セキュリティ向上に AI を活用する5つの方法:セキュリティ意識向上トレーニング
2024年6月14日、Christine Barry 人工知能(AI)は多くの分野に革命をもたらしました。これまで私たちはさまざまな角度から AI をみてきました。 人工知能が脅威の状況をどう変えるか サイバー犯罪者が AI を利用する5つの方法(シリーズ) 現在のシリーズでは、AI がサイバー犯罪から世界を守る取り組みにどのように貢献しているかを探っています。これまで、脅威の検知とインテリジェンスとメールセキュリティについて取り上げてきました。今回は、AI がセキュリティ意識向上トレーニングにどのように活用されているかを見ていきます。 セキュリティ意識向上トレーニングとは? 脅威の主な標的は常に従業員です。フィッシング攻撃やその他のメールの脅威は、人的ミスを足がかりとして機密情報にアクセスします。様々な研究から、フィッシング攻撃がデータ漏えいやランサムウェア攻撃のかなりの割合を占めていることが明らかになっています。 一般的な組織では、日に5通の高度にパーソナライズされたスピアフィッシングメールを受信(バラクーダ調べ) 2022年には、4社に1社で少なくとも1つのメールアカウントが漏えい(バラクーダ調べ) サイバーセキュリティ侵害の95%はフィッシングなどのメールベースの脅威が主な要因(IBM調べ) データ漏えいの約36%にフィッシングが関与(ベライゾン調べ) データ漏えいの90%はヒューマンエラーに依存するフィッシング攻撃が原因(シスコ調べ) 時間枠や手法によって数字は異なりますが、調査からは以下の2点が明らかになっています。メールを使ったフィッシング攻撃はデータ漏えいの大きな要因であること、そしてフィッシング攻撃が成功するかどうかの決め手となるのは人的エラーであることです。セキュリティチームやビジネスマネジャーがメール攻撃の影響を十分に理解し始めたのは2010年代半ばで、この頃から自動化されたセキュリティ意識向上トレーニングの採用が増え始めました。 端的に言えば、セキュリティ意識向上トレーニングは、メールの脅威やその他の種類のサイバーセキュリティについて個人を教育するために設計された教育プログラムです。セキュリティ意識向上プログラムを適切に実施することで、従業員自身が強靭な第一線の防衛手段に生まれ変わります。 自動化されたAIによるトレーニング テクノロジーとサイバーセキュリティにおける AI の利用は拡大しており、リアルタイム脅威シミュレーションや適応学習パスなどの機能が追加されたことで、セキュリティ意識向上トレーニングは大幅に改善されました。これらのシステムにおいて機械学習(ML)インテリジェンスが、最新の脅威インテリジェンスに基づいてトレーニング内容を継続的に更新するために使用されました。その結果、最新のメール攻撃に対応したトレーニング教材が提供されるようになりました。 初期のセキュリティトレーニングは自動化こそされていましたが、インテリジェントとは程遠かったといえます。ほとんどのプログラムに AI や ML が追加されるのはしばらくしてからのことですが、自動化されたことでトレーニングの効果は高まりました。自動化によって、プログラムの提供は一貫性を持ち、パーソナライズされたものになり、トレーニングの効果を実証できるレポート機能や分析機能が提供されるようになりました。 自動化された通常のセキュリティ意識向上トレーニングと AI を活用した自動セキュリティ意識向上トレーニングの違いを以下の表にまとめました。 特徴 自動化されたセキュリティ意識向上トレーニング AIを活用した自動セキュリティ意識向上トレーニング 事前定義されたコンテンツ 基本的なセキュリティトピックを網羅した標準化されたトレーニング教材 個々の知識のギャップに合わせた適応型コンテンツ セッションスケジュール 事前にスケジュールされた時間に配信されるトレーニング・モジュール ユーザーのパフォーマンスに基づいたリアルタイム適応トレーニング インタラクティブな要素 クイズ、ビデオ、インタラクティブなエクササイズ ユーザーの行動と実績に基づいてパーソナライズされたインタラクティブ要素 進捗管理 完了率と実績を追跡 詳細な行動分析とリアルタイム適応 報告 修了証と評価結果の報告 ユーザー行動とリスク予測に関する洞察を含む高度なレポート 適応学習パス 入手不可 成績に応じてパーソナライズされた学習パスを提供 リアルタイム脅威シミュレーション 入手不可 現在のトレンドに基づいたリアルタイムの脅威をシミュレート 行動分析 ユーザーの進捗状況の基本的な追跡 ユーザーの行動を監視・分析し、的を絞って介入 継続的改善 事前定義されたスケジュールに基づく限定的な更新 最新の脅威インテリジェンスでコンテンツを継続的に更新 個別フィードバック モジュールの成績に基づく一般的なフィードバック 詳細にカスタマイズされたフィードバックと改善提案 サイバーセキュリティベンチャーズによると、2024年現在、セキュリティ意識向上トレーニングは広く採用されており、大企業の90%以上で定期的に利用されています。この数字は、現在60%強と測定されている中小企業の採用率をはるかに上回っています。AI を活用したセキュリティ意識向上トレーニングは、これまで以上に身近で手頃なものとなっているため、この格差は残念なことといえるでしょう。 バラクーダのセキュリティ入門トレーニング Barracuda Email Protection には、メールの脅威を防御するためのセキュリティ意識向上トレーニングが含まれています。当社のプログラムは、AI テクノロジーを使用して、実際のフィッシング攻撃をシミュレートし、ユーザーの行動を分析し、パーソナライズされたその場でのトレーニングを提供しています。このトレーニングによりユーザーは最新の脅威にさらされることになり、その反応を測定した結果がカスタマイズされたトレーニングプログラムに反映されます。このアプローチにより、継続的かつ効果的なトレーニングが保証され、フィッシングやその他のメールベースの攻撃を認識し対応するユーザーの能力が強化されます。...
海外ブログ
サイバーハイジーン:攻撃者に不利な状況を作り出す
海外ブログ
NISTサイバーセキュリティ・フレームワークの活用によるセキュリティ強化
海外ブログ
ユーザにとって最も発見しづらい3タイプのメール攻撃
海外ブログ
Barracuda Email Protection – Office 365
バラクーダによるOffice 365のメール、ユーザ、およびデータを保護 バラクーダは、Microsoft Office 365環境の包括的なセキュリティを提供しており、基本的なセキュリティ機能以上の保護レイヤを提供しています。 スピアフィッシングやアカウント乗っ取りを阻止 バラクーダは、スピアフィッシング攻撃の検知やアカウント乗っ取りの防止に効果的な最先端のAIベースソリューションを提供しています。 スマートなインシデント対応で先手を打つ バラクーダの自動インシデント対応および修復ソリューションは、損害とコストを最小限に抑え、実用的なフォレンジックインサイトを提供します。 防御力向上のための従業員の強化 バラクーダの自動セキュリティ意識向上トレーニングは、今日の脅威に対する強力な人的保護層を構築するのに役立ちます。 Office 365上に重要なセキュリティ層を追加 Office 365が普及しているということは、犯罪者がOffice365のネイティブセキュリティ機能を回避するための攻撃をテストし、設計していることを意味します。これは、追加の防御レイヤが必要であることを意味します。Advanced Threat Protectionを有効にすると、バラクーダはシグネチャ、静的、および行動分析などの複数の検出レイヤと、CPUエミュレーションサンドボックスを使用して、ゼロアワー標的型攻撃とランサムウェアを正確に検出およびブロックします。 Office 365上に重要なセキュリティ層を追加 Office 365が普及しているということは、犯罪者がOffice365のネイティブセキュリティ機能を回避するための攻撃をテストし、設計していることを意味します。これは、追加の防御レイヤが必要であることを意味します。Advanced Threat Protectionを有効にすると、バラクーダはシグネチャ、静的、および行動分析などの複数の検出レイヤと、CPUエミュレーションサンドボックスを使用して、ゼロアワー標的型攻撃とランサムウェアを正確に検出およびブロックします。 コンテキストアウェアAIでソーシャルエンジニアリング攻撃を阻止 従来のメールゲートウェイでは、評判分析、ブロックリスト、悪意のあるペイロードといった静的なルールやポリシーを用いて、メールが悪意のあるものかどうかを判断していました。スピアフィッシング攻撃のようなソーシャルエンジニアリングされたメールは、このようなポリシーに基づくセキュリティ対策を回避するように設計されています。 バラクーダは、内部および過去のメールにアクセスし、組織内の固有のコミュニケーションパターンを学習する強力なAIエンジンによって、回避可能な脅威からOffice 365の受信トレイを保護します。ユーザごとに正規のメールがどのように見えるかを理解すると、悪意のある意図を示す異常を検出できます。このコンテキストベースの検知は、従来のルールベースのメールセキュリティを回避するように設計されている標的型攻撃をブロックするのに効果的です。 アカウントの乗っ取りを検知し、阻止 アカウントの乗っ取りは、最も急速に増加しているメールセキュリティ脅威の一つであり、完全なメールセキュリティ戦略はアカウント乗っ取りに対する保護を提供する必要があります。アカウント乗っ取りからの保護には、内部のメールトラフィックを可視化する新しいテクノロジが必要です。バラクーダのAIエンジンは、アカウント乗っ取りにつながる可能性がある最も高度なメール攻撃を検出およびブロックし、すでに侵害されたアカウント内の動作およびコンテンツ転送の異常を識別して、アカウント乗っ取りに対する迅速な識別と修復をリアルタイムで実行します。Office 365のネイティブ防御機能では、このレベルの保護を提供することはできません。 アカウントの乗っ取りを検知し、阻止 アカウントの乗っ取りは、最も急速に増加しているメールセキュリティ脅威の一つであり、完全なメールセキュリティ戦略はアカウント乗っ取りに対する保護を提供する必要があります。アカウント乗っ取りからの保護には、内部のメールトラフィックを可視化する新しいテクノロジが必要です。バラクーダのAIエンジンは、アカウント乗っ取りにつながる可能性がある最も高度なメール攻撃を検出およびブロックし、すでに侵害されたアカウント内の動作およびコンテンツ転送の異常を識別して、アカウント乗っ取りに対する迅速な識別と修復をリアルタイムで実行します。Office 365のネイティブ防御機能では、このレベルの保護を提供することはできません。 DMARCレポートでブランドの評判を守る ハッカーは、ドメインスプーフィングやブランドインパーソネーションを利用して、お客様の企業を装ったメール攻撃を仕掛けてきます。これらのなりすまし攻撃は多くの場合、お客様やパートナーを標的としています。このような攻撃は、ブランドの評判に深刻なダメージを与え、さらには大きな経済的損失につながる可能性があります。Office 365のネイティブセキュリティでは、なりすまし攻撃からブランドを完全に保護できません。バラクーダを使用して、その機能を強化してください。 ユーザ教育でセキュリティリスクに対応 どんなに優れたメールセキュリティ技術をもってしても、脆弱なユーザに脅威が及ぶ可能性があります。なりすまし攻撃は、個人のメール、または不正なSMSやボイスメールメッセージを介してユーザを標的にすることができます。バラクーダは、ユーザを自動的にトレーニングし、シミュレーションされたフィッシング攻撃でセキュリティの脆弱性をテストできる強力なフィッシングシミュレーションおよびトレーニングプラットフォームを提供しています。セキュリティ意識向上トレーニングが不足しているため、従業員は脅威にさらされています。バラクーダの幅広い高度なシミュレーションインタラクションとゲーム性のあるコンテンツはユーザを安全に保ちます。 ユーザ教育でセキュリティリスクに対応 どんなに優れたメールセキュリティ技術をもってしても、脆弱なユーザに脅威が及ぶ可能性があります。なりすまし攻撃は、個人のメール、または不正なSMSやボイスメールメッセージを介してユーザを標的にすることができます。バラクーダは、ユーザを自動的にトレーニングし、シミュレーションされたフィッシング攻撃でセキュリティの脆弱性をテストできる強力なフィッシングシミュレーションおよびトレーニングプラットフォームを提供しています。セキュリティ意識向上トレーニングが不足しているため、従業員は脅威にさらされています。バラクーダの幅広い高度なシミュレーションインタラクションとゲーム性のあるコンテンツはユーザを安全に保ちます。 インテリジェントなフォレンジックとインシデント対応を実現 Office 365はネイティブメールセキュリティの一部として自動インシデント対応を提供していないため、企業は高度な脅威にさらされています。バラクーダは、インシデント対応を自動化し、脅威に関する洞察にアクセスして、より迅速で効率的な修復を実現します。また、配信されたメールの異常を特定し、メールセキュリティを回避した攻撃を積極的に見つけることができます。このソリューションは、トレーニングが必要な危険なユーザを特定し、よりシームレスなインシデント対応のためにワークフローを改善します。 マイクロソフトがアドバイス。Office 365 をバックアップしてください Office 365ネイティブの保持機能は複雑で、マイクロソフトはすべてのOffice 365データにサードパーティのバックアップを使用することを推奨しているほどです。Barracuda Cloud-to-Cloud BackupはTeams、Exchange Online、SharePoint、およびOneDrive for Businessの包括的なバックアップときめ細かなリカバリまたはフルリカバリを提供します。弊社ソリューションでは、ファイルやメールを必要な場所に迅速に簡単にリストアできます。クラウドからクラウドへのバックアップは、お客様が管理や更新を行うソフトウェアやハードウェアを必要とせず、簡単に使用・維持することができます。5分以内に開始できます。 マイクロソフトがアドバイス。Office 365 をバックアップしてください Office 365ネイティブの保持機能は複雑で、マイクロソフトはすべてのOffice 365データにサードパーティのバックアップを使用することを推奨しているほどです。Barracuda Cloud-to-Cloud BackupはTeams、Exchange Online、SharePoint、およびOneDrive for Businessの包括的なバックアップときめ細かなリカバリまたはフルリカバリを提供します。弊社ソリューションでは、ファイルやメールを必要な場所に迅速に簡単にリストアできます。クラウドからクラウドへのバックアップは、お客様が管理や更新を行うソフトウェアやハードウェアを必要とせず、簡単に使用・維持することができます。5分以内に開始できます。 Barracuda Email Protectionの評価 評価依頼はこちら
内部脅威の理解と対策
海外ブログ
MSP(マネージドサービスプロバイダ)のエキスパートからの質問: コロナウィルス(COVID-19)関連のフィッシングからリモートワーカーを保護するには、どうすればよいか
Blog
バラクーダネットワークス、リセラーから中規模のお客様に新しいセキュリティアウェアネストレーニングの提供により、PhishLine製品ポートフォリオを拡張
バラクーダネットワークス、リセラーから中規模のお客様に新しいセキュリティアウェアネストレーニングの提供により、PhishLine製品ポートフォリオを拡張 グローバルによる新調査からフィッシング攻撃を防止するためのシミュレーションとトレーニングのマーケット需要が明らかに ※本内容は、米国バラクーダネットワークス(Barracuda Networks Inc.)の2018年6月5日付のプレスリリース、Barracuda Expands its PhishLine Product Portfolio with New, Channel Ready Security Awareness Training Offering for Mid-Sized Companiesの参考翻訳となります。 ハイライト Barracuda PhishLineの新しいエディションは、中規模のお客様がシンプルで使いやすくTTV(Time To Value)を短縮するシミュレーションとトレーニングによって、フィッシング攻撃を防止するために役立ちます。 すべての規模のお客様に役立つソリューションによって、高度なフィッシング攻撃を意識および回避するように従業員をトレーニングして、メール詐欺、データ損失、およびブランドダメージを防止します。 バラクーダが依頼したグローバルな新しい調査から、お客様がシミュレーションとトレーニングをメールセキュリティ戦略全体の一部とする必要性が高いという主要な結果が明らかになっています。 カリフォルニア州キャンベル(2018年6月5日) – クラウド対応のセキュリティ及びデータ保護ソリューションのリーディングプロバイダである米国バラクーダネットワークスは本日、リセラーによる販売に特化した、従業員1,000人未満のお客様に適したシンプルなエディションによって、PhishLine製品ポートフォリオを拡張したことを発表しました。PhishLineは、高度なフィッシング攻撃を意識するように従業員をトレーニングおよびテストして、メール詐欺、データ損失、およびブランドダメージを防止できます。また、現在すべての規模のお客様のニーズを満たすように複数のエディションで提供されています。バラクーダはグローバルな新しい調査から、お客様がシミュレーションとトレーニングをメールセキュリティ戦略全体の一部とする必要性が高いという主要な結果を明らかにしています。 Hatem Nagibのコメント(Barracuda Networks、SVP and GM of Security) フィッシング攻撃がますますステルス型で標的型になっているため、攻撃者の標的は大企業から中小企業に移行しています。本日の発表は、リソースに制約のある中規模のお客様に適した非常にシンプルでTTVを短縮するソリューションをエンタープライズレベルのエディションに基づいて構築して、PhishLineポートフォリオを拡張するものです。 PhishLineはユーザがメールの送信元が実際と異なるというわずかな手がかりを意識するために役立ちます。この目的は2段階のアプローチで達成されます。最初に、ユーザは、コンピュータベースのトレーニングによって、最新の攻撃技術の基本を理解できます。次に、ユーザの適切な行動をテストおよび強化するカスタムシミュレーションが開始されて、学習がビジネスプロセスに組み込まれます。キュレーションされたコンテンツの大規模なライブラリによってTTVが短縮され、リッチなレポートと分析によって可視性が実現します。 ガートナーは、「攻撃方法は常にセキュリティ戦略の1歩先を行くように進化しています。このため、変化する新しい状況で知識を活用し、セキュリティを強く意識し、物事を批判的に考えるように従業員をトレーニングすることが最も重要です。」と指摘しています*1。 バラクーダネットワークスは、お客様のメールセキュリティアプローチの理解を深めるために、最近グローバルな調査を依頼しました。その結果の一部からは、お客様がシミュレーションとトレーニングをメールセキュリティ戦略全体の一部とする必要性が高いことが明らかになっています。調査には630人以上の回答者が含まれており、その全員が自社のメールセキュリティの責任者です。主要な結果の一部は下記のとおりです。 回答者の98%が、付加価値機能という点で先進的なフィッシングシミュレーション(63%)、ソーシャルエンジニアリング検出(62%)、メール暗号化(60%)、およびDLP(データ損失防止)(59%)を含む追加のメールセキュリティ機能が自社にとって有益であると回答しています。 ユーザトレーニングが重要であると考えている回答者は100%です。しかし、従業員を実際にトレーニングしている回答者は77%です。また、大企業(従業員1,000人以上)の方が、従業員をトレーニングする傾向が強いことがレポートされました。 従業員の行動が不適切なこと(84%)の方が、ツールが不十分なこと(16%)より大きいメールセキュリティ上の問題です。しかし、攻撃を受ける従業員のレベルに関する合意はありません。 この結果の詳細については、ブログ投稿をご参照ください。 PhishLineは、ビジョンの完全性と実行の能力に基づいて、ガートナーのマジッククアドラントのSecurity Awareness Computer-Based Training*2でビジョナリーと評価されています。PhishLine SaaS(Software as a Service)プラットフォームはメール、テキストメッセージ、音声、USB/モバイルメディア、クラス最高のデータ取得、分析、レポート、および従業員の業績の継続的で複雑な分析によってさまざまに変化する攻撃シミュレーションを実装しています。 Barracuda PhishLineの詳細については、https://www.barracuda.com/products/phishline/をご参照ください。 *1 Gartner, “10 Ways to Improve Security Awareness on a Tight Budget,” Published: 22 November 2017, by Joanna...
バラクーダの注目する脅威:レンタル型ランサムウェアが大きな脅威となる理由
2024年8月21日、Adam Khan 今年のランサムウェア攻撃の年次レビューは、2つの視点から脅威を見ています。 1つ目は、3年連続で、報告されたランサムウェア攻撃のグローバルサンプルを取得し、過去12か月間のランサムウェア攻撃者とその標的について、また、前年との比較について分析しています。 次に、バラクーダXDRの最新の洞察とデータを使用して、世界中の組織が毎日経験している、現実世界における日和見的なランサムウェア攻撃を見極めます。このような攻撃を阻止する要因について考察します。また、当社のケースブックから2つの実例を紹介します。 ITセキュリティの専門家の皆様が、進化するランサムウェアの状況や、攻撃に備え、それに耐える方法をより深く理解するための一助となれば幸いです。 2023/2024年のランサムウェア脅威の状況 バラクーダの脅威研究者たちは、2023年8月から2024年7月にかけて報告された200件のインシデントのサンプルを分析しました。 私たちが毎年追跡している主なカテゴリーである自治体、医療、教育、インフラ、金融サービスを中心に、すべての産業分野のインシデントを対象としました。サンプルを見ると、医療機関に対する攻撃が増加し続けていることがわかります。2023/24年には、5件に1件強(21%)の攻撃が医療機関を襲い、前年の18%から増加しました。これらの中には、手術の延期や長期的な治療計画の中断など、世界的な見出しを飾るようなものもあります。教育を狙った攻撃は昨年の18%から半減し、2023/24年には9%を占め、金融サービスを狙ったものは1%未満から2024年には6%に急増した。 他業種を狙った攻撃の割合が増加し、全攻撃の42%が重点分野以外のセクターを攻撃し、前年の32%から増加しました。2023/24年には、報告された攻撃の9%が製造業、13%がテクノロジー企業を標的としていました。 これらの結果は、あらゆる業界・組織がランサムウェアの潜在的な標的であることを示しています。注目すべきは、世界各国の規制により、一部の組織や業界にはサイバーセキュリティ インシデントを報告する法的義務があり、これが業種・業界関連の結果に影響を及ぼす可能性があることです。 レンタル型ランサムウェア 最も蔓延しているランサムウェアグループは、ランサムウェア・アズ・ア・サービス(RaaS)モデルである。これにはLockBit が含まれ、2024年2月に法執行機関がこのグループを摘発したにもかかわらず、2023年/24年には、攻撃者の身元が判明している攻撃の6件に1件、つまり18%に関与していました。これらのインシデントのうち、28%は医療機関、21%は自治体、14%は教育機関を標的としていました。 BlackCatとしても知られるALPHVランサムウェアは、攻撃者の身元が判明している2023/24年の攻撃の14%を占め、これらのインシデントの3分の1は医療機関を、17%は金融サービスを標的としていました。 2023年初頭に登場した新しいランサムウェア・グループであるRhysidaは、指定された攻撃の8%を占め、その38%は医療機関を標的としています。 RaaS型ランサムウェアの攻撃は予測が難しく、そのため封じ込めることが困難です。同じランサムウェアファミリーの攻撃を実行する関連組織の数、範囲は、観察された戦術、技術、手順(TTP)に大きなばらつきをもたらす可能性があります。 組織によっては、異なる攻撃で異なるランサムウェアのタイプを使用する場合もあり、さらに混迷を深めています。幸いなことに、ほとんどの攻撃者が頼りにしている、試行錯誤を重ねたTTPが存在し、これらはインシデント発生の兆候を示すのに役立ちます。 アクティブなランサムウェア攻撃の構造 バラクーダXDRのエンドポイントセキュリティのデータによると、2024年の最初の6か月間(1月1日から6月末まで)に、XDRの顧客の約4人に1人(23%)の割合で、ランサムウェア攻撃の試行に直面しています。 この期間に、バラクーダXDRのエンドポイントセキュリティは、ランサムウェア攻撃の可能性を示す6,052件のインスタンス(ツール、テクニック、または動作)を検出し、ブロックしました。最も一般的な検出は、セキュリティチームが侵入者を追跡する際に注意すべきナビゲーショナルマーカを表しています。 2024年に検出された攻撃ツールと動作のトップ セキュリティ・アナリストは、サイバー脅威の存在を示すアクティビティを特定するために、さまざまな検出ルールとエンジンに依存しています。このような複数の検出レイヤーは、ランサムウェアのような能動的な脅威との戦いにおいて不可欠です。攻撃者は多くの場合、ITチームが合法的に使用している市販のツールを活用し、成功するために行動や戦術をリアルタイムで調整することができます。 さらに、ファイルの暗号化など、攻撃のランサムウェア・コンポーネントの実行は、インシデントの最終段階であることが多い。これには、スキャン、横方向への移動、マルウェアのダウンロードなどが先行することが多く、セキュリティチームは、ランサムウェアのインシデントが完全に展開する前に、検出、封じ込め、影響を軽減する機会を得ることができます。 2024年のデータでは、横方向への移動がランサムウェアの活動の最も明確な兆候であることが示されています。ランサムウェア攻撃の半数弱(44%)は、横移動検出エンジンによって発見されました。 4分の1(25%)は、ファイルが書き込まれたり変更されたりするタイミングを検出し、既知のランサムウェアのシグネチャや疑わしいパターンに一致するかどうかを分析するエンジンによって検出され、14%はシステムまたはネットワーク内の異常な動作を識別する検出エンジンによって捕捉された。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習する。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習し、異常なファイルアクセス、オペレーティング・システム・コンポーネントの改ざん、疑わしいネットワーク・アクティビティなどの逸脱を検出すると、警告を発します。 バラクーダのセキュリティオペレーションセンター(SOC)のアナリストは、強力な検出エンジンと共に、疑わしい脅威を自動的に特定して緩和し、エンドポイントを隔離するためのカスタムルールを開発しています。2024年の最初の6か月間、これらのカスタムルールに基づいて、3,600件以上のセキュリティアラートがトリガされました。これらの脅威の多くはランサムウェアのインシデントに見られるもので、セキュリティ・チームにとって、何か不測の事態が進行中であることを示すさらなる警告サインとなります。 XDRケースブックに掲載された2つのランサムウェア攻撃 ケーススタディ 1: 標的 – 従業員150~200人の医療技術企業 脅威の主体 – PLAYランサムウェア ターゲットは、ほとんどのデバイスにセキュリティを導入していましたが、すべてのデバイスには導入していませんでした。このため、可視性とセキュリティに大きなギャップが生じていました。攻撃者は、ターゲットのために働いていたサードパーティの開発者のアカウントを侵害することでアクセス権を得ました。そして、侵入したアカウントを使って、多要素認証(MFA)が有効になっていない企業VPNにアクセスした。ネットワーク内に侵入すると、侵入者は横方向に移動し、保護が不十分なアプリケーション・サーバーにたどり着きました。 主な攻撃 この脆弱なサーバーから11のビジネスクリティカルなサーバーへのリンクを確立し、市販のリモートアクセスツールを使用して、ファイルのシャドーコピーの削除、セキュリティ対策の無効化、永続性の確立を試みました。攻撃者はまた、コンピュータのビデオフォルダや音楽フォルダに悪意のあるファイルを隠そうとしました。 各悪意のあるアクティビティが実行されると、保護されたデバイス上のセキュリティ・エージェントが速やかに脅威ファイルを強制終了、隔離、修復しました。8分後、攻撃者は再び攻撃を試みました。 保護されていないアプリケーションサーバをベースとして、11台のサーバ上のファイルをリモートで暗号化しようとし始めました。攻撃者は、サーバーが自動的にネットワークから隔離される前に、いくつかのデバイス上のファイルを部分的に暗号化することに成功し、これ以上被害が拡大しないことを確認しました。 しかし、攻撃者は、セキュリティ・ソフトウェアが検査できないサーバーからデータを流出させることができた。最後の手段として、攻撃者はkiller.exeと呼ばれるファイルを含む追加のマルウェアを実行しようとしたが、これは消滅する前に何も殺すことができなかった。侵害されたアカウントは無効化され、ファイアウォールの変更により、脅威者からのさらなる接続は阻止された。 ケーススタディ2 ターゲット – 従業員数800~1,000人のカーケアおよび修理製品メーカー 脅威の主体 – 8baseランサムウェア 攻撃は2024年1月の週末に行われました。1月下旬の土曜日の夜明け前、サイバー攻撃者は侵害された、または盗まれたドメイン管理者認証情報を使用してワークステーションにリモートアクセスしました。 主な攻撃 その後2日間にわたり、侵入者は最初に侵害されたデバイスから足跡を拡大し、インフラ内の数百台のデバイスに横方向に移動し、保護されていない数台のマシンに感染しました。攻撃者はリモート・アクセス・サービスを利用して、感染したサーバーへの永続的なアクセスを確立しました。その後、攻撃者はランサムウェアを展開しました。複数のファイルを暗号化することができました。また、セキュリティ・ソフトウェアを無効化し、データの流出を試みました。 ただこの活動のほとんどは失敗に終わりました。すべてのデバイスが保護されていたわけではありませんでしたが、攻撃者が影響を受けたマシンを完全に暗号化し、セキュリティを無効にすることを防ぐのに十分なセキュリティが施されていました。 復元と回復 ファイアウォールは、攻撃者がコマンド・アンド・コントロールに接続し、データを流出させようとする試みを阻止した。日曜日の夕方までには、攻撃は完全にブロックされ、終了した。合計13台の影響を受けたデバイスが攻撃前の状態に「ロールバック」され、さらに6台が手動で復元された。 どちらの例でも、対象企業は、将来の攻撃を防止し、修復するために、すべてのデバイスにセキュリティを拡張すること、検出されたすべての IT 管理およびリモート管理ツールの使用を調査すること、パッチ適用やパスワードの面で適切なサイバー衛生を実施することをアドバイスされました。 結論:ランサムウェア攻撃に対するレジリエンスの構築 ランサムウェアの状況は常に進化しており、それは今後も続くでしょう。非常に多くの異なる脅威グループや関連会社がゲームに参加しているため、攻撃者がどのように行動するかを正確に予測することは困難である。しかし、企業が準備と対応のためにできることは多くあります。 最優先すべきは、攻撃を検知して未然に防ぐための対策とツールを整えることだ。これには、AIを活用した電子メール保護や ゼロ・トラスト・アクセス対策、アプリケーション・セキュリティ、スレット・ハンティング、XDR機能、効果的なインシデント・レスポンスなど、多層的なセキュリティ技術が含まれるのが理想的である。 セキュリティの基本を見落としてはならない: ソフトウェアを常に最新の状態に保ち、既知の脆弱性や悪用された脆弱性に対して優先的にパッチを適用し、従業員に対して定期的にサイバーセキュリティに関する意識向上トレーニングを実施する。最小権限のアクセス制御を実施し、不要なパブリック・サービスやリモート・サービスを閉鎖することで、攻撃対象領域を縮小する。特定された商用IT管理ツールが合法的に使用されていることをダブルチェックし、侵入者やマルウェアの拡散を防ぐためにネットワークをセグメント化する。 暗号化された不変のバックアップ・システムを導入し、メイン・ネットワークから分離して攻撃者が到達できないようにし、強力な認証とアクセス・ポリシーを導入する。 最後に、ランサムウェア攻撃が成功した場合の対応について、コンプライアンスと報告要件に関する詳細を含むインシデント対応計画を策定すること。 ランサムウェアから組織を保護する方法の詳細については、https://www.barracuda.co.jp/products/ransomware/を参照してください。 Barracuda Managed XDRの詳細:https://www.barracuda.com/products/managed-xdr(英語) e-book: すべてを変える、AI時代のランサムウェア(日本語) 原文はこちらThreat...
海外ブログ
バラクーダの注目する脅威:企業規模が企業を標的とするメールの脅威に与える影響
2024年7月30日、Olesia Klevchuk フィッシング詐欺に要する時間は、1分足らずです。2024 Data Breach Investigations Report によると、受信者がメールを開いてから悪意のあるリンクをクリックするまでにかかる時間の中央値は21秒、要求されたデータを入力するまでにかかる時間は28秒です。 メールベースの攻撃は、単に短時間で済むだけでなく、広範囲で成功を収めています。これは、比較的低コストで実装が容易であり、新しいツールや機能が利用可能になるにつれて、規模を拡大したり、適応させたりすることができるからです。 当社の最新レポート「主要なメールベースの脅威とその傾向」によると、ビジネスメール侵害(BEC)や会話ハイジャックなどの標的型メールの脅威が前年比で着実に増加しています。このブログでは、標的型メール攻撃の脅威の種類と発生率が企業規模によってどのように異なるかを探ります。 2023年6月初旬から2024年5月末までのバラクーダのメール脅威検出データでは、受信するメール攻撃のタイプに関して、企業の規模によってリスクプロファイルが異なることが示されています。 そこで、フィッシング、ビジネスメール侵害、会話ハイジャックを含む標的型メール攻撃に焦点を当てて分析しました。 企業規模別の標的型フィッシング攻撃件数 フィッシングに関しては、2,000以上のメールボックスを持つ最大規模の組織では、12カ月間で平均約7,500件のフィッシングの脅威を受けていました。しかし、個々のメールボックスは同期間に平均1回しか攻撃されていません。 一方、小規模企業では1メールボックスあたりの平均攻撃数6件に上り、全体では平均約180件の攻撃しかないにもかかわらず、リスクは著しく高いことになります。 この格差は、企業規模の違いによる組織構造やリソースの違いに関連している可能性があります。たとえば、中小企業は組織構造がフラットで、氏名や連絡先の詳細にアクセスしやすい傾向があります。これは、攻撃者が幅広い従業員を標的にできることを意味しているといえそうです。 規模が小さいと、データやシステムへの特権的アクセス権を持つ従業員も多くなりがちです。従業員間の隔たりが少ないため、攻撃者は横方向に素早く移動できます。その結果、インバウンドの攻撃メールはビジネス全体に均等に分散され、CEOだけでなくインターンも標的になる可能性があります。 大規模な組織では、重要度の高い特権アカウントは通常、少数の従業員や会社のリーダーに集中しています。このようなユーザーが攻撃の大部分を受ける一方で、他の多くのメールボックスにはインバウンドの脅威がまったく届かず、平均値が下がることがよくあります。 企業規模別標的型攻撃メールプロファイル データによると、BECや会話乗っ取りの発生率は企業規模に関係なく比較的一定しています。 一方、その他の標的型メールによる脅威のプロファイルは、より多様です。たとえば、フィッシングや恐喝の被害を受けやすいのは中小企業です。 12カ月間にメールボックスが100個以下の企業が直面した標的型メール攻撃の71%がフィッシングによるものであったのに対し、大企業では41%でした。また、小規模企業は、大規模企業の約3倍の恐喝攻撃を受けています。恐喝攻撃は、2,000メールボックス以上の企業では2%であったのに対し、小規模企業では標的型インシデントの7%を占めています。 これは、従業員数の少ない小規模な組織では、フィッシングなどのメールの脅威を可能な限り早い段階で検知し、ブロックするために、複数のセキュリティレイヤーを用意していないことが一因と考えられます。また、社内のリソースや専門知識が不足しているため、最適なセキュリティを提供するようなメールフィルタリングの設定になっていないケースも少なくないため、より多くの攻撃を許してしまう可能性があります。 大企業を狙ったラテラルフィッシング ラテラルフィッシングは、スパムやより巧妙な脅威を含む可能性があり、すでに侵害された内部アカウントから組織全体のアカウントに送信される攻撃です。 大企業で検出された標的型メール攻撃の半数弱(42%)がラテラルフィッシングに関与していたのに対し、中小企業ではわずか2%に過ぎません。この内部攻撃ベクトルは、大企業にとって大きなリスクなのです。 大企業のアカウント侵害が多いことから、多くの企業の認証情報がすでにダークウェブで購入可能である可能性が高く、そのためラテラルフィッシング攻撃はごく簡単にできるのかもしれません。大企業はサイバー犯罪者にとって魅力的な標的です。というのも、たいてい貴重な機密データや財務データを大量に保有しているからです。 大企業は、サイバー犯罪者に悪用する機会を数多く提供しています。より多くのメールボックスと従業員が存在するため、攻撃者にとって潜在的な侵入口が格段に多くなります。さらに大規模な組織では、配信リストなど複数のコミュニケーション・チャネルが存在することも多く、大量の社内トラフィックの中に紛れて悪意のあるメッセージを迅速に拡散させられます。 従業員は毎日大量のメールを受信するため、受信トレイを急いで確認することが多く、それゆえサイバー攻撃を受けやすくなります。また従業員は、たとえ見慣れない送信者であっても、組織内から送られてきたと思われるメールメッセージを信用する傾向があります。サイバー犯罪者はこのような行動傾向を利用して、より効果的にラテラルフィッシング用のメッセージを拡散することができるのです。 バラクーダのリサーチャーは、ラテラルフィッシング攻撃のほとんどが標的型ではないことを発見しました。攻撃者は「スプレーアンドプレー」アプローチを使用しており、大半のメッセージはスパムに似ています。各ラテラルフィッシング攻撃の「キャンペーン」には、多くの場合、数千のメッセージが含まれます。つまり、数件のインシデントが発生するだけで、結果に大きな影響を与える可能性があるということです。 安全を確保するために 従業員数名の中小企業から数百のメールボックスを抱える大企業まで、メールベースの攻撃から組織を守るには教育が重要です。不審なメールを簡単に発見できるように、セキュリティ意識向上トレーニングを利用して、最新の脅威について全員に周知させましょう。また、従業員は自分のアカウントに異常な動きがないか注意し、何かあればすぐに報告する必要があります。 また、同僚からのメールだからといって信用しないよう従業員に教えることも重要です。このメッセージを強化するために、フィッシング・シミュレーション・キャンペーンの一環としてラテラルフィッシング攻撃を取り入れるとよいでしょう。 アカウント乗っ取り攻撃の検知と是正を支援するAI搭載のソリューションは、今日の高度なメールの脅威から効果的に保護するために必要なもう一つの重要な防御手段です。このツールは、アカウント乗っ取り攻撃、侵害されたアカウント、偵察活動を特定するのに役立ちます。不審なログイン、ルールの変更、異常または悪意のあるメッセージの送信を必ず監視してください。 社内メールの監視も重要です。ほとんどのメールゲートウェイは内部メールを監視していません。お使いのメールセキュリティソリューションが、悪意のある内部メールを監視できることを確認しましょう。 レポート:主要なメールベースの脅威とその傾向 原文はこちらThreat Spotlight: How company size affects the email threats targeting your businessJul. 30, 2024 Olesia Klevchukhttps://blog.barracuda.com/2024/07/30/threat-spotlight-company-size-email-threats
海外ブログ
