最近の銀行破綻の悪用を試みる攻撃者の先を行く 2023年3月15日、Fleming Shi ハッキング集団は、情報や金銭を盗む新しい機会を常に探しています。新型コロナウイルスのパンデミックやウクライナ侵攻のような大きな出来事があると、そのあとには必ず大きな詐欺インシデントがあることがこれまでに証明されています。今回の銀行セクターのトラブルに乗じた SMSやその他のフィッシング攻撃も、必ず出てくるはずだと私たちは予想しています。 銀行セクターが「パニック」を起こす可能性 3月10日、カリフォルニア州金融保護革新局(DFPI)は、流動性不足と債務超過を理由に、シリコンバレーバンク(SVB)を閉鎖しました。その後 DFPI は、連邦預金保険公社(FDIC)をシリコンバレーバンクの管財人に任命しました。FDICは管財人として、被保険者預金の管理、資産の売却・回収・債務整理などの業務を引き受けます。 FDICは銀行ではありませんが、破綻した銀行に代わって業務を行う預金保険国立銀行(DINB)を創設する権限を持っています(p.38)。この種の銀行は「ブリッジバンク」と呼ばれ、破綻した銀行が管財手続きを進めるなかで銀行業務を継続できます。今回はFDICが「金融機関を安定させ、秩序ある解決を実施する」まで、シリコンバレーブリッジバンクが、シリコンバレーバンクの残りの銀行業務を行うブリッジバンクとなります。FDICのウェブサイトには、シリコンバレーバンクの破綻に関する最新情報が掲載されています。 3月12日にニューヨーク州金融サービス局(DFS)がシグネチャーバンクを事業停止とした際も、同様の経過をたどりました。 FDIC が管財人に任命され、シグナチャーブリッジバンクが設立されて銀行業務を継続することになったのです。 この2つの銀行の破綻は、ハッキング集団がフィッシング詐欺やなりすまし詐欺で一般市民を狙う絶好の機会となります。シリコンバレーバンクやシグネチャーバンクの顧客で、銀行業務を他の金融機関に移管する可能性のある人をターゲットにすると、私たちはにらんでいます。また、Roku、Shopify、Pinterestなど、シリコンバレーバンクの著名なクライアントになりすます攻撃もおそらく出てくるでしょう。 銀行関連のSMS詐欺 サイバー犯罪者は SMS(テキストメッセージ)を好んで使用します。なぜなら、非常に短いメッセージを銀行からの緊急警告のように見せられるからです。ほかの銀行になりすましたSMSフィッシング詐欺の例をいくつか紹介します。 バンク・オブ・アメリカを装った詐欺:「口座に制限がかかっています」(出典:CBS 47 Action News) バンク・オブ・アメリカを装った詐欺:「口座を閉鎖します」(出典:リーダーズ・ダイジェスト誌) SMS 詐欺は、リンクにアクセスしたり、情報を返信したり、番号に電話するよう促すことがあります。これらの詐欺は、犯罪者が顧客の資金を管理するために、顧客から情報を盗むことを目的としています。これらのリンクをクリックしたり、見覚えのない番号に電話をかけたりしないでください。必ず知っている番号で銀行に電話するか、URL を手動で入力してオンラインにアクセスするか、銀行の確認済みモバイルアプリを使用してください。 また、FDIC は、特に最近の銀行閉鎖を踏まえ、同様のメッセージを送る可能性のある政府当局のなりすましに対しても警告を発しています。 メール詐欺 サイバー犯罪者はメール詐欺を好んで使用します。メールはあらゆる場所で使用されているからです。シリコンバレーバンクやシグナチャーバンク関連の詐欺では、犯罪者がこうした銀行になりすまし、新しい銀行情報を待っている顧客、パートナー、販売業者などにメールを送信することが予想されます。シグナチャーバンクは4つの州に数十のオフィスがありましたし、シリコンバレーバンクは米国および数カ国にオフィスがありました。メールを使ったなりすましをするのに大きなチャンスがあるわけです。 13タイプのメール攻撃のうち、シリコンバレーバンクとシグナチャーバンク、および FDIC 関連の詐欺では下記のようなタイプの攻撃が使われると予想されます。 なりすまし:ドメインやブランドのなりすましは、受信者をだまして、既知の信頼できる送信者からのメールであると思わせるように設計されています。 フィッシング:銀行のログイン情報、暗証番号、口座番号、その他の機密情報を盗み出そうとする攻撃です。 マルウェア:メールやメールの添付ファイルに隠された悪意のあるソフトウェアで、しばしばフィッシング攻撃とセットで行われます。また、メールに埋め込まれた悪意のあるスクリプトによって、外部のウェブサイトからマルウェアがダウンロードされることもあります。 アカウント乗っ取り(ATO): この種の不正行為は、フィッシング攻撃やその他のデータ漏えいによって、悪意のあるアクターが正規ユーザーアカウントの認証情報を入手することで発生します。企業アカウントの場合、会社の業務に関する情報の収集、マルウェアの配布、振り込め詐欺、ランサムウェア攻撃などが行われる可能性があります。 ビジネスメール詐欺(BEC): 犯罪者が組織の誰かになりすまして、会社、従業員、顧客、またはパートナーを詐取します。この場合、通常、正規の受取人から犯人に資金が流れます。この種の攻撃はしばしば、フィッシング攻撃が成功することで可能になります。 ほかの攻撃ももちろんありますが、上記がおそらく最も一般的な攻撃になるでしょう。 現在の銀行関連の脅威 バラクーダセキュリティオペレーションセンターでは、世界中の脅威を監視しています。 ここでは、私たちが共有できる銀行攻撃の事例を紹介します 脅威アクターは、パートナーになりすまして支払いをするそぶりを見せます。添付ファイルの bank-info.doc は、重要なアカウント情報を盗むように設計されています。 脅威者は、銀行口座をすぐに更新する必要がある従業員になりすましています。ジャネットが返信すれば、攻撃者はその情報を使って給与を流用することができるのです。 これはよくある単純な詐欺で、攻撃者は被害者が延滞金を支払うためにリンクをクリックすることを望んでいます。 このリンクは、被害者をフィッシングサイトに誘導し、支払われたお金と一緒に情報を盗みます。 このような詐欺から自分自身と会社を守るために メールセキュリティについて、以下の実践方法を採用し、早急に対応することをお勧めします。 メールやテキストメッセージに記載されているリンクをクリックしない。 電話やメールで個人情報を共有しない。合法的な組織は、安全でない方法でこれらの情報を求めることはありません。 情報提供や金銭の要求など、通常とは異なる要求に対して警戒する。送信者に連絡したい場合は、メッセージに記載されている連絡先を使うのではなく、自分で連絡先を探してください。 銀行やその他の金融機関に関連するすべての変更について、安全な通信を使用して連絡する。この場合、両者の身元を確認するうえで、対面で会ったり、ビデオ会議をしたりするとよいでしょう。 SPF、DKIM、DMARC エンフォースメントポリシーなどのツールを使用して、メールによるドメインのなりすましを防止する。 AI を活用したフィッシング・なりすまし対策ソリューションを導入する。このタイプのセキュリティは、複数のデータポイントを分析することで、メッセージの悪意ある意図を検出します。 完全な認証と受信者の検証で送信者と受信者を追跡するメール暗号化サービスを利用する。 今日のマクロ経済や財政政策を踏まえ、メールのやり取りを含む金融取引には細心の注意を払うよう、ユーザーを教育することが必要です。現在のような深刻な金融危機の際には、影響の大小にかかわらず、顧客やビジネスパートナー、ベンダーとコミュニケーションをとり、信頼できるコミュニケーションチャネルを確立して情報を共有することも重要です。メールセキュリティの態勢を改善し、特に検知、予防、対応のための優れたツールを活用することで、攻撃者の先を行けるようになります。 原文はこちら Stay ahead of attackers trying to capitalize on recent bank failures...
海外ブログ 2023.03.27
オークランド市、ランサムウェア攻撃を受け、大規模なデータ流出の被害に 2023年3月10日、Christine Barry オークランド市は2023年2月8日、ランサムウェア攻撃を受けて複数のシステムおよび公共サービスに障害が発生し、今なお復旧作業中です。 電話、電子メール、ウェブサイトのサービスだけでなく、支払い処理、許可証や免許証の発行にも支障をきたしました。311インフラ緊急通報システム(OAK311)も利用できない状態が続きました。警察や消防の緊急サービス、市の財務サービスには大きな影響はありませんでしたが、報告や内部コミュニケーションに問題が発生しました。2月14日に非常事態宣言が出され、市当局は復旧作業を支援するための追加リソースを利用することができました。 オークランド市のウェブサイトでは、サービス復旧の最新情報を掲載しています。 また3月6日に同市は、ランサムウェアの犯罪者集団がネットワークからデータの一部を盗み出し、公開したことを通知しました。FBIと第三者のデータ専門家は、市当局と協力してデータ侵害の範囲を特定しています。3月8日現在、流出したデータには、2010年7月から2022年1月までの間に給与を受け取っていた市職員の氏名、住所、運転免許証番号、社会保障番号などが含まれるとのことです。オークランド市当局は、この情報侵害の影響を受けるすべての人に、銀行口座の明細やクレジット口座を気をつけて見るよう求めています。 市は、影響を受けた人に詳細な情報を通知する予定です。 このランサムウェア攻撃は、ランサムウェア集団「Play」が展開するフィッシングメールが原因である可能性が高いです。 Play(PlayCrypt)は昨年の夏から活動しており、「大物狙い」と「二重の恐喝」という攻撃戦略を用いています。簡単に言うと、Playランサムウェアの一団は、通常、身代金を支払う能力または意思を持つという望ましい基準に基づいて、ターゲットを特定します。一団は、暗号化される前のデータを盗み、交渉に使用する電子メールアドレスが記載されたテキストファイルを残します。被害者が身代金の支払いを拒否すると、一団は機密データを漏えいさせると迫るのです。Playの犠牲になった著名な被害者のなかには、A10 Networks、H-Hotels(ドイツ)、ベルギーのアントワープ市などがあります。 下の画像は、オークランド市のデータを侵害した発表したPlayランサムウェアの恐喝Webサイトです。(出典:Bleeping Computer) オークランド市は身代金の支払いを拒否し、バックアップからシステムを復元しています。 オークランドはこうして、ランサムウェア軍団の犠牲になった地方自治体のリストに加わりました。リストは長くなっていく一方です。フロリダ州リビエラビーチとフロリダ州レイクシティは、2019年に攻撃された際に身代金を支払いました。両市とも、身代金要求の大部分を支払うための保険に加入していました。ただし、身代金を支払っても良い結果が得られる保証はありません。ジョージア州アトランタとメリーランド州ボルチモアは、いずれも支払いを拒否しました。ダウンタイムと復旧費用は身代金の要求額を上回りましたが、両市のサイバーセキュリティは大幅に改善しました。 ランサムウェアは国家安全保障上の問題です。米国は連邦政府レベルでこうしたギャングとの戦いに積極的になっており、地方自治体向けにサイバーセキュリティ助成金として10億ドルを割り当てています。対象となる事業者はサイバーセキュリティ戦略を準備し、準備が整った時点でこれらの資金を申請することを推奨します。バラクーダは、包括的なセキュリティソリューションとハードニングされてより堅牢となったデータ保護でランサムウェア攻撃を防御します。詳細は、当社のWebサイトをご覧ください。 原文はこちら City of Oakland ransomware attack results in massive data breach Mar. 10, 2023 Christine Barry https://blog.barracuda.com/2023/03/10/city-of-oakland-ransomware-attack-results-in-massive-data-breach/
海外ブログ 2023.03.21
悪意のあるドキュメントは死んだ。悪意のあるドキュメント万歳 2023年3月7日、Jonathan Tanner Microsoft Officeのマクロのマルウェアがコンピュータの感染に使用されるようになってから約30年、配布されるマルウェアの中で最も一般的なタイプの1つとなってから10年が経過しました。ついに Microsoft は、ダウンロードしたファイルのマクロをすべてデフォルトで無効にするという対応策に舵を切りました。これは、マクロのマルウェアに致命的な打撃を与えるでしょう。クリックするだけでマクロが有効になるようなメッセージはもう出ません。マクロは完全にブロックされ、再有効化するためにはユーザー側の多大な介入を必要とします。 しかし、「自然は真空を嫌う」といわれますし、脅威者は長年にわたって文書マルウェアを中心にソーシャル・エンジニアリングの手法を磨き上げてきました。さらに、サイバー犯罪者たちは成功に不可欠な既成概念にとらわれない発想をしますし、マルウェアの検出を回避するために長年、斬新なアプローチを繰り出してきました。こうしたことが、兵器化された OneNote ファイルを Qakbot の配布に使用するという方法に結実したのです。これは、文書マルウェアに対する新しいアプローチの最初の1つであり、今後、いくつもの新たなアプローチが生み出されるでしょう。 QuakNoteマルウェアキャンペーンの仕組み QuakNote と名付けられたこのキャンペーンは、過去によく見られたいくつかのテクニックを駆使しています。まず、あまり知られていない .oneというファイル拡張子を使うことで、多くの電子メールやマルウェアのスキャナーを回避することができます。問題をさらに深刻にしているのは、Microsoft Office ファイルの大半が使っている OLE2 または OOXML エンコーディングを OneNote が利用していない点です。その結果、マルウェアのスキャンソリューションによっては、そのままではファイルを分析することさえできない場合があります。 この悪意のある OneNote 文書を開くと、別のファイルを開くようユーザーに促します。Microsoft Office や PDF マルウェアによく見られるパターンです。この操作を通して、たいていは埋め込まれたスクリプトやファイルを実行するか、別のマルウェアにリンクしてダウンロードさせます。OneNoteの場合、埋め込まれた HTML アプリケーション(.htaファイル)が実行され、JavaScript を使用して WshShell を通じてWindows シェルコマンドを実行します。この方法は、少なくとも8年前から、いくつかの JavaScript 対応ファイルタイプで使用されています。これらのスクリプトが次のペイロード(この場合は Qakbot )をダウンロードします。しかし、興味深いことに、このキャンペーンでは、Windows 10以降にのみ付属するcurl.exeが使用されています。 Qakbot はボット、すなわち感染したシステム上で動作し、コマンド・アンド・コントロール・サーバーから次に何をするかというコマンドを待つソフトウェアです。Qakbot は特に金融データや認証情報を狙いますが、過去にはランサムウェアの展開にも使用されています。 マクロの扱い方が変わったことで、攻撃者はOfficeのマクロを悪用するのと同じくらい効果的な戦略を模索しています。今回紹介したものは、これから多く出てくるであろう新しい斬新な攻撃の最初の1つだと思われます。あまり知られていないファイルタイプを試す、という方法に加え、今後はPDFマルウェアが増加する可能性もあります。 E-Book:今すぐ知っておくべき13タイプのメール攻撃 原文はこちら Malicious documents are dead, long live malicious documents Mar. 7, 2023 Jonathan Tanner https://blog.barracuda.com/2023/03/07/malicious-documents-dead/
海外ブログ 2023.03.20
SASEとは? セキュア・アクセス・サービス・エッジ略史 2023年2月24日、Christine Barry Secure Access Service Edge(SASE)の誕生は、数年前にさかのぼります。業界最大手のITアドバイザリー会社ガートナーによる2019年の造語で、デジタルトランスフォーメーション(DX)における新しいユースケースと購買パターンの観察から生まれました。ビジネスワークフローやネットワーク設計の長期的な動向を見ている人ならば、SASE コンセプトを取り入れる企業が増えていると聞いても驚かないでしょう。 かつて、遠隔地の支社と本社を結ぶために使われたハブ&スポークの広域ネットワーク(WAN)トポロジーを覚えているでしょうか。支社の従業員は、ネットワーク認証やファイルの集中保管など、ネットワークサービスのためにメインオフィスのサーバーを利用していました。Microsoft 365 のような SaaS (Software-as-a-Service) アプリケーションが登場する以前は、会社全体をサポートする電子メールサーバーは、一般的に 1 カ所にしか置かれていませんでした。ディレクトリサービスやセキュリティポリシーも、一元管理されていました。企業は、オフィス間の専用接続のために高価な回線をリースしていました。支社から本社へのトラフィックを専用線でバックホールすることは、遠隔地の従業員が必要なアクセスを確保するための方法として認められていました。 企業はやがて、専用線に代わる仮想プライベートネットワーク(VPN)やソフトウェア定義型 WAN(SD-WAN)に目を向け、接続コストを削減するようになります。そのうち、アプリケーションやワークロードをクラウドに移行し、より簡単かつ安価に支社がそれらのリソースに直接アクセスできるようになりました。支社間の接続を可能にし、本社のファイアウォールからセキュリティポリシーを適用し、ローカルワークロードの優先順位に従ってトラフィックを最適化するうえで、支社ファイアウォールは最適でした。 パブリッククラウドには、オンプレミスのサーバーやアプリケーションでは対応できないメリットがあることが明らかになっていきます。ビジネスアプリケーションが SaaS 型に変化し、パブリッククラウドが使いやすくなるにつれて、企業はオンプレミスのリソースをさらに削減しました。これは、従業員が自宅やクライアント先で仕事をすることが多くなったというトレンドと完全に一致します。多くの社員が社内ネットワークにアクセスする必要がなくなり、アクセスが必要な社員は VPN やリモートデスクトッププロトコル(RDP)を使用するようになりました。その結果、従業員が複数回ログインすることになり、ワークフローに制約や遅延が生じ、ITチームには余計な管理負荷がかかることになりました。 ガートナー社は、こうしたトレンドがネットワーク・パフォーマンスとビジネス・セキュリティ・ニーズにどのような影響を与えるかを見定めました。研究者は、複数のネットワークおよびセキュリティ技術を単一の拡張可能な製品に統合する必要があることを見抜いたのです。こうして生まれたのがSASEなのです。 SASEのメリット SASE は、いくつかの理由で有用です。まず第一に、ネットワークが伝統的な境界を持たない可能性があることを認識しています。これは重要なポイントです。というのも、従業員はワークフローを通じて一貫したユーザーエクスペリエンスを必要としているし、企業は企業全体で一貫したセキュリティ姿勢を必要としているからです。適切に構築された SASE ネットワークは、インターネットに接続されたあらゆるエンティティが、許可され接続されたリソースに安全にアクセスすることを可能にします。これは、SD-WAN のようなネットワークサービスとファイアウォール・アズ・ア・サービス(FWaaS)のようなセキュリティサービスの組み合わせのおかげなのです。 SASE ネットワークはまた、従来の境界線ベースのネットワークに比べて、拡張や管理が容易です。帯域幅の使用は需要に応じて自動的に調整することができるし、コストもたいてい予測しやすいです。SaaS やクラウドライセンスは、オンプレミスのハードウェアやソフトウェアよりも簡単に予算をたてて購入できます。つまり SASE によって企業は、多くの IT 管理負荷を1〜2社のテクノロジーベンダーにオフロードできるようになるのです。 Barracuda CloudGen WAN と Barracuda CloudGen Access があれば、SASE ネットワークの利点を活用できます。当社の SASE ソリューションの詳細とリスクフリーのトライアルについては、こちらをご参照ください。 原文はこちら What is SASE? A brief history of Secure Access Service Edge Feb. 24, 2023 Christine Barry https://blog.barracuda.com/2023/02/24/what-is-sase–a-brief-history-of-secure-access-service-edge/
海外ブログ 2023.03.07
バラクーダ チャンピオンシップ、2025年まで延長 2023年2月14日、Christine Barry 2014年から毎年、バラクーダはリノ-タホ-トラッキー地区で開催されるバラクーダチャンピオンシップに顧客やパートナー企業を招待しています。プロ競技を観戦する前に、プロアマトーナメントやゴルフクリニック、チャリティーイベントなどをお楽しみいただきます。美しくリラックスした環境で開かれるこのイベントは、私たちにとってとても楽しみなものです。新しい友人を作れる一方で、昔からの友人と再会できるのですから。 このたび、本イベントのタイトルスポンサーを2025年まで延長することになりましたので、今年も顧客やパートナーのみなさまとご一緒できることをうれしく思います。 バラクーダ チャンピオンシップは、カリフォルニア州トラッキーにあるタホマウンテンクラブのオールドグリーンウッドゴルフコースで開催されるPGAツアーおよびDPワールドツアー共催の選手権です。このコースは、標高6,000フィート近いシエラネバダ山脈に位置し、ジャック・ニクラウスが設計したものです。またこの地域で唯一のTier 1プロスポーツイベントでもあり、地元チャリティーのために500万ドル以上の寄付金を集めています。 バラクーダ選手権は、選手にとってユニークかつやりがいのあるイベントです。2023年にはPGAツアーのフェデックスカップとDPワールドツアーのレース・トゥ・ドバイの両方に採用されます。優勝者にはフェデックスカップポイント300点、レース・トゥ・ドバイポイント710点、PGAツアーとDPワールドツアーの両方で2年間の出場権(非会員は1年間)が付与されます。また、この大会では、各スコアに対して付与されるポイントが変わる、モディファイドステーブルフォードというスコアリング方式で、アグレッシブなプレーを引き出します。このスコアリング方式は、標高の高いコースではとりわけ戦略やパフォーマンスに大きな影響を与える可能性があります。 「……このオールドグリーンウッドゴルフコースは素晴らしいです。このスコアリング方式でプレーするには本当に楽しいゴルフコースなので、また来るのが楽しみです」―― 2022年バラクーダチャンピオンシップで優勝したチェズ・リービー タイトリストのプリンシプル・サイエンティスト、スティーブン・アオヤマによる詳細な分析によると、標高はいくつかの側面からボールの空気力学に影響を与えるとのこと。バラクーダ選手権は、PGAツアーで唯一、モディファイドステーブルフォードを採用している大会です。 第25回バラクーダチャンピオンシップは、2023年7月20~23日に開催されます。写真や最新情報については、TwitterやInstagram、Facebookでイベントをフォローしてください。 原文はこちら Barracuda Championship extended through 2025 Feb. 14, 2023 Christine Barry https://blog.barracuda.com/2023/02/14/barracuda-championship-extended-through-2025/
海外ブログ 2023.02.27
【Backup障害: 復旧済】 新規購入機器および交換機でのリンキング(アクティベーション)に失敗する 最終更新日:2023年2月27日 午後12時30分 2023年2月22日、Barracuda Backupで新規購入された機器のリンキング、および交換機の設置時に弊社側で実施するアクティベーション(ライセンス付け替え)に失敗する障害が発生しておりましたが、既に復旧しております。 【発生日時】 2023年02月22日 午後1時00分頃 【復旧日時】 2023年02月22日 午後4時15分 【影響】 新規購入した機器でリンキング画面で正しいシリアル番号・リンキングコード、リンキングに必要な情報を入力し、利用規約に同意しても、”We’re Sorry…”というメッセージが表示され、リンキングに失敗する場合がある。 交換機の設置時に弊社もしくはお客様側で実施するアクティベーション(ライセンス付け替え)処理に失敗する 【原因】 BBS – クラウド間でのVPN接続の為、リンキング時に各機器に割り当てられる接続用のIPアドレスが枯渇したため、エラーが発生していました。 【対処】 本社クラウドチームにより、各機器に割り当てられるVPN接続用のIPアドレスレンジを追加する作業が行われ、正常にリンキング(アクティベーション)が実施できる状態に復旧致しました。 【再発防止策】 本社プロダクトチーム側で、再発予防のため、割り当てIPアドレス数のモニタリングおよびアラートを追加致しました。 これにより、枯渇する前に余裕をもってIPアドレスレンジの割り当てを追加できるようになりました。
Backup 2023.02.27
マルウェア101:マルウェア入門 2023年2月1日、Jonathan Tanner 1971年に最初のウイルスが作成されて以来、精巧さにおいても拡散の度合いにおいても、マルウェアは大きく成長してきました。より多くの情報がデジタル化されるにつれて、その情報を盗み出そうとする試みも増え、その攻撃の連鎖の中にしばしばマルウェアが含まれています。このブログは、マルウェアの概要、特にさまざまなタイプのマルウェアの戦術および目的について理解を深めるためのシリーズの第1弾です。 新たな亜種と複雑化 マルウェアがいっそう複雑化し、複数インテント(意図)の亜種が増加するに従って、配布されるマルウェアの種類についても異なる対処法が必要になってきています。そこで、よりわかりやすくするためにこのシリーズではカテゴリー別に説明します。ウイルス対策ソフトで作成・使用されている「Win32/Trojan…」のような旧式の文字列では、このような文字列を使った異なるタイプの亜種を完全に捕捉することはできません。代わりに、実際にはいくつものタイプに分類されるべきであっても単一の亜種として認識するのです。 とはいえ、これらの文字列は、マルウェアのさまざまな側面を表すものであり、今でも非常に有用です。マルウェアのさまざまな動作や側面をとらえることができますが、マルウェアがあまりに多面的であるため、すべての側面・動作をとらえることはできません。 マルウェアの検出で最もよく知られている静的解析ソフトウェアは、現在でも「アンチマルウェア」ではなく「アンチウイルス」と呼ばれていますが、その使用目的は、意図よりも使用される特定の技術を示すものです。アンチウイルスソフトウェアはもともと、ウイルスが最も一般的なマルウェアとして使用され、配布されていた時代にさかのぼります。そこから、この名前が付きました。こうしたウイルスも、単に自己増殖するだけではありませんでしたが、高度で多面的な今日のマルウェアとは雲泥の差でした。 それ以降のマルウェアの変化は、動機の変化、つまり、今日流通しているほとんどのマルウェアの基礎となっている、国家/政治目的と金銭的利益という非常に実質的な2つの動機が組み込まれたことに大きく関係しています。最初のウイルスと最初のワームは、単にそれが可能であることを証明するために作成されたにすぎません。 デジタルで利用可能なデータの量と性質、そのようなデータを売買するマーケットプレイスの創設と進化、そしてデータを保有する組織とその他の組織の両方にとってのデータの重要性ににもとづいて、マルウェアの作成方法と使用方法は進化してきました。その結果、マルウェアの検出方法も変化しています。 マルウェア検知の進化 マルウェア対策ソフトには、近年いくつかの異なる手法が用いられています。ただ残念ながら、ビジネス環境以外のエンドユーザーにとって最も身近で手頃な価格で利用できるのは、従来のアンチウイルスソフトです。この技術では、ファイルやメモリ、ネットワークトラフィックなどを検索して、マルウェアと関連することが知られている特定のバイト列を探します。ここで登場するのが、前述の分類文字列です。というのも、マルウェアの検出に使用されるバイト列に、分類文字列が内部的にマッピングされるためです。これは静的解析の一種で、ファイルの実行を必要としない解析です。しかし最近では、これ以外の手法も使われています。より高度な静的解析のオプションも数多く存在し、しばしば検出を支援するために機械学習が使われています。Barracuda Advanced Threat Protectionも、検出の一部で同じような技術を使用しています。 マルウェアの解析と検知のもう一つの主要なタイプは動的解析です。サンプルを実行し、実行された動作や行為を観察するのです。悪意のあるファイルを実行する可能性もあるため、当然、エンドユーザーのマシンで実行されるべきものではありません。通常、ファイルを安全なサンドボックスのあるサーバにアップロードして実行し、挙動を観察します。このため、動的解析は 「サンドボックス化」と呼ばれることもあります。動的解析では、マルウェアの実行をエミュレートすることもできますが、これは複雑なプロセスであり、ほとんどのソリューションでは、単にサンドボックス環境を使用することが望ましいとされています。動的解析は、Advanced Threat Protection の原点であり核心です。というのも、ほかの方法は、特定のファイルタイプを対象としていたり、見逃す可能性があったりするのです。 今後に向けて このブログシリーズでは、マルウェアの側面によって 4 つのカテゴリ(感染方法、ペイロード/目的、伝播方法、回避方法)に分け、各ブログでそれぞれのタイプのマルウェアをみていきます。 例えば、先ほどの「Trojan」という文字列は、感染方法、つまりマルウェアがデバイスに感染するための手段を指します。感染が成功すると、マルウェアはその目的(ペイロード/目的)を達成するために、ほかのアクションを実行します。別のマルウェアをダウンロードしてシステムにインストールするといった単純な目的の場合もあれば、保存したパスワードを盗み、次いでシステムにボットを埋め込み、ネットワークの残りの部分をスキャンして他の脆弱なマシンを探すといった多くの目的から成るケースもあります。マルウェアはまた、感染したマシンや他のマシンに自分自身をコピーしようとする場合があります。これがすなわち、伝播です。さらにマルウェアは、特定の高度だが一般的なデザインパターンを使用して検知を回避するケースがあります。 各カテゴリーのタイプは、いずれも従来のアンチウイルスソフトウェアが使用していた分類文字列に関連するものですが、マルウェアの中には複数のタイプが含まれているため、カテゴリー別に見ていくことで、タイプが実際に説明している挙動を区別することができます。マルウェアの各タイプにどのような意味があり、どのような動作をするのか、また、「アンチウイルスをインストールする」以外にどのような防御方法があるのか、さらに歴史や進化についても紹介します。また、注目すべき事例を通して、マルウェアのタイプとそれを体現した有名な事例を結びつけられるようにします。 原文はこちら Malware 101: Introduction to malware Feb. 1, 2023 Jonathan Tanner https://blog.barracuda.com/2023/02/01/malware-101-introduction/
海外ブログ 2023.02.14
【Backup障害: 復旧済】Backup クラウドGUI障害 最終更新:2023年2月27日 午後12時00分 本障害は、2月9日 午後12時55分に復旧致しました。 お客様にはご不便・ご迷惑をお掛けし、大変申し訳ございませんでした。 —- 【障害発生日時】 2023年2月9日 午前9時00分頃 【障害復旧日時】 2023年2月9日 午後12時55分 【事象】 Cloud Controlにログインはできるが、クラウドGUI(管理画面)の表示遅延・UI上での操作ができない 【影響】 新規設置 ・クラウドGUIの表示が遅延する ・リンキングに失敗する ・クラウドGUIでの新規設定・設定変更が機器に反映されず、[今すぐバックアップ]も実行できない ・クラウドGUIからのサポートトンネル接続、リモートアクセス有効化に失敗する 設置済・運用中機器 ・クラウドGUIでのソース・スケジュール等の設定変更が機器に反映されない ・バックアップソースへの接続テストに失敗する ・[今すぐバックアップ]が実行できない ・クラウドGUIのリストアブラウザで、リストア・ダウンロードが実行できない(ローカルUIからのリストア・ダウンロードは可能) ※既に設定済のバックアップジョブの実行には影響はございません。 【原因】 本障害の原因は、本社クラウドチーム側でネットワークのメンテナンスを行った際、日本のBackup管理画面のWebサーバへのルーティングに影響する不注意な設定変更が行われた為と判明しました。 【暫定対処】 本社クラウドチーム側での変更の切り戻し作業により、復旧致しました。 【再発防止策】 今回の事象を受け、今後人的ミスによる影響が出ないよう、担当チーム内で精査の上、ルーティングの最適化/自動化のワークフローを実装するプロセスを進めております。
Backup 2023.02.09
API セキュリティの問題点 2023年1月23日、Mike Vizard T-Mobileの3700万件のアカウント情報漏えいを受け、アプリケーションプログラミングインターフェース(API)のセキュリティに今、注目が集まっています。デジタル経済の時代において API は、データを共有する基盤であり、すでに何百万という API が使用されています。残念ながら、これらの API のセキュリティ確保は後回しにされてきました。そして今、そのツケが回ってきています。 T-Mobile の報告によると、侵害された API は顧客データへのアクセスを提供していましたが、顧客の決済カード情報(PCI)や社会保障番号/税金 ID、運転免許証やその他の政府から発行された ID 番号、パスワード/個人識別番号(PIN)やその他の金融口座情報は被害を免れたということです。つまり、もっと悪い事態に陥る可能性すらあったということです。 API セキュリティに関して多くの組織が直面しているのは、誰に責任があるかが必ずしも明確ではないという問題です。開発者は日常的にデータを共有するための API を作成しています。これらの API の大部分は REST アーキテクチャに基づいていますが、例えば、GraphQL に基づくほかのタイプの API も人気は高いです。問題の核は、こうした API を作成する開発者がサイバーセキュリティの専門知識をさほど持っていないため、サイバー犯罪者にとってデータを入手しやすくなるようなミスをしてしまいがちだということです。 一方でサイバーセキュリティチームも、こうした API がどのように作成され、展開されているのか、ほとんど知らされていません。その結果、API はすべて、実質的に安全でないエンドポイントになってしまっているのです。幸いなことに、API の大半は組織内部向けなので、当面は外部からアクセスできる API のセキュリティに集中すればよいでしょう。ただ、外部からアクセスできる API の数は少ないとはいえ、サイバーセキュリティチームは内部向けの API のセキュリティも甘く見てはいけません。社内の API に社外のユーザーもアクセスできるようにするのは開発チームにとってさほど大変なことではありません。したがって、今日は十分に安全だと思われても、何らかの理由である事業部門が既存の API を社外のエンティティからアクセスできるようにしてしまえば、明日には非常に大きな問題となりうるのです。 少なくとも理論上は、開発者が API セキュリティにより多くの責任を負うようになっています。DevSecOps のベストプラクティスを採用することで、一般的にアプリケーションセキュリティのシフトレフトが進んでいるからです。しかし、すでに作成された API の数は数百万にのぼります。加えて、開発チームから見捨てられてたものの今なおデータへのアクセスが可能な「ゾンビ API」も無数に存在します。作成されたすべての API エンドポイントを見つけ出し保護することは、やはりサイバーセキュリティチームの責任なのです。 組織の API セキュリティの最終責任を誰がとるかにかかわらず、API セキュリティに十分な注意が払われていないことは明らかです。Web アプリケーションを何年も悩ませてきたサイバーセキュリティの問題は、API にも影響を及ぼします。問題は、安全でない API の数が、Web アプリケーションの数よりもケタ違いに多いことです。今日のサイバーセキュリティチームは API セキュリティの専門知識をあまり持っていないため、2023年に組織が API セキュリティ問題を経験する確率は、残念ながら、誰も認めたくないほど高いでしょう。 原文はこちら The Trouble with API security Jan. 23,...
海外ブログ 2023.02.07
Barracuda Backup ファームウェア v6.6.04 GA リリース Barracuda Backup のファームウェアバージョン6.6.04が2023年2月1日、GAリリースされました。 メジャーバージョンv6.6のメンテナンスリリースとなります。 お早めのファームウェアアップデートをご検討ください。 リリースノートは、以下Barracuda Campus, もしくはクラウドGUIの[システム] > [ファームウェア設定]からご確認下さい。 ・What’s New in Version 6.6.04 https://campus.barracuda.com/product/backup/doc/5013563/what-s-new-in-barracuda-backup
Backup 2023.02.01
