ある英カレッジでは、バラクーダの1つのソリューションから次へとつながっていった 2023年11月6日、Tony Burgess サイバーセキュリティベンダーの統合は、企業間で急速に進むトレンドです。その背景には、複数のベクトルや脆弱性を悪用する現代のサイバー脅威の高度化があります。緊密に統合され、情報を共有するコンポーネントから構築された包括的なサイバーセキュリティインフラストラクチャを持つことで、こうした高度な脅威への対策が容易になります。 世界的に見ても、教育セクターはサイバー攻撃の標的となる傾向が著しく高いです。グロスターシャーカレッジはまさにそれを実感していました。同カレッジの IT 部門を率いるケヴィン・アグニューと彼のチームは、ランサムウェアやデータ窃盗、それに詐欺を試みる日に数千通にものぼるフィッシングメールに苦慮していました。 バラクーダの製品を初めて使ったグロスターシャーカレッジは、ほどなくバラクーダのプラットフォームと製品を使用して、包括的なセキュリティインフラストラクチャと SD-WAN ネットワークを構築しました。 最初の一歩 ケヴィンは着任してすぐに、カレッジ内で展開している Microsoft 365 (何千もの学生アカウントと何百もの職員アカウントを含む)にサードパーティのデータバックアップがないことに気づきました。ベンダーを選択する上で、柔軟性は重要な要素でした。 「学生数の変動は私がコントロールできることではありません。明日、カレッジ側がコースを開講して 500 人の学生を登録すると決めたら、その途端に急遽、バックアップとセキュリティを確保すべきアカウントが 500 人分、増える可能性があるのです。また、コースが終了しても、試験の結果やコースワークの返却を学生が待っている場合もあるので、アカウントを削除できるわけではありません。そのため、保存期間を指定するのは難しいのです」。 — ケヴィン・アグニュー グロスターシャーカレッジ IT 部門長 バラクーダの無制限のストレージと保持のアプローチがケヴィンの関心を引き、同カレッジはまず Barracuda Cloud-to-Cloud Backup を購入しました。 「非常に簡単なのが、うれしい驚きでした。バックアップは迅速で、バラクーダの担当者はすべての質問に回答してくれました。初日から問題なく使用できました。 — ケヴィン・アグニュー グロスターシャーカレッジ IT 部門長 完全なセキュリティを構築する その後、グロスターシャーカレッジは、バラクーダの顧客がよくたどる道をとることになります。強力で使いやすく、サポートが充実している1つのバラクーダ製品から、さらに別のバラクーダ製品へとつながっていったのです。 グロスターシャーカレッジのファイアウォールは耐用年数を迎えていました。どの製品に乗り換えたでしょうか。もちろんバラクーダです。Barracuda CloudGen Firewall を「価格と機能の点で頭一つ抜けている」とケヴィンは高く評価しています。 SD-WAN インフラストラクチャを構築した同カレッジは、メールセキュリティに対処する必要がありました。そして、おそらくもうお分かりかと思いますが、ケヴィンはカレッジの Microsoft 365 全体に完全な保護を拡張するために、複数の機能を組み合わせたプラットフォームである Barracuda Email Protection を採用しました。 先を見据える ケヴィンとグロスターシャーカレッジは、サイバー攻撃への潜在的なリスクに対処するために、将来を見据えた取り組みを続けています。今はアプリケーションセキュリティに注目しており、Barracuda Application Protection を検討しています。また、現在のバラクーダと結んでいる契約はすべて更新する予定です。 ケヴィンと彼のチームの取り組みの全容は、こちらで確認できます。 Barracuda Firewall Insights、Barracuda Firewall Control Center など、バラクーダのインフラストラクチャから多くのメリットを得ている様子がわかります。 今すぐケーススタディを入手する 原文はこちら For this UK college, one Barracuda solution leads to...
海外ブログ 2023.11.21
2023年インフラセキュリティ月間に世界の資産を守る 2023年11月3日、Rosey Saini 制定当初はあまり知られていませんでしたが、重要インフラストラクチャセキュリティ月間は近年、着実に脚光を浴びるようになっています。世界で最も重要なシステムやネットワークを保護することが必要だという意識の高まりを反映しています。重要インフラセキュリティ月間は11月に指定されており、私たちが日常的にさまざまなリソースにアクセスできるようにする重要インフラの果たす役割について、市民を啓蒙する全米規模の取り組みです。 日常生活で私たちは、社会の適切な機能に貢献している重要インフラの種類について考えることはまずありません。何か問題が起こったとき初めて、例えば、暴風雨が原因で停電が発生し、緊急対応や交通機関などの必要不可欠なサービスに支障が生じたときに初めて、思いいたるでしょう。重要インフラ部門はすべて、そのエコシステム内で相互につながっているため、あるネットワークやシステムに対する攻撃は、他の複数の業界を同じ脅威にさらす可能性があります(簡単に言えば、ドミノ効果があるのです)。 サイバー犯罪者にとって魅力的な標的となるセクター CISA(米国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁)が保護を重視する重要インフラ部門には、医療・公衆衛生、金融サービス、食品・農業、水道、政府施設、エネルギー・公益事業、運輸などがあります。これらの業界の組織はすべて、家庭や職場での日常生活に不可欠な商品、サービス、施設(インターネット接続、道路や橋、データストレージなど)を提供しています。同時にこれらの業界は、サイバー攻撃の格好の標的になります。というのも、悪意ある行為者から見れば、より現実的な損害を引き起こす機会にあふれているためです。 重要インフラへの注目度の高い攻撃 重要インフラに対するインパクトの大きかった攻撃の最も顕著な例に、2021年のコロニアル・パイプラインの侵害があります。このランサムウェアのインシデントはロシアを拠点とするグループ DarkSide によって実行され、大規模なシャットダウンが6日間近く続きました。コロニアル・パイプラインは米国東部のほぼ半分にガソリン、ジェット燃料、軽油を供給しているため、影響は広範囲に及びました。さらに米政府が州非常事態宣言をしたこともあり、一般市民の間にパニックを引き起こした。価格は急騰し、ガソリンそのものが不足するなか、1万1,000のガソリンスタンドで個人がガソリンの買いだめに走ったのです。 コロニアル・パイプラインは、サイバー犯罪組織による攻撃の結果、数百ギガバイトの機密データが盗まれたため、最終的に500万ドルを暗号通貨で支払い、システムへのアクセスを回復しました。このサイバー攻撃は、重要インフラ分野で発生した多くの攻撃の一つに過ぎません。悪意のあるハッカーがシステムやネットワークを悪用するために使用する最も基本的な手口に、こうしたインフラ業界がいかに陥りやすいかを浮き彫りにしています。 重要インフラのサイバーセキュリティを向上させる方法 私たちには、セキュリティを向上させる新たな方法を継続的に見いだすという集団的責任があり、そこには予防策の適切な教育も含まれます。以下に、重要インフラ組織が攻撃を受けてビジネスに壊滅的な損害を受けるリスクを減らすために適用できるベストプラクティスをまとめました。 1. ゼロトラスト・アプローチを導入する 重要なインフラ産業において企業は、ゼロトラストポリシーを採用し、業務遂行のために特定のリソースへのアクセスが必要な人にだけがアクセス権が付与させるようにしましょう。ゼロトラストのフレームワークは、最小権限アクセスを提供し、企業が厳格なアクセス制御を維持するのに役立ちます。 2. モノのインターネット(IoT)デバイスの安全性を確保する IoT デバイス用のスマートセンサーなどのガジェットは、さまざまなインフラ全体のアクティビティを監視するのに役立ちますが、ハッカーが機密デバイスにアクセスする潜在的な手段にもなります。したがって、デフォルトのパスワードを変更し、多要素認証(MFA)の使用を取り入れ、暗号化をオンまたは強化することが重要です。 3. インシデント対応計画を策定する 潜在的なサイバー攻撃に備えるために、CISA は組織の次のステップに対処する緊急プロトコルを持つことを提案しています。ここには、企業が資産へのアクセスを回復する方法を概説する回復計画や、解決策に到達するまでに顧客が許容できる最大ダウンタイムに関する情報に焦点を当てた文書が含まれます。 その他のリソース 重要インフラのプロバイダで、IoTまたは運用技術(OT)デバイスのセキュリティ保護に関心がある場合は、セキュリティニーズに対応する Barracuda CloudGen Firewall Rugged または Barracuda Secure Connector の導入をご検討ください。 原文はこちら Conserving the world’s assets during Infrastructure Security Month 2023 Nov. 3, 2023 Rosey Saini https://blog.barracuda.com/2023/11/03/conserving-assets-during-Infrastructure-Security-Month-2023
海外ブログ 2023.11.14
ゼロトラストと最小権限の原則はどのように連動するか 2023年10月27日、Christine Barry 最小権限の原則(PoLP)とゼロトラスト・ネットワークアクセス(ゼロトラスト、または ZTNA)は、堅牢でプロアクティブなセキュリティ対策を実施する上で、互いに補完し合う2つのセキュリティフレームワークです。 最小権限の原則は、ユーザーのアクセス制御に重点を置きます。その根底にあるのは、ユーザーやデバイスが業務を遂行するために必要なアクセスのみを提供することで侵害されたアカウントや悪意のある従業員による潜在的な損害を抑えられる、という考え方です。PoLP は、アクセスの範囲を大幅に縮小し、ネットワーク全体の横の動きを制限し、被害を減らすことができます。PoLP のベストプラクティスとは、グループおよびロールベースのアクセスコントロールの割り当て、管理者アカウントと標準アカウントの使い分け、定期的な権限監査の実施などです。最も基本的なベストプラクティスは、PoLP をデフォルトとし、作成するすべてのアカウントには役割に必要な権限のみを付与することです。 一方、ゼロトラストは、アクセス制御に加えて認可にも重点を置きます。保護されたリソースへのリクエストはすべて脅威であると想定し、ユーザーとデバイスの認証と認可を継続的に検証するのです。検証プロセスでは、誰が何のためにアクセスを要求しているのか、その要求が正常なのか疑わしいのかを判断します。ZTNA の導入を成功させるには、攻撃対象領域と保護すべきリソースを徹底的に理解する必要があります。 組織は、強力なセキュリティ手法を構築するために、前述した両方のフレームワークを統合すべきです。では、ユーザーがネットワークやアプリケーションにログインする際のアクセスチェーンに、両フレームワークがどのようにマッピングされるかを見てみましょう。 1. 本人確認:アクセスチェーンの最初のステップは、ユーザー、アプリケーション、システムを認識し、区別することです。 ゼロトラストでは、リクエストごとに本人確認を行う必要があります。 PoLP の焦点は最小限の権限を付与することであり、これは後の段階でより顕著な意味を持ってきます。 2. 認証:ユーザー認証情報は、保存された情報と照合してユーザーやアプリケーション、またはシステムの主張された身元を確認します。 ゼロトラストは、要求が潜在的な脅威であると仮定します。米国国立標準技術研究所(NIST)は、こちらのレポート(p.7)でその詳細を説明しています。 すべてのリソースの認証と認可は動的に行われ、アクセスの許可される前に厳格に実施されます。これは現行のコミュニケーションにおいて、アクセスを取得し、脅威をスキャン・評価し、適応し、信頼を継続的に再評価するという絶え間ないサイクルなのです。 最小権限の原則は認証メカニズムを規定しません。ゼロトラストは、PoLP ポリシーが確実に実施され、正しい権限を持つ者だけがリソースにアクセスできるようにします。 3. 認可:ユーザーの認証された ID に基づいて、どのようなアクションを実行できるか、どのようなリソースにアクセスできるかを決定します。 ゼロトラストは、多くのデータポイントをリアルタイムで評価します。これには、ユーザーの行動、デバイスの健全性、時間帯、位置情報などが含まれます。事前に設定されたパーミッションに厳密に依存することはありません。 PoLP は、ユーザーがタスクを実行するために必要な最小限の権限のみを付与されることを規定しています。権限はデフォルトでは制限的であり、真の必要性がある場合にのみ拡張されるべきです。 4. アクセス:認証された ID および許可された権限に基づいて、リソースと対話する能力を付与または拒否するプロセスです。 最初のアクセスが許可された後、ゼロトラストはセッションが終了するまで検証プロセスを繰り返します。これにより、ユーザーの行動が許容されるパラメータから逸脱した場合、アクティブなユーザーが突然アクセスを失う可能性があります。 システム内の移動は、適切に設定された PoLP 戦略によって制限されます。脅威行為者がこのポイントまでアクセスチェーンをうまくナビゲートできたとしても、侵害されたアカウントでできることは限られています。 5. 監査と説明責任:このステップでは、ユーザーとアプリケーション、およびシステムの活動を監視し、記録します。 ゼロトラストでは、ユーザーの行動とコンテキストを継続的に評価するため、包括的な監査証跡が必要です。監査証跡は、潜在的な脅威を特定し対応するシステムの能力を向上させるために使用されます。つまり、このデータは脅威の発見とインシデントレスポンスにおける重要な要素なのです。 PoLPの権限セットは、ユーザーの真のニーズと一致していないかもしれません。監査ログは、許可されていないリソースへのアクセスを試みるパターンを明らかにしたり、特定のリソースが期待通りに使用されていないことを示したりすることができます。管理者はこの情報を利用して、従業員が必要なものを確実に利用できるようにしつつ、可能な限り最高のセキュリティを維持できるのです。 組織は、強力なセキュリティ手法を構築するために、両方のフレームワークを統合する必要があります。バラクーダは、ゼロトラストアクセスをはじめとする堅牢なセキュリティおよびデータ保護ソリューションを迅速かつ容易に導入できるよう支援します。詳しくは、https://www.barracuda.co.jp まで。 原文はこちら How Zero Trust and the principle of least privilege work together Oct. 27, 2023 Christine Barry https://blog.barracuda.com/2023/10/27/how-zero-trust-and-the-principle-of-least-privilege-work-togethe
海外ブログ 2023.11.06
導入事例:ロンドンの学校が高度なバックアップで時間を節約し、リスクを削減 2023年10月10日、Tony Burgess 告白します。大きな組織がランサムウェア攻撃によって壊滅的なデータ損失を被ったという記事を読むたび、私はつい、思いやりのない考えを持ってしまいます。いったいなぜ、高品質で最新のバックアップシステムに投資しなかったのか、と。それだけで、ランサムウェアの犯罪者によってデータが暗号化されたり、危険にさらされたり、破壊されたりしたときに、迅速かつ簡単に復旧できるのですから。 もちろん、現実の世界では事はそう単純ではないことも理解しています。組織全体にとっても、IT 部門にとっても、常に予算を優先すべきほかの何かがあります。現在うまく機能しているバックアップソリューションがある以上、最新のバックアップソリューションに投資することを正当化するのは難しいでしょう。しかしいずれ状況が変わり、必要性が痛みを伴うほど高まれば、決断を下すことになります。 ジューイッシュコミュニティ中等学校がテープベースのバックアップからアップグレード イギリスのロンドンにあるジューイッシュコミュニティ中等学校(JCoSS)がまさにそうでした。テープベースのバックアップシステムは、次第に管理に時間がかかるようになり、問題が発生しやすくなっていました。同校のネットワークマネジャーはこう言います。 「バックアップできないファイルなど、対処が必要な箇所が数週間おきに見つかりました。常に気を配っていないと崩壊してしまう状態でした」 その上、同校では Microsoft 365 の利用が増加しており、SharePoint と OneDrive に保存したデータをバックアップおよび復元できるソリューションが必要でした。 折しも、英国には学校を標的としたランサムウェア攻撃の大きな波が押し寄せていました。ランサムウェアによる暗号化の試みから安全に隔離された、強力で信頼性の高いバックアップソリューションの必要性に対する危機感が高まっていたのです。 バラクーダ製品を選ぶ JCoSS は徹底的な評価の結果、オンサイトのデータバックアップ用にクラウドレプリケーション機能付きの Barracuda Backup オンプレミスアプライアンスを選択し、Microsoft 365 に保存されたデータを保護するために Barracuda Cloud-to-Cloud Backup を選択しました。 JCoSSのネットワークマネジャーは、バラクーダを選んだ主な要因のひとつにシンプルさを挙げています。 「Barracuda Backup は非常にシンプルで、トレーニングは受けませんでしたし、必要もありませんでした。必要なものはすべてここにあります。Barracuda Cloud-to-Cloud Backup はさらにシンプルです。どちらのシステムも必要なことを正確に実行してくれます」 また、このネットワークマネジャーは Barracuda Backup とCloud-to-Cloud Backup Service を使用することで、以前使用していたバックアップシステムと比較して時間を大幅に節約できることを特に評価しています。 「Barracuda では月に最大 15 分を費やす必要がありますが、これは大したことではありません。以前は2週間に1回、数時間を費やしていました。 導入事例の全貌 ランサムウェアの脅威に直面した JCoSS 校が、高度で使いやすいデータ保護という真の安心を手にするまでの道について、詳しくはこちらをご覧ください。 導入事例を見る 原文はこちら Case study: London school saves time, slashes risk with advanced backup Oct. 10, 2023 Tony Burgess https://blog.barracuda.com/2023/10/10/case-study–london-school-saves-time–slashes-risk-with-advanced
海外ブログ 2023.10.24
バラクーダの注目する脅威:受信トレイのルールを悪用する攻撃者の実態 2023年9月20日、Prebh Dev Singh メールの自動受信ルールは、ほとんどのメールクライアントの便利でおなじみの機能です。メールを特定のフォルダに移動させたり、留守中に同僚に転送したり、あるいは単に削除したりすることで、受信トレイに毎日のように押し寄せる必要な、あるいは不要なコミュニケーションの管理に役立ちます。 あなたのアカウントに侵入した攻撃者は、受信トレイのルールを隠れみのにすれば、受信トレイ経由で情報をネットワークからこっそり移動させたり、セキュリティ警告が表示されないようにしたり、特定のメッセージを見つけにくいフォルダにファイルしたり、金銭を引き出すために上級役員になりすまして送ったメッセージを削除したりすることができます。 要するに、これは実に見事な攻撃戦術なのです。ステルス性を確保しつつ、侵害したアカウントで簡単に実行できるのですから。 メールの検出は、ここ数年で進歩しており、機械学習の使用によって疑わしいルール作成を簡単に検出できるようになっています。にもかかわらず、バラクーダの検出数が示すように、攻撃者はこのテクニックをうまく実装し続けています。このテクニックは侵害されたアカウントを必要とするため、全体的な数は比較的少ないかもしれません。しかし、組織のデータと資産の完全性に対する深刻な脅威であることに変わりはありません。というのも、ルール作成は侵害後の手法です。つまり、攻撃者はすでにネットワーク内にいるということになります。攻撃者を排除するには、早急な対応が必要です。 そのリスクを理解し、対応策を考えることが重要です。このブログでは、攻撃者がどのように自動メールルールを悪意のある活動に利用しているのか、効果のない防御策とある防御策について説明します。 電子メールは第一の攻撃ベクトルである メールを介した攻撃は成功率が高く、多くタイプのサイバー攻撃の入口となっています。バラクーダの調査によると、世界各国の企業を対象とした調査では、75%が2022年に少なくとも1件のメールセキュリティ侵害に遭っています。 これらの攻撃は多岐にわたります。基本的なフィッシングや悪意のあるリンクや添付ファイルから、ビジネスメール侵害(BEC)、会話の乗っ取り、アカウントの乗っ取りなどの高度なソーシャルエンジニアリング手法まであります。最も高度なタイプの中には、悪意のあるメールルールに関連するものもあります。 攻撃者はなぜ、そしていかにして自動メールルールを作成するのか 悪意のあるメールルールを作成するためには、攻撃者はターゲットのアカウントを侵害しておく必要があります。たとえば、フィッシングメールを成功させたり、以前の侵害で盗んだ認証情報を使用したりします。いったん攻撃者が被害者のメールアカウントをコントロールすると(これがアカウント乗っ取りと呼ばれるタイプの攻撃です)、1つまたは複数の自動メールルールを設定することができます。ごく簡単なプロセスで、攻撃者はメールボックスへのステルス的かつ持続的なアクセスを維持することができます。そして、それをあらゆる悪意のある目的に利用できます。 メールルールを利用して情報や金銭を盗み、発見を遅らせる 攻撃者は「支払い」「請求書」「機密」といった、機密性が高く、潜在的に有利なキーワードを含むすべてのメールを外部アドレスに転送するルールを設定するかもしれません。 あるいは、メールルールを使用して、特定のメールを読まれないようにするためにほとんど使用されていないフォルダに移動したり、メールを既読にしたり、単に削除したりすることもあります。たとえばセキュリティアラートやコマンド・アンド・コントロール通信、侵害されたアカウントから送信された内部スピアフィッシングメールへの応答を隠したり、侵入者に気づかないまま同じアカウントを使用しているであろうアカウントの本当の所有者から痕跡を隠したりします。 さらに攻撃者は、被害者の活動を監視するためにメールの転送ルールを作成し、被害者や被害者の組織に関する情報を収集して、さらなる悪用や作戦の一部として利用することもできます。 ビジネスメール侵害(BEC)攻撃にメールルールを使用する BEC 攻撃は、メールが正当なユーザーから送信されたものであると他者に信じ込ませることで企業やその従業員、顧客、パートナーから詐取しようとします。 攻撃者は、最高財務責任者(CFO)など特定の同僚からの受信メールをすべて削除するルールを設定することができます。これにより、攻撃者はCFOになりすまし、同僚に偽のメールを送り、攻撃者が管理する銀行口座に会社の資金を送金するよう説得することができます。 2020年11月にFBI は、ウェブベースのメールクライアントとデスクトップのメールクライアントの間の同期とセキュリティの可視性の欠如を悪用したサイバー犯罪者が、メールの転送ルールを設定してBEC攻撃が成功する可能性を高めていると公表しました。 標的型国家攻撃にメールルールを使う 悪意のあるメールルールは、標的型攻撃にも使用されています。攻撃者の戦術とテクニックに対応するフレームワークMITRE ATT@CK® フレームワークは、悪意のあるメール転送を T1114.003 に分類し、この手法を使用する3つの高度継続的脅威グループ(APT)を挙げています。サイバースパイ活動を行う国家レベルの脅威行為者である Kimsuky、恐喝や妨害攻撃で知られる LAPSUS$、そして知的財産や研究の窃盗に関連する国家レベルのグループ Silent Librarian の3つです。 MITREは、メールの隠蔽ルール(T1564.008)を防御回避に使用される手法として分類しています。このテクニックを使用することが知られている APT の1つである FIN4 は、金銭的な動機を持つ脅威行為者で、被害者のアカウントにルールを作成し、「ハッキング」「フィッシュ」「マルウェア」などの単語を含むメールを自動的に削除します。おそらく、侵害を受けた組織の IT チームが従業員らに攻撃者の活動を警告するのを防ぐためでしょう。 単独では防御できない 悪意のあるルールが発見されなければ、被害者のパスワードが変更されても、多要素認証がオンになっても、他の厳しい条件付きアクセスポリシーが課されても、あるいは被害者のコンピュータが完全に再構築されたとしても、そのルールは有効なままです。ルールが取り消されない限り、そのルールは有効なままなのです。 さらに、不審なメールルールは攻撃を見抜く良い兆候ではありますが、そこだけを見ても、アカウントが侵害されたことを示す強力なシグナルとはなり得ません。防御チームは複数のシグナルを使用することで初めて、ノイズを減らし、成功しそうなメール攻撃をセキュリティチームに警告することができるのです。攻撃者が巧妙な手口を使うなど、サイバー攻撃はダイナミックかつ進化しているため、検知と防御にも多面的なアプローチが必要です。 効果的な防御 受信トレイのルール作成は侵害後のテクニックであるため、最も効果的な防御は予防、つまり攻撃者が最初にアカウントを侵害することを阻止することです。しかし、侵害されたアカウントを特定し、その影響を軽減するためには、効果的な検出とインシデントレスポンス対策も必要です。 これには、各従業員の受信トレイで実行されるすべてのアクション、作成されるルール、変更またはアクセスされる内容、ユーザーのログオン履歴、送信されるメールの時間と場所、およびコンテキストなどの完全な可視性が含まれます。バラクーダのAI ベースの防御機能は、このようなデータを使用して、各ユーザーのインテリジェントなアカウントプロファイルを作成します。また、バラクーダのなりすまし対策は、ログインデータ、メールデータ、および統計モデルなど複数のシグナルをルールと共に使用して、アカウント乗っ取り攻撃を識別します。 最後に、バラクーダの XDR クラウドセキュリティやセキュリティオペレーションセンター(SOC)による24時間365日の監視などの拡張検出および対応(XDR)対策は、深く隠れて難読化されたアクティビティも確実に検出し、無効化するのに役立ちます。 この「バラクーダの注目する脅威」は、プレブ・デブ・シンが執筆し、ティリー・トラバースとアレックス・エンジェルがリサーチと内容のサポートを行いました。 2023年のメールセキュリティトレンド 原文はこちら Threat Spotlight: How attackers use inbox rules to evade detection after compromise Sep. 20, 2023 Prebh Dev Singh https://blog.barracuda.com/2023/09/20/threat-spotlight-attackers-inbox-rules-evade-detection
海外ブログ 2023.10.17
キッシング:QR コードメール攻撃について知っておくべきこと 2023年10月5日、Olesia Klevchuk 今日のデジタル時代において、私たちの私生活や仕事をより便利にするために、テクノロジーの利用は絶えず進化しています。クイック・レスポンス(QR)コードもそのような進歩のひとつです。この二次元バーコードによって、ユーザーはウェブサイトの URL や連絡先情報を共有したり、支払いを行ったりすることができます。QR コードは私たちの日常生活を便利にすると同時に、サイバー犯罪者が悪用する新たな道を開いてしまったのです。キッシング(quishing)とも呼ばれる QR コードによるフィッシング攻撃は増加の一途をたどっており、ユーザーにとっても組織にとっても大きな脅威となっています。 サイバー犯罪者は電子メール攻撃に QR コードをどのように利用しているか ハッカーは、電子メール攻撃に QR コードを使用し、受信者をだまして悪意のあるウェブサイトにアクセスさせたり、端末にマルウェアをダウンロードさせたりします。このような攻撃には通常、人々がメールに寄せる信頼を悪用したソーシャルエンジニアリングの手口が使われます。以下は、サイバー犯罪者が使用している手口の例です。 フィッシング・リンク 攻撃者は、フィッシングメールに QR コードを埋め込み、ユーザーにコードをスキャンさせ、信頼できるサービスやアプリケーションに見せかけた偽のページにアクセスさせます。被害者は通常、だまされてログイン情報を入力し、攻撃者にログイン情報を取られます。 偽の QR コードから、氏名、住所、社会保障番号などの個人情報を要求するアンケートやフォームに誘導されることもあります。被害者は、情報や少額の支払いと引き換えに、報酬や賞品を約束して誘い込まれることもあります。 QR コードメールによるフィッシング攻撃の例 QRコードは、このようなよくできた偽のサインインページにつながります。 マルウェアのダウンロード 同様に、QR コードは、スキャンされると自動的にマルウェアを被害者のデバイスにダウンロードする悪意のあるウェブサイトに被害者をリンクすることができます。このマルウェアは、スパイウェアからランサムウェアまで多岐にわたり、攻撃者はデータを盗んだり、侵害されたデバイスをコントロールしたりすることができます。 侵害されたデバイス QR コードはまた、決済サイトを開いたり、ソーシャルメディアのアカウントをフォローしたり、被害者のアカウントからあらかじめ書かれた電子メールメッセージを送信したりするのにも使われます。つまり、ハッカーは簡単に被害者になりすますことができ、被害者の連絡先名簿にあるほかの人をターゲットにすることができるのです。 メールメッセージ内の QR コード攻撃を検出する QR コードによる攻撃は、従来のメールのフィルタリング手法では検知が困難です。スキャンするためのリンクや悪意のある添付ファイルが埋め込まれていないからです。メールのフィルタリングは、QR コードを宛先までたどって悪意のあるコンテンツをスキャンするようには設計されていません。また、実際の脅威は、企業のセキュリティソフトウェアで保護されていない可能性のある別のデバイスに移行します。 AI や画像認識技術の活用は、こうした攻撃を検知する方法のひとつです。通常、偽の QR コードだけが悪意のあるメールのサインではありません。AI ベースの検出では、送信者、コンテンツ、画像サイズ、配置などの他のシグナルも考慮して、悪意のある意図を判断します。Barracuda Impersonation Protectionは、QR コード詐欺を特定し、ブロックするために、こうしたテクニックを使用します。 ユーザーを教育し、これらの攻撃を予測できるようにしましょう。QR コード攻撃がまだセキュリティアウェアネストレーニングの一部になっていない場合は、将来的にカバーされるようにしてください。ユーザーは、電子メールやその他の方法で配信されたQRコードをスキャンする際に注意を払う必要があります。 原文はこちら Quishing:QRコードメール攻撃について知っておくべきこと 2023年10月5日 Olesia Klevchuk https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks
海外ブログ 2023.10.16
メールセキュリティ : 2023年版メールセキュリティ対策ガイダンス〜 メールセキュルティとは メールはサイバー攻撃の最大の標的です。メールセキュリティについて語る人が多い一方で、予防策を講じない人や会社が多いことは驚きです。 全体で見ると、調査対象企業の 75% が、過去 12ヶ月間に少なくとも 1 回はメール攻撃の被害に遭っています。 Fbi(米国連邦捜査局)のIC3(米国インターネット犯罪苦情センター)によると、サイバー犯罪によって、2019年だけで35億ドルの損害が生じており、BEC(ビジネスメール詐欺)が最大の損害を及ぼしています。 「2023年まで毎年BEC(ビジネスメール詐欺)は倍増し続けて損害は50億ドル以上になり、BECは企業にとって大きな金銭的損害を与えます」と予想されています。(ガートナー、2020年3月) ダウンタイム / ビジネスの中断(44%)、機密データの損失(43%)評判の低下(41%)など、最も深刻な影響が多く報告されています。 標的型メール攻撃による経済的損失を回避するには、一般的なEメールの脅威とは何か、およびそれらに対処する方法を知ることが重要です。 #包括的なメールセキュリティ対策 #TotalEmailProtection #BarracudaImpersonationProtection #BarracudaEmailSecurityGateway
Blog 2023.10.11
なぜパスワードセキュリティが今なお話題になるのか 2023年9月28日、Christine Barry 認証情報を保護することは、ランサムウェアやその他のサイバー攻撃から身を守るためにできる最も重要なことの1つです。パスワード管理やベストプラクティス、多要素認証について書かれた記事は何千とあります。ネットワークドメインやソフトウェア・アズ・ア・サービス(SaaS)アプリケーションをはじめとするシステムの多くは、クレデンシャルに複雑なパスワードを要求しますし、ごく基本的なコンピューターユーザーでもパスワードは共有しないようにという話は聞かされています。なのになぜ、まだパスワードが話題になるのでしょうか。2023年ベライゾンデータ侵害調査レポート(Verizon Data Breach Investigations Report; DBIR)では、脅威アクターが個人データや社会保障番号のような機密情報を含むどのデータタイプよりもクレデンシャルを重視していることが明らかになっています。盗まれたクレデンシャルは全データ侵害の44.7%を占め、2022年の41.6%から増加しています。同レポートによると、盗まれた認証情報はデータ侵害の最も一般的な入口であり、北米(67%)および欧州・中東・アフリカ(53%)で発生した侵害で最も侵害されたデータタイプです。は、盗まれた後も有効なままの認証情報こそが、最も危険な盗まれた認証情報なのです。攻撃者は、認証されたユーザーとして標的のシステムにログインしたがります。認証情報が手に入れば、攻撃者は認証されたユーザーとしてシステムを渡り歩くことができ、長い時間、侵入を検知されることもありません。クレデンシャルはとりわけ、国家アクターや大物ハンターにとって重要なのです。 サイバー攻撃におけるクレデンシャルの使われ方 古くなった認証情報はそれほど価値がないかもしれませんが、攻撃者にとっては古いログイン情報の使用方法がいくつか残っています。だからこそ、盗まれたデータがほぼ間違いなくほかの攻撃者に売られ、より大きなデータセットがより高い価格で売られるのです。以下は、サイバー攻撃でクレデンシャルが使用されるいくつかの方法です。 不正アクセス:クレデンシャルセットの最もわかりやすい使用法は、先ほど述べたように犯罪者がログイン情報を使ってシステムにアクセスし、攻撃を続行する、というものです。 クレデンシャルスタッフィング:これは自動化された攻撃で、盗まれたクレデンシャルセットをローテーションすることによって、Web アプリケーションへのログインを試みます。クレデンシャルセットが多くの異なるWeb アプリケーションで使用されるため、クレデンシャルが最新であるか古いかは問題ではありません。 ユーザー ID とパスワードは、鍵のかかったドアの物理的な鍵のようなものだと考えてください。犯罪者が、同じような鍵の入った袋を持ち、ドアにある鍵をひとつひとつ試して、中に入れるかどうか確かめているところを想像してみてください。そのドアは、銀行、小売店、医療ポータル、空調管理システム、その他のオンライン・サービスに通じているかもしれない。もし鍵が開けられれば、犯罪者はあなたの鍵で開けられるものすべてにアクセスできることになります。1つの鍵が機能しなくても、犯罪者にとっては大した問題ではありません。鍵は何百万とありますし、同時に多くの異なるドアでそれらを使用するボットの軍隊も従えているからです。 複数の調査で、パスワードはしばしば再利用され、共有されていることが明らかになっています。つまり、盗まれたクレデンシャルの一部が複数のシステムで機能する可能性がかなりあるということです。クレデンシャルスタッフィングは非常に一般的な攻撃です。 パスワードの散布:この攻撃はクレデンシャルスタッフィングに似ていますが、全てに同じパスワードで組まれたユーザーアカウントのリストをローテーションします。手軽な犯罪者-ドア-鍵のシナリオでは、鍵は完全なクレデンシャルセットではなく、1つのパスワードを指します。犯人は1つの鍵をすべてのドアで試した後、別の鍵を持って最初の家からまた試します。これは、ルーターや CCTV カメラをはじめとするスマート・デバイスなど、デフォルトパスワードを使用するシステムで最も効果的な攻撃です。この攻撃は、たとえパスワードがなくても犯罪者が確認されたユーザー名を重視する理由の好例です。 ブルートフォース:多くの人はこの攻撃をドアを開けるのに破城槌を使うことに例えますが、筆者はむしろヘアピンなどで錠前をこじ開けるピッキングに似ていると考えています。ブルートフォース(総当たり)攻撃は、攻撃が成功するまで「あらゆる可能な文字、数字、記号の組み合わせを系統的に試す」ことによってパスワードを発見しようとする自動的な試みとユーザー名をペアにしてシステムにログインしようとするものです。この攻撃のほとんどは、単語リストや一般的なパスワード、スマートルールセットから始まり、可能なすべての組み合わせを使ってパスワードを構築しようとします。十分な時間があれば、ブルートフォース攻撃はすべて成功します。ただし、パスワードが複雑で単語リストにもない場合は、正しいパスワードを推測するまでに何年もかかる可能性があります。 こうした攻撃を防御する方法 パスワードセキュリティに関する意識向上と実施に向けた取り組みはかなり進んできているとはいえ、脆弱な認証情報や露出した認証情報から始まる攻撃は依然として相当数見受けられます。ダラス市に対する最近のランサムウェア攻撃は、犯罪者が盗んだ認証情報でどれだけのことができるかを示す一例に過ぎません。認証情報を保護することは、セキュリティ計画の優先事項でなければなりません。パスワード管理のベストプラクティスを導入することは重要な第一歩ですが、それだけでは十分ではありません。企業は、受信トレイ、アプリケーション、エンドポイント、ネットワークエッジを防御するマルチレベルの保護を導入すべきです。 バラクーダのサイバーセキュリティプラットフォームでは、このようなすべての脅威ベクトルを防御し、データを保護できます。このソリューションは、メール、ネットワーク、アプリケーションなど、すべての攻撃サービスを保護します。このような完全なサイバーセキュリティソリューションを提供している企業はほかにありません。 原文はこちら パスワード・セキュリティについて語り続ける理由 2023年9月28日 Christine Barry https://blog.barracuda.com/2021/09/27/why-we-keep-talking-about-password-security
海外ブログ 2023.10.09
バラクーダ、CRN Annual Report Cardで2年連続で大賞を受賞 2023年8月21日、Anne Campbell うれしい報告です。バラクーダが CRN の Annual Report Card Awards(ARC賞)データ保護部門で再び大賞を受賞しました。同部門で最高得点を獲得したうえ、4つのサブ部門のうち3つでバラクーダのソリューションがトップとなりました。サポート、パートナーシップ、およびマネージド&クラウドサービス部門です。 また、Barracuda RMM は MSP RMM 部門で評価され、マネージド&クラウドサービスサブ部門賞を受賞しました。Barracuda RMM が CRN の Annual Report Card に掲載されたのは今年が初めてで、チームはこの受賞をとりわけうれしく思っています。 データ保護の総合的勝利 バラクーダがデータ保護部門で受賞できたのは、Barracuda Cloud-to-Cloud Backup と Barracuda Backup がともに評価されたためです。Barracuda Cloud-to-Cloud Backup は、Microsoft 365 データの包括的なクラウドネイティブバックアップを実装しています。Barracuda Backup は、ストレージ、ソフトウェア、およびインライン重複除外を組み合わせており、何が起きてもデータを損失から保護します。 「当社のバックアップソリューションが今年のデータ保護部門で最優秀賞に選ばれたことに感激しています」と喜びを語るのは、当社データネットワークおよびアプリケーションセキュリティエンジニアリング担当 SVP のティム・ジェファーソンです。「当社のソリューションの価値が評価されたのですから。クラウドベースの SaaS からオンサイトの物理的なバックアップにいたるまで、当社のソリューションの守備範囲は幅広いのです。バラクーダでは、導入から展開、および利用が容易な革新的なセキュリティ製品を提供することを使命としており、今回の受賞は、その使命を果たしている証であると考えています」 Barracuda Backup とBarracuda Cloud-to-Cloud Backup はともに、ランサムウェア攻撃者がバックアップにアクセスできないようにし、バックアップデータをランサムウェアから保護するための多くのセキュリティ機能を実装しています。バラクーダは、ランサムウェア攻撃の検出、防止、および回復を支援するソリューションを提供しており、ランサムウェアに打ち勝つ戦略を構築するのに役立ちます。 Barracuda RMM がマネージド&クラウドサービスのサブ部門で優勝 Barracuda RMM (リモートモニタリング&マネジメント)プラットフォームは 15年以上にわたって、MSP がクライアントに高品質の IT サービスを提供するために必要なツールと洞察を提供しています。セキュリティサービスが企業にとって不可欠となりつつある今、MSP が顧客の進化するニーズを満たせるよう、Barracuda RMM はセキュリティサービス提供機能を強化しました。 過去1年間に RMM ツールに実装した革新的な機能の一部を紹介しましょう。 無料の営業ツール Site Security Scanner の導入 このツールを使えば、MSP は新規顧客や既存顧客とセキュリティに関する会話を簡単に始められます。 SentinelOne Control との統合 MSP...
海外ブログ 2023.09.25
Azure と Barracuda SecureEdge で会社を守る方法 2023年9月5日、Stefan Schachinger 現代のビジネスにおける課題は、ありすぎるといっても過言ではありません。コスト管理や規制環境の変化といった従来のプレッシャーに加え、企業はランサムウェアのような脅威を撃退しなければなりません。ランサムウェアは、安全でない電子メール、ウェブアプリケーション、リモートデスクトップ接続、その他利用可能なあらゆる脅威ベクトルを通じてネットワークに侵入する可能性があります。 バラクーダの調査によると、最も一般的な攻撃手法は業界によって異なります。コンシューマサービス業界ではWebアプリケーションが最も一般的な感染ポイントですが、メディアおよびレジャー、そしてエンターテイメント業界ではネットワークトラフィックがトップの感染源です。その他の業界では、Eメールが最も一般的なエントリーポイントになっていますが、その数には幅があります。組織は、これらの脅威ベクトルすべてを、業務を中断させることなく保護する必要があります。 デジタルトランスフォーメーションとパブリッククラウドが約束した世界は、それぞれに課題をもたらしています。SaaS(ソフトウェア・アズ・ア・サービス)アプリケーションは、オンプレミスと同じように動作するのでしょうか。リモートワーカーが使用するノートパソコンやスマートフォンがマルウェアに感染し、ビジネスを危険にさらしていないでしょうか。メンテナンスのために、ベンダーにモノのインターネット(IoT)デバイスへの仮想プライベートネットワーク(VPN)アクセスを提供することは安全でしょうか。 現在の環境に適切に適合し、ニーズに合わせてエレガントに拡張できる、セキュリティと接続性のソリューションの適切な組み合わせを見つけるのは難しいかもしれません。 ハイブリッドで働く企業の現実 支店や支社勤務、あるいはオフプレミス勤務は目新しいものではありませんが、ここ数年のコロナ禍に起因する分散した働き方は前例がありません。企業はいち早く従業員を在宅勤務に切り替えましたが、それによってビジネス・ネットワークに予期せぬセキュリティやパフォーマンスにギャップができたり、露呈したりしました。米国サイバーセキュリティ・インフラストラクチャーセキュリティ局(CISA)は、露出したリモート・デスクトップ・プロトコル(RDP)エンドポイントが 127 %増加したと報告しています。これらのエンドポイントは、安全でない仮想プライベートネットワーク(VPN)接続とともに、巨額の身代金やワクチン研究、その他価値のありそうなあらゆるものを追い求めるサイバー犯罪の世界的な波の中で、瞬く間に悪用されました。リモートワークは新たな国家安全保障上の問題を生み出し、コロナ禍でロックダウン中の企業を迅速に防御する緊急性が高まりました。 オフィスは戻ってきた従業員で賑わっていますが、ロックダウン後の労働力とビジネス環境は、さらに新たな課題をもたらしました。仕事の一部はクラウドに移行し、一部はデータセンターに残ったままです。社内のコミュニケーションやデータは Microsoft 365 のような SaaS アプリケーションに移行し、その結果、機密情報が「城と堀」の防護の外へと出てしまっています。かつて明確に定義されていたネットワーク境界は流動的なエッジへと進化し、会社がどこへ行こうと防御されなければならないのです。 従来の広域ネットワーク(WAN)およびソフトウェア定義WAN(SD-WAN)ソリューションは、このようなハイブリッドスタイルの仕事のために構築されていません。現在、ビジネストラフィックの大半は Web ベースのトラフィックであり、従業員は場所に関係なく安全なインターネットアクセス (SIA) を必要としています。企業は、ビジネスコストを管理し、従業員の生産性を確保しながら、主要なビジネス目標を追求し続けなければなりません。セキュア SD-WAN の採用が急速に伸びたのは、このようなシナリオがあったからです。 セキュアSD-WANは、サイト間接続を超えるコスト削減とネットワークの俊敏性を提供する新しいタイプの接続です。複数のオフィス、SaaS アプリケーション、パブリッククラウドワークロード、IoT デバイスを、データセンターやブランチオフィスのファイアウォールを介してトラフィックをルーティングすることなくセキュアに接続できます。 セキュアSD-WANは2019年、クラウドネイティブなセキュアアクセスサービスエッジ(SASE)アーキテクチャに含まれるようになりました。 SASEとは何か SASE(「サッシー」と読む)は、ソフトウェアベースのネットワーキングとネットワークセキュリティを組み合わせ、従来のセキュリティおよび接続性ソリューションを超える複数の利点を提供します。支社、モバイルデバイス、IoT システム、エッジコンピューティング拠点など、あらゆるタイプのエッジデバイスに対して、ユーザー ID とリアルタイムの特性に基づいて、企業リソースへの動的で安全なアクセスを実現します。 ここでは、SASE モデルにおけるネットワーキングとセキュリティのコンポーネントを簡単に説明します。 SASE プラットフォームのネットワークセキュリティ、ウェブセキュリティ、セキュアな接続性、その他のコンポーネントは、かつては別々の製品として展開されていました。SASE は、これらのコンポーネントを1つのプラットフォームに統合し、機能として実装できるようにします。Barracuda SecureEdge は、バラクーダのポートフォリオの他のソリューションとシームレスに動作する統合された SASE プラットフォームです。 SASE の利点 SASE の導入は、ネットワーク管理者が必要に応じてセキュリティと接続機能を適用できる単一の統合サービスを提供します。WAN やセキュリティ・ポイント・ソリューションの集合体とは異なり、SASE はエレガントでスケーラブルかつ俊敏なアプローチであり、多くのメリットをもたらします. まず、ネットワークの複雑さと導入コストが削減されます。テクノロジースタック全体が単一のサービスに統合され、さまざまな要素を1つの画面に集めた「1枚板ガラス(single pane of glass)」アプローチを通じて集中管理されます。Microsoft Azureのサービス指向の消費モデルにより、Azure Marketplace を通じた SASE の実装はさらにコスト効率が高くなります。全体として、SASE と Azure の組み合わせは、総所有コスト(TCO)を削減し、デプロイの投資収益率(ROI)を増加させることができます。 次に、IoT デバイスやその他のハードウェアは、SASE 管理者が事前に設定することができ、どのような場所でもゼロタッチで導入することができます。これにより、設定ミスや不整合のリスクを低減し、人為的なミスが起こりにくい展開が可能になります。また、ゼロタッチデプロイメントでは、専門的な手動介入が不要なため、必要に応じてインフラストラクチャーを簡単にスケールアップまたはスケールダウンすることができます。これは、Azure の消費モデルに完全に適合しています。 そして、ネットワークとアプリケーションのパフォーマンスが、すべてのユーザーにとって改善されます。SASE は、ラストマイルの最適化、アプリケーションの優先順位付け、接続の冗長性やフェイルオーバーを提供します。SASE サービスによる配信の合理化により、ユーザー、サイト、クラウド接続のあらゆる組み合わせのパフォーマンスと信頼性が向上します。こうした改善は、遅延の影響を受けやすいアプリケーションに大きな影響を与えます。 さらにゼロトラスト・ネットワークアクセス(ZTNA)は、シームレスで一貫したセッション保護を提供します。これは、クラウド、SaaS、オンプレミスのリソースに当てはまります。ゼロトラスト認証は、「信頼せず、常に検証する」という原則に基づいています。VPN が信頼を確立するためにクレデンシャルセットに依存するのに対し、ゼロトラストは管理者によって構成されたクレデンシャル、デバイス、時間、およびその他のパラメータに依存します。これらのパラメータは、ユーザーがネットワーク上で何かを要求するたびに検証されます。ゼロトラストはまた、ネットワークセキュリティを大幅に向上させるベストプラクティスである最小特権の原則を確立し、実施します。 ZTNA は、ファイアウォール・アズ・ア・サービス(FWaaS)やセキュアウェブゲートウェイ(SWG)のような他の SASE コンポーネントと組み合わせることで、コロナ禍の間に明らかになったセキュリティギャップに対処します。管理者は、データセンターの認証とポリシー実施を ZTNA と...
海外ブログ 2023.09.18
