1. HOME
  2. Blog

Info.

お知らせ

Search result: Archives

Ransomware

      攻撃手法の紹介 ランサムウェア攻撃の解剖学     次の犠牲者にならないでください。ランサムウェアからの保護計画を立てましょう。 Barracuda は、最新の AI を利用した攻撃を含め、今日のランサムウェア攻撃のあらゆる段階から防御する効果的なソリューションを提供して、ランサムウェアからお客様のビジネスを独自に保護できます。Barracuda は、企業を安全に守るために必要なメール、ネットワーク/アプリケーション、バックアップの保護ソリューションを提供します。   ステップ 1   ユーザの認証情報を電子メール攻撃から保護します 悪意のあるメールは、最も一般的なランサムウェア攻撃ベクトルの1つです。フィッシングメールは、ユーザをだまして、悪意のあるリンクや添付ファイルをクリックさせ、ユーザの認証情報を取得するために頻繁に使用されます。         ステップ 2   アプリケーションとアクセスを保護します ランサムウェアの攻撃は、データを暗号化して流出させることを目的としています。Webアプリケーションは、情報漏洩の最大の攻撃ベクトルです。情報漏洩の60%以上は、Webアプリケーションのハッキングが原因です。効果的なランサムウェア対策戦略を実装するには、アプリケーションと環境へのアクセスを保護する必要があります。 32023 Verizon Data Breach Investigations Report       ステップ 3   安全なバックアップでデータを保護します データがランサムウェア配下にある場合でも、強力で最新の使いやすいバックアップソリューションがあれば、身代金を支払ったり、困難で面倒なリカバリプロセスを実行したりする必要はありません。バラクーダネットワークスは、オンプレミスでもクラウドでも優れたバックアップソリューションを提供します。これにより、サーバ全体を復元する場合でも、復元するファイルを具体的に選択する場合でも、ファイルの最新のコピーを簡単かつ迅速に復元できます。           保護されるのを待っていてはいけません。 ランサムウェアとの戦いに最適なのは、攻撃が行われる前です。攻撃中に計画をまとめようとするのは望ましくありません。バラクーダネットワークスは、データを保護しながら、重要な攻撃ベクトルに対応する支援をします。   評価依頼はこちら     関連資料   よくある質問

キッシング:QR コードメール攻撃について知っておくべきこと のページ写真 1

キッシング:QR コードメール攻撃について知っておくべきこと

2023年10月5日、Olesia Klevchuk 今日のデジタル時代において、私たちの私生活や仕事をより便利にするために、テクノロジーの利用は絶えず進化しています。クイック・レスポンス(QR)コードもそのような進歩のひとつです。この二次元バーコードによって、ユーザーはウェブサイトの URL や連絡先情報を共有したり、支払いを行ったりすることができます。QR コードは私たちの日常生活を便利にすると同時に、サイバー犯罪者が悪用する新たな道を開いてしまったのです。キッシング(quishing)とも呼ばれる QR コードによるフィッシング攻撃は増加の一途をたどっており、ユーザーにとっても組織にとっても大きな脅威となっています。 サイバー犯罪者は電子メール攻撃に QR コードをどのように利用しているか ハッカーは、電子メール攻撃に QR コードを使用し、受信者をだまして悪意のあるウェブサイトにアクセスさせたり、端末にマルウェアをダウンロードさせたりします。このような攻撃には通常、人々がメールに寄せる信頼を悪用したソーシャルエンジニアリングの手口が使われます。以下は、サイバー犯罪者が使用している手口の例です。 フィッシング・リンク 攻撃者は、フィッシングメールに QR コードを埋め込み、ユーザーにコードをスキャンさせ、信頼できるサービスやアプリケーションに見せかけた偽のページにアクセスさせます。被害者は通常、だまされてログイン情報を入力し、攻撃者にログイン情報を取られます。 偽の QR コードから、氏名、住所、社会保障番号などの個人情報を要求するアンケートやフォームに誘導されることもあります。被害者は、情報や少額の支払いと引き換えに、報酬や賞品を約束して誘い込まれることもあります。 QR コードメールによるフィッシング攻撃の例 QRコードは、このようなよくできた偽のサインインページにつながります。 マルウェアのダウンロード 同様に、QR コードは、スキャンされると自動的にマルウェアを被害者のデバイスにダウンロードする悪意のあるウェブサイトに被害者をリンクすることができます。このマルウェアは、スパイウェアからランサムウェアまで多岐にわたり、攻撃者はデータを盗んだり、侵害されたデバイスをコントロールしたりすることができます。 侵害されたデバイス QR コードはまた、決済サイトを開いたり、ソーシャルメディアのアカウントをフォローしたり、被害者のアカウントからあらかじめ書かれた電子メールメッセージを送信したりするのにも使われます。つまり、ハッカーは簡単に被害者になりすますことができ、被害者の連絡先名簿にあるほかの人をターゲットにすることができるのです。 メールメッセージ内の QR コード攻撃を検出する QR コードによる攻撃は、従来のメールのフィルタリング手法では検知が困難です。スキャンするためのリンクや悪意のある添付ファイルが埋め込まれていないからです。メールのフィルタリングは、QR コードを宛先までたどって悪意のあるコンテンツをスキャンするようには設計されていません。また、実際の脅威は、企業のセキュリティソフトウェアで保護されていない可能性のある別のデバイスに移行します。 AI や画像認識技術の活用は、こうした攻撃を検知する方法のひとつです。通常、偽の QR コードだけが悪意のあるメールのサインではありません。AI ベースの検出では、送信者、コンテンツ、画像サイズ、配置などの他のシグナルも考慮して、悪意のある意図を判断します。Barracuda Impersonation Protectionは、QR コード詐欺を特定し、ブロックするために、こうしたテクニックを使用します。 ユーザーを教育し、これらの攻撃を予測できるようにしましょう。QR コード攻撃がまだセキュリティアウェアネストレーニングの一部になっていない場合は、将来的にカバーされるようにしてください。ユーザーは、電子メールやその他の方法で配信されたQRコードをスキャンする際に注意を払う必要があります。 原文はこちら Quishing:QRコードメール攻撃について知っておくべきこと 2023年10月5日 Olesia Klevchuk https://blog.barracuda.com/2023/10/05/quishing-what-you-need-to-know-about-QR-code-email-attacks

海外ブログ

バラクーダの注目する脅威:恐喝攻撃 のページ写真 5

バラクーダの注目する脅威:恐喝攻撃

2023年7月12日、Zixi (Claire) Wang メール詐欺のなかでも勢いを増している恐喝攻撃は、恥ずかしい写真など被害者にとって不利な情報で脅し、情報を公開されたくなければ暗号資産で支払うよう要求します。攻撃者は多くの場合、被害者のログイン認証情報を購入したり、データ漏えいによって被害者のログイン認証情報を見つけ、自分たちの脅迫が正当であることを「証明」します。 攻撃者が恐喝メール攻撃で使用する金融インフラストラクチャをより深く理解するために、バラクーダは最近、コロンビアの研究者と協力して、バラクーダネットワークスの AI ベースの検出システムが1年間に恐喝攻撃として検出した 30 万通以上のメールを分析しました。 その結果、比較的少数の攻撃者が恐喝メールの大部分に関与しており、上位 10のビットコインアドレスがメールの約 30% に、上位 100 のアドレスがメールの約 80% に出現していることが判明しました。 また、恐喝攻撃で要求される金額は少ないレベルにとどまっており、1000ドル未満の金額を要求するメールが 25 %、2000ドル未満の金額を要求する恐喝メールが 90 %以上を占めていることもわかりました。 ここでは、こうした恐喝攻撃で使用される暗号資産、攻撃者がビットコインアドレスを使用する方法、送信する攻撃の量、要求する金額について詳しく見ていきます。 恐喝攻撃者が使用する暗号資産 私たちが分析したデータセットでは、攻撃者による暗号資産はビットコインのみでした。イーサリアム、ライトコイン、モネロなど、他の暗号資産を使用した恐喝攻撃例は見つかりませんでした。攻撃者が身代金の支払い方法としてビットコインを使用する理由はいくつか考えられます。ビットコインは匿名性が高く、取引にはウォレットアドレスが使用され、誰でも好きなだけウォレットアドレスを生成できるのです。 さらに、ビットコインを取り巻くインフラが十分に発達しているため、被害者がビットコインを購入したり、攻撃者が「ミキサー」(多数のウォレットからビットコインをランダムに組み合わせたり分割したりすることで、取引履歴を不明瞭にするように設計されたサービス)を使って行為をさらに匿名化したりすることも容易です。加えて、ブロックチェーンは一般に公開されているため、被害者が支払ったかどうかを簡単に確認でき、従来の通貨取引で生じる問題をいくつか取り除くことができるのです。 ビットコインアドレス分析 ビットコインは匿名ではありますが、攻撃者が恐喝メールを送信する際に使用するビットコインアドレスを分析することで、攻撃者とその行動について非常に興味深い特性を知ることができます。たとえば、バラクーダユーザーが受信した複数の攻撃メールで同じアドレスが使用されている場合、攻撃者が誰であるかは不明ですが、同じ攻撃者(または攻撃者グループ)に属していることはわかります。 このような分析を行うために、私たちは使用したデータセットのすべての恐喝メールをビットコインアドレスでグループ化し、一意のアドレスの数と特定のアドレスが出現するメールの数をカウントしました。 その結果、攻撃は少数のビットコインアドレスに集中していることがわかりました。私たちのデータセットには合計で約 3000 の一意のビットコインアドレスがあり、そのうち上位 10 のアドレスはメールの約 30 %に、上位 100 のアドレスはメールの約 80 %に出現していました。 従って、比較的少数の攻撃者が恐喝メールの大部分に関与していると推測できます。この点は、私たちに希望を与えてくれます。というのも、これらの攻撃者を阻止したり、その手口を効果的にブロックすることができれば、恐喝メールという脅威の大部分を無力化することができるからです。 ビットコインアドレスとメール送信者の相互分析 特定の電子メールを特定の攻撃者に帰属させるために使用できるもう1つの重要な情報は、実際の電子メールのフィールドです。たとえば、各メールの「送信者」フィールドを攻撃者のプロキシとして使うことができます。1人の攻撃者は異なるメールアカウントから容易にメールを送信できますが、同じ送信者から複数のメールを受信した場合、そのメールは同じ攻撃者のものであることがわかっています。 そこで、電子メールの「送信者」フィールドによって電子メールをグループ化し、各「送信者」が送信する電子メールの数と、各送信者が電子メールで使用する固有のビットコインアドレスの数を数えました。分析をわかりやすく視覚化するために、送信者が送信したメールの数でグラフを分解しました。 この分析からいくつかの興味深いことが明らかになりました。まず、送信者の大多数が、攻撃を送信する際に同じビットコインアドレスを使用しています。大量のメールを送信する送信者だけでなく、少量のメールを送信する送信者も同じです。次に、データセット全体の一意の送信者 12 万人のうち、10 通以上のメールを送信した送信者は 3000 人未満でした。500 通以上のメールを送信した送信者はわずか8人でした。 このことから私たちは、攻撃者が自分の身元を難読化することにさほど注力しておらず、ほとんどの場合、こうした恐喝攻撃に同じビットコインアドレスを使用しているらしいと結論づけました。これもまた明るい兆しです。比較的少数のビットコインアドレス(および攻撃者)であれば、法執行機関によって追跡できるからです。 攻撃者が要求する金額はいくらか 攻撃者の行動をよりよく理解するために、恐喝攻撃者が要求する金額と、その金額がデータセット間でどの程度一貫しているかを理解したいと考えました。メール本文で要求された金額を知るために、$、usd、us dollar、euro、€、GBP、£など、様々な通貨の表記を抽出しました。 ビットコインアドレスを抽出できた 20 万通のメールのうち、97 %が米ドル、2.4 %がユーロ、残りの 0.6 %が英ポンド、カナダドル、ビットコインなどを要求しています。抽出された金額が米ドルでない場合は、比較のため、メールが送信された日の米ドルに換算しました。 以下は、金額分布の累積分布関数です。非常に興味深い結果となっています。 ほとんどすべての攻撃者が400〜5000ドルの金額を要求している。 25%のメールが1000ドル未満の金額を要求している。 90%以上の恐喝メールが2000ドル未満の金額を要求している。 攻撃者が最もよく要求する金額は500〜2000ドルである。 攻撃者が要求する金額は、「スイート・スポット」と呼ばれる帯域に比較的集中していると推測されます。すなわち、攻撃者にとっては十分な金額ではありますが、高すぎる金額ではないのです。 被害者が支払いを避けるほど高くない。 被害者が、攻撃者が実際に危険な情報を持っているかどうかを調査する原因になる(通常、そうならない)ほど高くない。 被害者の銀行や税務当局に警戒心を抱かせない金額である。   また、これらの攻撃で要求される金額が非常に特定の帯域に集中していることや、攻撃者が比較的小規模なグループに属しているようであることから、おそらく互いに「ベストプラクティス」を採用しているのではないかと推測されます。 結論...

海外ブログ

サイバーセキュリティの1年を振り返る:2022年に学んだ5つのこと のページ写真 10

サイバーセキュリティの1年を振り返る:2022年に学んだ5つのこと

2022年12月28日、Phil Muncaster 2022年は多くの点で、過去5年の傾向をそのまま継続してきました。全米脆弱性データベースに公開されたCVEの数は、2022年も記録を更新する勢いです。ランサムウェアの脅威は、地政学的な対立という特殊要素を含みつつ、かつてなく大胆に展開しています。そして脅威者は、コロナ禍で常態化した新しいワークスタイルを悪用し、組織を追い詰めています。 2022年をとらえる切り口はいろいろあります。しかしここでは、私が注目するトレンドのトップ5と、そこからの学び(これが何より重要です)を紹介します。2023年の企業セキュリティ強化に大いに利用してください。 1. たとえ各国政府が身代金支払いを禁止しても、ランサムウェア攻撃はなくならない ランサムウェアの試行回数は、記録的だった2021年と比べると若干減少したとはいえ、2022年10月までの1年間で数億回に上りました。さらにこの期間中に前年比で増加したのが、英国(20%)および欧州・中東・アフリカ(38%)です。ランサムウェア・アズ・ア・サービス(RaaS)モデルが利益を生み出し続け、関連企業や開発者が敵対的な国家に保護されている限り、終わりは見えません。オーストラリアには、犯罪グループへの身代金の支払い禁止を提案する政治家もいます。しかしそれでは単に報告が表に見えなくなるだけで、むしろ重要なサービスプロバイダーへの攻撃を助長することになりかねません。 代わりにITリーダーが取るべき最善の対応は、改善したユーザーの意識向上プログラムとゼロトラストを組み合わせたサイバー衛生のベストプラクティスです。 2. Z 世代が職場を席巻するなか、インサイダーの脅威に対処する必要がある 私たちは、組織内部からの脅威を深刻に受け止めているとは言い切れません。通常、組織内部の脅威は意図的な悪意に基づくというよりも、むしろ過失によるものです。しかし、だからといって影響がないわけではありません。ある試算によると、インサイダーによるインシデントの修復には、年間1,500万ドル以上のコストがかかっています。さらに懸念されるのは、若い世代の従業員による会社のデータの扱いにリスクが伴う傾向が強いという事実です。たとえばアップデートを期限内に適用しない、仕事でも個人のアカウントでもパスワードを再利用する、個人のデバイスのセキュリティを会社のデバイスの保護よりも真剣に考える、といった具合です。 ハイブリッド型の働き方で、こうした傾向はさらに拍車がかかるでしょう。在宅勤務のときのセキュリティに関しては従業員が自分自身のルールに自由に従うからです。こうした新しい現実に対応するために、組織は適切なテクノロジーとユーザー教育を通してポリシーを書き換える必要があります。多要素認証(MFA)からゼロトラスト、セキュアアクセスサービスエッジ(SASE)の導入に至るまで、セキュリティ管理は強力かつ実質的に摩擦がないものでなければなりません。 3. WebアプリケーションとAPIは持続的かつあまり報告されない脅威 2022年は、ランサムウェアと国家による攻撃が最も注目された年だったことは間違いありません。しかし、企業が直面した脅威はほかにもあります。華やかさには欠けますが、アプリケーションとクラウドのセキュリティも同じくらい重要です。SQL インジェクション攻撃をはじめとする Web アプリケーションの脆弱性を狙った攻撃は、ハッカーの大好物です。しかもハッカーにとっては、顧客や従業員の有益なデータを直接入手する経路となる可能性があります。また API は、DX(デジタル改革)においてますます重要になっていくため、アカウント乗っ取りやデータ窃取などを目的とする脅威者の格好の標的となるでしょう。 2022年に発表されたレポートによると、95%の組織が過去 12カ月間に API セキュリティインシデントを経験し、12%が月平均 500 以上の攻撃に悩まされていたことが明らかになりました。デジタル環境のこの分野のセキュリティにも、そろそろ真剣に取り組むべき時が来ているのです。 4. 中小企業にとって、情報漏えいは存亡に関わる問題 セキュリティ侵害は、企業にとってどれほどの損害をもたらすものなのでしょうか。この質問への答えは簡単には見つかりません。というのも、多くの企業は、顧客や投資家、パートナーを遠ざけることを恐れて、インシデントについてあまり多くを開示したがらないからです。しかし、国際保険会社のヒスコックス社は2022年、米国と欧州諸国の5社に1社が歴史的な攻撃によって倒産に近い状態に陥ったという調査結果を発表しました。ほとんどの企業が、サイバー攻撃をビジネス上の脅威のトップに挙げ、リモートワークによって組織がより脆弱になったことを認めています。 この調査では、企業の規模別に評価したわけではありませんが、リソースの少ない企業のほうがランサムウェアやその他の攻撃によって存亡の危機にさらされる可能性が高いことはいうまでもありません。繰り返しになりますが、特効薬はありません。業界のベストプラクティスに従って、保護とユーザーの意識を高めることが重要なのです。 5.ディープフェイクでビジネスメール詐欺(BEC)は加速 サイバー犯罪の地下世界では、常にイノベーションが起きています。フィッシングと対峙する企業と脅威者コミュニティとの間のイタチごっこが絶え間なく続くのを私たちは目にしています。もう一つ、BEC 攻撃も激しさを増しています。FBI は2022年、BEC の手法にディープフェイク技術やビデオ会議ソフトを組み合わせた試みがあると警告を発した。 ディープフェイク音声は、ユーザーを騙して詐欺師に多額の資金を送金させることで大きな被害をすでにもたらしています。また技術が進んで安価で説得力のあるものになれば、Zoom会議で配信されるフェイク映像は、間違いなくさらなる混乱を引き起こす可能性があります。この問題に取り組むには、より優れた訓練を受けた人材、電信送金の署名プロセスの改善、ディープフェイクを発見してブロックする AI 搭載ツールの組み合わせが必要です。 経済的な逆風が吹き荒れる2023年、中小企業のITリーダーは、セキュリティ予算を堅持し、賢く活用することが不可欠となります。 原文はこちら A cybersecurity year in review: Five things we learned from 2022 Dec. 28, 2022 Phil Muncaster https://blog.barracuda.com/2022/12/28/cybersecurity-year-in-review-2022/

海外ブログ

バラクーダのセキュリティ最前線から2023年の脅威を予測 のページ写真 11

バラクーダのセキュリティ最前線から2023年の脅威を予測

トピック: Attacks and Threat Actors, User Training and Security Awareness 2022年11月21日、Tilly Travers 未来を予測するのは難しいですが、この1年の流行や新しいトレンドを見ることで、起こりうる出来事を予想することはできます。バラクーダは、2023年の脅威予測の一環として、セキュリティ最前線の専門家に、2022年に何を見て、2023年に何に遭遇すると思うか尋ねました。意外だったのはどんなことで、組織が過小評価または過大評価しているリスクは何で、今後1年間危険にさらされる可能性があることは何でしょうか。   Q: 2022年に最も驚いたセキュリティ関連トピックで、2023年以降にも影響があると考えられることがらは何ですか? 脆弱なソフトウェアのサプライチェーン、兵器化したソーシャルメディア、多要素認証(MFA)の乱用、地政学的な動機に基づくサイバー攻撃の拡大、Everything-as-a-Service(コンピュータ処理に必要なソフトウェアやハードウェアなどがインターネットを通してクラウドから「サービス」として提供する概念や仕組み)です。 Riaz Lakhani バラクーダ最高情報セキュリティ責任者(CISO):私が最も驚いたのは、重大な脆弱性が報告された人気のサードパーティ製ソフトウェア・ライブラリの多さと、それらのライブラリを自社のアプリケーションなどで使用しているために影響を受けた大企業の数が多いことです。 Adam Kahn Barracuda XDR VPセキュリティオペレーションズ担当:今年は初めて、個人がソーシャルメディアプロフィールからランサムウェア攻撃を受けるのを目のあたりにしました。 Shani Mahler  Barracuda XDR のエンジニアリング・プロダクトマネジメントディレクター:「インフルエンスベース」のサイバー攻撃がいかにエスカレートしているか、です。大手SNSにはこの問題を解決するインセンティブがほとんど見当たらず、したがって解決されないままで、セキュリティチームもインフルエンスオペレーションを監視することができません。セキュリティオペレーションセンター(SOC)の仕事は、機械やネットワークを監視してリスクを発見することであり、人がどのように影響を受けて混乱を引き起こすかを監視することではありません。ソーシャルメディアの影響力は、監視されていない、非常に有効なサイバー脅威であり、2023年も引き続き猛威を振るうと考えられます。 Merium Khalid オフェンシブセキュリティ・シニア SOC マネジャー:多要素認証(MFA)の乱用が増えたこと。2022年は、MFAがすべてのセキュリティの問題を解決してくれるわけではないことがわかった年だったと思います。かつてないほど多くの侵害が報告されました。MFAの乱用かあるいはソーシャルエンジニアリングを通じてMFAコードを攻撃者に引き渡してしまった結果です。 Stefan van der Wal アプリケーションセキュリティのコンサルティングシステムエンジニア:ランサムウェアがまだ問題であること。これほど壊滅的な影響を及ぼす攻撃に関して、2022年にはかつてないほど報じられてきました。それにもかかわらず、いまだに予防・検知・対応・復旧の面で適切な対策をとっていない組織が残っていることに驚きました。脅威により対処しやすくなるよう、セキュリティ業界全体がこれほど努力しているにもかかわらず、です。 John Flatley E メールセキュリティのコンサルティングシステムエンジニア:攻撃ツールがいかに簡単にアクセスでき、利用できるようになったかということ。攻撃者にこうしたサービスをすべて提供するサブスクリプションサービスがあります。 Stefan Schachinger ネットワークセキュリティ・プロダクトマネジャー:2022年の地政学的な紛争から、私たちはサイバー脅威に国境はないこと、そして世界がサイバー攻撃にいかに弱いかを思い知らされました。ランサムウェアを含む多くのサイバー脅威は、もともとターゲットを破壊するためではなく、金儲けのために設計されたものです。この状況は2022年に一変しました。紛争に直接関与していない国や組織が突然、それまで考えられなかったような巧妙なレベルで、混乱や妨害を目的として実行される国家主導の(あるいは容認の)攻撃の標的となったのです。世界的なサイバー攻撃に対する脆弱性のレベルがいかに低いかを痛感させられました。しかし重要な教訓ともなりました。2023年に脅威のレベルが低下する可能性は低いのですから。 こうした背景のもと、2023年に組織が備えるべきサイバー脅威のトップトレンドは? 悪用される認証方式、拡大する攻撃対象、増え続けるゼロデイ、サプライチェーン攻撃、Webおよびアプリケーション攻撃、脆弱なIoT RL:アカウント乗っ取りが、攻撃者にとって簡単に手に入る果実であり、組織にとって最優先のリスクであることに変わりはありません。二要素認証やMFA疲労攻撃が容易になり、TOTP(時刻に同期して生成されるワンタイムパスワード)はソーシャルエンジニアリングの影響を受けやすいため、セキュリティ担当者は認証対策を見直す必要があるでしょう。 AK:2023年には、クラウドベースやSaaSを採用する組織が増えるため、組織が攻撃対象となる可能性は高まるでしょう。幸い、これには問題なく対応できるはずです。というのも、サイバー脅威が活発で進化しており、インテリジェントで自動化されたリアルタイムの監視と対応が必要であるという理解が広まりつつあるからです。 SM:2023年、組織はその規模や業種に関わらず、どんなサイバー脅威から狙われても対処できるような準備が必要です。 MK:ゼロデイ脆弱性が増加するでしょう。 2022年、CVE(新たな脆弱性)の登録件数は2万1000件でした。その多くは「クリティカル」に分類され、攻撃者によって積極的に悪用されるものも少なくありませんでした。ゼロデイが警告なしに組織を襲うため、組織はできるだけ早くソフトウェアのパッチを当て、修正できるようなチームを編成する必要があります。 SVDW:サプライチェーンへの攻撃。2022年はサプライチェーン攻撃の年でした。より多くの攻撃者が企業を攻撃する際に最も弱いリンクを狙うようになりました。どの企業も外部の企業とビジネスを行っており、誰も他の組織への攻撃のピボットにはなりたくありません。 JF:メールアカウント乗っ取り、ランサムウェア、ウェブアプリケーション攻撃という恐ろしい3つの攻撃。 SS:インフラに接続されるモノが増え、エッジコンピューティングと連携したクラウドサービスが増え、リモートワークが続く中、攻撃対象は拡大しています。このため、組織はセキュリティの見直しを迫られています。長年にわたり、セキュリティの主な目的は、最初の侵害から身を守ること、つまりマルウェアや攻撃者をネットワークから締め出すことでした。しかし現在では、何かまたは誰かが侵入してきた場合に備え、侵入されたときにどのように対応するかを準備する必要があります。 私たちはどのくらい準備ができている? 2022年、組織が最も過小評価しがちだったサイバーリスクは? 脆弱なソフトウェア開発パイプライン、従業員のセキュリティ意識、アプリケーションのセキュリティ、攻撃の可能性 RL:過小評価されがちだったのは、アカウントの乗っ取りがいかに容易か、何が最も重要な資産でそれはネットワーク上のどこに存在するか、攻撃対象領域はどのようなものかという点です。開発からパッチ適用、デプロイなど、ソフトウェア生産を自動化するためのCI/CD(継続的インテグレーションとデリバリー)パイプラインを強化する必要性も、過小評価する企業が多々あります。CI/CDパイプラインには、ソースコード、アプリケーションコードリポジトリ、コンテナ、ビルドサーバなどの重要なコンポーネントが含まれているため、攻撃者の最重要ターゲットになるのです。 SVDW:最も過小評価されているのはアプリケーションセキュリティリスクでしょう。現在、多くの攻撃がアプリケーションから発生していますが、セキュリティに積極的に取り組むべきだとすべての企業が認識しているわけではありません。企業は、サイバー攻撃者に先んじて、サプライヤーに保護措置について尋ね、アプリケーションのセキュリティ体制を調べておく必要があります。 SM:従業員のセキュリティに関する理解度がいかに低いかを組織側は十分に認識していません。従業員は常にフィッシングやスミッシングといったソーシャルエンジニアリングの手口で狙われています。しかし多くの企業では、従業員に対するセキュリティ啓発教育(SAT)を年に1回しか行っていません。 MK:過小評価されているのは、セキュリティ意識向上トレーニングの重要性。発生する漏洩や侵害の多くは、クレデンシャルの漏洩が原因であり、これはより良い教育を通して減らせます。 JF:過小評価されているリスクは、前述の攻撃タイプの規模とアクセス性が上がっていること。そして、攻撃ツールの活用がいかに容易になったかということ。 SS:組織も政府も過小評価しているのは、標的型攻撃の被害に遭う可能性と、攻撃の影響がいかに広範囲に及ぶかです。2022年は、たった1つの組織が経済や社会にとってどれほど重要な存在になり得るかを教えてくれました。すべてがつながった世界では、相互依存の関係は巨大になり、小さな原因が大きな影響を及ぼしかねません。例えば、文書や請求書などのシステムが1つでも危険にさらされれば、企業は世界中の業務を停止せざるを得なくなるし、電力網が機能しなくなれば、全国的な停電を引き起こす可能性があります。私たちは、組織やインフラを守るより効率的な方法を生み出し、「小さな」理由で大規模なダウンタイムを回避するためのレジリエンスを強化し、継続的な攻撃を阻止できるようにならなければなりません。 では、過大評価しがちなサイバーリスクとは? ブルートフォースアタック、データコンプライアンス違反、そして防御がいかに優れているか MK:ブルートフォースアタックが成功するリスクを過大評価しがちです。ネットワークをスキャンして脆弱性を探すことは、私がSOCで目にする最も一般的な敵対的偵察活動の1つです。ビジネス上の必要性から外部に向けた資産を保有している場合、ブルートフォースや脆弱性のスキャンを受ける可能性は非常に高いです。しかし、企業がジオブロック、VPN、MFAなどの管理体制を敷いている場合、ブルートフォース・アクティビティが侵害につながる可能性は低くなります。 SVDW:GDPRのコンプライアンスリスクを過大評価しがちです。データプライバシーに関して非常に制限的なポリシーを構築している組織もあります。PII(個人を特定できる情報)が関与していないデータ周りのビジネスの俊敏性を阻害し始めない限り、良いことでしょう。これは、例えば、コンプライアンス部門がデータリスクとして考えているセキュリティ対策を、組織がとらないことを意味します。一方、本当のリスクは、情報セキュリティリスクに対応するシステムを導入していないことです。 SS:組織は、自分たちの保護レベルや、おそらくすでに足場を固めている攻撃者から自分たちを守る能力を過大評価しがちです。また、緩やかにしか統合されていない、あるいはまったく統合されていない孤立したセキュリティ対策やツールのプラス効果を過大評価しています。 2023年、どのようなセキュリティ対応をすべき? AI、アプリケーションセキュリティ、新しい認証方法、自動化、24時間365日の人間主導のリアルタイム監視、セキュリティオペレーションセンター(SOC)-as-a-Serviceが2023年のサイバーセキュリティを強化 RL:既存の認証方法が攻撃者に狙われるなか、セキュリティ担当者は代替手段を検討する必要があり、パスワードレスやFIDO U2F(ユニバーサル2ndファクター)シングルセキュリティキー技術が注目されるでしょう。 MK:2023年以降、テクノロジー業界は、生体認証やパスワードレスな認証方法にシフトしていくことが予想されます。 AK:脅威検知、特にセキュリティの注意力を削ぐ「誤検知」ノイズを除去するうえで、人工知能(AI)がより多く利用されるようになり、それがセキュリティに大きな変化をもたらすでしょう。これにより、即時の注意と対応が必要なセキュリティアラームに優先順位をつけることができます。自動化されたSOAR(Security...

海外ブログ

脅威のスポットライト 悪質なHTML添付ファイル のページ写真 14

脅威のスポットライト 悪質なHTML添付ファイル

June 28, 2022年6月28日、Olesia Klevchuk バラクーダのリサーチャーは最近、過去1カ月間にバラクーダシステムでスキャンされた数百万件の添付ファイルのデータを分析し、悪質である可能性が最も高いものを特定しました。 このリサーチによると、他のタイプの添付ファイルと比較して、HTML添付ファイルは突出して悪意のある目的に使用されています。実際、バラクーダがスキャンしたすべてのHTML添付ファイルの21%は悪質でした。 そこで、悪意のあるHTML添付ファイルについて、詳しく見ていきましょう。サイバー犯罪者はどのように利用しているのでしょうか。また、このような攻撃から身を守るにはどうすればよいのでしょうか。 注目すべき脅威 悪意のある HTML 添付ファイル: HTML 添付ファイルは、電子メールによるコミュニケーションで広く使用されています。とりわけ、システムが生成した電子メールレポートによく見られます。ユーザーが定期的に受け取る可能性のあるメールで、そのメッセージには実際のレポートへの URL リンクが含まれています。 攻撃者は、週報を装った電子メールにHTML形式の添付ファイルを埋め込み、ユーザーを騙してフィッシング・リンクをクリックさせるという手口を取っています。ハッカーがメール本文に悪意のあるリンクを含める必要がなく、アンチスパムやアンチウィルスのポリシーを簡単に回避できるようになるという、非常に成功率の高い手法です。 詳細 ハッカーがHTMLの添付ファイルを利用する方法はいくつかあります。まず、クレデンシャルフィッシングです。悪質なHTML添付ファイルには、フィッシング・サイトへのリンクが含まれています。HTMLファイルを開くと、Javaスクリプトを使用してサードパーティのマシンにリダイレクトされ、情報へのアクセスやマルウェアを含む可能性のあるファイルのダウンロードのために、ユーザーに認証情報を入力するように要求します。 しかし、ハッカーは、必ずしも偽のウェブサイトを作成する必要はありません。彼らは、添付ファイルに直接フィッシング・フォームを埋め込んで、最終的にフィッシング・サイトをリンクではなく、添付ファイルとして送信することができるのです。 これらの攻撃は、HTMLの添付ファイル自体に悪意がないため、検出が困難です。攻撃者は、添付ファイル自体にマルウェアを含めるのではなく、別の場所でホストされているJavaスクリプトライブラリを使って複数のリダイレクトを行います。このような攻撃から身を守るには、HTMLファイルの添付されたメール全体を対象としてすべてのリダイレクトを確認し、悪意があるかどうかをメールの内容から分析する必要があります。 悪意のあるHTML添付ファイルから身を守る方法 電子メールのセキュリティ対策で悪意のあるHTML添付ファイルを確実にスキャンし、ブロックする。これらの添付ファイルを正確に特定することは難しく、検出には多くの場合、誤検出が含まれます。最適なソリューションとは、添付ファイルだけでなく、メールのコンテンツを評価する機械学習と静的コード解析が含まれていることです。 悪意のある可能性の高い HTML 添付ファイルを特定し、報告するようユーザーを訓練する。この手の攻撃が多発していることを考えると、ユーザーはすべてのHTML添付ファイル、特に知らない送信元からのものを警戒する必要があります。このような攻撃の例をフィッシング・シミュレーションのキャンペーンに盛り込み、ログイン情報を共有する前に必ずダブルチェックするようユーザーに教育してください。 悪意のあるメールが届いた場合に備え、配信後用修復ツールをいつでも使えるようにしておく。このツールを使って、すべてのユーザーの受信トレイから悪意のあるメールのインスタンスを迅速に特定し、削除しましょう。自動化されたインシデントレスポンスならば、攻撃が組織全体に広がる前にこの作業を迅速に行えます。また、アカウント乗っ取り防止は、ログイン認証が侵害された場合に疑わしいアカウントの活動を監視して警告することができます。 無料レポート – スピアフィッシング:主要な攻撃と攻撃トレンド 原文はこちらThreat Spotlight: Malicious HTML attachmentsJune 28, 2022 Olesia Klevchukhttps://blog.barracuda.com/2022/06/28/threat-spotlight-malicious-html-attachments/

海外ブログ

バラクーダの注目する脅威「新型コロナ検査関連メール詐欺」について調査結果を発表

10月から1月にかけて、新型コロナ検査に関連する詐欺の数は521%増加 クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.(本社:米国カリフォルニア州キャンベル)の日本法人、バラクーダネットワークスジャパン株式会社(東京都品川区、執行役員社長:大越大造、以下「バラクーダネットワークス」)は、本日、「バラクーダの注目する脅威:新型コロナ検査関連メール詐欺」について、調査結果を発表しました。 ハイライト:  新型コロナ検査関連のフィッシング攻撃―サイバー犯罪者は、新型コロナ検査への需要の高さと現在の検査キット不足の状況を利用して、フィッシング攻撃を仕掛けている。 2021年10月から2022年1月にかけて、新型コロナ検査に関連する詐欺の数は521%増加。 攻撃者は、被害者の注意を引くためにさまざまな手口を利用。 最も一般的な詐欺の例 新型コロナ検査薬や、マスク、手袋などの医療用具を売りつける詐欺。これらの詐欺の中には、偽造品やその他の未承認の製品を販売するものもあります。 新型コロナ検査の未払い通知を装い、詐欺師がPayPalアカウントを提供し、簡易検査の購入を完了させるための支払いを促すもので、被害者の余裕のない状態につけ込んでいます。 新型コロナ検査サービス提供者、研究所、または個々の従業員になりすまし、偽の新型コロナ検査結果を共有します。 図1: 新型コロナ検査関連のフィッシング攻撃 詳細 新型コロナパンデミックは2年近く話題の中心となっていますが、ハッカーたちはこのパンデミックを悪用した攻撃を続けています。2020年3月には、新型コロナウイルスに関するフィッシング攻撃が667%急増し、その後、ワクチン接種プログラムが展開されると、ワクチンに関連する新たな脅威の波が発生しました。最新の変異株である「オミクロン株」は、新型コロナの症例とフィッシング攻撃を再び急増させました。ここ数週間、新型コロナ検査の需要が高まるにつれ、検査の希少性を悪用した詐欺の件数も増加しました。当社の研究者はここ数ヶ月の間、新型コロナ検査に関連するフィッシング攻撃の増加を確認しました。2021年10月から2022年1月にかけて、新型コロナ検査に関連する詐欺の数は521%も増加しました。1日平均は、1月上旬にピークを迎え最近減少していましたが、再び上昇傾向に転じました。 米国保健福祉省監察総監室は、今月初め、特に新型コロナおよび新型コロナ検査に関連した詐欺事件が増加しているとして、国民に注意を促しました。個人情報や医療情報と引き換えに家庭用新型コロナ検査を販売しようとする攻撃者について、警告しています。米国政府は、1世帯あたり4回まで無料で家庭内検査を依頼できるプログラムを1月半ばに開始しましたが、サイバー犯罪者はこのプログラムを利用する可能性があります。 新型コロナウイルス関連の詐欺が、個人と企業をターゲットに続いています。一部の組織では、従業員をオフィスに戻そうと、最新のポリシーを送ったり、従業員のワクチン接種状況について情報を求めたりしています。ハッカーはこのような会話を乗っ取ります。バラクーダの調査で見つかったある具体的な例では、サイバー犯罪者が人事部になりすまし、アカウントの認証情報を盗むために、フィッシングサイトでホストされているファイルを従業員と共有しました。攻撃者は、Office 365のロゴを真似て、ドキュメントがウイルスやスパムコンテンツに関してすでにスキャンされていることを表示しています。 図2:詐欺メールの例 新型コロナ検査関連フィッシング詐欺への対策: 新型コロナ検査に関連する全てのメールを疑う 詐欺メールの中には、新型コロナ検査キットの購入、すぐに利用できる検査の情報提供、検査結果の共有などを持ちかけるものがあります。予期しないメールのリンクをクリックしたり、添付ファイルを開いたりしないようにしましょう。 人工知能の活用 攻撃者は、ゲートウェイやスパムフィルターを回避するためにメールの手口を変えています。そのため、ブランドのなりすまし、ビジネスメール詐欺、メールアカウント乗っ取りなどのスピアフィッシング攻撃を検知し、防御するソリューションが重要となります。悪意のあるリンクや添付ファイルの確認だけに頼らない、目的に応じたテクノロジーの導入が必要です。機械学習を使用した、組織内の通常の通信パターンの分析により、攻撃を示唆する異常を発見することができます。 アカウント乗っ取り防止策の導入 外部からのメールメッセージに注目するだけでは不十分です。最も破壊的で成功したスピアフィッシング攻撃には、漏洩した社内アカウントから発生する場合があります。攻撃者が、これらの攻撃を開始するためのベースキャンプとして、あなたの組織を使用していないことを確認する必要があります。人工知能を使用して、アカウントが侵害されたことを認識し、ユーザに警告を発し、侵害されたアカウントから送信された悪意のあるメールを削除して、リアルタイムで修復するテクノロジーの導入が必要です。 攻撃を認識し報告するためのスタッフのトレーニング スピアフィッシング攻撃について、ユーザを教育します。新型コロナウイルスに関連するフィッシング、季節的な詐欺、その他の潜在的な脅威に関する最新のユーザ啓発トレーニングを従業員に実施する必要があります。社員が最新の攻撃を認識し、すぐにIT部門に報告する方法を知っていることを確認します。メール、ボイスメール、SMSのフィッシング・シミュレーションを使用して、サイバー攻撃を識別するためのユーザ・トレーニングを行い、トレーニングの効果を検証し、最も脆弱なユーザを評価します。 不正を防止する強力な社内ポリシーを設定 すべての企業は、個人情報や財務情報が適切に取り扱われるよう、既存のポリシーを策定し、定期的に見直す必要があります。電信送金や支払変更に関するすべてのメール依頼を確認するためのガイドラインを作成し、手順を整備することで、従業員がコストのかかるミスを回避できるようにします。すべての金融取引について、複数人による直接または電話による確認と承認を求めます。 関連リンク: スピアフィッシングレポート:主要な攻撃と攻撃トレンド~攻撃者の進化した戦術と標的となる人物に関する洞察~(2021年7月 Vol.6) https://www.barracuda.co.jp/download/spearphishingreport-vol6-jp/ バラクーダが注目する脅威: コロナウイルス関連のフィッシング(メールセキュリティ) https://www.barracuda.co.jp/threat-spotlight-coronavirus-related-phishing/ バラクーダネットワークスについて 米国Barracuda Networks Inc. の日本法人。ITにまつわる課題をメール保護、ネットワークとアプリのセキュリティ、データ保護の3つの分野において、効率的かつ低コストで業界最高レベルのソリューションを提供しています。バラクーダネットワークス製品は全世界20万社以上のお客様にご利用いただいており、オンプレミス、仮想、クラウド、そしてハイブリッドといった柔軟な導入形態により、あらゆるIT環境で最適化できるよう設計されています。 【本件に関するお問い合わせ】 〒141-0031東京都品川区西五反田8-3-16 西五反田8丁目ビル5階 バラクーダネットワークスジャパン株式会社 E-mail: jsales@barracuda.co.jp TEL: 050-1791-0524