Search result: Archives

Barracuda Application Protection

Web アプリケーションのハッキングは、最も多く使われる侵害方法になっています* アプリケーション攻撃はますます複雑化しています Barracuda Application Protection は、完全なアプリケーションセキュリティを確保するために、相互運用可能な機能を 1 つのセットにまとめた総合プラットフォームです。 Barracuda を使えばセキュリティを簡単に強化できます 今日の増大し続ける脅威からアプリケーションを保護するために、完全な Web アプリケーションおよび API 保護（WAAP）機能を、高度なセキュリティサービスおよびソリューションのセットと組み合わせて利用しましょう。アプリケーションをオンプレミス、クラウド、ハイブリッドのいずれで利用している場合でも、Barracuda Application Protection ならアプリケーションの安全性と可用性を簡単に維持できます。 44% データ侵害の 44% はボット攻撃によるものでした** 39% データ侵害の 39% がサプライチェーン攻撃によるものでした** 40% データ侵害の 40% はアカウント乗っ取り攻撃によるものでした* *Verizon DBIR 2022 **2021 年アプリケーションセキュリティの状況 WEB アプリ保護機能の詳細はこちら 完全な DDOS 保護機能の詳細はこちら 高度なボット保護機能の詳細はこちら 安全なアプリケーション配信の詳細はこちら レポートと分析の詳細はこちら 単一の総合ソリューションで、Web サイト、アプリケーション、および API を保護します。 Barracuda Application Protection は、現代の高度な脅威からデータを保護するために必要なすべてを1つのソリューションで提供するため、複数のソリューションを用意する必要はありません。 プランの詳細はこちら Barracuda Application Protectionの評価 評価依頼はこちら  

2023.06.08

バラクーダの注目する脅威：悪意のあるHTMLファイルを添付した攻撃メールの割合が1年以内に倍増

2023年5月3日　Fleming Shi セキュリティ業界では、長年にわたりサイバー犯罪者によるHTMLの悪用に注目してきました。その証拠に、HTMLは依然として成功し、人気のある攻撃ツールであることが示されています。昨年、私たちは、2022年5月にバラクーダがスキャンしたすべてのHTML添付ファイルのうち、約5分の1（21%）が悪意を持っていたことを報告しました。10ヶ月後の2023年3月には、スキャンされたHTMLファイルの45.7%が悪意を持っていることが判明しており、この数字は2倍以上に増加しています。 HTMLの正当な利用 HTMLはHypertext Markup Languageの略で、オンラインで表示されるコンテンツを作成・構成するために使用されます。HTMLは、メールでのコミュニケーションにもよく使われます。例えば、ニュースレターやマーケティング資料など、ユーザーが定期的に受け取る可能性のある自動化されたレポートなどです。多くの場合、レポートはHTML形式（ファイル拡張子が.html、.htm、.xhtmlなど）でメール添付されます。 既知のブランドや信頼できるブランドからの通信に見える場合、受信者が不審に思うことはまずないでしょう。 HTMLの悪意ある利用 しかし、攻撃者は、巧妙に作られたメッセージや乗っ取られたウェブサイト、悪意のあるHTMLファイルの添付ファイルを使ってユーザーをだますことで、攻撃手法としてHTMLをうまく活用しています。 この手法は、攻撃者がフィッシングや認証情報の盗み出しなど、悪意を隠蔽するために使用されます。 受信者がHTMLファイルを開くと、別の場所でホストされているJavaScriptライブラリを経由して、フィッシングサイトや攻撃者が管理する他の悪意のあるコンテンツに複数回リダイレクトされます。その後、ユーザーは、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、認証情報を入力するよう求められます。 しかし、バラクーダの研究者が見たいくつかのケースでは、HTMLファイル自体に、強力なスクリプトや実行ファイルを含む完全な悪意のあるペイロードが埋め込まれた高度なマルウェアが含まれています。この攻撃手法は、外部でホストされたJavaScriptファイルを含む攻撃手法よりも、広く使用されるようになっています。 悪意のあるHTMLベースの攻撃に対する防御は、HTMLの添付ファイルを運ぶメール全体を考慮し、すべてのリダイレクトを調べ、悪意があるかどうかメールの内容を分析する必要があります。詳しくは後述します。 最近の悪意のあるHTMLファイル添付の例は、過去に見られたものと類似していることが多い 例えば、マイクロソフトのログインを装った以下のようなフィッシングの添付ファイルは、数年前から流行していますが、攻撃に継続して広く使用されていることから、攻撃者は依然として被害者を罠にかけることに成功していると考えられます。                               ユニークな攻撃の割合 悪意のあるHTMLの検出総数と、異なる（ユニークな）ファイルの検出数を比較すると、悪意のあるファイルの検出量が増加しているのは、単に限られた数の大量攻撃の結果ではなく、それぞれが特別に細工されたファイルを使用する多くの異なる攻撃の結果であることが明らかとなります。 例えば、2023年1月から3月までの3ヶ月間の日次検知データを見ると、3月7日と3月23日の2回、大きな攻撃ピークがあることがわかります。 3月7日に検出された悪意のあるHTMLアーティファクトは全部で672,145件となっており、181,176の異なるアイテムから構成されています。これは、検出されたファイルの約4分の1（27％）がユニークなもので、残りはそれらのファイルの繰り返しまたは大量展開であることを意味します。 しかし、3月23日には、475,938件の悪意のあるHTMLアーティファクトのうち、ほぼ10分の9（405,438個 – 85％）がユニークで、つまり、ほとんどすべての攻撃が異なっていたことになります。 悪意のある目的で使用されるファイルタイプにおいて引き続きHTMLの添付ファイルが上位を占める バラクーダの分析によると、悪意のあるHTMLファイルを添付した攻撃メールの全体量が増加しているだけでなく、前回のレポートから約1年が経過した現在も、HTMLファイルは悪意のある目的で使用される可能性が最も高いファイルタイプであることが明らかになっています。 2022年 2023年 攻撃方法や攻撃ツールに関して言えば、以前から存在するものだからといって、その威力が弱まることはありません。悪意のあるHTMLが攻撃者に利用されているのは、それが有効だからです。適切なセキュリティを導入することは、これまでと同様に、いやそれ以上に重要です。 悪意のあるHTML添付ファイルからの保護方法 メール保護 – 効果的なメール保護を実施し、セキュリティスキャンで悪意のあるHTML添付ファイルを識別し、ブロックできるようにすることが不可欠です。上記のような理由から、添付ファイルの特定は必ずしも容易ではないため、最適なソリューションには、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれます。 ユーザー教育・啓発 –悪意のある HTML 添付ファイルを発見し、報告できるような訓練の実施が必要です。この種の攻撃の量と多様性を考えると、すべてのHTML添付ファイル、特に見たことのないソースからの添付ファイルには注意したほうがよいでしょう。ログイン情報を誰にも教えないよう、注意を喚起してください。 強固な認証とアクセス制御  – 多要素認証（MFA）は依然として優れたアクセス制御ですが、攻撃者は、多くのタイプのMFA保護をバイパスするために、MFA疲労などの高度なソーシャルエンジニアリング技術にますます目を向けるようになっています。セキュリティ強化のため、ゼロトラスト・アクセスへの対応を検討する必要があります。Barracuda CloudGen Accessなどの効果的なゼロトラストソリューションは、ユーザ、デバイス、場所、時間、アクセスされているリソースなどの複数のパラメータを動的に監視するため、攻撃者が盗んだ認証情報を使用してネットワークを侵害することが非常に難しくなっています。 万が一、悪意のあるHTMLファイルが侵入してしまった場合 – すべてのユーザーの受信トレイから悪意のあるメールを迅速に特定し削除するために、配信後の修復ツールを用意してください。自動化されたインシデントレスポンスは、攻撃が組織全体に広がる前にこれを実行するのに役立ちます。さらに、「Account Takeover Protection（アカウント乗っ取りからの保護）」は、ログイン認証が侵害された場合に、疑わしいアカウントの活動を監視し、警告することができます。 バラクーダは、13のメール脅威タイプを特定し、それらがどのように被害者を狙い、侵害するかを説明するガイドを公開しています。 原文はこちら Threat Spotlight: Proportion of malicious HTML attachments doubles within a year　 May 3, 2023...

Blog 2023.06.02

バラクーダの注目する脅威「悪意のあるHTMLファイルを添付した攻撃メールの割合が 1年以内に倍増」

クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.（本社：米国カリフォルニア州キャンベル）の日本法人、バラクーダネットワークスジャパン株式会社（東京都品川区、執行役員社長：鈴木真、以下「バラクーダネットワークス」）は、本日、「バラクーダの注目する脅威：悪意のあるHTMLファイルを添付した攻撃メールの割合が1年以内に倍増」について、調査結果を発表しました。 2023年の3月時点で、バラクーダがスキャンしたすべてのHTML添付ファイルのうち、45.7%が悪意を持つファイルであったことがわかりました。昨年5月にバラクーダが報告した数値は21%となっており、10ヶ月間に2倍以上に増加しています。 図1: 悪意のあるHTML/XMLの傾向 バラクーダの分析によると、悪意のあるHTMLファイルを添付した攻撃メールの全体量が増加しているだけでなく、前回のレポートから約1年が経過した現在も、HTML添付ファイルは悪意のある目的で使用される可能性が最も高いファイルタイプであることが明らかになっています。攻撃方法や攻撃ツールに関して言えば、以前から存在するものだからといって、その威力が弱まることはありません。悪意のあるHTMLが攻撃者に利用されているのは、それが有効だからです。 図2:悪意のあるアーティファクト ファイルタイプ別の割合（2023年3月） これについて、バラクーダのCTOであるFleming Shiは、次のように述べています。「セキュリティ業界では、サイバー犯罪者がHTMLを武器にしていることを、長年にわたって取り上げてきました。調査結果により、HTMLが依然として成功し、人気のある攻撃ツールであることが示されました。適切なセキュリティの導入は、これまでと同様に重要です。これは、リンクや添付ファイルをスキャンするだけでなく、メールのコンテンツとコンテキストを評価できる、効果的なAI搭載のメール保護の導入を意味します。その他の重要な要素としては、堅牢な多要素認証または理想的にはゼロトラスト・アクセスコントロールの実装、あらゆる攻撃の影響に対応し修復するための自動化ツールの導入、疑わしいメッセージを発見し報告するための従業員のトレーニングがあります。」 関連リンク: ブログ：バラクーダの注目する脅威「悪意のあるHTMLファイルを添付した攻撃メールの割合が1年以内に倍増」 https://www.barracuda.co.jp/tsmalicious/ ‎ E book : 今すぐ知っておくべき13タイプのメール攻撃～高度化する攻撃をメールボックス保護によって防止する方法～ https://www.barracuda.co.jp/download/gbl-glbl-202004-ebook-13-email-threats/ バラクーダネットワークスについて 米国Barracuda Networks Inc. の日本法人。ITにまつわる課題について、メール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。 【本件に関するお問い合わせ】 〒141-0031東京都品川区西五反田8-3-16　西五反田8丁目ビル5階 バラクーダネットワークスジャパン株式会社 E-mail:　japansales_team@barracuda.com TEL:　 050-1791-0524

2023.06.02

Barracuda SecureEdge SASEプラットフォーム：ステファン・シャシンガーとのQ＆A

2023年5月17日、Tony Burgess バラクーダは、新しいSASE（セキュア・アクセス・サービス・エッジ）プラットフォームであるBarracuda SecureEdgeを発表しました。もしかしたら皆さん、これについて知りたいことがあるのではないでしょうか。私もいくつか質問がありました。そこで、バラクーダのネットワークセキュリティ担当シニアプロダクトマネジャーであるステファン・シャシンガーに話を聞きました。 ステファンはSecureEdgeの開発に最初から携わっているので、SecureEdgeとは何か、なぜ今必要なのか、今日の脅威の全体像やサイバーセキュリティ業界の変化を促す動きにどう適合するのか、説明してくれるはずだと思ったのです。その期待は裏切られませんでした。以下は、ステファンとの会話です。 バラクーダの新しいSASEプラットフォームで何ができるか まずはじめに、SecureEdgeとは一体何なのか、説明してください。 簡単に説明すると SecureEdge は、ネットワークを最適化し、セキュリティを確保するための当社の既存のいくつかのソリューションの機能と性能を組み合わせたプラットフォームです。したがって、SD-WAN、ネットワークファイアウォール、ゼロトラストアクセス、Webフィルタリング、IoT セキュリティなどを提供します。SecureEdge を利用することで、顧客はさまざまなソリューションから独自の SASE システムを組み立てる必要がなく、１つのベンダーのプラットフォームソリューションで最新の SASE インフラを効果的に導入できます。 基本的にこのプラットフォームを使えば、ネットワークのセキュリティと最適化がぐっとシンプルになります。使いやすい単一のクラウドポータルで全体を管理することができるからです。また管理者は、セットアップと運用のために何週間もの集中的なトレーニングを受ける必要もありません。 そうなるとSecureEdgeは、バラクーダの既存のネットワークセキュリティ製品の代替品になるのでしょうか。 いいえ。そしてそこが重要なポイントです。Barracuda CloudGen FirewallやCloudGen Access、および当社の他のネットワークセキュリティ製品は、引き続き販売、サポート、更新される予定です。そのため、現在これらの製品を持っていたり、今後購入を検討している顧客が SecureEdge へのアップグレードを強要されることはありませんので、安心してください。 ただし、こうした当社製品をすでに使っていて、SecureEdge にアップグレードしたい場合は、非常に簡単かつシームレスな移行が可能であることを付け加えておきます。 SecureEdge が単なるバンドルではなく、真のプラットフォームである理由を教えてください。 バラクーダは他社からうらやましがられるくらい非常に広範で包括的な製品およびサービスのポートフォリオを持っています。自社開発と戦略的買収の組み合わせで、ここまで到達しました。当社の強みの１つは、提供する製品の相互運用性です。つまり、買収によって新しい製品を手に入れた場合、単にブランド名を変えて世に送り出すのではありません。新しく取得した製品が当社の他の関連製品とシームレスに動作し、データを透過的に共有できるよう、最初に多くのエンジニアリングを行います。こうして、純粋にバラクーダ製品となったことを確認するまでは販売しません。 こうして当社は、異なる製品間の複数の機能や特徴を統合するスキルを磨いてきました。SecureEdge は、私たちが長い間歩んできた軌跡につらなる次なる一歩を体現しています。SecureEdge は既存のさまざまな製品の機能を統合した、とだけ説明して済ませることもできますし、その機能の一部を伝えるうえではこうした表現はとても便利です。しかし、単に複数の製品を束ねただけではありません。むしろ、包括的な機能を完全に統合した、ひときわ新しい製品なのです。また、プラットフォームであるため、今後も新しい機能や特徴の開発を重ねて簡単に統合することができます。 SecureEdgeを必要とするのは誰で、最も恩恵を受けるのは誰なのでしょうか。 SecureEdgeは、主に中堅企業向けの製品です。しかし、非常に大規模なグローバル企業のニーズにも対応できるような拡張性を備えています。 ユースケースとしては、リモートワークへの大規模なシフトとクラウド型 SaaS ソリューションの普及により、攻撃対象が拡大かつ変化している現状に着目しています。 そのため、分散した遠隔地の従業員を抱える組織では、SecureEdgeを利用することで、社内のデータやアプリケーションだけでなく、SaaS アプリケーションなど、従業員がアクセス権限を持つリソースのみに安全にアクセスできるようにすることが容易になります。さらに、悪意や破損が確認されているサイトやサービスへのアクセスを自動的にブロックします。もちろん、管理者はニーズに応じて独自のブロックリストを構成することができます。 もちろん、従来の中央集中型のオフィスから出ていったのは、従業員だけではありません。従業員がアクセスするアプリケーションも散在しています。仕事で使うツールのほとんどはクラウド経由で提供されるようになりましたが、一部はまだオンプレミスでホストされています。こうした新しいハイブリッド的世界では、従来のオフィスやデータセンターが依然として存在し、さらにリモートワークやSaaSアプリケーションも存在するため、どこで働いていても、別の場所で稼働するリソースにアクセスできるようにするアーキテクチャにおいて、いかに安全な接続を確立するかが課題となっています。私たちがカバーしなければならないすべての場所、時には集中型ワークロードへのアクセスを必要とする分散型 IoT デバイスも含めて、スケーラブルでコスト効率の高い接続性とセキュリティがエッジで直接必要となります。そして、SecureEdge のような SASE の実装は、その課題に対処する最良の方法なのです。 SASEの主な使用例についてのより詳細な説明については、私の最近のブログ記事のこちらとこちらを参照してください。 SecureEdge の導入と運用開始には何が必要でしょうか。組織がサブスクリプションを購入した場合、管理者やユーザーは実際に何をしなければならないのでしょうか。 それは意図するユースケースによりますが、まず SecureEdge Manager と呼ばれるクラウドポータルのアカウントと、中央のセキュリティハブとしての SecureEdge Service が必要です。管理者にとって、クラウドサービスの設定は非常に直感的なものだと思いますよ。デフォルトの設定が組み込まれているため、実に簡単にサービスの利用を開始することができます。ゼロトラストアクセスやセキュアなインターネット・アクセスなど、多くの機能がすぐに使えますし、必要な情報を収集し、その入力に基づいて SecureEdge を自動的に設定するウィザードを使用して素早く設定することもできます。 ハードウェア面では、各拠点に設置する物理アプライアンスと仮想アプライアンスがあり、SD-WAN と Firewall-as-a-Service の機能を提供します。当社の高度なゼロタッチディプロイメントのおかげで非常にシンプルで、IT 担当者が現場にいる必要はありません。アプライアンスが現地に到着したら、電源とインターネット接続に接続するだけで、完了です。アプライアンスはクラウドサービスに対して自らを識別し、適切な設定ファイルを自動的にダウンロードし、インストールできます。 またユーザーにとっては、VPN 接続から SecureEdge が提供するゼロトラストアクセスモデルへの移行に伴う新たなログイン手順について説明を受けるだけで、そのプロセスはほぼ完全に透過的です。 ステファン、質問に答えるために時間を割いてくれたことに感謝します。今回の話は多くの情報が詰まっていました。読者の中には、ネットワークセキュリティとコネクティビティに対するこの新しいプラットフォームベースのアプローチについて、さらに深掘りしたいと思っている人もいるでしょう。そのような場合、どこに行けばさらなる情報を得ることができますか。 まずは、当社Wenサイトの SecureEdge のメインページで、多くの情報を得ることができます。 また、まもなく開催されるライブのウェビナーでも、皆さんの質問に答え、こうしたトピックについてさらに詳しく説明する予定です。このセミナーでは、SecureEdge がどのように機能するのかを実感していただくために、ライブデモも予定しています。登録はこちらからどうぞ。 そして最後に、もちろん、バラクーダのリセラーやMSP、またはバラクーダの営業担当者と直接連絡を取ることができます。  ...

海外ブログ 2023.05.29

OWASP トップ 10 API セキュリティリスク：壊れた認証

2023年4月28日、Paul Dughi Open Worldwide Application Security Project® (OWASP) トップ 10 API セキュリティリスクのドラフトリストの第２位は、壊れた認証です。 壊れた認証さえあれば攻撃者は、認証またはセッション管理ツールの脆弱性を悪用して認証方法をバイパスできます。 攻撃ベクトル 認証方法は、サーバーに接続する誰もが利用できるため、攻撃者の格好のターゲットとなります。弱いパスワードおよび推測されやすいパスワードとブルートフォース攻撃によって侵害の糸口をつかみます。ほかにもセッション固定化攻撃、不十分なセッション・トークン/クッキー、ユーザーのログアウト後のセッション無効化の失敗も、攻撃者の侵入を許します。 OWASPが指摘するように、APIにおける認証は複雑です。そのためソフトウェアエンジニアは、認証ツールや境界を実装する際に、しばしば間違いを犯します。 OWASPは、壊れた認証に悪用可能性スコア3（ハッカーによって多少悪用可能であることを意味する）を割り当てました。 セキュリティの弱点 API セキュリティの認証が壊される際、２つの重要な問題があります。１つめは、API エンドポイントによる認証の保護が不十分であることです。API エンドポイントは、通常のエンドポイントとは異なり、追加の保護レイヤーを必要としているのです。第２に、様々な攻撃ベクトルがあるがゆえに間違ったメカニズムが適用されがちです。たとえば、Web アプリケーション用に設計された認証メカニズムは、モノのインターネット（IoT）クライアントには適さないかもしれません。 OWASP は、「壊れた認証」を普及率と検出率で２と評価しています。これはつまり、この脆弱性が一般的であり、中程度の努力で検出できることを示しています。 ビジネスへの影響 技術的な観点からは最も深刻な脆弱性ではないかもしれませんが、不正なユーザーがアクセスすることは、企業にとって大きなリスクとなります。 侵害は、以下のような深刻な被害をもたらす可能性があります 機密データへの不正アクセス アカウントの乗っ取り データ操作 個人情報窃盗   攻撃者がユーザーアカウントにアクセスできるようになると、他の潜在的な脆弱性も悪用できます。たとえば権限昇格や、ネットワーク内での水平展開などです。このような攻撃は、GDPR、CCPA、HIPAA、PCI-DSSといったデータ保護規制を順守するうえでも問題を引き起こす可能性があります。 認証破り攻撃の仕組み 攻撃者は、システムの脆弱性を探り、さまざまな手口でアクセス権を獲得します。最も一般的な手法の１つに、ブルートフォースがあります。コンピュータで大量のパスワードを生成してユーザーの認証情報を推測するのです。何年も前から警告されている手法ですが、多くのユーザーはいまだに弱いパスワードを使用していたり、システムがハッシュ化されていないパスワードを保持したりしているのが現状です。 その他にも、以下のような攻撃があります。 セッションハイジャック：攻撃者がユーザーのセッショントークン/クッキーを傍受します。 セッションの固定化：攻撃者はユーザーのセッショントークンやクッキーを既知の値に設定し、そのトークンやクッキーを使ってユーザーにログインさせてセッションを乗っ取ります。 パスワードスプレー：攻撃者は、脅威のベクトルを見つけるために、ユーザーアカウントに共通のパスワードを「スプレー」します。 クレデンシャル・スタッフィング：あるアプリケーションから盗んだパスワードを使い、ユーザーが認証情報を再利用しているシステムへ不正にアクセスします。 URLの改ざん：攻撃者は、URLの一般的な書式を悪用して、認証を回避するためにURLを操作します。   実例の紹介 このような認証破りの攻撃は、一連のインシデントで注目を集めました。マリオットホテルチェーンを狙った攻撃もその１つです。このインシデントでは、２人の従業員の盗まれたログイン情報が、520万人以上の宿泊客の情報へのアクセスに使われました。 2023年には同様の攻撃がヤム・ブランズ（タコベル、KFC）、チック・フィレイ（Chick-fil-A）、ノートン・ライフロック、T-モバイル、メールチンプ（Mailchimp）に対して行われています。 壊された認証の脆弱性を検出する 破られた認証の脆弱性を検出するには、ユーザー認証、パスワード管理、セッション管理、アクセス制御など、認証機構を包括的にセキュリティ監査する必要があります。 自動化された脆弱性スキャナーは、一般的な API セキュリティの脅威を特定するのに役立ちます。また、手動テストを導入することで、認証が破られた脆弱性を特定することができます。 認証破りの脆弱性を防ぐ ソフトウェアエンジニアとセキュリティチームは、いくつかの簡単な戦略を導入することで、認証破りの脆弱性を防ぐことができます。各ステップだけでは API パスウェイ攻撃を防ぐことはできませんが、重層的なアプローチでリスクを軽減することができます。 多要素認証の採用 ユーザーにメールやテキストで送信されるワンタイムパスワード（OTP）、多要素認証（MFA）パスコード、その他の追加の検証手段は、ブルートフォース攻撃やクレデンシャルスタッフィングを防ぐのに役立ちます。 強固なパスワードの義務化 大文字、小文字、英数字、特殊文字を組み合わせた、より複雑なパスワードを使用するようユーザーに強制しましょう。管理者は、NIST 800-63B で定められた認証情報のガイドラインにも従うべきです。 レート制限の実施 システム管理者は、ブルートフォース攻撃やクレデンシャルスタッフィングを防ぐために、ログイン試行失敗回数を制限する必要があります。試行回数の制限は、サービス拒否攻撃の抑止力にもなります。また、ログインに何度も失敗した場合には、自動警告システムを導入し、潜在的な脅威を表面化させ、さらに評価する必要があります。 ログインフォームは一貫した応答を確実に送信する アカウント列挙攻撃は、攻撃者が異なるユーザー名とパスワードを使用して複数のリクエストを送信した場合に発生します。有効な組み合わせと無効な組み合わせで異なるエラーメッセージが表示される場合、攻撃者はシステムに登録されているユーザーを特定し、ブルートフォース攻撃やフィッシング攻撃を促すことができます。 ランダムなセッションIDを生成する ユーザーがログインした時点でランダムなセッションIDを生成することで、攻撃者は予測しづらくなります。ランダムなIDは、各セッションがユニークなIDを持ち、限られた時間しか有効でないことを保証します。すべてのセッションIDは、ログアウト時に失効するようにします。これは、弱いトークンや予測可能なトークンを排除することで、セッション固定化攻撃を軽減するのに役立ちます。 APIゲートウェイやリバースプロキシーを利用する 追加の認証なしにAPIへのアクセスを許可するマイクロサービスは、攻撃対象領域を大幅に拡大する可能性があります。APIゲートウェイやリバースプロキシーの使用は、すべての受信リクエストに対して単一のエントリーポイントを作成し、すべてのAPIリクエストに対して認証と認可のポリシーを義務付けます。 包括的なAPIセキュリティ計画 包括的なセキュリティ計画の一環として、ITチームは、転送中のすべてのデータに対するエンドツーエンドの暗号化、APIエンドポイント保護、パスワードのハッシュ化、脆弱性の定期的なテストも導入する必要があります。 Webアプリケーションと API を包括的プラットフォームで保護しましょう...

海外ブログ 2023.05.22

繰り返されるランサムウェア攻撃：何が被害者を危険にさらしているのか

2023年3月28日、Tilly Travers ランサムウェアのリスクと影響に対する認識は高まり、より効果的なセキュリティ対策や、攻撃グループをとらえ犯罪活動を阻止するための国際協力の理解も進んでいます。にもかかわらず、ランサムウェアは依然として進化し続けているサイバー脅威です。すべての組織が潜在的な標的なのです。 新たな国際調査によると、調査対象となった組織の4分の3弱（73％）が、2022年に少なくとも1回はランサムウェア攻撃を受け、実害を被っていることが明らかになりました。被害数が多いのは、ランサムウェア・アズ・ア・サービスの提供により、低コストでアクセス可能な攻撃ツールが普及し、多くのサイバー犯罪者がランサムウェア攻撃をしやすくなったことを反映していると思われます。 しかし、懸念事項はそれだけではありません。この調査では、調査対象組織の3分の1以上（38％）が、2022年にランサムウェア攻撃を繰り返し受けていたという結果も出ています。つまり、同じ攻撃者または異なる攻撃者から、2回以上ランサムウェア攻撃を受けたということです。近年、多くの調査レポートがこのリスクを取り上げているとはいえ、もっと注目されるべきでしょう。 ランサムウェアの攻撃は、1回受けただけでも日常業務や顧客のサプライチェーンがマヒし、混乱と経済的損失が生じ、企業の評判や顧客との関係も損なわれることがあります。攻撃を繰り返し受けることが、特に前回のインシデントの影響から完全に回復していない場合などは、どれほど大きな破壊力を受けることになるのかは容易に想像できることでしょう。 繰り返しの攻撃から組織を守るためには、何が最初のリスクとなり得るかを探ることが重要です。調査結果によると、セキュリティやインシデント対応策が効果的でないこと、自ら進んで、あるいはほかに手段がないという理由で身代金を支払う意思があることなど、いくつかの要因が重なっている可能性が高いようです。 組織が繰り返し攻撃にさらされる可能性のあるリスク要因 不十分なセキュリティ対策：調査によると、ランサムウェアの被害にあった組織の69%は、攻撃者がネットワークに侵入するための認証情報を盗むために設計されたフィッシングメールなど、悪意のあるメールから攻撃が始まっていることがわかりました。WebアプリケーションとWebトラフィックは、2番目に多く見られる開始点であり、拡大し続ける脅威がおよぶ範囲として、リスクが高まっている領域です。組織は、これらの点をカバーしておく必要があります。 攻撃時および攻撃後のインシデント対応と無力化が不十分であること：複数回の攻撃が可能であるということは、最初のインシデントの後、セキュリティギャップに十分に対処していないことを示唆しています。これにはいくつかの理由が考えられます。たとえば、セキュリティ管理やインシデントレスポンス、調査能力の不足です。そこに、攻撃者の高度化、ステルス化が加わると、攻撃者が残したバックドアやその他の永続的なツールが特定・削除されない可能性があります。アクセスポイントが開かれたままになっていたり、アカウントのパスワードがリセットされていなかったりして、盗まれた認証情報が再び悪用される可能性があるのです。攻撃を完全に無効化することをさらに難しくしているのは、攻撃者がしばしば組織のIT管理ツールを悪用することです。同じIT管理ツールをITチームが日常業務で使用しているため、ネットワークに出現してもすぐに疑われない可能性があるのです。 身代金を支払うこと：複数回被害を受けた組織では、暗号化されたデータを復元するために身代金を支払ったことがあると回答する傾向があることが調査から明らかになっています。３回以上被害にあった組織の42％が暗号化されたデータを復元するために身代金を支払ったのに対し、２回被害にあった組織の34％、１回だけ被害にあった組織の31％が身代金を支払っています。また、繰り返し被害にあった組織は、復旧のためにデータバックアップシステムを利用する割合も低くなっています。ある組織が身代金の支払いに応じることが知られると、ほかの攻撃者が同じ被害者を狙うというリスクもあります。 サイバー保険に加入していること：調査によると、サイバー保険に加入している組織の77％が少なくとも１回のランサムウェア攻撃の被害を受けているのに対し、サイバー保険に加入していない組織は65％であることが判明しました。これはサイバー犯罪者が、保険をかけている組織を標的にする可能性が高いことを意味します。保険会社が迅速な復旧のために身代金の費用を肩代わりするだろうと踏んでいるのです。また、２回以上のランサムウェア攻撃の影響を受けた組織は、サイバー保険を導入している割合が高いです（70%）。 ランサムウェアに対する防御 多くの組織は、自分たちがどれほど危険にさらされているかを過小評価しているのではないでしょうか。調査結果によると、ランサムウェア攻撃に取り組む準備が不十分だと感じている組織は、調査対象者のうちわずか27%でした。 セキュリティ業界は、組織がランサムウェアの課題に対処するために、深く、多層的なセキュリティ技術を駆使するという不可欠な役割を担っています。深く、多層的なセキュリティ技術とはすなわち、AIを活用したメール保護やゼロトラストアクセス対策、アプリケーションセキュリティ、脅威ハンティング、拡張検知・応答（XDR）機能、侵入者を発見し攻撃者が容易に侵入できないようにギャップを埋める効果的なインシデントレスポンスなどです。 主要なセキュリティ対策については、当社のガイド『身代金を支払わないために　～ランサムウェア対策のための3ステップ～』をご覧ください。ランサムウェア対策のチェックリストもダウンロードできますので、ぜひご活用ください。 調査の詳細は、「2023 Ransomware Insights」レポートに記載されています。 この調査は、独立系調査会社Vanson Bourneがバラクーダのために実施したもので、米国、欧州、中東、アフリカ、およびAPAC諸国のさまざまな業種の従業員100～2500人の企業において、第一線から最上級の役割を担うIT担当者を対象としています。 Get the report 原文はこちら Repeat ransomware attacks: What’s putting victims at risk? Mar. 28, 2023 Tilly Travers https://blog.barracuda.com/2023/03/28/repeat-ransomware-attacks/

海外ブログ 2023.05.22

パスワードのセキュリティを習慣化する

2023年5月4日、Christine Barry 2023年５月４日は５月の第１木曜日、「世界パスワードの日」だそうです。ワクワクしているフリもできませんよね。 パスワードにはイライラします。 今やっていることを邪魔されるからです。どれも違っていて複雑で、推測しにくいものでなくてはならず、しかも覚えにくい。パスワードは面倒なもの、そう感じているのは私だけではないだろう。「アクティブ」なインターネットユーザーの42％以上が、パスワードのセキュリティはあまりに面倒からと「オプトアウト」しています。複数のサイトで同じパスワードを使い、しかも多くの場合、簡単に解読できる弱いパスワードを使っているのです。気持ちはよくわかります。でも、そのような行動では、この世界の危険には太刀打ちできません。 悪意あるボットと自動化された攻撃 パスワードのセキュリティは、自動化された攻撃を受けるたびに重要性を増しています。 インターネットトラフィックに関するバラクーダの最新の調査によると、少なくとも40%は「悪意あるボット」によることが明らかになっています。 これは、脅威アクターが脆弱なWebアプリケーション、ファイアウォール、およびその他のインターネットにアクセス可能なデバイスを探し出すために使用する自動スクリプトです。これらのボットの多くは、電子商取引アプリケーションやログインポータルに着目し、ブルートフォースやクレデンシャルスタッフィングなどのパスワード攻撃を仕掛けてきます。 ブルートフォース攻撃では、体系的な「トライアルアンドエラー」手法を使い、考えられるすべてのパスワードとパスフレーズをテストします。「123456」や「abc123」のような最も一般的なパスワードを使用すると、ブルートフォース攻撃は１秒未満でそれを突破します。クレデンシャルスタッフィング攻撃は少し違って、ボットがほかの攻撃で盗んだクレデンシャルのセットをローテーションしています。攻撃対象のサイトでユーザーが別のサイトでも使っているパスワードを使い回しているなら、ボットはそのユーザーの有効なログイン情報を以前データ侵害した際に入手している可能性があります。そうなるとボットは、わずかな時間さえあればユーザーになりすましてログインできるようになります。 機会を狙ったフィッシング フィッシング攻撃もまた、パスワードセキュリティの重要性をあらためて強調する攻撃です。 フィッシングメール、Webサイト、そしてメッセージは、非常にうまく機能するため、企業や個人にとって最も脅威となるものの１つです。フィッシング攻撃は、ユーザーをだまして認証情報やその他の情報を提供させようとするもので、システムからデータを盗むように設計されたマルウェアが含まれていることもあります。このような攻撃は、インフラ、機密研究、国家機密に対する攻撃の出発点となることがよくあります。受信トレイのセキュリティやユーザの認識などのフィッシング対策は、このような攻撃に対する最良の防御策であり、これらを導入していない場合は、バラクーダがこれを支援します。 こうした対策を取ったとしても、フィッシング攻撃は有効な攻撃であり、その攻撃力はますます向上しています。 爆発を止めることはできなくても、それをできるだけ小さく抑えたいものです。 ベストプラクティス ずさんなパスワード管理の習慣は、ビジネスメールの漏えい、アカウントの乗っ取り、ランサムウェア、その他の有害なサイバー攻撃につながる可能性があります。ログイン情報を保護することは、たいていの場合、自分で直接コントロールできます。 たとえば、以下が考えられるでしょう。 固有のパスワードをアカウントごとに使用する。(42% !!!) パスワードマネージャーを使用してパスワードを管理する。強力なマスターパスワードを備えたパスワードマネージャーは、すべてのアカウントに固有のパスワードを管理するための安全な方法です。これらのアプリケーションを使えば、複雑なパスワードをその場で簡単に作成できるため、万が一パスワードが漏えいした場合でも、すぐにパスワードを変更することができます。LastPassのインシデントのようなことが心配なら、KeePassのようなオフラインのパスワードマネージャーを調べてみるのもよいでしょう。 情報漏えいを監視する。パスワード管理ソフトの中には、これを監視し、情報漏えいが見つかったら警告してくれるものもありますが、これは有料の機能かもしれません。また、Webサイトの「have I been pwned」を利用して、あなたの電子メールやパスワードの侵害データベースをチェックすることもできます。 一般的なパスワードを使用しない。たとえば「qwerty」や「password」などです。こうした最も一般的なパスワードは、前述したパスワードと同様、ブルートフォース攻撃で解読するのに１秒とかかりません。 個人情報をパスワードに使わない。名前、住所、誕生日など、あなたを連想させるような情報は、誰かに推測されやすくなります。複雑なパスワードやパスフレーズを使用するのがよいでしょう。 パスワードを他人と共有しない。文書、カレンダー、電子メールなどの共有は、パスワードやアカウントアクセスを共有しなくても安全に行えます。誰かがあなたの認証情報でログインできるようにするのではなく、適切なコラボレーションワークフローを構成しましょう。ほとんどの SaaS の生産性アプリケーションは、コラボレーションツールを備えています。   ここに多要素認証を挙げていないのは、そのオプションが常に利用できるわけではないからです。しかし可能な限り、多要素認証を利用しましょう。 パスワードセキュリティを習慣にする 「世界パスワードの日」を祝う必要はありませんが、パスワードのセキュリティに改めて取り組むことでこの日を過ごしましょう。自分のアカウントや認証情報が重複していないか、漏えいしていないか、弱いパスワードがないか、見直してみてください。友人や家族、同僚にも同じことをするよう、注意を促してください。さて、来年５月の最初の木曜日までに、42%より良い結果を出せるでしょうか。   原文はこちら Make password security a habit May. 4, 2023 Christine Barry https://blog.barracuda.com/2023/05/04/make-password-security-a-habit/

海外ブログ 2023.05.15

SASEのエンドポイント保護とセキュアリモートアクセス

2023年4月27日、Stefan Schachinger セキュア・アクセス・サービス・エッジ（SASE）に関するこれまでの深堀りブログでは、SD-WANなどの接続性、ファイアウォール・アズ・ア・サービス（FWaaS）やセキュア Web ゲートウェイ（SWG）が提供するセキュリティ機能などについて紹介しました。今回は、SASE 環境におけるエンドポイント保護について紹介します。 ご記憶にあるとおり、 SASE のコンセプトは、ネットワーク（WAN エッジ）とセキュリティ（セキュリティサービスエッジ）のコンポーネントを統合するものです。この記事では、リモートアクセス、ZTNA（ゼロトラスト・ネットワークアクセス）、および SIA（セキュアインターネットアクセス）を取り上げます。これらは SASE の展開に密接に関係しており、通常、エンドポイントソフトウェアコンポーネントが関与しています。 ここでは、SASEのネットワークとセキュリティのコンポーネントを簡単に紹介します。 SASE WAN エッジ セキュリティサービスエッジ SD-WAN FWaaS 前方誤り訂正 ZTNA ルーティング VPN 最適経路指定 CASB トラフィックフェイルオーバー SWG … SIA   お気づきの通り、SASE プラットフォームに含まれるセキュリティ機能のほとんどは、かつて別の製品として展開されていたものです。これは、ここ数年の要件やユースケースの変化による自然ななりゆきです。メインオフィスとデータセンターが真ん中にある城と堀のようなアーキテクチャでは、もはや十分ではありません。ペリメーターは消え去ったか、あるいはソフトウェアで定義されるようになりました。しかし、ひとつだけ非常に簡単になったことがあります。これまでは FTP や SSH などのさまざまなネットワーク・プロトコルが使われていましたが、現在ではエンドユーザーのトラフィックはほとんどすべて Web ベースになっています。Microsoft 365のような一般に公開されているサービスでも、イントラネットのような社内のプライベートなリソースでも、使用されているプロトコルはほぼ常に HTTPS です。 パンデミックによるロックダウンで働き方が変化したことで、それまで見過ごされていた脆弱性が露呈しました。エンドポイントでの保護が十分でなく、ビジネスネットワーク VPN 上で会社のリソースへの無制限の信頼とアクセスが行われていたのです。この２つの条件が、多要素認証（MFA）の欠如やパスワードのセキュリティの低さと組み合わさると、致命的なことになりかねません。脅威者は、技術的な脆弱性を容易に利用したり、ソーシャルエンジニアリング攻撃を使って、被害者のネットワークやワークロードにアクセスすることができます。 セキュアインターネットアクセス (SIA) SIAは、セキュア Web ゲートウェイ（SWG）をエンドポイントに拡張したものです。SWG クラウドサービスが提供する詳細な Web トラフィック検査は、トラフィックのバックホールやリダイレクトを伴いますが、それらが常に必要というわけではありません。エンドポイントに Web セキュリティ機能を追加することで、この追加ステップを回避できます。これにより、クラウドに置いてある大がかりなツールを持ち出さずとも、デバイスが Web トラフィックについて簡単な判断を下すことができます。たとえば、シンプルな DNS ベースのフィルタリングを使用することで、禁止されていたり不要だったりする Web カテゴリをそれ以上検査することなく直ちにブロックできます。規制や企業のコンプライアンス、企業倫理や行動規範に抵触するコンテンツや、悪意があるとして知られている Web サイトなどが考えられます。このフィルタリングは、すでにデバイス上にあり、コマンド＆コントロールサーバーに電話をかけようとする悪意のあるソフトウェアの「発信」をブロックすることもできます。この種のトラフィックは、エンドポイントでブロックできるのですから検査のためにわざわざクラウドに送信しなければならない理由はありません。 一方、信頼できるアプリもあります。なかには、トラフィックがリダイレクトされ、直接のブレイクアウトが必要な場合はうまく機能しないものも少なくありません。Microsoft 365 は、詳細な Web トラフィック検査が不要といえる例の１つです。アプリケーションに接続する前に Microsoft 365 のトラフィックを SWG に誘導すると、パフォーマンスも低下する可能性があります。このシナリオでは、エンドポイントセキュリティで十分な場合があるため、SWG のクラウド検査を回避することができます。...

海外ブログ 2023.05.08

OWASP Top 10 APIセキュリティリスク：壊れたオブジェクトレベル認可

2023年4月12日、Paul Dughi 2023年のリストはまだ確定していませんが、Open Worldwide Application Security Project® (OWASP) のGithubサイトでは、API セキュリティリスク TOP 10 をすべて確認し、コメントすることができます。リストのNo.1リスクは、壊れたオブジェクトレベル認可（BOLA、broken object level authorization）です。 BOLA は、脅威アクターが本来ならば制限されるべきデータオブジェクトのリクエストに成功した場合に発生します。 攻撃ベクトル 攻撃者は、リクエストに含まれるオブジェクトのIDを操作してAPI エンドポイントを悪用し、API を騙して機密データや保護データを返させます。BOLA は、サーバーコンポーネントがクライアントの状態を完全に把握しておらず、どのオブジェクトにアクセスすべきかをオブジェクト ID に依存しているようなアプリケーションで発生する可能性があります。 OWASPは、ハッカーによって容易に悪用されることを意味する悪用可能性スコアを 2 点としました。 セキュリティの弱点 OWASPによると、これは API に対する最も一般的かつインパクトの大きな攻撃の１つです。 アプリケーションが認可をチェックする適切なインフラストラクチャを実装していても、開発者がそのチェックを使用することを忘れて機密性の高いオブジェクトへのアクセスを許可してしまうことがあります。アクセス制御の検出は、自動化された静的テストや動的テストに必ずしも反応しないため、欠陥が検出されないことがあります。 OWASPもBOLAを普及度の点で３点としています。このセキュリティ脅威は、さまざまなドメインやアプリで見受けられます。 ビジネスへのインパクト 機密データへの不正アクセスは常に、暴露と責任のリスクを伴います。また、あるオブジェクトへの不正アクセスから、アカウントの乗っ取りなど、さらなる侵害へつながっていく可能性があります。 BOLAエクスプロイトは、以下のようなインシデントを引き起こす可能性があります。 機密記録の大規模な流出 閲覧、修正、削除を含む記録の操作 特権のエスカレーション 管理者アカウントのフルテイクオーバー   BOLA 攻撃の仕組み 攻撃者は、リクエストのコードにパターンを使っているシステムを探ります。たとえば、ユーザー ID やオブジェクト ID を変更し、API がどのように応答するかを確認することで、BOLAの欠陥を探り当てます。こうして見つかった欠陥からアクセスされると、適切なセキュリティプロトコルが導入されていないAPI は大きなリスクにさらされます。脅威アクターが API を通じてアクセスすると、すべてのデータが危険にさらされるのです。 実際にどのようなシナリオが想定されるかを説明しましょう。ある人が、顧客 ID を使用して合法的または非合法的に企業のシステムにアクセスしたとします。アクセスがいったん認証されると、その人のアイデンティティはトークンで表現されます。API リクエストでアクセスに使用した顧客 ID をほかのユーザーの ID に置き換えて、ほかのユーザーの個人情報にアクセスします。 これがうまくいくことを確認した攻撃者は、その後のリクエストで顧客 ID 番号を代用するプロセスを自動化し、さらに記録を流出させられます。 たとえば金融機関への侵入には、クレデンシャルスタッフィング攻撃が使われるかもしれません。リクエストの識別子を変更することで、攻撃者は異なるユーザーアカウントにアクセスでき、送金やデータのリダイレクトを異なるエンドポイントに行うこともできるかもしれません。 OWASPは、自動車メーカーが、車両の車体番号を用いてドライバーの携帯電話から API 経由で車両のリモートコントロールを可能にした例を挙げています。脅威者は理論上、デバイスを認証し、オンラインまたは車両本体で容易に入手できる別の車両の車体番号をすり替えることができます。実際の所有者の認証ではないことを API が検出できなければ、攻撃者は車両へのアクセスや始動、窃盗を行うことができるかもしれません。 実社会における例 このような侵害が、2018年に約230万人の加入者に影響を与えたT-Mobileの顧客データ漏洩の原因とされています。また、別のAPIベースの攻撃でも、2023年に3700万人のT-Mobileユーザーに影響が及んだ可能性があります。 Facebook および...

海外ブログ 2023.04.24

北海学園様導入事例〜インターネットラインを10Gbpsで統合したより良いICT環境の構築を目指し、Barracuda CloudGen Firewallを導入〜

北海学園は、1885年に設立された「北海英語学校」を前身とし、現在では、北海学園大学、北海商科大学、北海高等学校、北海学園札幌高等学校の４校を擁しています。北海道で、最も歴史がありながら最大の私立学校法人で、４校合わせて11,000余の学生・生徒が在籍しています。今回は、学校法人北海学園 本部事務局 システム開発室 室長 中本一康様と、導入支援及びシステム設計・運用を行なっている株式会社SIDソリューションズ 代表取締役社長 清水和幸様に、バラクーダのファイアウォール製品「Barracuda CloudGen Firewall F800/ F900」をはじめとするバラクーダ製品の導入とその効果についてお聞きしました。

2023.04.24