お知らせ
Barracuda Email Security Gateway のファームウェア8.1.0.003が2018年12月12日、GAリリースされました。お早めのファームウェアアップデートを願いします。 ファームウェアリリースノートはこちらからご覧頂けます。 http://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=firmware&version=8.1.0.003&platform=2
2025年8月26日未明より下記の障害が発生しておりましたが、同日午前10時20分頃に復旧致しました。影響を受けられたお客様にはご不便・ご迷惑をお掛けし、大変申し訳ございませんでした。 【発生日時】2025年8月26日 未明 【復旧時刻】2025年8月26日 午前10時20分頃 【発生事象】 Cloud Controlにログイン後、左ペインから[Backup]を選択しても、右ペインのダッシュボードでロード状態が続き、表示されない。 Cloud Control で[バックアップ][リストア] 等メニューを選択しても、左ペインからバックアップアプライアンスが選択できない 【原因】本障害は、弊社クラウド内で利用されているDNSサービスの障害の影響により発生しておりました。8月26日午前10時20分に復旧を確認しておりますが、もし問題の継続が見られるようでしたら、弊社サポートチームまでご連絡下さい。 バラクーダネットワークスジャパン テクニカルサポート窓口 対応時間:平日9:00~17:00 (弊社指定の休日除く) E-mail : jsupport@barracuda.com 電話 : 050-1791-0530
2025年7月24日、Threat Analyst Team 7月中に、Barracudaの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。その多くは、人気のフィッシング・アズ・ア・サービス(PhaaS)キットを活用していました。脅威には以下のものが含まれます: Tycoon PhaaSがAutodesk Construction Cloudを偽装した資格情報フィッシング攻撃 米国在住のドライバーを標的とした偽の道路料金違反詐欺 PhishingメールがZix Secure Messageサービスを模倣 EvilProxy攻撃がRingCentralを偽装 Gabagoolフィッシングキットがビジネス生産性ツールを悪用した毒性PDF CopilotとSharePointのブランドを組み合わせたフィッシング攻撃 LogoKit Roundcubeウェブメールサービスを利用した資格情報窃取攻撃 Tycoonリンクをドキュメントダウンロードとして配布 Autodesk Construction Cloudを悪用したフィッシング攻撃 脅威の概要:Barracudaの脅威アナリストは、攻撃者がAutodesk Construction Cloudを悪用して高度なフィッシング攻撃を配信していることを確認しました。Autodesk Construction Cloudは、設計から建設、プロジェクト管理、予算管理まで、建設プロジェクトに携わる人々が利用するオンラインコラボレーションツールのセットです。 Barracudaが確認した攻撃では、攻撃者は信頼できる役員を装い、Autodesk経由で公式に見えるプロジェクト通知を送信します。これらの通知は、Autodeskがホストするページに誘導し、一見無害なZIPファイルが含まれています。 ZIPファイルには、フィッシング攻撃を開始するHTMLファイルが含まれています。 HTMLファイルを開くと、フィッシング攻撃でよく使われる偽のCAPTCHA認証画面が表示されます。これは攻撃に信憑性を与え、自動セキュリティ検出を回避する効果があります。ユーザーは、本物そっくりのページでMicrosoftのログイン資格情報を入力するよう促されます。 このキャンペーンでは、Microsoftのログイン画面を模倣し、二要素認証の保護を回避するように設計された「Tycoon 2FAフィッシングキット」が使用されています。 攻撃者は米国在住のドライバーを標的とした新たな料金詐欺キャンペーンを展開 脅威の概要:米国在住のドライバーを標的とした新たなフィッシング詐欺が、未払いの料金に関する偽の通知を送信しています。被害者はテキストメッセージ、メール、または電話で緊急のメッセージを受け取ります。これらのメッセージは、正規の料金徴収機関から送信されたように見えます。メッセージでは、受取人が料金を支払わない場合、アカウントの停止や法的措置が取られると脅迫します。 メッセージには、車番やクレジットカード情報などの機密情報を入力させる偽のウェブサイトへのリンクが含まれています。詐欺師はこれらの情報を収集し、金銭的利益や身分盗用目的に利用します。 緊急性を強調し、公式ブランドを偽装する手法は、受信者がメッセージの正当性を確認せずに迅速に行動するよう圧力をかけ、この詐欺の有効性を高めています。 Zix Secure Message Centerを偽装したフィッシングキャンペーン 脅威の概要:このキャンペーンは、医療、金融、法律、政府機関など多くの組織で利用されている暗号化メールサービス「Zix Secure Message Center」を模倣しています。 被害者は、安全なメッセージに関するメールを受け取り、リンクをクリックして閲覧するよう促されます。リンクをクリックすると、偽のZixページに誘導され、メールアドレスの入力が求められます。その後、ユーザーは資格情報を盗むために設計された偽のMicrosoftログインページにリダイレクトされます。 このキャンペーンは、Zixの実際のワークフローとブランドを忠実に再現しているため、受信者が詐欺に気づきにくい点が特徴です。ZixやMicrosoft 365などのメール暗号化サービスを利用している組織は特にリスクが高いです。 EvilProxyによるRingCentralを偽装した偽のボイスメール攻撃 脅威の概要:Barracudaの脅威アナリストは、偽のボイスメール通知を利用して被害者を悪意のあるサイトに誘導し、資格情報を入力させる高度なフィッシング攻撃を確認しました。 RingCentral(人気のクラウドベースのビジネスコミュニケーションおよびコラボレーションプラットフォーム)を装った攻撃者は、個人情報を盛り込んだ「新しいボイスメール」に関する説得力のあるメールを送信します。再生ボタンをクリックすると、信頼できるニュースレタープラットフォーム(Beehiiv)から始まり、正当なクラウドホスティング(Linode)を経由し、最終的にglitch.meでの検証ステップにリダイレクトされます。 これらのステップは攻撃の検出を回避し、信頼性を高めます。最終的な目的地は、Microsoftの資格情報を収集するために設計されたEvilProxy PhaaSキットを使用したフィッシングページで、一般的なセキュリティチェックを bypass します。この多層的なアプローチにより、攻撃は検出が困難で非常に効果的です。 サマリ Gabagoolフィッシングキットがビジネス生産性ツールを悪用し、有害なPDFを拡散 脅威の概要:Gabagoolは、ステルス性と効果で知られる高度なPhaaSキットで、企業や政府の従業員を標的とした高度な資格情報の窃取戦術を使用します。Barracudaの脅威アナリストは、GabagoolとNotion.comのビジネス生産性ツールのファイル共有機能を使用して、フィッシングリンクを含む悪意のあるPDFファイルを配布する攻撃者を検出しました。これらのPDFは、ユーザーの資格情報を窃取する目的で設計されたフィッシングページに誘導します。信頼されたプラットフォームと一見無害なPDFファイルを悪用することで、攻撃者は標準的なセキュリティ対策を回避する可能性を高めています。 CopilotとSharePointのブランドを組み合わせたフィッシング 脅威の概要:サイバー犯罪者は、Microsoft SharePointとCopilotのブランドをフィッシングスキームに組み込み、内部またはベンダーのアカウントから送信された本物の「ドキュメント共有」アラートのように見えるメールを作成しています。これらのメッセージは、受信者にリンクをクリックさせ、巧妙に偽装されたMicrosoftログインページに誘導します。このキャンペーンは、Microsoftツールに依存する組織を標的とし、不注意な従業員からログイン資格情報を収集することを目的としています。 LogoKitはRoundcubeウェブメールサービスを利用して資格情報窃取をサポート 脅威の概要:このフィッシングキャンペーンは、Roundcubeの無料オープンソースウェブメールクライアントのユーザーを標的とし、パスワードが48時間以内に失効するとの偽の警告を表示します。メッセージには、現在のパスワードを維持するためと称するリンクが含まれていますが、これはLogoKitツールキットを使用して作成されたフィッシングサイトに誘導されます。ここでユーザーは資格情報を入力するよう促され、その情報が攻撃者に収集されます。 Tycoon PhaaSリンクがプロジェクト文書ダウンロードとして配布 脅威の概要:このフィッシングキャンペーンは、『Project Overview.pdf』などの正当なビジネス文書を装ったメールを流通させています。被害者はダウンロードリンクをクリックするよう誘われ、複数の中間ページを経由して悪意のある意図を隠蔽した後、最終的にTycoon PhaaSホストのフィッシングサイトに誘導されます。このモジュール式で回避性の高い戦略は、攻撃者が検出を回避し、悪意のあるURLの有効期間を延長するのに役立ちます。このキャンペーンは、文書をやりとりすることに慣れたビジネスユーザーを標的とし、フィッシングリンクを信頼してクリックする可能性が高く、資格情報の盗難やビジネスへの侵害につながる可能性があります。 Barracuda Email Protectionが組織を支援する方法 Barracuda Email Protectionは、高度なメール脅威から防御するための包括的な機能セットを提供します。これには、フィッシングやマルウェアから保護するEmail Gateway Defenseや、ソーシャルエンジニアリング攻撃から守るImpersonation...
2025年7月21日、Tony Burgess 本日のマルウェア概説では、ほぼ同じ時期に現れた4つの異なるマルウェアの例を簡単に紹介します。これらのマルウェアは、それぞれのグループによって異なる目的で利用される複雑な脅威の連鎖を実証しています。 このケースでは、RomCom RAT、TransferLoader、MeltingClaw、DustyHammockの4つが、2020年代初頭にロシアのウクライナ侵攻後に特定されました。これらのマルウェアは、ロシア語を話すグループによってウクライナ、ポーランド、および一部のロシアの標的に対して広く使用されています。 RomCom RAT タイプ: リモートアクセストロイの木馬(RAT) 配布方法: フィッシングキャンペーン、改ざんされたURL、偽のソフトウェアダウンロード 変種: SingleCamper 最初の特定: 2022年 主な標的: 主にウクライナの標的に対して展開されています 既知のオペレーター: TA829、UAT-5647 RomCom RATは、脅威アクターがエンドポイントコンピュータを遠隔操作するためのバックドアを作成するために使用されます。ロシア関連グループTA829は、このツールを含む他のツールを情報収集や金融詐欺に利用しています。このグループは通常、Mozilla FirefoxとMicrosoft Windowsの脆弱性を悪用してRomCom RATを拡散します。 RomCom RATでシステムが侵害されると、脅威アクターは通常、TransferLoaderやSlipScreenのようなステルスローダーをシステムに挿入します。これらのローダーは、ターゲットシステムにランサムウェアをロードするために使用されます。 当初はロシア語を話すグループによってウクライナとポーランドの標的に対して主に使用され、その後金融犯罪に適応されました。 TransferLoader タイプ: マルウェアローダー 配布方法: 就職応募をテーマにしたフィッシングキャンペーン、RAT感染 最初の発見: 2025年2月 既知のオペレーター: UNK_GreenSec、RomCom TransferLoaderは、ダウンロードツール、バックドア、バックドアローダーを組み合わせ、脅威アクターが侵害されたシステムに変更を加え、ランサムウェアや他のマルウェアを挿入する機能を可能にします。 初めて発見されたのは、アメリカのある法律事務所のシステムにMorpheusランサムウェアをロードするために使用された際です。その後、MeltingClawやDustyHammerなどのマルウェアをドロップするために使用されています。 TransferLoaderはステルス性を重視して設計されており、検出を回避するための多様な技術を採用しています。ダウンロードされた悪意のあるコードを実行する際、偽のPDFファイルを開くことで活動を隠蔽します。 MeltingClaw タイプ: ダウンロードツール バリエーション: RustyClaw 最初の発見: 2024 既知のオペレーター/作成者: RomCom — 別名 Storm-0978、UAC-0180、Void Rabisu、UNC2596、および Tropical Scorpius 高度な スピアフィッシングキャンペーンが、ダウンロードツール MeltingClaw とその派生版 RustyClaw の配信に利用されました。これらのツールは、バックドア DustyHammock または ShadyHammock をダウンロードしてインストールします。 これらのステルス性の高いバックドアは、ターゲットシステムへの長期アクセスを可能にし、データの発見・窃取やその他の悪意のあるタスクを実行できます。ロシアのウクライナ侵攻中に、ウクライナのシステムに対する諜報活動と破壊活動に利用されました。 DustyHammock タイプ: バックドア バリエーション: ShadyHammock 初確認: 2024 DustyHammockは、コマンドアンドコントロールサーバーとの通信、標的システムでの初期偵察、脅威アクターが任意のコマンドを実行したり、悪意のあるファイルをダウンロードして配置したりする機能を実行するように設計されています。 検出を回避しながら長期的なアクセスを可能にするため、DustyHammockはデータ漏洩とスパイ活動、および破壊活動に利用されています。...
