Search result: Archives

バラクーダの注目する脅威「悪質なボットトラフィックの変化」について調査結果を発表

〜悪質なボットは一般家庭のIPアドレスを使用して防御を回避。IPを割り当てられたユーザーは「CAPTCHA地獄」に取り残されることに〜 クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.（本社：米国カリフォルニア州キャンベル）の日本法人、バラクーダネットワークスジャパン株式会社（東京都品川区、執行役員社長：鈴木真、以下「バラクーダネットワークス」）は、本日、「バラクーダの注目する脅威：悪質なボットトラフィックの変化」について、調査結果を発表しました。本脅威レポートでは、主に2003年上半期のボットトラフィックのパターンを、調査及び分析しています。 一般家庭のIPアドレスと「CAPTCHA地獄」 本調査では、2023年上半期に、悪意あるボットが、一般家庭のIPアドレスを使用することで、既知の悪意あるIPに対して設定されたセキュリティブロックに引っかかることなく、攻撃を行っていることを示しています。多くの場合、これらの一般家庭の IPを使用された、または後にそのIPを割り当てられたユーザーは、「CAPTCHA地獄」に陥り、Google やCloudflare からの CAPTCHA をパスできなくなります。なぜならば、悪意のある活動に使用されたとして、そのIPに対してレッドフラグが立てられているためです。 悪質なボットが占める割合 ボットは、Web上を移動し、検索エンジンのクロールなどの自動タスクを実行するソフトウェアプログラムです。バラクーダの調査員は、毎年、良いボットと悪質なボットの普及率と動作を追跡しています。2023年上半期のデータによると、世界のインターネットトラフィック全体の約半分（48%）がボットで占められており、その多くが悪質なボットによるものでした。これらの複雑なコンピューター・プログラムは、人間の攻撃者が太刀打ちできないようなスピードと量で、いたずらや危害を引き起こすように設計されています。 図1: トラフィック分布―ボットと人間 増加するAPIへの攻撃 2021年には、悪質なボットは「小売ボット」の大群に支配され、希少で人気のあるスニーカーやおもちゃを探し出して転売し、利益を得ていましたが、2023年には、悪質なボットはより高度な攻撃に使われることが多くなっています。何百万もの一般的なユーザー名とパスワードで武装した悪質なボットは、メールアカウント（特に脆弱なAPIを通じてアクセスできるもの）を侵害する目的で、インターネット全体に送り出されています。 APIは比較的保護されておらず、自動化されたプロセスや通信に広く使用されているため、サイバー攻撃の標的としての利用が拡大しています。APIを使用してメールや受信トレイにアクセスするアプリケーションの例としては、潜在顧客や既存顧客に大量のメールやパーソナライズされたメールを送信して追跡するメールマーケティングアプリケーションや、メールを管理、検証、自動化するアプリケーションなどがあります。 これについて、バラクーダのアプリケーションおよびクラウドセキュリティ担当Principal Product Marketing ManagerであるTushar Richabadasは、次のように述べています。「これらのボットに狙われている組織では、セキュリティが不十分なAPI、脆弱な認証およびアクセスポリシー、インバウンドトラフィックの量と速度の制限など、ボットに特化したセキュリティ対策の欠如の組み合わせにより、攻撃を受けやすくなっています。ボットを阻止するために必要なソリューションの数が非常に多いため、組織は圧倒される可能性があります。しかし、良いニュースは、ソリューションは、悪質なボットを特定して阻止するWAAP（Web Application and API Protection）サービスに統合されつつあるということです。」 悪質なボットトラフィックの発生源 また、2023年上半期には、北米が悪質なボットトラフィックの72％の発生源であったことも示されています。悪質なボットトラフィックのおよそ3分の2（67％）は、AWSとAzure という2つの大規模なパブリッククラウドを含むホスティングプロバイダーからのものだったため、地理的データは北米に偏っています。次に多い地域は、アラブ首長国連邦（12％）、サウジアラビア（6％）、カタール（5％）、インド（5％）となります。 図2: 悪質なボットトラフィックの発生源 そのほか、詳細につきましては、下記関連ブログ等関連資料をご覧ください。 関連リンク: バラクーダの注目する脅威：悪質なボットトラフィックの変化 https://www.barracuda.co.jp/threat-spotlight-ransomware-attacks-double-ai-tactics/ 調査レポート「ボット攻撃：主要な攻撃と攻撃トレンド – 増え続ける自動化された攻撃に関する洞察」 https://www.barracuda.co.jp/download/bot-attacks-report-vol1-jp/ バラクーダネットワークスについて 米国Barracuda Networks Inc. の日本法人。ITにまつわる課題について、メール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。 【本件に関するお問い合わせ】 〒141-0031東京都品川区西五反田8-3-16　西五反田8丁目ビル5階 バラクーダネットワークスジャパン株式会社 E-mail:　japansales_team@barracuda.com TEL:　 050-1791-0524

2023.11.27

バラクーダの注目する脅威：悪質なボットトラフィックの変化

2023年10月18日、Tushar Richabadas かつては主に検索エンジンに利用されていたボットが、現在では善悪を問わず様々な用途に利用されています。よいボットとは、主に検索エンジンのクローラーや、コンテンツの集約・監視に使われるボットを指します。これらのボットは、 Web サイトの所有者のルール（robots.txtファイルで指定されている）に従い、自身を検証する方法を公開し、訪問する Web サイトやアプリケーションを圧倒しないように動作します。 悪質なボットは、さまざまな悪意のある活動を行うために構築されています。アプリケーションからデータを取得しようとする（そして簡単にブロックされる）基本的なスクレイパーから、ほとんど人間のように振る舞い、可能な限り検出を回避しようとする高度な永続的ボットまで様々です。これらのボットは、Web や価格のスクレイピングから、在庫の買い占め、アカウント乗っ取り攻撃、分散型サービス拒否（DDoS）攻撃など、さまざまな攻撃を試みます。 バラクーダのリサーチャーは、数年前からインターネット上のボットとアプリケーションへの影響を追跡しており、2023年上半期のトラフィックパターンを分析したところ、いくつかの興味深い傾向を確認しました。 2023年１〜６月にかけて、ボットはインターネットトラフィックの50％近くを占め、中でも悪質なボットはトラフィックの30％を占めていました。バラクーダの調査によると、悪質なボットがインターネットトラフィックの39％を占めていた2021年と比べると、減少しています。 2023年上半期の悪質なボットトラフィックの発生源は、北米が72％を占めました。悪質なボットトラフィックのおよそ３分の２（67％）はホスティングプロバイダーからのもので、33％は一般家庭やその他の IP アドレスからのものでした。悪質なボットトラフィックのほとんどは、AWS と Azure という２大パブリッククラウドから発生していることから、地理的に北米に偏っているのです。 こうした傾向の要因と、トラフィックの発生源を詳しく見てみましょう。 eコマースボット・バブル 2020年に PlayStation 5 が発売されると、たちまちどこも品切れになりました。例外は、eコマースボットを使って PS5 を素早く買い占め、はるかに高い価格で転売する不正転売業者でした。このとき初めて、悪質なボットが脚光を浴びたのです。2020年後半から2022年半ばにかけて、この種の eコマースボットによる悪質なボットのトラフィックが大量に発生しました。 スニーカー、洋服、FUNKO POP! など、発売されたものや限定品を購入するために悪質なボットを利用する人が多く見られました。ボットフォーラムには、制限やボット対策を回避する方法を見つけ出そうとする人々であふれ、その多くが実際にお金を稼いでいました。この傾向は2022年後半、インフレが始まったことでスニーカーの転売市場が底を打ち、ようやく終焉を迎えたのです。 こうして eコマースボットによるトラフィックが減少したことから、2021年上半期にはインターネットトラフィックの39％を占めていた悪質なボットトラフィックも、2023年上半期には30%にまで低下したと考えられます。 ボットトラフィックの発生源 バラクーダのリサーチャーの分析から、悪質なボットトラフィックの送信元に関する興味深い洞察も明らかになっています。米国は、悪質なボットトラフィックのほぼ４分の３（72％）の発信源です。次いで、アラブ首長国連邦（12％）、サウジアラビア（５％）、カタール（５％）、インド（５％）と続きます。ただし、悪質なボットトラフィックの67％はパブリッククラウドデータセンターの IP 範囲から来ているため、トラフィックソースは米国に偏っています。 バラクーダのサンプルセットを見ると、ボットトラフィックのほとんどは２大パブリッククラウドの AWS と Microsoft Azure からほぼ同程度、流入しています。これは、どちらのプロバイダーでも無料でアカウントを設定し、そのアカウントを使って悪質なボットを容易にセットアップできるためと考えられます。また、こうしたボットを特定してブロックするのも比較的簡単です。使用するアプリケーションが特定のデータセンターの IP 範囲からのトラフィックを想定していない場合は、IP ベースのジオブロッキングのようなかたちでブロッキングすることを検討するとよいでしょう。 またバラクーダのリサーチャーは、かなりの量（33％）の悪質なボットトラフィックが一般家庭の IP アドレスから来ていることを確認しています。この原因の多くは、ボット作成者が IP ブロックを回避するために、プロキシを介して他人の IP アドレスを使用することで、一般家庭のトラフィックに紛れ込もうとしているためです。 攻撃者はここ数年、特に Web スクレイピングやその他のボット攻撃などにこの戦術を使用しています。攻撃者が悪意のある攻撃を仕掛ける際、追跡される可能のある自分の IP アドレスからではなく、匿名の住宅用 IP の範囲を提供するサービスを使います。 このため、住宅用 IP ユーザーが「CAPTCHA地獄」に陥り、Google や Cloudflare からの CAPTCHA をパスできなくなることがあります。攻撃者がその IP を使用し、悪意のある活動のフラグが立てられたためです。 増加する API への攻撃 より深刻なボット脅威グループは依然として活動しており、より巧妙になり、深刻な被害をもたらしています。ボットはより巧妙になり、その結果、API に対する攻撃を含むアカウント乗っ取り攻撃が増加しています。API に対する攻撃が増加しているのは、API...

海外ブログ 2023.11.27

ある英カレッジでは、バラクーダの１つのソリューションから次へとつながっていった

2023年11月6日、Tony Burgess サイバーセキュリティベンダーの統合は、企業間で急速に進むトレンドです。その背景には、複数のベクトルや脆弱性を悪用する現代のサイバー脅威の高度化があります。緊密に統合され、情報を共有するコンポーネントから構築された包括的なサイバーセキュリティインフラストラクチャを持つことで、こうした高度な脅威への対策が容易になります。 世界的に見ても、教育セクターはサイバー攻撃の標的となる傾向が著しく高いです。グロスターシャーカレッジはまさにそれを実感していました。同カレッジの IT 部門を率いるケヴィン・アグニューと彼のチームは、ランサムウェアやデータ窃盗、それに詐欺を試みる日に数千通にものぼるフィッシングメールに苦慮していました。 バラクーダの製品を初めて使ったグロスターシャーカレッジは、ほどなくバラクーダのプラットフォームと製品を使用して、包括的なセキュリティインフラストラクチャと SD-WAN ネットワークを構築しました。 最初の一歩 ケヴィンは着任してすぐに、カレッジ内で展開している Microsoft 365 （何千もの学生アカウントと何百もの職員アカウントを含む）にサードパーティのデータバックアップがないことに気づきました。ベンダーを選択する上で、柔軟性は重要な要素でした。 「学生数の変動は私がコントロールできることではありません。明日、カレッジ側がコースを開講して 500 人の学生を登録すると決めたら、その途端に急遽、バックアップとセキュリティを確保すべきアカウントが 500 人分、増える可能性があるのです。また、コースが終了しても、試験の結果やコースワークの返却を学生が待っている場合もあるので、アカウントを削除できるわけではありません。そのため、保存期間を指定するのは難しいのです」。 — ケヴィン・アグニュー　グロスターシャーカレッジ IT 部門長 バラクーダの無制限のストレージと保持のアプローチがケヴィンの関心を引き、同カレッジはまず Barracuda Cloud-to-Cloud Backup を購入しました。 「非常に簡単なのが、うれしい驚きでした。バックアップは迅速で、バラクーダの担当者はすべての質問に回答してくれました。初日から問題なく使用できました。 — ケヴィン・アグニュー　グロスターシャーカレッジ IT 部門長   完全なセキュリティを構築する その後、グロスターシャーカレッジは、バラクーダの顧客がよくたどる道をとることになります。強力で使いやすく、サポートが充実している１つのバラクーダ製品から、さらに別のバラクーダ製品へとつながっていったのです。 グロスターシャーカレッジのファイアウォールは耐用年数を迎えていました。どの製品に乗り換えたでしょうか。もちろんバラクーダです。Barracuda CloudGen Firewall を「価格と機能の点で頭一つ抜けている」とケヴィンは高く評価しています。 SD-WAN インフラストラクチャを構築した同カレッジは、メールセキュリティに対処する必要がありました。そして、おそらくもうお分かりかと思いますが、ケヴィンはカレッジの Microsoft 365 全体に完全な保護を拡張するために、複数の機能を組み合わせたプラットフォームである Barracuda Email Protection を採用しました。 先を見据える ケヴィンとグロスターシャーカレッジは、サイバー攻撃への潜在的なリスクに対処するために、将来を見据えた取り組みを続けています。今はアプリケーションセキュリティに注目しており、Barracuda Application Protection を検討しています。また、現在のバラクーダと結んでいる契約はすべて更新する予定です。 ケヴィンと彼のチームの取り組みの全容は、こちらで確認できます。 Barracuda Firewall Insights、Barracuda Firewall Control Center など、バラクーダのインフラストラクチャから多くのメリットを得ている様子がわかります。   今すぐケーススタディを入手する 原文はこちら For this UK college, one Barracuda solution leads to...

海外ブログ 2023.11.21

ゼロトラストと最小権限の原則はどのように連動するか

2023年10月27日、Christine Barry 最小権限の原則（PoLP）とゼロトラスト・ネットワークアクセス（ゼロトラスト、または ZTNA）は、堅牢でプロアクティブなセキュリティ対策を実施する上で、互いに補完し合う２つのセキュリティフレームワークです。 最小権限の原則は、ユーザーのアクセス制御に重点を置きます。その根底にあるのは、ユーザーやデバイスが業務を遂行するために必要なアクセスのみを提供することで侵害されたアカウントや悪意のある従業員による潜在的な損害を抑えられる、という考え方です。PoLP は、アクセスの範囲を大幅に縮小し、ネットワーク全体の横の動きを制限し、被害を減らすことができます。PoLP のベストプラクティスとは、グループおよびロールベースのアクセスコントロールの割り当て、管理者アカウントと標準アカウントの使い分け、定期的な権限監査の実施などです。最も基本的なベストプラクティスは、PoLP  をデフォルトとし、作成するすべてのアカウントには役割に必要な権限のみを付与することです。 一方、ゼロトラストは、アクセス制御に加えて認可にも重点を置きます。保護されたリソースへのリクエストはすべて脅威であると想定し、ユーザーとデバイスの認証と認可を継続的に検証するのです。検証プロセスでは、誰が何のためにアクセスを要求しているのか、その要求が正常なのか疑わしいのかを判断します。ZTNA の導入を成功させるには、攻撃対象領域と保護すべきリソースを徹底的に理解する必要があります。 組織は、強力なセキュリティ手法を構築するために、前述した両方のフレームワークを統合すべきです。では、ユーザーがネットワークやアプリケーションにログインする際のアクセスチェーンに、両フレームワークがどのようにマッピングされるかを見てみましょう。 1. 本人確認：アクセスチェーンの最初のステップは、ユーザー、アプリケーション、システムを認識し、区別することです。 ゼロトラストでは、リクエストごとに本人確認を行う必要があります。 PoLP の焦点は最小限の権限を付与することであり、これは後の段階でより顕著な意味を持ってきます。 2. 認証：ユーザー認証情報は、保存された情報と照合してユーザーやアプリケーション、またはシステムの主張された身元を確認します。 ゼロトラストは、要求が潜在的な脅威であると仮定します。米国国立標準技術研究所（NIST）は、こちらのレポート（p.7）でその詳細を説明しています。 すべてのリソースの認証と認可は動的に行われ、アクセスの許可される前に厳格に実施されます。これは現行のコミュニケーションにおいて、アクセスを取得し、脅威をスキャン・評価し、適応し、信頼を継続的に再評価するという絶え間ないサイクルなのです。 最小権限の原則は認証メカニズムを規定しません。ゼロトラストは、PoLP ポリシーが確実に実施され、正しい権限を持つ者だけがリソースにアクセスできるようにします。 3. 認可：ユーザーの認証された ID に基づいて、どのようなアクションを実行できるか、どのようなリソースにアクセスできるかを決定します。 ゼロトラストは、多くのデータポイントをリアルタイムで評価します。これには、ユーザーの行動、デバイスの健全性、時間帯、位置情報などが含まれます。事前に設定されたパーミッションに厳密に依存することはありません。 PoLP は、ユーザーがタスクを実行するために必要な最小限の権限のみを付与されることを規定しています。権限はデフォルトでは制限的であり、真の必要性がある場合にのみ拡張されるべきです。 4. アクセス：認証された ID および許可された権限に基づいて、リソースと対話する能力を付与または拒否するプロセスです。 最初のアクセスが許可された後、ゼロトラストはセッションが終了するまで検証プロセスを繰り返します。これにより、ユーザーの行動が許容されるパラメータから逸脱した場合、アクティブなユーザーが突然アクセスを失う可能性があります。 システム内の移動は、適切に設定された PoLP 戦略によって制限されます。脅威行為者がこのポイントまでアクセスチェーンをうまくナビゲートできたとしても、侵害されたアカウントでできることは限られています。 5. 監査と説明責任：このステップでは、ユーザーとアプリケーション、およびシステムの活動を監視し、記録します。 ゼロトラストでは、ユーザーの行動とコンテキストを継続的に評価するため、包括的な監査証跡が必要です。監査証跡は、潜在的な脅威を特定し対応するシステムの能力を向上させるために使用されます。つまり、このデータは脅威の発見とインシデントレスポンスにおける重要な要素なのです。 PoLPの権限セットは、ユーザーの真のニーズと一致していないかもしれません。監査ログは、許可されていないリソースへのアクセスを試みるパターンを明らかにしたり、特定のリソースが期待通りに使用されていないことを示したりすることができます。管理者はこの情報を利用して、従業員が必要なものを確実に利用できるようにしつつ、可能な限り最高のセキュリティを維持できるのです。 組織は、強力なセキュリティ手法を構築するために、両方のフレームワークを統合する必要があります。バラクーダは、ゼロトラストアクセスをはじめとする堅牢なセキュリティおよびデータ保護ソリューションを迅速かつ容易に導入できるよう支援します。詳しくは、https://www.barracuda.co.jp まで。 原文はこちら How Zero Trust and the principle of least privilege work together Oct. 27, 2023 Christine Barry https://blog.barracuda.com/2023/10/27/how-zero-trust-and-the-principle-of-least-privilege-work-togethe  

海外ブログ 2023.11.06

導入事例：ロンドンの学校が高度なバックアップで時間を節約し、リスクを削減

2023年10月10日、Tony Burgess 告白します。大きな組織がランサムウェア攻撃によって壊滅的なデータ損失を被ったという記事を読むたび、私はつい、思いやりのない考えを持ってしまいます。いったいなぜ、高品質で最新のバックアップシステムに投資しなかったのか、と。それだけで、ランサムウェアの犯罪者によってデータが暗号化されたり、危険にさらされたり、破壊されたりしたときに、迅速かつ簡単に復旧できるのですから。 もちろん、現実の世界では事はそう単純ではないことも理解しています。組織全体にとっても、IT 部門にとっても、常に予算を優先すべきほかの何かがあります。現在うまく機能しているバックアップソリューションがある以上、最新のバックアップソリューションに投資することを正当化するのは難しいでしょう。しかしいずれ状況が変わり、必要性が痛みを伴うほど高まれば、決断を下すことになります。 ジューイッシュコミュニティ中等学校がテープベースのバックアップからアップグレード イギリスのロンドンにあるジューイッシュコミュニティ中等学校（JCoSS）がまさにそうでした。テープベースのバックアップシステムは、次第に管理に時間がかかるようになり、問題が発生しやすくなっていました。同校のネットワークマネジャーはこう言います。 「バックアップできないファイルなど、対処が必要な箇所が数週間おきに見つかりました。常に気を配っていないと崩壊してしまう状態でした」 その上、同校では Microsoft 365 の利用が増加しており、SharePoint と OneDrive に保存したデータをバックアップおよび復元できるソリューションが必要でした。 折しも、英国には学校を標的としたランサムウェア攻撃の大きな波が押し寄せていました。ランサムウェアによる暗号化の試みから安全に隔離された、強力で信頼性の高いバックアップソリューションの必要性に対する危機感が高まっていたのです。 バラクーダ製品を選ぶ JCoSS は徹底的な評価の結果、オンサイトのデータバックアップ用にクラウドレプリケーション機能付きの Barracuda Backup オンプレミスアプライアンスを選択し、Microsoft 365 に保存されたデータを保護するために Barracuda Cloud-to-Cloud Backup を選択しました。 JCoSSのネットワークマネジャーは、バラクーダを選んだ主な要因のひとつにシンプルさを挙げています。 「Barracuda Backup は非常にシンプルで、トレーニングは受けませんでしたし、必要もありませんでした。必要なものはすべてここにあります。Barracuda Cloud-to-Cloud Backup はさらにシンプルです。どちらのシステムも必要なことを正確に実行してくれます」 また、このネットワークマネジャーは Barracuda Backup とCloud-to-Cloud Backup Service を使用することで、以前使用していたバックアップシステムと比較して時間を大幅に節約できることを特に評価しています。 「Barracuda では月に最大 15 分を費やす必要がありますが、これは大したことではありません。以前は２週間に１回、数時間を費やしていました。 導入事例の全貌 ランサムウェアの脅威に直面した JCoSS 校が、高度で使いやすいデータ保護という真の安心を手にするまでの道について、詳しくはこちらをご覧ください。 導入事例を見る 原文はこちら Case study: London school saves time, slashes risk with advanced backup Oct. 10, 2023 Tony Burgess https://blog.barracuda.com/2023/10/10/case-study–london-school-saves-time–slashes-risk-with-advanced

海外ブログ 2023.10.24

バラクーダの注目する脅威：受信トレイのルールを悪用する攻撃者の実態

2023年9月20日、Prebh Dev Singh メールの自動受信ルールは、ほとんどのメールクライアントの便利でおなじみの機能です。メールを特定のフォルダに移動させたり、留守中に同僚に転送したり、あるいは単に削除したりすることで、受信トレイに毎日のように押し寄せる必要な、あるいは不要なコミュニケーションの管理に役立ちます。 あなたのアカウントに侵入した攻撃者は、受信トレイのルールを隠れみのにすれば、受信トレイ経由で情報をネットワークからこっそり移動させたり、セキュリティ警告が表示されないようにしたり、特定のメッセージを見つけにくいフォルダにファイルしたり、金銭を引き出すために上級役員になりすまして送ったメッセージを削除したりすることができます。 要するに、これは実に見事な攻撃戦術なのです。ステルス性を確保しつつ、侵害したアカウントで簡単に実行できるのですから。 メールの検出は、ここ数年で進歩しており、機械学習の使用によって疑わしいルール作成を簡単に検出できるようになっています。にもかかわらず、バラクーダの検出数が示すように、攻撃者はこのテクニックをうまく実装し続けています。このテクニックは侵害されたアカウントを必要とするため、全体的な数は比較的少ないかもしれません。しかし、組織のデータと資産の完全性に対する深刻な脅威であることに変わりはありません。というのも、ルール作成は侵害後の手法です。つまり、攻撃者はすでにネットワーク内にいるということになります。攻撃者を排除するには、早急な対応が必要です。 そのリスクを理解し、対応策を考えることが重要です。このブログでは、攻撃者がどのように自動メールルールを悪意のある活動に利用しているのか、効果のない防御策とある防御策について説明します。 電子メールは第一の攻撃ベクトルである メールを介した攻撃は成功率が高く、多くタイプのサイバー攻撃の入口となっています。バラクーダの調査によると、世界各国の企業を対象とした調査では、75%が2022年に少なくとも１件のメールセキュリティ侵害に遭っています。 これらの攻撃は多岐にわたります。基本的なフィッシングや悪意のあるリンクや添付ファイルから、ビジネスメール侵害（BEC）、会話の乗っ取り、アカウントの乗っ取りなどの高度なソーシャルエンジニアリング手法まであります。最も高度なタイプの中には、悪意のあるメールルールに関連するものもあります。 攻撃者はなぜ、そしていかにして自動メールルールを作成するのか 悪意のあるメールルールを作成するためには、攻撃者はターゲットのアカウントを侵害しておく必要があります。たとえば、フィッシングメールを成功させたり、以前の侵害で盗んだ認証情報を使用したりします。いったん攻撃者が被害者のメールアカウントをコントロールすると（これがアカウント乗っ取りと呼ばれるタイプの攻撃です）、１つまたは複数の自動メールルールを設定することができます。ごく簡単なプロセスで、攻撃者はメールボックスへのステルス的かつ持続的なアクセスを維持することができます。そして、それをあらゆる悪意のある目的に利用できます。 メールルールを利用して情報や金銭を盗み、発見を遅らせる 攻撃者は「支払い」「請求書」「機密」といった、機密性が高く、潜在的に有利なキーワードを含むすべてのメールを外部アドレスに転送するルールを設定するかもしれません。 あるいは、メールルールを使用して、特定のメールを読まれないようにするためにほとんど使用されていないフォルダに移動したり、メールを既読にしたり、単に削除したりすることもあります。たとえばセキュリティアラートやコマンド・アンド・コントロール通信、侵害されたアカウントから送信された内部スピアフィッシングメールへの応答を隠したり、侵入者に気づかないまま同じアカウントを使用しているであろうアカウントの本当の所有者から痕跡を隠したりします。 さらに攻撃者は、被害者の活動を監視するためにメールの転送ルールを作成し、被害者や被害者の組織に関する情報を収集して、さらなる悪用や作戦の一部として利用することもできます。 ビジネスメール侵害（BEC）攻撃にメールルールを使用する BEC 攻撃は、メールが正当なユーザーから送信されたものであると他者に信じ込ませることで企業やその従業員、顧客、パートナーから詐取しようとします。 攻撃者は、最高財務責任者（CFO）など特定の同僚からの受信メールをすべて削除するルールを設定することができます。これにより、攻撃者はCFOになりすまし、同僚に偽のメールを送り、攻撃者が管理する銀行口座に会社の資金を送金するよう説得することができます。 2020年11月にFBI は、ウェブベースのメールクライアントとデスクトップのメールクライアントの間の同期とセキュリティの可視性の欠如を悪用したサイバー犯罪者が、メールの転送ルールを設定してBEC攻撃が成功する可能性を高めていると公表しました。 標的型国家攻撃にメールルールを使う 悪意のあるメールルールは、標的型攻撃にも使用されています。攻撃者の戦術とテクニックに対応するフレームワークMITRE ATT＠CK® フレームワークは、悪意のあるメール転送を T1114.003 に分類し、この手法を使用する３つの高度継続的脅威グループ（APT）を挙げています。サイバースパイ活動を行う国家レベルの脅威行為者である Kimsuky、恐喝や妨害攻撃で知られる LAPSUS$、そして知的財産や研究の窃盗に関連する国家レベルのグループ Silent Librarian の３つです。 MITREは、メールの隠蔽ルール（T1564.008）を防御回避に使用される手法として分類しています。このテクニックを使用することが知られている APT の１つである FIN4 は、金銭的な動機を持つ脅威行為者で、被害者のアカウントにルールを作成し、「ハッキング」「フィッシュ」「マルウェア」などの単語を含むメールを自動的に削除します。おそらく、侵害を受けた組織の IT チームが従業員らに攻撃者の活動を警告するのを防ぐためでしょう。 単独では防御できない 悪意のあるルールが発見されなければ、被害者のパスワードが変更されても、多要素認証がオンになっても、他の厳しい条件付きアクセスポリシーが課されても、あるいは被害者のコンピュータが完全に再構築されたとしても、そのルールは有効なままです。ルールが取り消されない限り、そのルールは有効なままなのです。 さらに、不審なメールルールは攻撃を見抜く良い兆候ではありますが、そこだけを見ても、アカウントが侵害されたことを示す強力なシグナルとはなり得ません。防御チームは複数のシグナルを使用することで初めて、ノイズを減らし、成功しそうなメール攻撃をセキュリティチームに警告することができるのです。攻撃者が巧妙な手口を使うなど、サイバー攻撃はダイナミックかつ進化しているため、検知と防御にも多面的なアプローチが必要です。 効果的な防御 受信トレイのルール作成は侵害後のテクニックであるため、最も効果的な防御は予防、つまり攻撃者が最初にアカウントを侵害することを阻止することです。しかし、侵害されたアカウントを特定し、その影響を軽減するためには、効果的な検出とインシデントレスポンス対策も必要です。 これには、各従業員の受信トレイで実行されるすべてのアクション、作成されるルール、変更またはアクセスされる内容、ユーザーのログオン履歴、送信されるメールの時間と場所、およびコンテキストなどの完全な可視性が含まれます。バラクーダのAI ベースの防御機能は、このようなデータを使用して、各ユーザーのインテリジェントなアカウントプロファイルを作成します。また、バラクーダのなりすまし対策は、ログインデータ、メールデータ、および統計モデルなど複数のシグナルをルールと共に使用して、アカウント乗っ取り攻撃を識別します。 最後に、バラクーダの XDR クラウドセキュリティやセキュリティオペレーションセンター（SOC）による24時間365日の監視などの拡張検出および対応（XDR）対策は、深く隠れて難読化されたアクティビティも確実に検出し、無効化するのに役立ちます。 この「バラクーダの注目する脅威」は、プレブ・デブ・シンが執筆し、ティリー・トラバースとアレックス・エンジェルがリサーチと内容のサポートを行いました。 2023年のメールセキュリティトレンド 原文はこちら Threat Spotlight: How attackers use inbox rules to evade detection after compromise Sep. 20, 2023 Prebh Dev Singh https://blog.barracuda.com/2023/09/20/threat-spotlight-attackers-inbox-rules-evade-detection

海外ブログ 2023.10.17

キッシング：QR コードメール攻撃について知っておくべきこと

2023年10月5日、Olesia Klevchuk 今日のデジタル時代において、私たちの私生活や仕事をより便利にするために、テクノロジーの利用は絶えず進化しています。クイック・レスポンス（QR）コードもそのような進歩のひとつです。この二次元バーコードによって、ユーザーはウェブサイトの URL や連絡先情報を共有したり、支払いを行ったりすることができます。QR コードは私たちの日常生活を便利にすると同時に、サイバー犯罪者が悪用する新たな道を開いてしまったのです。キッシング（quishing）とも呼ばれる QR コードによるフィッシング攻撃は増加の一途をたどっており、ユーザーにとっても組織にとっても大きな脅威となっています。 サイバー犯罪者は電子メール攻撃に QR コードをどのように利用しているか ハッカーは、電子メール攻撃に QR コードを使用し、受信者をだまして悪意のあるウェブサイトにアクセスさせたり、端末にマルウェアをダウンロードさせたりします。このような攻撃には通常、人々がメールに寄せる信頼を悪用したソーシャルエンジニアリングの手口が使われます。以下は、サイバー犯罪者が使用している手口の例です。 フィッシング・リンク 攻撃者は、フィッシングメールに QR コードを埋め込み、ユーザーにコードをスキャンさせ、信頼できるサービスやアプリケーションに見せかけた偽のページにアクセスさせます。被害者は通常、だまされてログイン情報を入力し、攻撃者にログイン情報を取られます。 偽の QR コードから、氏名、住所、社会保障番号などの個人情報を要求するアンケートやフォームに誘導されることもあります。被害者は、情報や少額の支払いと引き換えに、報酬や賞品を約束して誘い込まれることもあります。 QR コードメールによるフィッシング攻撃の例 QRコードは、このようなよくできた偽のサインインページにつながります。 マルウェアのダウンロード 同様に、QR コードは、スキャンされると自動的にマルウェアを被害者のデバイスにダウンロードする悪意のあるウェブサイトに被害者をリンクすることができます。このマルウェアは、スパイウェアからランサムウェアまで多岐にわたり、攻撃者はデータを盗んだり、侵害されたデバイスをコントロールしたりすることができます。 侵害されたデバイス QR コードはまた、決済サイトを開いたり、ソーシャルメディアのアカウントをフォローしたり、被害者のアカウントからあらかじめ書かれた電子メールメッセージを送信したりするのにも使われます。つまり、ハッカーは簡単に被害者になりすますことができ、被害者の連絡先名簿にあるほかの人をターゲットにすることができるのです。 メールメッセージ内の QR コード攻撃を検出する QR コードによる攻撃は、従来のメールのフィルタリング手法では検知が困難です。スキャンするためのリンクや悪意のある添付ファイルが埋め込まれていないからです。メールのフィルタリングは、QR コードを宛先までたどって悪意のあるコンテンツをスキャンするようには設計されていません。また、実際の脅威は、企業のセキュリティソフトウェアで保護されていない可能性のある別のデバイスに移行します。 AI や画像認識技術の活用は、こうした攻撃を検知する方法のひとつです。通常、偽の QR コードだけが悪意のあるメールのサインではありません。AI ベースの検出では、送信者、コンテンツ、画像サイズ、配置などの他のシグナルも考慮して、悪意のある意図を判断します。Barracuda Impersonation Protectionは、QR コード詐欺を特定し、ブロックするために、こうしたテクニックを使用します。 ユーザーを教育し、これらの攻撃を予測できるようにしましょう。QR コード攻撃がまだセキュリティアウェアネストレーニングの一部になっていない場合は、将来的にカバーされるようにしてください。ユーザーは、電子メールやその他の方法で配信されたQRコードをスキャンする際に注意を払う必要があります。 原文はこちら Quishing：QRコードメール攻撃について知っておくべきこと 2023年10月5日 Olesia Klevchuk https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks

海外ブログ 2023.10.16

なぜパスワードセキュリティが今なお話題になるのか

2023年9月28日、Christine Barry 認証情報を保護することは、ランサムウェアやその他のサイバー攻撃から身を守るためにできる最も重要なことの１つです。パスワード管理やベストプラクティス、多要素認証について書かれた記事は何千とあります。ネットワークドメインやソフトウェア・アズ・ア・サービス（SaaS）アプリケーションをはじめとするシステムの多くは、クレデンシャルに複雑なパスワードを要求しますし、ごく基本的なコンピューターユーザーでもパスワードは共有しないようにという話は聞かされています。なのになぜ、まだパスワードが話題になるのでしょうか。2023年ベライゾンデータ侵害調査レポート（Verizon Data Breach Investigations Report; DBIR）では、脅威アクターが個人データや社会保障番号のような機密情報を含むどのデータタイプよりもクレデンシャルを重視していることが明らかになっています。盗まれたクレデンシャルは全データ侵害の44.7%を占め、2022年の41.6%から増加しています。同レポートによると、盗まれた認証情報はデータ侵害の最も一般的な入口であり、北米（67%）および欧州・中東・アフリカ（53%）で発生した侵害で最も侵害されたデータタイプです。は、盗まれた後も有効なままの認証情報こそが、最も危険な盗まれた認証情報なのです。攻撃者は、認証されたユーザーとして標的のシステムにログインしたがります。認証情報が手に入れば、攻撃者は認証されたユーザーとしてシステムを渡り歩くことができ、長い時間、侵入を検知されることもありません。クレデンシャルはとりわけ、国家アクターや大物ハンターにとって重要なのです。 サイバー攻撃におけるクレデンシャルの使われ方 古くなった認証情報はそれほど価値がないかもしれませんが、攻撃者にとっては古いログイン情報の使用方法がいくつか残っています。だからこそ、盗まれたデータがほぼ間違いなくほかの攻撃者に売られ、より大きなデータセットがより高い価格で売られるのです。以下は、サイバー攻撃でクレデンシャルが使用されるいくつかの方法です。 不正アクセス：クレデンシャルセットの最もわかりやすい使用法は、先ほど述べたように犯罪者がログイン情報を使ってシステムにアクセスし、攻撃を続行する、というものです。 クレデンシャルスタッフィング：これは自動化された攻撃で、盗まれたクレデンシャルセットをローテーションすることによって、Web アプリケーションへのログインを試みます。クレデンシャルセットが多くの異なるWeb アプリケーションで使用されるため、クレデンシャルが最新であるか古いかは問題ではありません。 ユーザー ID とパスワードは、鍵のかかったドアの物理的な鍵のようなものだと考えてください。犯罪者が、同じような鍵の入った袋を持ち、ドアにある鍵をひとつひとつ試して、中に入れるかどうか確かめているところを想像してみてください。そのドアは、銀行、小売店、医療ポータル、空調管理システム、その他のオンライン・サービスに通じているかもしれない。もし鍵が開けられれば、犯罪者はあなたの鍵で開けられるものすべてにアクセスできることになります。１つの鍵が機能しなくても、犯罪者にとっては大した問題ではありません。鍵は何百万とありますし、同時に多くの異なるドアでそれらを使用するボットの軍隊も従えているからです。 複数の調査で、パスワードはしばしば再利用され、共有されていることが明らかになっています。つまり、盗まれたクレデンシャルの一部が複数のシステムで機能する可能性がかなりあるということです。クレデンシャルスタッフィングは非常に一般的な攻撃です。 パスワードの散布：この攻撃はクレデンシャルスタッフィングに似ていますが、全てに同じパスワードで組まれたユーザーアカウントのリストをローテーションします。手軽な犯罪者-ドア-鍵のシナリオでは、鍵は完全なクレデンシャルセットではなく、１つのパスワードを指します。犯人は１つの鍵をすべてのドアで試した後、別の鍵を持って最初の家からまた試します。これは、ルーターや CCTV カメラをはじめとするスマート・デバイスなど、デフォルトパスワードを使用するシステムで最も効果的な攻撃です。この攻撃は、たとえパスワードがなくても犯罪者が確認されたユーザー名を重視する理由の好例です。 ブルートフォース：多くの人はこの攻撃をドアを開けるのに破城槌を使うことに例えますが、筆者はむしろヘアピンなどで錠前をこじ開けるピッキングに似ていると考えています。ブルートフォース（総当たり）攻撃は、攻撃が成功するまで「あらゆる可能な文字、数字、記号の組み合わせを系統的に試す」ことによってパスワードを発見しようとする自動的な試みとユーザー名をペアにしてシステムにログインしようとするものです。この攻撃のほとんどは、単語リストや一般的なパスワード、スマートルールセットから始まり、可能なすべての組み合わせを使ってパスワードを構築しようとします。十分な時間があれば、ブルートフォース攻撃はすべて成功します。ただし、パスワードが複雑で単語リストにもない場合は、正しいパスワードを推測するまでに何年もかかる可能性があります。 こうした攻撃を防御する方法 パスワードセキュリティに関する意識向上と実施に向けた取り組みはかなり進んできているとはいえ、脆弱な認証情報や露出した認証情報から始まる攻撃は依然として相当数見受けられます。ダラス市に対する最近のランサムウェア攻撃は、犯罪者が盗んだ認証情報でどれだけのことができるかを示す一例に過ぎません。認証情報を保護することは、セキュリティ計画の優先事項でなければなりません。パスワード管理のベストプラクティスを導入することは重要な第一歩ですが、それだけでは十分ではありません。企業は、受信トレイ、アプリケーション、エンドポイント、ネットワークエッジを防御するマルチレベルの保護を導入すべきです。 バラクーダのサイバーセキュリティプラットフォームでは、このようなすべての脅威ベクトルを防御し、データを保護できます。このソリューションは、メール、ネットワーク、アプリケーションなど、すべての攻撃サービスを保護します。このような完全なサイバーセキュリティソリューションを提供している企業はほかにありません。   原文はこちら パスワード・セキュリティについて語り続ける理由 2023年9月28日 Christine Barry https://blog.barracuda.com/2021/09/27/why-we-keep-talking-about-password-security

海外ブログ 2023.10.09

バラクーダ、CRN Annual Report Cardで２年連続で大賞を受賞

2023年8月21日、Anne Campbell うれしい報告です。バラクーダが CRN の Annual Report Card Awards（ARC賞）データ保護部門で再び大賞を受賞しました。同部門で最高得点を獲得したうえ、４つのサブ部門のうち３つでバラクーダのソリューションがトップとなりました。サポート、パートナーシップ、およびマネージド＆クラウドサービス部門です。 また、Barracuda RMM は MSP RMM 部門で評価され、マネージド＆クラウドサービスサブ部門賞を受賞しました。Barracuda RMM が CRN の Annual Report Card に掲載されたのは今年が初めてで、チームはこの受賞をとりわけうれしく思っています。 データ保護の総合的勝利 バラクーダがデータ保護部門で受賞できたのは、Barracuda Cloud-to-Cloud Backup と Barracuda Backup がともに評価されたためです。Barracuda Cloud-to-Cloud Backup は、Microsoft 365 データの包括的なクラウドネイティブバックアップを実装しています。Barracuda Backup は、ストレージ、ソフトウェア、およびインライン重複除外を組み合わせており、何が起きてもデータを損失から保護します。 「当社のバックアップソリューションが今年のデータ保護部門で最優秀賞に選ばれたことに感激しています」と喜びを語るのは、当社データネットワークおよびアプリケーションセキュリティエンジニアリング担当 SVP のティム・ジェファーソンです。「当社のソリューションの価値が評価されたのですから。クラウドベースの SaaS からオンサイトの物理的なバックアップにいたるまで、当社のソリューションの守備範囲は幅広いのです。バラクーダでは、導入から展開、および利用が容易な革新的なセキュリティ製品を提供することを使命としており、今回の受賞は、その使命を果たしている証であると考えています」 Barracuda Backup とBarracuda Cloud-to-Cloud Backup はともに、ランサムウェア攻撃者がバックアップにアクセスできないようにし、バックアップデータをランサムウェアから保護するための多くのセキュリティ機能を実装しています。バラクーダは、ランサムウェア攻撃の検出、防止、および回復を支援するソリューションを提供しており、ランサムウェアに打ち勝つ戦略を構築するのに役立ちます。 Barracuda RMM がマネージド＆クラウドサービスのサブ部門で優勝 Barracuda RMM （リモートモニタリング＆マネジメント）プラットフォームは 15年以上にわたって、MSP がクライアントに高品質の IT サービスを提供するために必要なツールと洞察を提供しています。セキュリティサービスが企業にとって不可欠となりつつある今、MSP が顧客の進化するニーズを満たせるよう、Barracuda RMM はセキュリティサービス提供機能を強化しました。 過去1年間に RMM ツールに実装した革新的な機能の一部を紹介しましょう。 無料の営業ツール Site Security Scanner の導入　このツールを使えば、MSP は新規顧客や既存顧客とセキュリティに関する会話を簡単に始められます。 SentinelOne Control との統合　MSP...

海外ブログ 2023.09.25

【Backup障害: 復旧済】 新規購入機器でのリンキング（アクティベーション）に失敗する

最終更新日：2023年9月26日　午前6時15分 2023年9月25日午前9時頃より下記の障害が発生しておりましたが、9月26日午前4時33分に復旧致しました。 既に新規購入頂いたBBSでのリンキング（アクティベーション）が正常に可能となっております。 影響を受けられたお客様にはご不便・ご迷惑をお掛けし、大変申し訳ございませんでした。 【発生日時】 2023年9月25日 午前9時00分頃 【復旧日時】 2023年9月26日 午前4時33分 【事象】 Cloud Controlにログインし、リンキング画面で正しいシリアル番号・リンキングコード、リンキングに必要な情報を入力し、利用規約に同意しても、”We’re Sorry…”というメッセージが表示され、リンキングに失敗する。 ※機器交換、および同一アカウントへの2台目以降の機器追加では本事象は発生せず、影響はありません。 【影響】 新規購入された機器でのリンキング（アクティベーション）に失敗し、以降のバックアップ設定（データソース・バックアップスケジュール等）を実施することができない。 【原因】 新規に作成されたBCCアカウントでリンキング（アクティベーション）を実行した際に、製品登録データベースとの連携にエラーが発生し、リンキングが正常に完了できない状態となっておりました。 【復旧対応】 9月26日 午前4時33分、本社エンジニアリングチームによる修正対応が完了し、問題は解決致しました。

技術情報 2023.09.25