BianLian:顔を変えるランサムウェアの脅威 2024年8月9日、Christine Barry サイバー犯罪の世界では、奇妙なブランド名は尽きることがありません。脅威をもたらす行為者は、人々を威嚇し、強力で巧妙な脅威であるというイメージを植え付けようとします。「ボブのランサムウェア」と呼ばれるものは、REvilやHiveほど不穏なものではありません。 REvilとHiveはどちらも「バイオハザード」を思わせる不穏な雰囲気を持っています。そして、Rhysidaというランサムウェアもあります。これはランサムウェアにふさわしい名前ですが、Rhysidaが何なのか知っている人だけがそう思うでしょう。詳細を理解するには調べる必要があるでしょう。そして、RansomHubは不気味な出会い系アプリのように聞こえます。 今日は、BianLianと呼ばれるランサムウェアの脅威に注目しますが、このグループは私が尊敬しうる命名を行いました。オリジナルのBianLianは「ビーイェンリーイェン」と発音され、四川オペラに組み込まれた伝統的な中国の芸術形式です。この名前は「顔が変わる」と訳され、パフォーマーがさまざまなキャラクターや感情状態を描写、巧妙な手口やその他の技術を使用して、マスクをほぼ瞬時に交換します。以下のビデオで例を見ることができます。 まるで魔法のようです。 脅威アクターのBianLianは、Bian Lianの美しい芸術とはまったく異なりますが、「顔を変える」という名前は的を射ているということができます。 BianLianの起源について BianLian関連のインフラストラクチャは早くも2021年12月に検出されており、専門家は、グループがその時点でツールセットを積極的に開発していたと考えています。このランサムウェアは2022年7月に登場し、8月末までに、このグループはコマンド&コントロール(C2)インフラストラクチャを3倍に増やし、いくつかの業界で被害者をリストアップしました。 活動から1か月以内のBianLianの被害者、Cyble経由 一部の専門家は、BianLianは、同様の戦術、技術、手順(TTP)と観察可能な活動のタイムラインにより、Pysaグループのブランド変更または分派であると推測しています。この理論を裏付ける証拠は、公式の勧告や詳細な分析を発表していません。それどころか、Recorded Futureの研究者は、BianLianが2022年のランサムウェアシーンの真の新参者であると理論付けました。彼らは当時、これらの観察結果を発表しました。 …BianLianグループは、ランサムウェアエコシステムにおける新しい存在であるように見えます。さらに、BianLianの攻撃者は、ネットワークへの侵入に非常に長けているが、恐喝/ランサムウェアビジネスには比較的新しい個人のグループを表していると評価しています。… このアクターは、被害者のネットワークを侵害することに長けていることを証明していますが、私たちは以下のことを見てきました。 被害者から別の被害者に誤ってデータを送信する。 比較的安定したバックドアツールキットを所有していますが、進化する身代金メモを備えた暗号化ツールを積極的に開発しています。 被害者とのコミュニケーションに長い遅延。 グループ自身がOnionのサイトで認めているため、インフラストラクチャのビジネス面は信頼できません。 それ以来、BianLianは成熟しており、グループはランサムウェアの運用により経験豊富な新しいメンバーを獲得した可能性があります。私たちが確実に知っているのは、約2年間の運用で、BianLianは世界中のあらゆる規模の企業を犠牲にしてきたということです。 BianLianの脅威アクターの正確な場所は不明のようですが、グループは通信にロシア語を使用しており、ロシア語圏の国を標的にしていません。彼らの脅威活動は、米国(米国)、オーストラリア、およびヨーロッパの被害者に重点を置いています。これらの攻撃の大部分は、米国の製造業者や医療機関に対するものです。このグループは、イデオロギーや国民国家と結びついているようには見えない。BianLianはただお金を稼ぐために出かけており、ここでの彼らのプロフィールは、金銭的な動機を持つランサムウェアグループの典型です。政治や社会経済の問題はさておき、このグループは、対象国の法執行機関に協力しない場所で活動したいと考えています。 BianLian グローバル インパクト (Bleeping Computer 経由) BianLianと暗号化 BianLianは、ここ数年でその名にふさわしいことを証明しました。このランサムウェアはGo(またはGoLang)で書かれているため、コードの更新プロセスが簡素化され、機能、ステルス性、永続性が向上しています。この継続的な開発により、BianLian ランサムウェアのいくつかのバージョンが生まれましたが、ほとんどの場合、新しいセキュリティ対策に対応していました。また、このグループは、ツールセットの速度とパフォーマンスを向上させるために、コードを微調整しました。しかし、最も顕著な変化は、2023年にグループが暗号化からデータ流出に業務を移行したことです。 BianLian ランサムウェアは、2022 年に発売されたときにいくつかの脆弱性がありました。初期のバージョンでは、欠陥のある暗号化アルゴリズムや壊れた実装を使用していたため、身代金を支払わずにファイルを復号化して復号化キーを取得することができました。2023 年 1 月、アバストの研究者は無料の BianLian 復号化ツールを一般に公開し、脅威アクターに多大な損害をもたらしました。BianLian ランサムウェアは、暗号化キーもコマンド アンド コントロール (C2) サーバーとの通信に依存しており、これらのサーバーへのアクセスをブロックすると暗号化プロセスがブロックされます。ネットワーク監視ツールは、簡単な自動化でそのタスクを実行できます。 BianLianは、C2通信を含むツールセットのステルス機能とバックドア永続性機能を改善し、脅威のデータ流出側に傾倒することで、これらの欠陥と公開されている復号化機能に対応しました。「恐喝のないランサムウェア」の使用は増加しており、多くの脅威アクターは、企業がデータのプライバシーを維持するためよりも復号化にお金を払うことを望んでいないことに気づいています。ほとんどのランサムウェアグループは、いまだに恐喝の手段として暗号化を使用していますが、最近では盗まれたデータが現実の金銭となっています。 BianLianがランサムウェアのバイナリを実行すると、ファイルの名前が変更され、身代金要求メモが生成されます。 BianLianは、サイバーエクスプレスを介してファイルを暗号化しました BianLian 身代金メモ (2023)、アバスト経由 BianLianが米国や世界経済にどれだけの損害を与えたかを知る方法はありませんが、「膨大な規模」と捉えることができます。米国では、昨年、医療侵害の平均コストは1,100万ドル近くに達しました。製造業者のインシデントあたりのコストは低くなっていますが、上昇し続けています。これらのセクターは、BianLianや他の多くの脅威アクターにとって好ましいターゲットです。 BianLian攻撃の仕組み BianLian ランサムウェアの感染は、多くの場合、フィッシング メール、侵害された資格情報、または脆弱性の悪用から始まります。これらの戦術は脅威アクターにとって一般的なものであるため、BianLianはこれに関して特別なことは何もありません。しかし、この機会に、私たちは自分自身(そして私たちが知っているすべての人)に、自分の資格情報を保護することが非常に重要であることを思い出すべきです。RockYou2024やCollection #1のようなリストは、攻撃者が自動化された攻撃に使用される何十億ものユニークなメールとパスワードの組み合わせを含む新しいリストを作成する可能性を提供します。認証情報は脅威アクターにとって常に価値があり、AIの助けを借りて、認証情報の盗み、推測、または実際のデータセットへの道筋を計算することがはるかに容易になります。多くの脅威アクターは、侵害されたシステムへのアクセスを販売することを専門とする他の攻撃者から資格情報セットを購入するだけです。 BianLianがシステムに侵入すると、ローダーとしても機能する複数のバックドアを展開することで、永続性、制御性、冗長性を確立します。BianLian バックドアは、システム上で追加のマルウェアをダウンロードして実行し、C2 サーバーとの通信に必要な情報が含まれています。このバックドアにより、攻撃者はコマンドを実行し、必要に応じてデータを盗み出すことができるため、BianLian攻撃の重要な構成要素となっています。 バックドアやその他のツールが確立された後、BianLianはアカウントの権限を昇格させ、セキュリティポリシーを無効にしようとします。このグループは、正規のシステムユーティリティを使用してネットワーク内を横方向に移動し、Makopランサムウェアと共有するカスタムデータ抽出ツールを使用してデータを見つけて盗みます。この時点で、攻撃は暗号化バイナリを実行する可能性があります。これが失敗した場合、彼らは盗んだデータを身代金を要求するだけです。 「私たちのビジネスは、他の多くのビジネスよりも評判に依存しています。私たちがお金を取り、あなたの情報を広めるならば、私たちは将来的に支払いに問題を抱えるでしょう。だから、私たちは約束と評判に固執します。もし私たちが、あなたのスタッフ全員にメールを送り、すべてのデータを公開すると言ったなら、私たちはそうするでしょう。(Via Redacted) BianLianグループは、これらのメッセージをカスタマイズし、被害者へのプレッシャーを増大させる方法で作成しています。これらのカスタムメッセージは通常、データ侵害が公になった場合に会社が直面する法的な影響と規制上の問題を参照しています。この情報は、流出したデータから引き出されたり、グループが他の方法で被害者を調査している可能性があります。 2024年4月、米国保健福祉省は、BianLianを公的医療セクターに対する脅威アクターとして3番目に多いと報告しました。 BianLianの仲間や家族 BianLianがリブランディングや他のグループの分派であるという強力な証拠はありません。他のランサムウェアグループと重複する部分もありますが、最も一般的に使用されるTTPのみです。 TTPs BianLian REvil Darkside 二重恐喝 Yes Yes Yes データ流出 Yes...
海外ブログ 2025.01.14
“Your feedback is important to us regarding Case #…”という件名のメールについて Created On2024年12月4日bybarracuda-japan You are here: KB Home サポートについて テクニカルサポート "Your feedback is important to us regarding Case #..."という件名のメールについて < Backこの英文メールは、弊社テクニカルサポート窓口での問い合わせ対応が完了(クローズ)したタイミングでお客様に送付されます。送信元はBarracuda Support<support@barracuda.com>となります。 弊社テクニカルサポート窓口による問い合わせ対応・弊社製品についてのフィードバックをお願いする内容となっております。品質向上のため、積極的にご協力頂ければ幸いです。 以下手順をご案内いたします。 1. メール本文内にございます”Feedback Survey”リンクをクリックしてください。 2. 以下の各質問がブラウザに表示されますので、それぞれご回答ください。 3. 全ての記入が完了しましたら、ページ下部の[SUBMIT]ボタンをクリックしてください。 よろしくお願い申し上げます。
2024.12.04
【Backup障害: 復旧済】 Cloud Control で新規アカウント登録(ユーザー作成)に失敗する / レポート・アラート通知メールが送信されない 最終更新日時:2024年11月27日 午後00時05分 昨日2024年11月26日より、下記2つの障害が発生しておりましたが、いずれも復旧を確認致しました。 障害1.については11月27日午前10:00頃に復旧が確認されました。 障害2. については11月26日午後10:30頃に復旧しております。 ご不便・ご迷惑をお掛けし、誠に申し訳ございませんでした。 1.Cloud Controlで新規アカウント登録(ユーザー作成)に失敗する 【発生確認時刻】 2024年11月26日午前11時50分~11月27日午前10時00分頃 【影響範囲】 一部のお客様 【事象】 Cloud Controlで新規アカウント登録時、以下のエラーが発生し、ユーザー作成に失敗する。 “Error Code DPL1066.Barracuda is manually Processing your request. ..” 【原因】 弊社内のネットワークインフラストラクチャの障害であると考えられております。 【対応状況】 11月27日午前10時00分頃に、復旧が確認されました。 既に問題をご報告頂いていたお客様についても、解決を確認しております。 2.バックアップレポート・サマリーレポート・各種アラート通知メールが送信されない 【発生日時】 2024年11月26日午前6時30分~午後10時30分 【影響範囲】 全てのお客様 【事象】 バックアップレポート・サマリーレポート・各種アラート通知メールが送信されない 【原因】 弊社内のネットワークインフラストラクチャの障害であると考えられております。 【対応状況】 11月26日 午後10時30分頃に復旧し、滞留していたバックアップレポート・サマリーレポート・各種アラート通知メールの送信が再開しております。 滞留していたメールの受信までには、少し時間がかかる可能性がございます。 何卒よろしくお願い申し上げます。
技術情報 2024.11.26
Hunters Internationalというグループにあなたのデータが狙われている 2024年7月29日、Christine Barry Hunters International (Hunters) は、名前がその実態を表す犯罪グループの 1 つです。このグループはあなたのデータを狙っており、国際的に活動しています。この記事の執筆時点で、このグループは29 か国で被害者を攻撃することに成功していますが、これは確認された被害者のみを数えたものです。いくつかの業界調査では、報告されていないランサムウェア攻撃の数は 60% から 80% の間であることがわかっているため、おそらくその数は私たちが知っているよりも高いと考えられます。 ランサムウェア グループが複数の国の企業を標的にするのは珍しいことではありませんが、このグループは意図的に国際的な活動を展開している点で興味深いです。このグループはランサムウェア アズ ア サービス (RaaS) の運営者であり、多くの RaaS 運営者は複数の国に関連会社を持っています。ハンターの「本拠地」は東ヨーロッパとロシアのどこかにあると考えられていますが、グループのインフラと活動はアジア、南アフリカ、および世界の他の地域にまでさかのぼります。この地理的に分散した拠点により、法執行機関が活動を阻止することがより困難になりますが、活動を調整することも困難になります。タイム ゾーン、運用上のセキュリティ、攻撃の一貫性はすべて、これによって影響を受ける可能性があります。 起源について Hunters International は 2023 年 10 月に確認され、当初は Hive ランサムウェアのブランド変更であると考えられていました。Hive は 2023 年 1 月に法執行機関によって解体され、その名前で再び現れることはありませんでした。Hunters International が出現したとき、研究者はそのコードの 60% が Hive と重複していることを発見しました。これがブランド変更に関する噂の始まりとなり、Hunters はすぐにこれを阻止しました。 独立した「スタートアップ RaaS」として、Hunters は Hive コードとインフラストラクチャを購入し、アフィリエイトの募集とターゲットへの攻撃を開始するための実用的なシステムを立ち上げることができました。Hunters は、以下を含む多くの改良を Hive コードに加えました。 Hive の元の暗号化ロジックにおける「ファイルの復号化を妨げることがあるいくつかの問題」を修正しました。 コマンドラインパラメータを削減し、暗号化キーの保存プロセスを合理化しました。 以前の Hive バージョンでは C と Golang で記述されていたコードを Rust で再構築しました。 ファイル拡張子のカスタマイズ、ボリューム シャドウ コピーの削除、暗号化の最小ファイル サイズの指定のオプションを作成しました。 暗号化の種類をChaCha20-Poly1305からAESとRSA暗号の組み合わせに変更しました Hunters International のユニークな特徴の 1...
海外ブログ 2024.11.20
年末年始休業のお知らせ 平素は格別のお引き立てを賜り厚く御礼申し上げます。さて、誠に勝手ながら、弊社では下記の期間を年末年始の休業日と致します。 最終営業日:2024年12月27日 17:00年末年始休業:2024年12月28日から2025年1月5日まで なお、バラクーダネットワークステクニカルサポートの年末年始の受付時間は以下のとおりです。 [通常保守(テクニカルサポート・ハードウェア先出しセンドバック保守)] ・年末最終受付:2024年12月27日17:00 ・年始受付開始:2025年1月6日9:00 [オンサイトハードウェア保守(Business Hour)] ・年末最終受付:2024年12月27日18:00 ・年始受付開始:2025年1月6日9:00 [オンサイトハードウェア保守(24/365)] ・無休 新年は2025年1月6日より通常営業を開始致します。お客様にはご不便をおかけすることと存じますが、何卒ご了承賜ります様、お願い申し上げます。
2024.11.13
バラクーダの注目する脅威:レンタル型ランサムウェアが大きな脅威となる理由 2024年8月21日、Adam Khan 今年のランサムウェア攻撃の年次レビューは、2つの視点から脅威を見ています。 1つ目は、3年連続で、報告されたランサムウェア攻撃のグローバルサンプルを取得し、過去12か月間のランサムウェア攻撃者とその標的について、また、前年との比較について分析しています。 次に、バラクーダXDRの最新の洞察とデータを使用して、世界中の組織が毎日経験している、現実世界における日和見的なランサムウェア攻撃を見極めます。このような攻撃を阻止する要因について考察します。また、当社のケースブックから2つの実例を紹介します。 ITセキュリティの専門家の皆様が、進化するランサムウェアの状況や、攻撃に備え、それに耐える方法をより深く理解するための一助となれば幸いです。 2023/2024年のランサムウェア脅威の状況 バラクーダの脅威研究者たちは、2023年8月から2024年7月にかけて報告された200件のインシデントのサンプルを分析しました。 私たちが毎年追跡している主なカテゴリーである自治体、医療、教育、インフラ、金融サービスを中心に、すべての産業分野のインシデントを対象としました。サンプルを見ると、医療機関に対する攻撃が増加し続けていることがわかります。2023/24年には、5件に1件強(21%)の攻撃が医療機関を襲い、前年の18%から増加しました。これらの中には、手術の延期や長期的な治療計画の中断など、世界的な見出しを飾るようなものもあります。教育を狙った攻撃は昨年の18%から半減し、2023/24年には9%を占め、金融サービスを狙ったものは1%未満から2024年には6%に急増した。 他業種を狙った攻撃の割合が増加し、全攻撃の42%が重点分野以外のセクターを攻撃し、前年の32%から増加しました。2023/24年には、報告された攻撃の9%が製造業、13%がテクノロジー企業を標的としていました。 これらの結果は、あらゆる業界・組織がランサムウェアの潜在的な標的であることを示しています。注目すべきは、世界各国の規制により、一部の組織や業界にはサイバーセキュリティ インシデントを報告する法的義務があり、これが業種・業界関連の結果に影響を及ぼす可能性があることです。 レンタル型ランサムウェア 最も蔓延しているランサムウェアグループは、ランサムウェア・アズ・ア・サービス(RaaS)モデルである。これにはLockBit が含まれ、2024年2月に法執行機関がこのグループを摘発したにもかかわらず、2023年/24年には、攻撃者の身元が判明している攻撃の6件に1件、つまり18%に関与していました。これらのインシデントのうち、28%は医療機関、21%は自治体、14%は教育機関を標的としていました。 BlackCatとしても知られるALPHVランサムウェアは、攻撃者の身元が判明している2023/24年の攻撃の14%を占め、これらのインシデントの3分の1は医療機関を、17%は金融サービスを標的としていました。 2023年初頭に登場した新しいランサムウェア・グループであるRhysidaは、指定された攻撃の8%を占め、その38%は医療機関を標的としています。 RaaS型ランサムウェアの攻撃は予測が難しく、そのため封じ込めることが困難です。同じランサムウェアファミリーの攻撃を実行する関連組織の数、範囲は、観察された戦術、技術、手順(TTP)に大きなばらつきをもたらす可能性があります。 組織によっては、異なる攻撃で異なるランサムウェアのタイプを使用する場合もあり、さらに混迷を深めています。幸いなことに、ほとんどの攻撃者が頼りにしている、試行錯誤を重ねたTTPが存在し、これらはインシデント発生の兆候を示すのに役立ちます。 アクティブなランサムウェア攻撃の構造 バラクーダXDRのエンドポイントセキュリティのデータによると、2024年の最初の6か月間(1月1日から6月末まで)に、XDRの顧客の約4人に1人(23%)の割合で、ランサムウェア攻撃の試行に直面しています。 この期間に、バラクーダXDRのエンドポイントセキュリティは、ランサムウェア攻撃の可能性を示す6,052件のインスタンス(ツール、テクニック、または動作)を検出し、ブロックしました。最も一般的な検出は、セキュリティチームが侵入者を追跡する際に注意すべきナビゲーショナルマーカを表しています。 2024年に検出された攻撃ツールと動作のトップ セキュリティ・アナリストは、サイバー脅威の存在を示すアクティビティを特定するために、さまざまな検出ルールとエンジンに依存しています。このような複数の検出レイヤーは、ランサムウェアのような能動的な脅威との戦いにおいて不可欠です。攻撃者は多くの場合、ITチームが合法的に使用している市販のツールを活用し、成功するために行動や戦術をリアルタイムで調整することができます。 さらに、ファイルの暗号化など、攻撃のランサムウェア・コンポーネントの実行は、インシデントの最終段階であることが多い。これには、スキャン、横方向への移動、マルウェアのダウンロードなどが先行することが多く、セキュリティチームは、ランサムウェアのインシデントが完全に展開する前に、検出、封じ込め、影響を軽減する機会を得ることができます。 2024年のデータでは、横方向への移動がランサムウェアの活動の最も明確な兆候であることが示されています。ランサムウェア攻撃の半数弱(44%)は、横移動検出エンジンによって発見されました。 4分の1(25%)は、ファイルが書き込まれたり変更されたりするタイミングを検出し、既知のランサムウェアのシグネチャや疑わしいパターンに一致するかどうかを分析するエンジンによって検出され、14%はシステムまたはネットワーク内の異常な動作を識別する検出エンジンによって捕捉された。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習する。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習し、異常なファイルアクセス、オペレーティング・システム・コンポーネントの改ざん、疑わしいネットワーク・アクティビティなどの逸脱を検出すると、警告を発します。 バラクーダのセキュリティオペレーションセンター(SOC)のアナリストは、強力な検出エンジンと共に、疑わしい脅威を自動的に特定して緩和し、エンドポイントを隔離するためのカスタムルールを開発しています。2024年の最初の6か月間、これらのカスタムルールに基づいて、3,600件以上のセキュリティアラートがトリガされました。これらの脅威の多くはランサムウェアのインシデントに見られるもので、セキュリティ・チームにとって、何か不測の事態が進行中であることを示すさらなる警告サインとなります。 XDRケースブックに掲載された2つのランサムウェア攻撃 ケーススタディ 1: 標的 – 従業員150~200人の医療技術企業 脅威の主体 – PLAYランサムウェア ターゲットは、ほとんどのデバイスにセキュリティを導入していましたが、すべてのデバイスには導入していませんでした。このため、可視性とセキュリティに大きなギャップが生じていました。攻撃者は、ターゲットのために働いていたサードパーティの開発者のアカウントを侵害することでアクセス権を得ました。そして、侵入したアカウントを使って、多要素認証(MFA)が有効になっていない企業VPNにアクセスした。ネットワーク内に侵入すると、侵入者は横方向に移動し、保護が不十分なアプリケーション・サーバーにたどり着きました。 主な攻撃 この脆弱なサーバーから11のビジネスクリティカルなサーバーへのリンクを確立し、市販のリモートアクセスツールを使用して、ファイルのシャドーコピーの削除、セキュリティ対策の無効化、永続性の確立を試みました。攻撃者はまた、コンピュータのビデオフォルダや音楽フォルダに悪意のあるファイルを隠そうとしました。 各悪意のあるアクティビティが実行されると、保護されたデバイス上のセキュリティ・エージェントが速やかに脅威ファイルを強制終了、隔離、修復しました。8分後、攻撃者は再び攻撃を試みました。 保護されていないアプリケーションサーバをベースとして、11台のサーバ上のファイルをリモートで暗号化しようとし始めました。攻撃者は、サーバーが自動的にネットワークから隔離される前に、いくつかのデバイス上のファイルを部分的に暗号化することに成功し、これ以上被害が拡大しないことを確認しました。 しかし、攻撃者は、セキュリティ・ソフトウェアが検査できないサーバーからデータを流出させることができた。最後の手段として、攻撃者はkiller.exeと呼ばれるファイルを含む追加のマルウェアを実行しようとしたが、これは消滅する前に何も殺すことができなかった。侵害されたアカウントは無効化され、ファイアウォールの変更により、脅威者からのさらなる接続は阻止された。 ケーススタディ2 ターゲット – 従業員数800~1,000人のカーケアおよび修理製品メーカー 脅威の主体 – 8baseランサムウェア 攻撃は2024年1月の週末に行われました。1月下旬の土曜日の夜明け前、サイバー攻撃者は侵害された、または盗まれたドメイン管理者認証情報を使用してワークステーションにリモートアクセスしました。 主な攻撃 その後2日間にわたり、侵入者は最初に侵害されたデバイスから足跡を拡大し、インフラ内の数百台のデバイスに横方向に移動し、保護されていない数台のマシンに感染しました。攻撃者はリモート・アクセス・サービスを利用して、感染したサーバーへの永続的なアクセスを確立しました。その後、攻撃者はランサムウェアを展開しました。複数のファイルを暗号化することができました。また、セキュリティ・ソフトウェアを無効化し、データの流出を試みました。 ただこの活動のほとんどは失敗に終わりました。すべてのデバイスが保護されていたわけではありませんでしたが、攻撃者が影響を受けたマシンを完全に暗号化し、セキュリティを無効にすることを防ぐのに十分なセキュリティが施されていました。 復元と回復 ファイアウォールは、攻撃者がコマンド・アンド・コントロールに接続し、データを流出させようとする試みを阻止した。日曜日の夕方までには、攻撃は完全にブロックされ、終了した。合計13台の影響を受けたデバイスが攻撃前の状態に「ロールバック」され、さらに6台が手動で復元された。 どちらの例でも、対象企業は、将来の攻撃を防止し、修復するために、すべてのデバイスにセキュリティを拡張すること、検出されたすべての IT 管理およびリモート管理ツールの使用を調査すること、パッチ適用やパスワードの面で適切なサイバー衛生を実施することをアドバイスされました。 結論:ランサムウェア攻撃に対するレジリエンスの構築 ランサムウェアの状況は常に進化しており、それは今後も続くでしょう。非常に多くの異なる脅威グループや関連会社がゲームに参加しているため、攻撃者がどのように行動するかを正確に予測することは困難である。しかし、企業が準備と対応のためにできることは多くあります。 最優先すべきは、攻撃を検知して未然に防ぐための対策とツールを整えることだ。これには、AIを活用した電子メール保護や ゼロ・トラスト・アクセス対策、アプリケーション・セキュリティ、スレット・ハンティング、XDR機能、効果的なインシデント・レスポンスなど、多層的なセキュリティ技術が含まれるのが理想的である。 セキュリティの基本を見落としてはならない: ソフトウェアを常に最新の状態に保ち、既知の脆弱性や悪用された脆弱性に対して優先的にパッチを適用し、従業員に対して定期的にサイバーセキュリティに関する意識向上トレーニングを実施する。最小権限のアクセス制御を実施し、不要なパブリック・サービスやリモート・サービスを閉鎖することで、攻撃対象領域を縮小する。特定された商用IT管理ツールが合法的に使用されていることをダブルチェックし、侵入者やマルウェアの拡散を防ぐためにネットワークをセグメント化する。 暗号化された不変のバックアップ・システムを導入し、メイン・ネットワークから分離して攻撃者が到達できないようにし、強力な認証とアクセス・ポリシーを導入する。 最後に、ランサムウェア攻撃が成功した場合の対応について、コンプライアンスと報告要件に関する詳細を含むインシデント対応計画を策定すること。 ランサムウェアから組織を保護する方法の詳細については、https://www.barracuda.co.jp/products/ransomware/を参照してください。 Barracuda Managed XDRの詳細:https://www.barracuda.com/products/managed-xdr(英語) e-book: すべてを変える、AI時代のランサムウェア(日本語) 原文はこちらThreat...
海外ブログ 2024.11.06
サイバーセキュリティとビジネスの実践力が問われる場、Hardening Project 2024に参加 2024年10月16~18日の日程で、バラクーダは沖縄県豊見城市、沖縄空手会館で開催された「Hardening 2024 Convolutions」にプラチナスポンサーとして協賛し、現地イベントへ参加いたしました。 Hardening Projectとは? Hardeningとは「堅牢化」という意味ですが、Hardening Project を主催するHardening Project 実行委員会(Link)によれば、このプロジェクトは、サイバー攻撃のあふれるインターネット社会において、最高の「衛る」ための施策、つまりセキュリティにおける技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰し、サイバーセキュリティの実践力を強力に向上することが目的です。当イベントでは、守るという一般的な漢字ではなく、”護衛”等で使われる「衛」の字が使われています。 イベント(競技会)の概要 Hardening 競技会は、脆弱なビジネスシステムを主催者によるサイバー攻撃から衛りながら、堅牢化スキルとビジネス運営(EC企業と、その関連企業という設定)能力を競うコンペティションです。チームは、実際に攻撃を受ける仮想環境で技術力、コミュニケーション力など総合力を試されます。 参加対象と準備 エンジニア以外も参加可能で、若手の有望なセキュリティエンジニアや、エンジニア以外のさまざまな職種の方が集まります。選考後、各チーム(今年は7名チーム×15)が1〜2ヶ月の準備を経て競技当日である「Hardening Day」に臨みます。競技は8時間にわたり、攻撃対応とビジネス運営をバランス良く、双方を両輪でしっかりと対応していくことが求められます。さきほど、各チームは仮想のEC企業やそのグループとしてビジネス運営を行うとお伝えしましたが、この仮想企業における組織図までが作り込まれており、各チームにおいて組織/役割のアサインがこの組織図を参考に実施されます。他に準備日、Analysis/Reviewの日程が含まれ、全4日間にわたる長丁場となります。 競技の詳細と評価 参加者はチームで、仮想環境の脆弱性を見つけ出し、実際の企業活動のようにITサービスを導入することでシステムを強化しつつ、攻撃の被害を最小限に抑えます。主催者側は、各チームの環境に対し、サイバー攻撃を実施。それを各チームがいかに防御し、模擬的なECビジネスを継続できるかがキーです。エンジニア以外の職種の方は、 インシデント発生時の報告や顧客対応といったコミュニケーション業務や、ECサイトの在庫管理などに従事します。競技の成否は、売上の維持、ダウンタイムの最小化、適切な修正対応がカギとなります。 競技の最終的な評価は、模擬的なチームの「売上」に基づきます。脆弱なシステムの堅牢化と共に、ビジネスの安定運営や防御の技術力、コミュニケーション力も含めた総合力が競われます。 2024年におけるバラクーダの貢献 バラクーダは競技者にセキュリティソリューションを提供するマーケットプレイス(MP)として参加。具体的には、バラクーダでは「Barracuda Web Application Firewall (WAF)」、とその設定/運用等を支援するサービスを提供しました。当社バラクーダのSEが、事前準備とともに、現地イベント会場での各チームのセキュリティ強化を支援。今年、現地において、各チームにおける競技、運用状況に連動しバラクーダでも様々なことを経験しましたが、最終日の振り返り日(Softening Dayといいます)において、バラクーダのWAFが実際にイベント会場における主催者による模擬サイバー攻撃を防御したことが発表されたことは、私としても当社ソリューションの効果を実感する良い機会となりました。 終わりに 各チームの緻密な連携の様子は、振り返りの発表スライドや、作業の様子を見れば手に取るように伝わってきました。競技参加者の各チームの皆様の熱量の高さ、真剣さを感じることができ、とても良い機会となりました。また、各チームの工夫の仕方もそれぞれで、在庫が途中で買えなくなることを見越して在庫をある時点で一気にまとめて購入したチームや、対照的に一定のペースで購入していくチーム、また、事前準備、攻撃等様々な事柄にうまく対処したチーム、対照的になかなか対処が難しかったチーム等、本当にチーム、そしてその対応状況というのは組織によって様々だということを改めて感じました。 この度、バラクーダのHardening競技会への協賛、当日の現地参加等にご協力いただきました全ての皆様に、改めて感謝申し上げます。ありがとうございました。 リンク Hardening Project関連情報:YouTube: https://www.youtube.com/@hardeningprojectHardening Project情報サイト:https://wasforum.jp/hardening-project/hardening-2024-convolutions/Barracuda Web Application Firewall:https://www.barracuda.co.jp/products/waf/
Blog 2024.10.25
バラクーダネットワークスジャパン、日本におけるデータ保護のニーズに対応した柔軟性と拡張性に優れたバックアップアプライアンスの新モデルを発表 クラウドファーストなセキュリティソリューションのリーディング企業であるバラクーダネットワークスジャパン株式会社(本社:東京都品川区、以下バラクーダ)は、日本企業のデータ保護のニーズに対応する、新たなバラクーダバックアップアプライアンスの新モデルとして、Barracuda Backup 3024、Barracuda Backup 3080、Barracuda Backup 3200の提供開始を発表しました。新モデルは、データ量の増加に合わせてシームレスに拡張できるため、企業はハードウェアの交換に頻繁に投資することなく、必要に応じて容量を調整できます。また、テラバイト単位の柔軟な価格設定により、お客様は実際に使用した分だけを支払うことが可能です。 新しいスケーラブルなBarracuda Backupモデルの詳細は、こちらをご覧ください:Barracuda Backup製品ページ 新モデル含めBarracuda Backupで実現できるランサムウェア対策、バックアップ戦略を学べるウェビナーを11月に開催します。ぜひこちらからご登録ください:ウェビナーお申込みページ Barracuda Backupは、導入が容易で管理が簡単、かつ他に類を見ない拡張性を備えた包括的なソリューションであり、主な機能は以下のとおりです。 一元管理ダッシュボードにより、バックアップインフラストラクチャ全体を監視および管理するためのハブを提供 リアルタイムのパフォーマンス監視とアラートにより、注意が必要な問題や異常が発生した場合に、管理者に迅速に通知 パーソナライズされたレポートとアラートにより、各チームメンバーが無関係の通知に煩わされることなく、各自の役割に関連する情報を受信 継続的なシステム監視により、潜在的な問題を検出 定期的なレポートにより、組織が傾向を追跡し、改善領域を特定し、データ保護ポリシーへの準拠を証明することをサポート 包括的な監査ログにより、組織は変更を記録し、インシデントを調査し、説明責任能力を維持 新たなデジタルテクノロジーの急速な導入により、多くの日本の企業や公的機関が情報のバックアップと保護に関する課題に直面しています。しかしながら、バラクーダが2023年11月に日本の中小企業に勤めるITに従事する専門家500名を対象に実施した調査によると、データの損傷や削除から保護するためのイミュータブル(変更不可)バックアップ、またはオフラインのバックアップを行っている企業は、わずか23%との結果となりました。 バラクーダネットワークスジャパン株式会社の執行役員社長 鈴木真は次のように述べています。 「当社の新しいBarracuda Backupモデルは、効率的かつ費用対効果の高い革新的なオンプレミスソリューションを提供し、進化するお客様のニーズに対応します。中小企業でも大企業でも、企業の規模に関わらず、当社のソリューションは、お客様のデータ量に合わせてバックアップ能力を確実に拡張し、ランサムウェアの攻撃から安全に保護し、事業継続をサポートします。データ保護は、事業継続において欠かすことのできない要素であり、コンプライアンスの観点からもますます重要性が高まっています。ランサムウェアなどの進化するサイバー攻撃や予期せぬ障害からデータを保護するために必要な新たなツールを日本企業に提供できることを嬉しく思います」 バラクーダは、購入、導入、使用が容易なバックアップソリューションによって、多くの企業がバックアップへのアプローチを強化し、高額なアップグレードや将来のニーズに関する不確実性を心配することなく、バックアップソリューションを活用できるという信念をもっています。 バラクーダネットワークスについて 米国Barracuda Networks Inc.の日本法人。ITにまつわる課題について、メール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。 【本件に関するお問い合わせ】 〒141-0031東京都品川区西五反田8-3-16 西五反田8丁目ビル5階 バラクーダネットワークスジャパン株式会社 E-mail: japansales_team@barracuda.com TEL: 050-1791-0524
2024.10.23
Barracuda Entra ID Backup – よくある質問 よくある質問 なぜMicrosoft Entra IDをバックアップする必要があるのですか? Microsoftは、責任共有モデルを採用しており、その中で、顧客のデータを保護する責任はMicrosoftにはないことを明言しています。Microsoftは以下のように結論付けています。 「お客様のデータとIDはお客様が所有しています。すべてのクラウドデプロイの種類において、データとIDを所有するのはあなたです。お客様にはデータとID、オンプレミスリソース、制御するクラウドコンポーネントを保護する責任があります。制御するクラウドコンポーネントは、サービスの種類によって異なります。」 ランサムウェア攻撃を受けたり、誤ってデータを削除したりした場合、迅速に復旧するための機能を実装する信頼性の高いバックアップ製品が重要な鍵を握ります。Entra IDデータを復元する作業は、労働集約型の手動のプロセスになる場合があります。Entra IDのデータは事業を継続するために不可欠であり、ダウンタイムが発生すると膨大なコストを負担しなければならない場合があります。 Entra ID Backupはどのようなデータを保護しますか? Entra ID Backupは、Microsoft Entra IDのユーザー、グループ、ロール、および管理単位のオブジェクトタイプを保護します。 Entra ID Backupのライセンスはどのようになっていますか? Entra ID Backupでは、テナントのすべてのユーザーにライセンスを付与する必要があります。 Cloud-to-Cloud Backup for Microsoft 365のライセンスを購入されているお客様は、追加料金なしでEntra ID Backupを利用できます。 Entra ID Backupではどれだけのストレージ容量を利用できますか? 制限のないバラクーダのクラウドストレージにEntra IDデータをバックアップして保護できます。 バックアップしたデータを保持できる期間はどれぐらいですか? バックアップしたデータは制限なく保持できます。つまり、データを希望する期間保持できます。 Microsoft 365のバックアップにはどのようにアクセスしますか? Entra ID BackupはSaaS(サービスとしてのソフトウェア)であり、Microsoft 365のデータをバックアップするために利用できる信頼性の高いCloud-to-Cloud Backupアプリケーションからアクセスして管理できます。 Cloud-to-Cloud Backupは、単一コンソールからバラクーダ製品とサービスを簡単に監視および設定できるクラウドベースのサービスであるBarracuda Cloud Controlからアクセスできます。 一度に複数の項目を復元できますか? Entra ID Backupでは、パフォーマンスの問題を発生させることなく、複数の項目を選択して復元できます。
2024.10.09
Barracuda Entra ID Backup – プラン 今すぐ利用を開始 Cloud-to-Cloud Backupライセンスを購入されている場合、追加費用なくご利用いただけます。 Barracuda Entra ID Backupは、Microsoft 365のバックアップデータを管理するために顧客が現在使用しているのと同じBarracuda Cloud-to-Cloud Backupアプリケーションで管理される、ユーザフレンドリなクラウドベースのソリューションです。Entra ID Backupは、Entra IDデータをバックアップおよび復旧可能な、包括的で費用対効果に優れるサービスを提供します。 Barracuda Cloud-to-Cloud Backupは、Exchange Online、SharePoint Online、OneDrive for Business、OneNote、Teams、グループ、およびEntra IDなどのMicrosoft 365製品に対応する使いやすいSaaSバックアップおよび復旧機能を提供します。誤操作でデータを削除したり、ランサムウェア攻撃による影響を受けたりした場合でも、迅速にデータを復旧できます。Cloud-to-Cloud Backup for Microsoft 365のライセンスを購入されている場合や、すでにライセンスを所有している場合、Entra ID Backupを追加料金なしで利用でき、Entra IDデータが保護対象のデータソースになります。 Barracuda Entra ID Backup の評価
2024.10.09
