Info.
お知らせ
Search result: Archives
Barracuda Backup 製品概要プレゼンテーション (PDF版)2023年4月20日更新
2023年のメールセキュリティトレンド(2023年2月)
Barracuda Cloud-to-Cloud Backup 製品紹介プレゼンテーション(PPT版)2023年4月5日作成
Barracuda Cloud-to-Cloud Backup 製品紹介プレゼンテーション(PDF版)2023年4月5日作成
OWASP Top 10 API セキュリティリスク:2023年版
2023年3月17日、Paul Dughi OWASP API セキュリティプロジェクトは、2023年の API セキュリティリスクトップ 10 を更新しています。2019年以来の更新で、新しいリストではこれまでと同じリスクもあれば、新しく追加されたものも、削除されたものもあります。たとえば、ロギングとモニタリング、インジェクションは、依然として重要な要因ではあるものの、トップ 10 には入っていません。新たに加わったもののなかには、SSRF(サーバーサイドリクエストフォージェリー)や API の安全でない利用があります。 現時点で、リストはまだ確定していませんが、OWASP のGithubサイトで公開されており、レビューやコメントが可能です。今のところ、2023 年版リストの項目は以下の通りです。 オブジェクトレベルの認可の不備 認証の不備 オブジェクトプロパティレベルの認可不備 無制限な資源消費 機能レベルの認可の不備 サーバーサイドリクエストフォージェリ セキュリティの設定不備 自動化された脅威からの保護の不足 不適切な資産管理 安全でないAPIの消費 1. オブジェクトレベルの認可の不備 オブジェクトレベルの認可は、一般的にユーザー検証のためにコードレベルで実装され、オブジェクトへのアクセスを制限する制御方法です。オブジェクトレベルの認可が適切に実施されない場合、システムを危険な状態にさらす可能性があります。Uberでは、攻撃者がユーザーの電話番号を含む API リクエストを送信してトークンにアクセスし、システムを操作したことでこのような脆弱性が発覚しました。 攻撃ベクター:リクエスト内で送信されるオブジェクト ID を操作することで、API エンドポイントを悪用する攻撃です。この問題は、API ベースのアプリケーションにおいて残念ながらとてもよく見られます。サーバー側のコンポーネントがクライアントの状態を完全に追跡せず、オブジェクト ID に多くを依存しているからです。 セキュリティの弱点:認可とアクセス制御は複雑なものです。適切なプロトコルと設定があっても、開発者は機密性の高いオブジェクトにアクセスする前に認可チェックを行うことを忘れてしまうことがあります。このような状態は、自動テストではなかなか事前に検出されません。 2. 認証の不備 認証エンドポイントは、ブルートフォース攻撃、クレデンシャルスタッフィング、弱い暗号化キー、認証を必要としないほかのマイクロサービスへの接続など、多くのリスクに対して脆弱です。 攻撃ベクター:これらのエンドポイントは、組織外の人がアクセスできる可能性があるため、いくつかの潜在的な脅威が存在します。しばしば、認証のための境界全体を完全に保護できていなかったり、適切なセキュリティ・プロトコルを実装していなかったりします。 セキュリティの弱点:OWASPは、エンドポイント認証に関する2つの具体的な問題点を指摘しています。 追加の保護レベルを含む保護メカニズムの欠如 認証メカニズムの不適切な実装、またはアプリケーションに対する誤ったメカニズムの使用 3. オブジェクトプロパティレベルの認可の不備 API 経由でオブジェクトにアクセスする場合、ユーザーが特定のオブジェクトプロパティにアクセスする権限を持っていることのバリデーションが必要です。オブジェクトプロパティレベルで認可に不備があると、権限のないユーザーがオブジェクトにアクセスしたり、変更したりすることができるようになります。 攻撃ベクター:脅威者は脆弱な API エンドポイントを悪用し、攻撃者が利用できないはずのオブジェクトのプロパティ値を読み取り、変更、追加、削除します。 セキュリティ上の弱点: 開発者が機能やオブジェクトへのユーザーアクセスのバリデーションを提供しても、ユーザーがオブジェクト内の特定のプロパティへのアクセスを許可されているかどうかをバリデーションしない場合があります。 4. 無制限な資源消費 API リクエストに制限がないと、攻撃者が複数のリクエストを送信したり、リソースをフラッディングしたりすることでサービス拒否(DoS)攻撃を実施できます。またリクエストごとの有料課金を利用している場合は、金銭的な損害を与えることができます。分散型サービス拒否(DDoS)攻撃は過去2年間で大きく増加し、60%も増加しています。 攻撃ベクター:API は、相互作用を制限していない API に対して複数の同時リクエストを送信することで、悪用される可能性があります。 セキュリティ上の弱点:API ではしばしば、実行タイムアウトや最大許容メモリ、クライアントリクエストの操作回数、サードパーティの支出制限の実装などの活動を制限していません。ロギングを行っても、初期段階で悪意のある活動が知らぬ間に行われていることになりかねません。 5. 機能レベルの認可の不備 機能レベルの権限で管理用エンドポイントにアクセスできるようになると、機密性の高いアクションを実行できるようになります。 攻撃ベクター:攻撃者は、アクセス方法がより構造化され予測可能であるため、API の欠陥を発見し、アクセスできないはずのエンドポイントに正規の API コールを送り込むことができます。場合によっては、エンドポイントの URL...
バラクーダがCRNの2023年 Security 100リストに選出されました
2023年2月27日、Anne Campbell うれしいニュースです。本日、ザ・チャンネル・カンパニー(The Channel Company)のブランドCRN®が、7 年連続でバラクーダを年次 Security 100 リストに選出したことを発表しました。IT チャネルのセキュリティリーダーを評価する Security 100 リストに選ばれる企業は、ソリューションプロバイダーに対して、チャネルへの注力と先駆的で革新的な技術の組み合わせを提供しています。 ハイブリッド型のリモートワークが新常態となりつつある今日、あらゆる業種のあらゆる規模の組織にとって、セキュリティは最重要課題となっています。サイバーセキュリティや重要なデータの損失に関する懸念は高まり、巧妙化するサイバー脅威からの保護が必要となっていることから、セキュリティ市場はさらなる成長をすると予想されます。 今年の Security 100 に選ばれたのは、5つのカテゴリーにおいて、チャネルに特化した優れたセキュリティ製品を提供しているとして、CRN 編集部によって特別に選出された企業です。5つのカテゴリーとは、アイデンティティ管理とデータ保護、エンドポイントとマネージドセキュリティ、ネットワークセキュリティ、Webと電子メールおよびアプリケーションのセキュリティ、セキュリティオペレーションとリスクおよび脅威インテリジェンスです。このリストは、ソリューションプロバイダーにとって包括的なガイドとなり、顧客のために革新的なソリューションを構築する際に、提携すべきトップセキュリティベンダーを特定するのに役立つものです。 バラクーダは、Webと電子メールおよびアプリケーションセキュリティのカテゴリーで評価されました。CRN は、メール保護、アプリケーションセキュリティ、ネットワークセキュリティ、データ保護などの幅広いセキュリティ製品群、および Barracuda XDR による拡張検出と応答への拡張を特に高く評価しています。記事全文はこちらでご覧いただけます。 「コロナ禍で組織はさまざまな予想外の変化に直面してきましたが、セキュリティが今日のビジネスにおいて最も重要な要素であることに変わりはありません。今年の Security 100 は、さまざまな脅威に耐えうる先駆的なセキュリティ製品を IT チャネルに提供する業界のリーダー企業を称えるものです。ここに挙げた 100 社は、最先端のサイバーセキュリティソリューションの基礎を築いているのです」とチャンネル・カンパニーのCEO、ブレイン・ラドン氏は述べています。 継続的な評価 CRN の 2023年 Security 100 リストに選ばれた以外にも、バラクーダは最近、いくつかのCRN賞や栄誉にあずかっています。 2023年2月初め、バラクーダのチーフ・レベニュー・オフィサーのクリス・ロスと MSP ビジネス担当 SVP のニール・ブラッドバリーが 2023 CRN Channel Chiefs リストに選出されました。 2022年11月には、Barracuda XDR と Barracuda CloudGen WAN がそれぞれ、2022年 CRN Tech Innovator Awardsのマネージドディテクション&レスポンス部門とセキュリティサービスエッジ部門のファイナリストに選ばれました。 2022 年 11 月には「最もホットなエッジセキュリティ企業 25 社」の 1 社にも選ばれました。 2022 年 8月には、CRN の2022年 Annual Report...
2023年、予算の逼迫でセキュリティのスリム化は必至
2023年2月21日、Phil Muncaster サイバーセキュリティは今日の組織にとって重要ですが、だからといってマクロ経済がもたらす嵐の影響を受けないわけではありません。最新の調査によると、多くの企業で予算は横ばい、あるいは減少していく傾向が見られます。ただでさえ厳しくなる一方の状況に直面しているITおよびセキュリティ部門のリーダーにとって、これは悪い知らせです。残念ながらサイバー犯罪の世界には、こうした予算的な制約がありません。サイバー犯罪者たちは今までと同じように、互いに助け合い、革新し合い、あらゆる機会を逃さず弱点につけ入ってくるでしょう。 IT 部門のリーダーにとって、この2つの圧力に対処する方法は、ベンダーとの関係を見直すことだといえます。ビジネスリーダーに効率性と生産性、財務規律を求められているのなら、妥協することなくセキュリティを実現する最善の方法は、より少ない製品やサプライヤーに統合することでしょう。 財布のひもを締める時 世界のほとんどの地域で、来年の経済見通しがかなり暗いものとなっています。IMF は最近、今年の成長率見通しを 2.9%に下方修正し、先進国ではさらに一段低く(1.2%)なっています。フランス、ドイツ、イタリア、イギリスといった欧州の大きな市場では、今年の GDP 予測が1%を超えることはないとされており、一部の経済は景気後退に陥る可能性さえあります。高インフレと高金利は、特にエネルギーコストの高騰など、企業に大きな打撃を与えています。また、同じマクロ経済要因が、消費者の消費意欲を減退させています。 世界経済の行方は、拡大する攻撃対象領域のセキュリティを確保することにも、デジタルトランスフォーメーション(DX)プロジェクトで組織が過剰なリスクにさらされないようにすることにも苦労しているITセキュリティリーダーにとっても重要です。最近の調査では、欧州と中東、アジア、そして米国の組織のうち現在の要件を満たすのに十分な予算があると信じているのはわずか半数(49%)であることが明らかになりました。さらに悪いことに、11%が最も重要な資産を保護する予算しかないと答えており、35%が2023年の予算は横ばいか減少すると考えています。 本調査レポートによると、経営幹部がサイバー脅威の深刻さを理解し、セキュリティ関連予算を削れば DX にも悪影響が及びかねないと認識しているにもかかわらず、予算の制約は避けられないとIT部門リーダーの多くが回答しています。つまり経営幹部にどれだけ懇願しても、これ以上の資金は出てこないということなのでしょう。 この課題は、中小企業にとってはさらに深刻です。2022年後半の別の調査によると、米国と英国およびオーストラリアの中小企業の半数以上(56%)が予算削減を懸念していることが明らかになりました。 脅威は続く その懸念も当然のことです。たとえ予算が変わらなかったとしても、目の前にある多くの課題を軽減するには十分ではないかもしれません。その課題とは、大きく分けて 2 つあります。 地下の最先端サイバー犯罪ワールドでは、相当に高度な脅威を仕掛けるために必要なツールやサービスを調達することなどもはや子どもの遊びと言っていいくらい簡単です。ランサムウェア・アズ・ア・サービス(Ransomware-as-a-Service)が急速に増えていることからも、このサービスがいまなお大企業よりも中小企業に大きな打撃を与えていることがわかります。 企業の攻撃対象領域は拡大しています。背景には、コロナ禍によるクラウドコンピューティングへの投資やハイブリッド型の働き方へのシフトなどがあります。ある調査によると、グローバル企業の43%が、自社の攻撃対象領域が「制御不能なほど広がっている」ことを恐れていました。 こうした理由などから、事業の存続に関わりうる侵害は定期的に発生し続けています。PwC によると世界の CFO の4分の1以上(27%)が、過去3年間に重大なデータ侵害に見舞われ、100万ドル以上の損害を被ったことがあると回答しています。実際、情報侵害の世界平均コストは現在約 440 万ドルに上っています。PwC が英国で行った調査では、今年、脅威は大幅に増加すると、調査対象企業の約4分の1が予想しています。なかでもランサムウェア、ハック&リーク攻撃、クラウドベースの脅威、ビジネスメール侵害(BEC)などが最も懸念される脅威として挙げられています。 より少ないものでより多くを成し遂げる こうしたことから、中小企業のITリーダーは、限られたリソースをより有効に活用する方法について考え始める必要があります。もっとも、それはこれまでしたきたことでもあります。好景気の時でも、中小企業は大企業にはない方法でリソースを最適化する必要があったのですから。しかし、現在の経済情勢からは、より一層の引き締めが必要となりそうです。 ある調査によると、中小企業の大半でサイバーセキュリティチームのメンバーは5人未満です。調査対象となった中小企業の半数がサイバーセキュリティにかけている費用は年間 2 万ドルに届かず、年間5万ドル以上を費やしているのは 10 社に 1 社です。このような状況で、どうすればより少ないコストでより多くのこと成し遂げられるのでしょうか。適切に行えるのであれば比較的早く実現できることとして、ベンダーの統合があります。中小企業であっても、特定の問題を解決するために購入したツールや、長年にわたるM&Aで獲得したツールが、余るほどあるかもしれません。 しかし、重なり合う可能性のあるポイントソリューションは、いくつかの理由から好ましくありません。 サイロ化されたデータにより、セキュリティのカバーギャップが発生する。 各ツールの使い方を習得する必要があるため、ただでさえ余力のないITチームの管理諸経費が発生する。 不要なライセンスの追加など、コスト増につながる。 最新のダイナミックなクラウド環境との相性が悪い。 むしろ、より多くのセキュリティをより少ないベンダーに集約することで、IT リーダーは脅威に対する防御に妥協することなく、コストを削減できます。また、プラットフォームベースのアプローチにより、リスクを把握し管理する能力が向上することも期待できます。低コストのサイバー衛生ベストプラクティスと組み合わせることで、このアプローチは、組織が経済の荒波を乗り切ったその先でこれまで以上に強く成長する一助となるでしょう。業界最大規模のITアドバイザリー企業ガートナー社も、そう言っています。 原文はこちら Budgets are tightening in 2023: It’s time to streamline security. Feb. 21, 2023 Phil Muncaster https://blog.barracuda.com/2023/02/21/budgets-tightening-2023-streamline-security/
Message Archiver ファームウェア 5.3.0.009 GAリリース
Barracuda Message Archiverのファームウェア5.3.0.009が2023年2月23日、GAリリースされました。 新メジャーバージョンv5.3の最初のリリースとなります。 お早めのファームウェアアップデートをお願いします。 リリースノートは、以下をご確認下さい。 https://updates.cudasvc.com/cgi-bin/view_release_notes.cgi?type=maware&platform=2&version=5.3.0.009 https://campus.barracuda.com/product/messagearchiver/doc/2490442/release-notes 本リリースに伴い、ファームウェアv5.1.x は2023年8月22日にてサポート終了となりますので、ご注意ください。 ファームウェアのサポート終了日については、以下をご確認下さい。 https://www.barracuda.co.jp/products/email-protection/message-archiver/tec/
3人のバラクーダ経営幹部による2023年セキュリティ予測
2023年1月26日、Anne Campbell ネットワークを侵害し、データを盗み、業務を妨害するためなら脅威アクターがどんな労も惜しまないことを目の当たりにしたのが、2022年でした。2023年は、脅威を取り巻く環境にどのような変化や進展、トレンドがもたらされるのでしょうか。 2023年に備えるために、バラクーダの3人の経営幹部に話を聞きました。それぞれが、今後12カ月間の展望と予測、および企業がセキュリティを維持するために注意する必要があることについて独自の見解を述べました。 フレミング・シー バラクーダCTO 地政学的緊張に起因するワイパーウェアが他国へ波及する 2022年に始まったロシアのウクライナ侵攻で、現代のデジタル戦場が明らかになりました。最も注目すべきは、ウクライナの組織や重要なインフラに対する破壊的なマルウェアの一種であるワイパーウェアの使用が増加していることを目撃したことです。ロシアによるウクライナ侵攻以降、WhisperGate、Caddy Wiper、HermeticWiperなどがニュースを賑わせていることからもわかるように、その頻度は劇的に増えています。金銭的な動機と復号化の可能性のあるランサムウェアと異なり、ワイパーウェアは通常、国家脅威アクターによって展開され、敵のシステムに回復不可能な損害を与え、破壊することを唯一の目的としています。また2023年には、地政学的緊張が続くなか、ロシア発のワイパーウェアが他国に波及する可能性が高いでしょう。さらに、非国家アクターによる政治色の濃いハクティビズムが、被害者からさらなる搾取をするための手を講じる可能性も高いと思われます。攻撃を受けても事業を継続するために、組織はデータだけでなく、システム全体を復旧させるフルシステムリカバリーに注力することが不可欠です。例えば、物理的なシステムが標的となってもバーチャルシステムを迅速に復元できれば、ワイパーウェアなどの破壊的なマルウェア攻撃に対するビジネスの回復力を劇的に向上させられます。 ランサムウェア集団はより小さく、よりスマートになる 2022年には、LockBit や Conti、そして Lapus$ といった大手ランサムウェア集団が大掛かりな攻撃を仕掛けて注目を集めました。しかし、ランサムウェア・アズ・ア・サービスのビジネスモデルが軌道に乗ってきたことと、最近になって LockBit 3.0 のビルドがリークされたことから、2023年には新世代の小規模でスマートなギャングが脚光を浴びると思われます。この1年で、組織が新たな手口を使ったランサムウェア攻撃を受ける頻度が高まるでしょう。対策を講じていなければ、ビジネスと評判が壊滅状態になりかねません。 シナン・エレン バラクーダ ゼロトラストセキュリティ担当VP 新しいMFA(多要素認証)ソーシャルエンジニアリングとバイパス手法がサイバー攻撃の原動力となる 2023年も引き続き、ハッカーは多要素認証(MFA)を利用する人々を巧みに操って、新しいソーシャルエンジニアリングやバイパス手法で認証情報にアクセスし、ネットワークを侵害するでしょう。MFA 疲労攻撃(MFA通知をユーザーに浴びせる攻撃)は、マルウェアやランサムウェアのインフラを必要としないため、今後もハッカーの間で好まれると思われます。しかも最近は大きな成功を収めています。また、ハッカーがMFAを回避するためのより高度なフィッシング技術を展開することも増えていくでしょう。プロキシサイトを通じて2者間の通信を傍受・中継できる中間者攻撃はその一例です。さらに、安全性の高い FIDO2 対応セキュリティキーから SMS 認証やワンタイムパスワード認証(TOTP)のような安全性の低い二次要素へのダウングレード攻撃も見られるようになる可能性も高いです。 メールフィッシング攻撃を超えるスミッシング(SMSフィッシング)攻撃 メールによるフィッシングの認知度が高まるにつれ、サイバー犯罪者は、ユーザーが大手企業の通信やウェブサイトを模倣した SMS メッセージ内のリンクであればクリックする可能性が高まっていることに気づいています。これが、いわゆるスミッシング(SMSフィッシング)です。2023年には、スマートフォンの普及とサイバー犯罪者の高度ななりすまし技術により、メールフィッシング攻撃よりもスミッシング攻撃が顕著になると予想されます。スミッシングは2023年、セキュリティリーダーと幹部の間で最重要視され、社内外のステークホルダーの意識向上トレーニングの取り組みが推進されることでしょう。 エイダン・キーホー、バラクーダSVP サイバー保険は補償範囲が狭まり保険料は高くなる 2023年に向けて、サイバー保険でカバーされる範囲は、需要の高まりと予想される損失の高まりを受け、いっそう縮小するでしょう。このため保険料が高騰し、残念ながら、多くの組織が昨年と同じポリシーを維持できなくなるでしょう。さらに、サイバー攻撃の匿名性と、戦争や非戦争を除外する最近のサイバー保険の義務付けによって生じるグレーゾーンゆえに、国家の支援を受けたサイバー攻撃によって補償をめぐる訴訟や捜査が増えていくでしょう。補償と賠償責任のギャップを補うために、組織はサイバーセキュリティ・ソリューションを追加購入することを余儀なくされるでしょう。 原文はこちら 3 Barracuda executives share security predictions for 2023 Jan. 26, 2023 Anne Campbell https://blog.barracuda.com/2023/01/26/3-barracuda-executives-share-security-predictions-for-2023/
