されました。　連邦大陪審は政府側の言い分を認め、5万人以上の顧客の個人情報にアクセスされるという侵害を受け、脅迫されたUberが、そのサイバー犯罪者に対して報奨金プログラムを利用して支払ったことを規制当局に開示しなかったことを有罪とみなしたのです。争われた点は、侵害をどう処理したかよりも、侵害を開示しなかったことで上場企業の投資家に対する受託者責任が損なわれたことだったのです。　ふたつ目の裁判は、ピーター・“マッジ”・ザトコが、ハッカーに対する防御とスパム対策における「極めて重大な欠陥」について連邦規制当局と取締役会を欺いたとして、かつての雇用主Twitter社を内部告発したものです。米証券取引委員会、司法省、連邦取引委員会（FTC）に提出された訴状によれば、Twitter社は強固なセキュリティ計画を有していると主張したことで、FTCと11年前に結んだ和解の条件に違反したとしています。　当然ながら、大義のために訴訟を起こしたことに拍手を送る人がいる一方で、SECの内部告発者向けの報奨金目当てではないかと考える人もいます。報奨金が数百万ドルにのぼることもあり、それが訴訟を起こす動機になったと見る批判的な声があるのです。　今後何年にもわたる訴訟合戦が予想され、最終的にどのような判決が下されるかわかりませんが、いずれにせよ、サイバーセキュリティ専門家は特に上場企業で働く場合、その法的責任の範囲をめぐり究極の試練に立たされています。企業評価に重大な影響を与える情報の隠蔽は、過去にも犯罪と見なされてきました。しかしこれまでと大きく異なるのは、データ侵害が株価に影響するため、連邦政府がサイバーセキュリティ専門家に証券取引法の文言を適用している点です。秘密保持契約（NDA）の有無にかかわらず、何であれ連邦規制当局に偽って伝えることは、常に法的な危険をはらんでいるのです。　とはいえ、組織の側は、話したことすべてが訴訟のネタになると恐れたりせず、どのようなレベルのリスクが想定されるのかをサイバーセキュリティ専門家と率直に話し合うべきです。訴訟の恐れがあるとなると経営陣は、サイバーセキュリティの問題をできるだけ議論しないという道を選びがちです。しかしそれでは冷や水を浴びせることになり、関係者全員にとって逆効果となるでしょう。対話のできる安全な場が必要なのです。もちろん、株主が危険にさらされ、サイバーセキュリティのリスクが無視されていても内部告発を行うべきではない、と言っているのではありません。サイバーセキュリティのリスクに直面した場合にどう対処すべきか、その手順を文書化する必要があり、訴訟を起こすのは最後の手段とすべきなのです。　サイバーセキュリティの専門家のなかには、株主に対してそのようなレベルの義務を負わなくて済む非公開企業で働くほうがよいという結論を出す人もいるでしょう。しかし大半は、どのような企業に勤めていようと、何を公表すべきか倫理的に悩み続けるでしょう。サイバーセキュリティ専門家に対する何らかの秘匿特権が法廷で認められることは、今後もおそらくないのですから。代わりにサイバーセキュリティ専門家は、これまでと同様、自らの良心に従うことになるのです。原文はこちらA matter of cybersecurity conscienceOctober 10, 2022https://blog.barracuda.com/2022/10/10/a-matter-of-cybersecurity-conscience/

海外ブログ 2022.10.18

Microsoft Exchange Server の脆弱性：CVE-2022-41040およびCVE-2022-41082

海外ブログ 2022.10.18

独立系調査会社がBarracuda Web Application Firewallをストロングパフォーマーに選出

2022年9月27日、Anne Campbell 　うれしいニュースがあります。Barracuda Web Application Firewall（WAF）が「The Forrester Wave™: Web Application Firewalls, Q3 2022」でストロングパフォーマーに選出されました。　フォレスター社の製品・サービスに関する詳細な分析によると、WAFの利用者は以下のようなポイントを重視すべきです。 WAFの設定と管理をステークホルダーが自由に行える。脅威インテリジェンスを使用して分析を強化し、保護を自動化する。どこでも簡単に統合できる。　Barracuda Web Application Firewall（WAF）は、OWASPトップ10、ゼロデイ脅威、データ漏洩、およびアプリケーションレイヤーのサービス拒否（DoS）攻撃など、さまざまな攻撃からアプリケーションおよびAPI、それにモバイルアプリケーションバックエンドを保護します。Barracuda WAFとWAF-as-a-Serviceは、クラウド、オンプレミス、またはハイブリッドのどこに存在するWebアプリケーションでも保護するプラットフォームBarracuda Cloud Application Protection（CAP）の一部です。直感的な保護機能　フォレスター社によると、「Barracudaは、すぐに使用できるデータ型の範囲、カスタムデータ型の定義機能、および表示する先頭文字または末尾文字の数の設定など、我々が見た中で最も詳細かつ直感的なデータ漏洩防止機能を実装しています。レポートやルール作成機能は、他に類を見ないとは言わないまでも、強力です」。１　これは、従来のWAFによる保護を超えた、包括的でエンタープライズグレードのアプリケーションセキュリティを顧客に提供するソリューションに、当社が多大なる投資を行ってきたことの現れでしょう。　「バラクーダは、顧客のセキュリティを守るうえで必要な柔軟性を提供しています。リモートワークの生産性を維持しつつ保護することをはじめ、顧客の活動範囲は広く複雑です」と、バラクーダのデータ・ネットワーク・アプリケーションセキュリティ担当SVPであるティム・ジェファーソンは述べています。「今回の結果は、当社のWAFテクノロジーが顧客の進化するアプリケーションセキュリティのニーズを満たせるという信頼をいっそう高めるものと確信しています」「The Forrester Wave™: Web Application Firewalls, Q3 2022」は今すぐ無料で入手できます。今すぐレポートを入手する 1 Forrester 「The Forrester Wave™: Web Application Firewalls, Q3 2022」Sandy Carielli, Amy DeMartine, Lok Sze Sung, Peggy Dostie著、2022年9月27日掲載。原文はこちらBarracuda Web Application Firewall named a Strong Performer by independent research firmSeptember 27, 2022 Anne Campbellhttps://blog.barracuda.com/2022/09/27/barracuda-web-application-firewall-named-a-strong-performer-by-independent-research-firm/...

海外ブログ 2022.10.10

調査によればスピアフィッシングは増加し続けている

2022年8月25日、Christine Barry 2021年のFBIインターネット犯罪レポートによると、昨年はフィッシング詐欺の被害が他のどのタイプのインターネット詐欺よりも多かったことが明らかになりました。フィッシングとそれに関連する手口は、被害者を騙して認証情報やその他の機密情報を開示させようとするものです。フィッシングは、2021年にFBIに報告されたすべてのサイバー犯罪の38.2%を占め、2018年以降最も多く報告されたサイバー攻撃となっています。スピアフィッシングは新しい手口ではないものの、年々巧妙になってきています。セキュリティで保護されたネットワークへの侵入経路として非常に有効であるため、犯罪者は今後もスピアフィッシングを利用し続けるでしょう。過去10年間における最大のサイバー攻撃のいくつかは、スピアフィッシング攻撃から始まっています。以下はその例です。ユビキティ・ネットワークスが4670万ドルの詐欺に遭う 2015年6月5日、ユビキティ・ネットワークスがスピアフィッシング攻撃を受け、4670万ドルの損失を被ったことが発覚しました。詐欺の被害に遭ったことが明らかになった時点ですぐに銀行に連絡したため、約1500万ドルは回収することができました。ユビキティは、今回の詐欺の原因は「従業員なりすましと、当社の財務部門を狙った外部組織からの不正な要求」であると公表しています。この種の攻撃の例と内訳については、2017年6月の「Threat Spotlight: Real-World Spear Phishing, Initiating the Attack and Email Spoofing」をご参照ください。 FACC 5500万ドルを失う FACCは、エアバスやボーイングなどの航空宇宙メーカー向けにエンジンや内装部品を製造しています。同社は2016年1月19日に攻撃を受け、5500万ドルの損失を被りました。事件後、同社の株価は17％も下落しました。 FACCは同年5月、ウォルター・ステファンをCEOの職から解任監査役会は、ウォルター・ステファン氏が、特に「偽社長事件」に関連して、その職務に著しく違反したとの結論に達した。今回の事件の詳細や攻撃におけるCEOの役割は公にされていません。クレラン銀行が7580万ドルを損失 2016年1月19日、ベルギーのクレラン銀行は声明を発表し、詐欺被害に遭い、約7580万ドルの損失を被ったと述べました。クレランは、銀行には準備金があり、顧客や銀行のパートナーには直接被害はないこと、今後この種の詐欺を防ぐために追加のセキュリティを配備したことを市民に保証しました。クレラン銀行のCEOリュック・ヴェルセル氏は、「銀行の本質的な収益性は変わっていない」と述べています。 FacebookとGoogle 1億円の詐欺被害 2017年3月21日、米司法省は、リトアニアのメール詐欺により、2つのテクノロジー大手がおよそ1億ドルを騙し取られたことを発表しました。両社はコメントを拒否していますが、CNETやFortuneなどの大手テクノロジー系ニュースメディアは、この2社がGoogleとFacebookであると見ています。今回の事件は、最も洗練された企業であっても、高度な標的型ソーシャル・エンジニアリング攻撃の犠牲になる可能性があることを示すものとなりました。しかし、これらの数字は、企業の被害の全容をとらえているわけではありません。企業が機能していないダウンタイムや調査、データ流出に関連したコストが発生します。ソニー・ピクチャーズエンタテインメントが受けた攻撃には、2015年3月31日までの会計年度で3500万ドルの費用がかかると推定されました。ソニーの攻撃者はデータを破壊し、ソニー従業員の個人情報や機密情報を流出させました。 7カ月後ソニーは、同社の過失によって損害を受けたと主張する従業員に最大800万ドルを支払うことに同意しました。ソニーへの攻撃はおそらく、標的となった従業員にApple IDの確認を求める一連のフィッシングメールによって実現したと思われると同社は分析しています。ほとんどの企業は、ここまで深刻な財務上の打撃を受けてしまうと、ビジネスを継続することはできません。Barracuda Email Protectionは、脅威の防止、セキュリティインシデントの検出と対応、データの保護、およびコンプライアンスの確保を実現するように設計された包括的なセキュリティソリューションです。バラクーダがスピアフィッシングなどのメールの脅威から企業を保護する方法については、弊社のWebサイトをご参照ください。原文はこちらResearch shows spear phishing continues to growAugust 25, 2022https://blog.barracuda.com/2022/08/25/spear-phishing-continues-to-grow/

海外ブログ 2022.09.06