Blog

Hunters Internationalというグループにあなたのデータが狙われている

2024年7月29日、Christine Barry Hunters International (Hunters) は、名前がその実態を表す犯罪グループの 1 つです。このグループはあなたのデータを狙っており、国際的に活動しています。この記事の執筆時点で、このグループは29 か国で被害者を攻撃することに成功していますが、これは確認された被害者のみを数えたものです。いくつかの業界調査では、報告されていないランサムウェア攻撃の数は 60% から 80% の間であることがわかっているため、おそらくその数は私たちが知っているよりも高いと考えられます。 ランサムウェア グループが複数の国の企業を標的にするのは珍しいことではありませんが、このグループは意図的に国際的な活動を展開している点で興味深いです。このグループはランサムウェア アズ ア サービス (RaaS) の運営者であり、多くの RaaS 運営者は複数の国に関連会社を持っています。ハンターの「本拠地」は東ヨーロッパとロシアのどこかにあると考えられていますが、グループのインフラと活動はアジア、南アフリカ、および世界の他の地域にまでさかのぼります。この地理的に分散した拠点により、法執行機関が活動を阻止することがより困難になりますが、活動を調整することも困難になります。タイム ゾーン、運用上のセキュリティ、攻撃の一貫性はすべて、これによって影響を受ける可能性があります。 起源について Hunters International は 2023 年 10 月に確認され、当初は Hive ランサムウェアのブランド変更であると考えられていました。Hive は 2023 年 1 月に法執行機関によって解体され、その名前で再び現れることはありませんでした。Hunters International が出現したとき、研究者はそのコードの 60% が Hive と重複していることを発見しました。これがブランド変更に関する噂の始まりとなり、Hunters はすぐにこれを阻止しました。 独立した「スタートアップ RaaS」として、Hunters は Hive コードとインフラストラクチャを購入し、アフィリエイトの募集とターゲットへの攻撃を開始するための実用的なシステムを立ち上げることができました。Hunters は、以下を含む多くの改良を Hive コードに加えました。 Hive の元の暗号化ロジックにおける「ファイルの復号化を妨げることがあるいくつかの問題」を修正しました。 コマンドラインパラメータを削減し、暗号化キーの保存プロセスを合理化しました。 以前の Hive バージョンでは C と Golang で記述されていたコードを Rust で再構築しました。 ファイル拡張子のカスタマイズ、ボリューム シャドウ コピーの削除、暗号化の最小ファイル サイズの指定のオプションを作成しました。 暗号化の種類をChaCha20-Poly1305からAESとRSA暗号の組み合わせに変更しました Hunters International のユニークな特徴の 1...

Others 2024.11.20

バラクーダの注目する脅威：レンタル型ランサムウェアが大きな脅威となる理由

2024年8月21日、Adam Khan 今年のランサムウェア攻撃の年次レビューは、2つの視点から脅威を見ています。 1つ目は、3年連続で、報告されたランサムウェア攻撃のグローバルサンプルを取得し、過去12か月間のランサムウェア攻撃者とその標的について、また、前年との比較について分析しています。 次に、バラクーダXDRの最新の洞察とデータを使用して、世界中の組織が毎日経験している、現実世界における日和見的なランサムウェア攻撃を見極めます。このような攻撃を阻止する要因について考察します。また、当社のケースブックから2つの実例を紹介します。 ITセキュリティの専門家の皆様が、進化するランサムウェアの状況や、攻撃に備え、それに耐える方法をより深く理解するための一助となれば幸いです。 2023/2024年のランサムウェア脅威の状況 バラクーダの脅威研究者たちは、2023年8月から2024年7月にかけて報告された200件のインシデントのサンプルを分析しました。 私たちが毎年追跡している主なカテゴリーである自治体、医療、教育、インフラ、金融サービスを中心に、すべての産業分野のインシデントを対象としました。サンプルを見ると、医療機関に対する攻撃が増加し続けていることがわかります。2023/24年には、5件に1件強（21％）の攻撃が医療機関を襲い、前年の18％から増加しました。これらの中には、手術の延期や長期的な治療計画の中断など、世界的な見出しを飾るようなものもあります。教育を狙った攻撃は昨年の18％から半減し、2023/24年には9％を占め、金融サービスを狙ったものは1％未満から2024年には6％に急増した。 他業種を狙った攻撃の割合が増加し、全攻撃の42％が重点分野以外のセクターを攻撃し、前年の32％から増加しました。2023/24年には、報告された攻撃の9％が製造業、13％がテクノロジー企業を標的としていました。 これらの結果は、あらゆる業界・組織がランサムウェアの潜在的な標的であることを示しています。注目すべきは、世界各国の規制により、一部の組織や業界にはサイバーセキュリティ インシデントを報告する法的義務があり、これが業種・業界関連の結果に影響を及ぼす可能性があることです。 レンタル型ランサムウェア 最も蔓延しているランサムウェアグループは、ランサムウェア・アズ・ア・サービス（RaaS）モデルである。これにはLockBit が含まれ、2024年2月に法執行機関がこのグループを摘発したにもかかわらず、2023年/24年には、攻撃者の身元が判明している攻撃の6件に1件、つまり18%に関与していました。これらのインシデントのうち、28%は医療機関、21%は自治体、14%は教育機関を標的としていました。 BlackCatとしても知られるALPHVランサムウェアは、攻撃者の身元が判明している2023/24年の攻撃の14%を占め、これらのインシデントの3分の1は医療機関を、17%は金融サービスを標的としていました。 2023年初頭に登場した新しいランサムウェア・グループであるRhysidaは、指定された攻撃の8%を占め、その38%は医療機関を標的としています。 RaaS型ランサムウェアの攻撃は予測が難しく、そのため封じ込めることが困難です。同じランサムウェアファミリーの攻撃を実行する関連組織の数、範囲は、観察された戦術、技術、手順（TTP）に大きなばらつきをもたらす可能性があります。 組織によっては、異なる攻撃で異なるランサムウェアのタイプを使用する場合もあり、さらに混迷を深めています。幸いなことに、ほとんどの攻撃者が頼りにしている、試行錯誤を重ねたTTPが存在し、これらはインシデント発生の兆候を示すのに役立ちます。 アクティブなランサムウェア攻撃の構造 バラクーダXDRのエンドポイントセキュリティのデータによると、2024年の最初の6か月間（1月1日から6月末まで）に、XDRの顧客の約4人に1人（23%）の割合で、ランサムウェア攻撃の試行に直面しています。 この期間に、バラクーダXDRのエンドポイントセキュリティは、ランサムウェア攻撃の可能性を示す6,052件のインスタンス（ツール、テクニック、または動作）を検出し、ブロックしました。最も一般的な検出は、セキュリティチームが侵入者を追跡する際に注意すべきナビゲーショナルマーカを表しています。 2024年に検出された攻撃ツールと動作のトップ セキュリティ・アナリストは、サイバー脅威の存在を示すアクティビティを特定するために、さまざまな検出ルールとエンジンに依存しています。このような複数の検出レイヤーは、ランサムウェアのような能動的な脅威との戦いにおいて不可欠です。攻撃者は多くの場合、ITチームが合法的に使用している市販のツールを活用し、成功するために行動や戦術をリアルタイムで調整することができます。 さらに、ファイルの暗号化など、攻撃のランサムウェア・コンポーネントの実行は、インシデントの最終段階であることが多い。これには、スキャン、横方向への移動、マルウェアのダウンロードなどが先行することが多く、セキュリティチームは、ランサムウェアのインシデントが完全に展開する前に、検出、封じ込め、影響を軽減する機会を得ることができます。 2024年のデータでは、横方向への移動がランサムウェアの活動の最も明確な兆候であることが示されています。ランサムウェア攻撃の半数弱（44%）は、横移動検出エンジンによって発見されました。 4分の1（25％）は、ファイルが書き込まれたり変更されたりするタイミングを検出し、既知のランサムウェアのシグネチャや疑わしいパターンに一致するかどうかを分析するエンジンによって検出され、14％はシステムまたはネットワーク内の異常な動作を識別する検出エンジンによって捕捉された。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習する。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習し、異常なファイルアクセス、オペレーティング・システム・コンポーネントの改ざん、疑わしいネットワーク・アクティビティなどの逸脱を検出すると、警告を発します。 バラクーダのセキュリティオペレーションセンター（SOC）のアナリストは、強力な検出エンジンと共に、疑わしい脅威を自動的に特定して緩和し、エンドポイントを隔離するためのカスタムルールを開発しています。2024年の最初の6か月間、これらのカスタムルールに基づいて、3,600件以上のセキュリティアラートがトリガされました。これらの脅威の多くはランサムウェアのインシデントに見られるもので、セキュリティ・チームにとって、何か不測の事態が進行中であることを示すさらなる警告サインとなります。 XDRケースブックに掲載された2つのランサムウェア攻撃 ケーススタディ 1： 標的 – 従業員150～200人の医療技術企業 脅威の主体 – PLAYランサムウェア ターゲットは、ほとんどのデバイスにセキュリティを導入していましたが、すべてのデバイスには導入していませんでした。このため、可視性とセキュリティに大きなギャップが生じていました。攻撃者は、ターゲットのために働いていたサードパーティの開発者のアカウントを侵害することでアクセス権を得ました。そして、侵入したアカウントを使って、多要素認証（MFA）が有効になっていない企業VPNにアクセスした。ネットワーク内に侵入すると、侵入者は横方向に移動し、保護が不十分なアプリケーション・サーバーにたどり着きました。 主な攻撃 この脆弱なサーバーから11のビジネスクリティカルなサーバーへのリンクを確立し、市販のリモートアクセスツールを使用して、ファイルのシャドーコピーの削除、セキュリティ対策の無効化、永続性の確立を試みました。攻撃者はまた、コンピュータのビデオフォルダや音楽フォルダに悪意のあるファイルを隠そうとしました。 各悪意のあるアクティビティが実行されると、保護されたデバイス上のセキュリティ・エージェントが速やかに脅威ファイルを強制終了、隔離、修復しました。8分後、攻撃者は再び攻撃を試みました。 保護されていないアプリケーションサーバをベースとして、11台のサーバ上のファイルをリモートで暗号化しようとし始めました。攻撃者は、サーバーが自動的にネットワークから隔離される前に、いくつかのデバイス上のファイルを部分的に暗号化することに成功し、これ以上被害が拡大しないことを確認しました。 しかし、攻撃者は、セキュリティ・ソフトウェアが検査できないサーバーからデータを流出させることができた。最後の手段として、攻撃者はkiller.exeと呼ばれるファイルを含む追加のマルウェアを実行しようとしたが、これは消滅する前に何も殺すことができなかった。侵害されたアカウントは無効化され、ファイアウォールの変更により、脅威者からのさらなる接続は阻止された。 ケーススタディ2 ターゲット – 従業員数800～1,000人のカーケアおよび修理製品メーカー 脅威の主体 – 8baseランサムウェア 攻撃は2024年1月の週末に行われました。1月下旬の土曜日の夜明け前、サイバー攻撃者は侵害された、または盗まれたドメイン管理者認証情報を使用してワークステーションにリモートアクセスしました。 主な攻撃 その後2日間にわたり、侵入者は最初に侵害されたデバイスから足跡を拡大し、インフラ内の数百台のデバイスに横方向に移動し、保護されていない数台のマシンに感染しました。攻撃者はリモート・アクセス・サービスを利用して、感染したサーバーへの永続的なアクセスを確立しました。その後、攻撃者はランサムウェアを展開しました。複数のファイルを暗号化することができました。また、セキュリティ・ソフトウェアを無効化し、データの流出を試みました。 ただこの活動のほとんどは失敗に終わりました。すべてのデバイスが保護されていたわけではありませんでしたが、攻撃者が影響を受けたマシンを完全に暗号化し、セキュリティを無効にすることを防ぐのに十分なセキュリティが施されていました。 復元と回復 ファイアウォールは、攻撃者がコマンド・アンド・コントロールに接続し、データを流出させようとする試みを阻止した。日曜日の夕方までには、攻撃は完全にブロックされ、終了した。合計13台の影響を受けたデバイスが攻撃前の状態に「ロールバック」され、さらに6台が手動で復元された。 どちらの例でも、対象企業は、将来の攻撃を防止し、修復するために、すべてのデバイスにセキュリティを拡張すること、検出されたすべての IT 管理およびリモート管理ツールの使用を調査すること、パッチ適用やパスワードの面で適切なサイバー衛生を実施することをアドバイスされました。 結論：ランサムウェア攻撃に対するレジリエンスの構築 ランサムウェアの状況は常に進化しており、それは今後も続くでしょう。非常に多くの異なる脅威グループや関連会社がゲームに参加しているため、攻撃者がどのように行動するかを正確に予測することは困難である。しかし、企業が準備と対応のためにできることは多くあります。 最優先すべきは、攻撃を検知して未然に防ぐための対策とツールを整えることだ。これには、AIを活用した電子メール保護や ゼロ・トラスト・アクセス対策、アプリケーション・セキュリティ、スレット・ハンティング、XDR機能、効果的なインシデント・レスポンスなど、多層的なセキュリティ技術が含まれるのが理想的である。 セキュリティの基本を見落としてはならない： ソフトウェアを常に最新の状態に保ち、既知の脆弱性や悪用された脆弱性に対して優先的にパッチを適用し、従業員に対して定期的にサイバーセキュリティに関する意識向上トレーニングを実施する。最小権限のアクセス制御を実施し、不要なパブリック・サービスやリモート・サービスを閉鎖することで、攻撃対象領域を縮小する。特定された商用IT管理ツールが合法的に使用されていることをダブルチェックし、侵入者やマルウェアの拡散を防ぐためにネットワークをセグメント化する。 暗号化された不変のバックアップ・システムを導入し、メイン・ネットワークから分離して攻撃者が到達できないようにし、強力な認証とアクセス・ポリシーを導入する。 最後に、ランサムウェア攻撃が成功した場合の対応について、コンプライアンスと報告要件に関する詳細を含むインシデント対応計画を策定すること。 ランサムウェアから組織を保護する方法の詳細については、https://www.barracuda.co.jp/products/ransomware/を参照してください。 Barracuda Managed XDRの詳細：https://www.barracuda.com/products/managed-xdr（英語） e-book: すべてを変える、AI時代のランサムウェア（日本語） 原文はこちらThreat...

海外ブログ 2024.11.06

サイバーセキュリティとビジネスの実践力が問われる場、Hardening Project 2024に参加

2024年10月16～18日の日程で、バラクーダは沖縄県豊見城市、沖縄空手会館で開催された「Hardening 2024 Convolutions」にプラチナスポンサーとして協賛し、現地イベントへ参加いたしました。 Hardening Projectとは？ Hardeningとは「堅牢化」という意味ですが、Hardening Project を主催するHardening Project 実行委員会（Link）によれば、このプロジェクトは、サイバー攻撃のあふれるインターネット社会において、最高の「衛る」ための施策、つまりセキュリティにおける技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰し、サイバーセキュリティの実践力を強力に向上することが目的です。当イベントでは、守るという一般的な漢字ではなく、”護衛”等で使われる「衛」の字が使われています。 イベント（競技会）の概要 Hardening 競技会は、脆弱なビジネスシステムを主催者によるサイバー攻撃から衛りながら、堅牢化スキルとビジネス運営（EC企業と、その関連企業という設定）能力を競うコンペティションです。チームは、実際に攻撃を受ける仮想環境で技術力、コミュニケーション力など総合力を試されます。 参加対象と準備 エンジニア以外も参加可能で、若手の有望なセキュリティエンジニアや、エンジニア以外のさまざまな職種の方が集まります。選考後、各チーム（今年は7名チーム×15）が1〜2ヶ月の準備を経て競技当日である「Hardening Day」に臨みます。競技は8時間にわたり、攻撃対応とビジネス運営をバランス良く、双方を両輪でしっかりと対応していくことが求められます。さきほど、各チームは仮想のEC企業やそのグループとしてビジネス運営を行うとお伝えしましたが、この仮想企業における組織図までが作り込まれており、各チームにおいて組織/役割のアサインがこの組織図を参考に実施されます。他に準備日、Analysis/Reviewの日程が含まれ、全4日間にわたる長丁場となります。 競技の詳細と評価 参加者はチームで、仮想環境の脆弱性を見つけ出し、実際の企業活動のようにITサービスを導入することでシステムを強化しつつ、攻撃の被害を最小限に抑えます。主催者側は、各チームの環境に対し、サイバー攻撃を実施。それを各チームがいかに防御し、模擬的なECビジネスを継続できるかがキーです。エンジニア以外の職種の方は、 インシデント発生時の報告や顧客対応といったコミュニケーション業務や、ECサイトの在庫管理などに従事します。競技の成否は、売上の維持、ダウンタイムの最小化、適切な修正対応がカギとなります。 競技の最終的な評価は、模擬的なチームの「売上」に基づきます。脆弱なシステムの堅牢化と共に、ビジネスの安定運営や防御の技術力、コミュニケーション力も含めた総合力が競われます。 2024年におけるバラクーダの貢献 バラクーダは競技者にセキュリティソリューションを提供するマーケットプレイス（MP）として参加。具体的には、バラクーダでは「Barracuda Web Application Firewall (WAF)」、とその設定/運用等を支援するサービスを提供しました。当社バラクーダのSEが、事前準備とともに、現地イベント会場での各チームのセキュリティ強化を支援。今年、現地において、各チームにおける競技、運用状況に連動しバラクーダでも様々なことを経験しましたが、最終日の振り返り日（Softening Dayといいます）において、バラクーダのWAFが実際にイベント会場における主催者による模擬サイバー攻撃を防御したことが発表されたことは、私としても当社ソリューションの効果を実感する良い機会となりました。 終わりに 各チームの緻密な連携の様子は、振り返りの発表スライドや、作業の様子を見れば手に取るように伝わってきました。競技参加者の各チームの皆様の熱量の高さ、真剣さを感じることができ、とても良い機会となりました。また、各チームの工夫の仕方もそれぞれで、在庫が途中で買えなくなることを見越して在庫をある時点で一気にまとめて購入したチームや、対照的に一定のペースで購入していくチーム、また、事前準備、攻撃等様々な事柄にうまく対処したチーム、対照的になかなか対処が難しかったチーム等、本当にチーム、そしてその対応状況というのは組織によって様々だということを改めて感じました。 この度、バラクーダのHardening競技会への協賛、当日の現地参加等にご協力いただきました全ての皆様に、改めて感謝申し上げます。ありがとうございました。 リンク Hardening Project関連情報:YouTube: https://www.youtube.com/@hardeningprojectHardening Project情報サイト:https://wasforum.jp/hardening-project/hardening-2024-convolutions/Barracuda Web Application Firewall:https://www.barracuda.co.jp/products/waf/

Blog 2024.10.25

バラクーダネットワークス、進化したインフォスティーラー（情報窃取マルウェア）を使用した、ステルス型のフィッシング攻撃によるデータ流出を確認

2024年8月14日、Saravanan Mohankumar バラクーダネットワークス（以下「バラクーダ」）の脅威アナリストは、広範な機密情報を流出させるために設計された、高度かつステルス化された手法を特徴とするフィッシング攻撃を確認しました。 この手口には、大半のフォルダからPDFファイルやディレクトリを収集するだけでなく、セッションCookie、保存されたクレジットカード情報、暗号資産関連の拡張機能、ウェブ履歴などのブラウザ情報をも収集することができる高度なインフォスティーラー（情報窃取マルウェア）が使用されており、攻撃者は窃取した情報をZip形式の添付ファイルとしてリモートの電子メールアカウントに送信します。 これほど広範な情報を収集し、流出させるように設計されたインフォスティーラーを目の当たりにするのは珍しいことです。通常、インフォスティーラーは保存されたブラウザパスワードや、時には暗号資産ウォレットをターゲットとしていますが、それ以外はほとんど対象としていません。 バラクーダの研究者によると、攻撃は次のように展開されます。 ステップ１：フィッシングメール バラクーダが確認したインシデントでは、受信者に添付された発注書を開くように促すフィッシングメールが送られることから攻撃が始まります。このメールには、基本的な文法の誤りが複数含まれています。 すべてメールは、同じアドレス「yunkun[@]saadelbin.com」から送付されており、会社名と連絡先はすべて架空のものだと見受けられます。 バラクーダが確認した例では、「P.O.7z」という名称の添付ファイルには、ISOイメージファイルが含まれています。ISOファイルは、CDやDVDなどの光ディスクにあるデータの同一のイメージを含むアーカイブファイルです。 ISOディスクイメージファイルの中には、HTA（HTMLアプリケーション）ファイルがあります。HTAは、Microsoft Windowsが、ウェブブラウザではなくデスクトップ上で動作するウェブ技術を使ったアプリケーションを作成するために使用されるファイルの一種です。つまり、HTAファイルはウェブブラウザのセキュリティー機能の制限を受けないため、セキュリティー上のリスクがあります。 HTAファイルを実行すると、一連の悪意のあるペイロードがダウンロードされ実行されます。 ステップ２：悪意のあるペイロード HTAファイルが実行されると、侵害されたアカウントにリモートサーバーから難読化されたJavaScriptファイルがダウンロードされ、ファイルが実行されます。 このJavaScriptファイルは、PowerShellファイルをダウンロードし、アカウントの「Temp」フォルダにドロップして実行します。 PowerShellスクリプトは、リモートサーバーからZipファイルをダウンロードしTempフォルダにドロップします。 このZipファイルは、「PythonTemp」フォルダに解凍されます。 このフォルダから、Pythonスクリプトであるインフォスティーラーマルウェアが実行されます。その後、Pythonファイルは3秒間スリープし、Pythonプロセスがまだ実行中であれば終了させ、PythonTempフォルダ内のすべてのファイルを削除してから、自身を消去します。 Pythonスクリプトは難読化、暗号化されているため、セキュリティアナリストが脅威をリバースエンジニアリングすることは困難です。 第一段階　デコーディング スクリプトは、さまざまな段階の解読と復号を経て、最終的なコードにたどり着きます。 スクリプトは最終的なペイロードを解読 ステップ３：データ流出 フィッシング攻撃の多くはデータ窃取と関連しており、攻撃者は認証情報や金融口座の詳細などを盗み出そうとします。データ流出もデータ窃盗を目的として行われる行為の一種ですが、多くの場合、ランサムウェアやツールやエクスプロイトによって大量の情報を特定のネットワークから積極的に削除することに関連しています。 これらの攻撃では、一般的なインフォスティーラーよりも幅広い情報を収集し、流出させるように設計された高度なインフォスティーラーを利用してデータの漏洩・窃盗が行われています。 Pythonインフォスティーラーマルウェア この攻撃で使われたインフォスティーラーの機能は以下の通りです： ブラウザ情報の収集 このマルウェアは、ブラウザのプロセスを停止させ、マスターキーを収集するように設計されており、Chrome、Edge、Yandex、Braveのマスターキーを収集することができます また、ブラウザディレクトリからセッションCookieを、ウェブブラウザから保存されたパスワードを収集することに加え、保存されたクレジットカード情報、ウェブ履歴、ダウンロード履歴、オートフィル情報を収集することができます また、MetaMask、BNB Chain Wallet、Coinbase Wallet、Ronin Walletなど、暗号資産関連のブラウザの拡張フォルダをコピーすることもできます ファイルの収集 インフォスティーラーは、以下のフォルダにあるPDFファイルを収集しようとします：デスクトップ、ダウンロード、ドキュメント、AppDataフォルダ内のRecentフォルダ、Tempフォルダ内のBrowserフォルダ AppDataフォルダ内のZcash、AppDataフォルダ内のArmory、任意のゲームフォルダを含むディレクトリ全体をコピーし、圧縮することができます 流出 インフォスティーラーは、収集した情報をZipファイルとして圧縮し、このZipファイルを電子メールの添付ファイルとして「maternamedical[.]top」に送ります 収集されたクッキーは、「cooklielogs[@]maternamedical[.]top」に送信されます 収集されたPDFファイルは、「filelogs[@]maternamedical[.]top」に送られます 収集されたテキストファイルは、「minestealer8412[@]maternamedical[.]top」に送信されます ブラウザの拡張機能は、「extensionsmtp[@]maternamedical[.]top」に送信されます 収集される情報の量は膨大で、機密性が高いものです。盗まれた保存パスワードやクッキーは、攻撃者が組織内で横方向に移動するのに役立ち、クレジットカード情報や暗号資産ウォレット情報は金銭を盗むのに使われる可能性があります。 結論 データの流出は、あらゆる規模の組織にとって重大かつ進化し続ける脅威となっています。サイバー犯罪者が機密情報を盗むための高度な方法を開発し続けているため、企業はサイバーセキュリティへの取り組みにおいて警戒を怠らず、積極的に行動することが重要です。堅牢なセキュリティ・プロトコルを導入し、疑わしい活動を継続的に監視し、さらに重要なこととして、潜在的なリスクについて従業員を教育することがデータ流出のリスクを軽減するためには、重要な戦略となります。 AIと機械学習を活用した多層的な検出機能を備えたメールプロテクションソリューションは、この種の攻撃がユーザの受信トレイに到達することを防止します。バラクーダのお客様は、こうした攻撃から保護されています。 バラクーダのアソシエイト脅威アナリストであるアシュト—シュ・デシュナ（Ashitosh Deshnur）も、本ブログ記事の調査に協力しています。 レポート：電子メールの脅威とトレンド 原文はこちらStealthy phishing attack uses advanced infostealer for data exfiltrationAug. 14, 2024 Saravanan Mohankumarhttps://blog.barracuda.com/2024/08/14/phishing-advanced-infostealer-data-exfiltration

海外ブログ 2024.08.26

メールの脅威を理解するメールセキュリティの基礎

2024年8月6日、Sheila Hara 今日のデジタル環境において、メールは企業にとって基本的なコミュニケーションツールです。しかし、そのユビキタス性ゆえに、サイバー脅威の格好の標的となっています。これらの脅威を理解することが、メールのセキュリティを強化する第一歩です。このブログでは、さまざまなメールの脅威の技術的な複雑さと、日々進化するこれらの脅威からビジネスを守る方法をご紹介します。 メールセキュリティとは メールセキュリティは、メールアカウントと通信を不正アクセスや紛失、あるいは侵害から保護するために使用される技術とテクニックを包含します。メールを介して交わされる機密情報の量が多いため、あらゆる組織のサイバーセキュリティ戦略にとって重要な側面です。強固なメールセキュリティ対策がなければ、企業はデータ漏洩、金銭的損失、風評被害につながるさまざまなサイバー脅威にさらされやすくなります。 テクニック別メールによる脅威 フィッシング：手口と仕組み フィッシング攻撃は、多くの場合、正当な通信を装って受信者を欺き、機密情報を漏えいさせる脅威として広まっています。主な手口を見てみましょう。 スピアフィッシング：この標的型攻撃は、特定の個人または組織向けにカスタマイズされ、信頼性と成功の可能性を高めるためにパーソナライズされた情報を活用します。 ホエーリング：スピアフィッシングの一種で、組織内の高名な幹部や意思決定者を狙います。ほえーリングのメールは、そうした幹部の権限や機密データへのアクセスを悪用するために綿密に作成されます。 クローンフィッシング：受信者が以前に受け取った正規のメールとほぼ同じコピーを作成し、正規のリンクや添付ファイルを悪意のあるものに置き換えます。 マルウェア：多様で危険 メール経由で配信されるマルウェアは様々な形態があり、それぞれにユニークな特徴と目的があります。 ウイルス：これらの悪意のあるプログラムは、正規のファイルに取り付き、複製されてシステム全体に広がります。データを破損し、ファイルを損傷し、業務を妨害します。 トロイの木馬：トロイの木馬は、良性のソフトウェアを装ってシステムにバックドアを作成し、攻撃者がデータを盗んだり、追加のマルウェアをインストールしたり、不正アクセスしたりすることを可能にします。 ワーム：ウイルスとは異なり、ワームは自己複製を行い、ユーザーの介入なしに拡散します。ネットワークセキュリティの脆弱性を突いて増殖するため、被害が拡大することも多いです。 ランサムウェア：このタイプのマルウェアは、被害者のデータを暗号化し、復号化キーと引き換えに身代金を要求します。ランサムウェアの攻撃は、重要なデータをアクセス不能にすることで、組織を機能不全に陥れます。 ビジネスメール詐欺（BEC）：テクニックと財務への影響 BECは、電信送金やサプライヤーとの取引を行う企業を標的とした巧妙な詐欺です。攻撃者は多くの場合、幹部や信頼できるパートナーになりすまし、従業員をだまして資金や機密情報を送金させます。手口には以下のようなものがあります。 なりすまし：正規のメールアドレスに似せて作成し、信頼できる送信元からの通信であるかのように受信者を欺きます。 メールアカウントの侵害：役員のメールアカウントにアクセスし、不正な要求の送信に使用します。 支払いのリダイレクト：正規の請求書を傍受し、支払明細を改ざんして攻撃者の口座に資金を振り向けます。 BECの経済的影響は甚大で、数百万ドルの損失が発生することもあります。 なりすまし：技術的メカニズムと防止策 なりすまし攻撃は、送信者の身元を偽造して受信者をだますものです。テクニックには次のようなものがあります メールのなりすまし：メールのヘッダーを操作して、あたかも信頼できる送信元からのメールであるかのように見せかけます。攻撃者はこのテクニックを使ってメールフィルターを回避し、受信者を欺きます。 表示名のなりすまし：送信者のメールアドレスの表示名を変更し、正規の連絡先を装います。これは、メールアドレスではなく名前のみを表示するモバイルメールクライアントで特に効果的です。 予防策としては、SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication, Reporting, and Conformance）などのメール認証プロトコルの導入が挙げられます。これらのプロトコルは、送信者の身元を確認し、なりすましを防ぐのに役立ちます。 主なメールセキュリティ侵害の詳細なケーススタディ 過去の情報漏えいを理解することは、強固なメールセキュリティの重要性を説明するのに役立ちます。以下はその例です。 ソニー・ピクチャーズのハッキング（2014年）：攻撃者がスピアフィッシングメールを使ってソニーのネットワークにアクセスし、未公開映画や従業員の機密情報などの機密データを流出させました。 民主党全国委員会（DNC）のハッキング（2016年）：DNC 関係者を狙ったフィッシングメールにより、メールアカウントが漏洩し、機密の政治情報が流出しました。 ロビンフッドのデータ流出（2021年）：ハッカーが Robinhood の従業員をだましてログイン情報を提供させるフィッシング攻撃を行い、約700万人のユーザーの個人情報を流出させました。 Twilio のデータ漏洩（2022年）：Twilio がフィッシング攻撃を受け、従業員がだまされてログイン情報を提供し、攻撃者が顧客データにアクセスできるようになりました。 リスクの理解と軽減における脅威インテリジェンスの重要性 脅威インテリジェンスは、攻撃者が使用する戦術、技術、手順（TTP）に関する洞察を提供することで、メールセキュリティにおいて重要な役割を果たします。脅威インテリジェンスデータを分析することで、組織は以下のことが可能になります。 新たな脅威の特定：新しい攻撃のベクトルを先取りし、それに応じてセキュリティ対策を適応させます。 インシデントレスポンスの向上：メールベースの攻撃を検知、対応、回復する能力を強化します。 従業員の教育：標的を絞ったトレーニングプログラムを開発し、従業員の意識を高め、メールによる脅威の被害に遭うリスクを軽減します。 まとめると、メールの脅威の技術的な複雑さを理解することは、強固なメールセキュリティ戦略を構築するうえで不可欠です。最新の脅威に関する情報を入手し、高度なセキュリティ対策を実施することで、企業は重要なコミュニケーションを保護し、業務の完全性を維持することができます。 これは、優れたメールセキュリティに関するシリーズの第1回目です。全シリーズはこちらからご覧いただけます。 原文はこちら：Understanding email threats: The foundation of email securityAug. 6, 2024 Sheila Harahttps://blog.barracuda.com/2024/08/06/understanding-email-threats–the-foundation-of-email-security-

海外ブログ 2024.08.20

バラクーダの注目する脅威：企業規模が企業を標的とするメールの脅威に与える影響

2024年7月30日、Olesia Klevchuk フィッシング詐欺に要する時間は、１分足らずです。2024 Data Breach Investigations Report によると、受信者がメールを開いてから悪意のあるリンクをクリックするまでにかかる時間の中央値は21秒、要求されたデータを入力するまでにかかる時間は28秒です。 メールベースの攻撃は、単に短時間で済むだけでなく、広範囲で成功を収めています。これは、比較的低コストで実装が容易であり、新しいツールや機能が利用可能になるにつれて、規模を拡大したり、適応させたりすることができるからです。 当社の最新レポート「主要なメールベースの脅威とその傾向」によると、ビジネスメール侵害（BEC）や会話ハイジャックなどの標的型メールの脅威が前年比で着実に増加しています。このブログでは、標的型メール攻撃の脅威の種類と発生率が企業規模によってどのように異なるかを探ります。 2023年６月初旬から2024年５月末までのバラクーダのメール脅威検出データでは、受信するメール攻撃のタイプに関して、企業の規模によってリスクプロファイルが異なることが示されています。 そこで、フィッシング、ビジネスメール侵害、会話ハイジャックを含む標的型メール攻撃に焦点を当てて分析しました。 企業規模別の標的型フィッシング攻撃件数 フィッシングに関しては、2,000以上のメールボックスを持つ最大規模の組織では、12カ月間で平均約7,500件のフィッシングの脅威を受けていました。しかし、個々のメールボックスは同期間に平均１回しか攻撃されていません。 一方、小規模企業では１メールボックスあたりの平均攻撃数６件に上り、全体では平均約180件の攻撃しかないにもかかわらず、リスクは著しく高いことになります。 この格差は、企業規模の違いによる組織構造やリソースの違いに関連している可能性があります。たとえば、中小企業は組織構造がフラットで、氏名や連絡先の詳細にアクセスしやすい傾向があります。これは、攻撃者が幅広い従業員を標的にできることを意味しているといえそうです。 規模が小さいと、データやシステムへの特権的アクセス権を持つ従業員も多くなりがちです。従業員間の隔たりが少ないため、攻撃者は横方向に素早く移動できます。その結果、インバウンドの攻撃メールはビジネス全体に均等に分散され、CEOだけでなくインターンも標的になる可能性があります。 大規模な組織では、重要度の高い特権アカウントは通常、少数の従業員や会社のリーダーに集中しています。このようなユーザーが攻撃の大部分を受ける一方で、他の多くのメールボックスにはインバウンドの脅威がまったく届かず、平均値が下がることがよくあります。 企業規模別標的型攻撃メールプロファイル データによると、BECや会話乗っ取りの発生率は企業規模に関係なく比較的一定しています。 一方、その他の標的型メールによる脅威のプロファイルは、より多様です。たとえば、フィッシングや恐喝の被害を受けやすいのは中小企業です。 12カ月間にメールボックスが100個以下の企業が直面した標的型メール攻撃の71％がフィッシングによるものであったのに対し、大企業では41％でした。また、小規模企業は、大規模企業の約３倍の恐喝攻撃を受けています。恐喝攻撃は、2,000メールボックス以上の企業では２%であったのに対し、小規模企業では標的型インシデントの７%を占めています。 これは、従業員数の少ない小規模な組織では、フィッシングなどのメールの脅威を可能な限り早い段階で検知し、ブロックするために、複数のセキュリティレイヤーを用意していないことが一因と考えられます。また、社内のリソースや専門知識が不足しているため、最適なセキュリティを提供するようなメールフィルタリングの設定になっていないケースも少なくないため、より多くの攻撃を許してしまう可能性があります。 大企業を狙ったラテラルフィッシング ラテラルフィッシングは、スパムやより巧妙な脅威を含む可能性があり、すでに侵害された内部アカウントから組織全体のアカウントに送信される攻撃です。 大企業で検出された標的型メール攻撃の半数弱（42%）がラテラルフィッシングに関与していたのに対し、中小企業ではわずか２%に過ぎません。この内部攻撃ベクトルは、大企業にとって大きなリスクなのです。 大企業のアカウント侵害が多いことから、多くの企業の認証情報がすでにダークウェブで購入可能である可能性が高く、そのためラテラルフィッシング攻撃はごく簡単にできるのかもしれません。大企業はサイバー犯罪者にとって魅力的な標的です。というのも、たいてい貴重な機密データや財務データを大量に保有しているからです。 大企業は、サイバー犯罪者に悪用する機会を数多く提供しています。より多くのメールボックスと従業員が存在するため、攻撃者にとって潜在的な侵入口が格段に多くなります。さらに大規模な組織では、配信リストなど複数のコミュニケーション・チャネルが存在することも多く、大量の社内トラフィックの中に紛れて悪意のあるメッセージを迅速に拡散させられます。 従業員は毎日大量のメールを受信するため、受信トレイを急いで確認することが多く、それゆえサイバー攻撃を受けやすくなります。また従業員は、たとえ見慣れない送信者であっても、組織内から送られてきたと思われるメールメッセージを信用する傾向があります。サイバー犯罪者はこのような行動傾向を利用して、より効果的にラテラルフィッシング用のメッセージを拡散することができるのです。 バラクーダのリサーチャーは、ラテラルフィッシング攻撃のほとんどが標的型ではないことを発見しました。攻撃者は「スプレーアンドプレー」アプローチを使用しており、大半のメッセージはスパムに似ています。各ラテラルフィッシング攻撃の「キャンペーン」には、多くの場合、数千のメッセージが含まれます。つまり、数件のインシデントが発生するだけで、結果に大きな影響を与える可能性があるということです。 安全を確保するために 従業員数名の中小企業から数百のメールボックスを抱える大企業まで、メールベースの攻撃から組織を守るには教育が重要です。不審なメールを簡単に発見できるように、セキュリティ意識向上トレーニングを利用して、最新の脅威について全員に周知させましょう。また、従業員は自分のアカウントに異常な動きがないか注意し、何かあればすぐに報告する必要があります。 また、同僚からのメールだからといって信用しないよう従業員に教えることも重要です。このメッセージを強化するために、フィッシング・シミュレーション・キャンペーンの一環としてラテラルフィッシング攻撃を取り入れるとよいでしょう。 アカウント乗っ取り攻撃の検知と是正を支援するAI搭載のソリューションは、今日の高度なメールの脅威から効果的に保護するために必要なもう一つの重要な防御手段です。このツールは、アカウント乗っ取り攻撃、侵害されたアカウント、偵察活動を特定するのに役立ちます。不審なログイン、ルールの変更、異常または悪意のあるメッセージの送信を必ず監視してください。 社内メールの監視も重要です。ほとんどのメールゲートウェイは内部メールを監視していません。お使いのメールセキュリティソリューションが、悪意のある内部メールを監視できることを確認しましょう。 レポート：主要なメールベースの脅威とその傾向 原文はこちらThreat Spotlight: How company size affects the email threats targeting your businessJul. 30, 2024 Olesia Klevchukhttps://blog.barracuda.com/2024/07/30/threat-spotlight-company-size-email-threats

海外ブログ 2024.08.12

ティーからトロフィーへ：2024年バラクーダ選手権優勝者の紹介

2024年7月24日、Rosey Saini 今年のバラクーダ・チャンピオンシップに出場した156人の選手の中で、20歳のニック・ダンラップが最終的に優勝し、賞金72万ドルを獲得しました。2位はビンス・ホエイリーで、43万6000ドルを手にしました。ニックは、2023年のバラクーダ・チャンピオンシップ優勝者であるアクシャイ・バティア（当時21歳）に与えられていた、トーナメント史上最年少優勝者の称号を手にしたことになります。 「すごくうれしいです。自分の名前が歴史に刻まれるとは思ってもみなかったけれど、間違いなく名誉なことです」とダンラップは試合後のインタビューで語りました。「PGAツアーのザ・アメリカンエクスプレスで優勝した後はちょっと大変でした。少し自信を失い、また同じことができるのだろうかと不安になったのです。僕は本当に最高のチームに恵まれていて、チームに支えられています。僕を信じ、背中を押してくれるのです」 王者のプロキャリア 2021年、ダンラップは全米ジュニアアマチュア選手権で優勝し、その2年後には全米アマチュア選手権でも優勝を果たします。バラクーダ選手権以前の彼の最も注目すべき勝利のひとつは、今年初めにカリフォルニア州ラキンタで開催された2024 ザ・アメリカンエキスプレスでの勝利でしょう。この大会で彼は、第二次世界大戦以降、PGAツアーで優勝した2番目に若い選手となります。当時アマチュアであったため、151万ドルの賞金を手にすることはできず、賞金は2位のクリスティアン・ベズイデンハウトの手にわたりました。ダンラップはアラバマ大学を去り、翌週プロに転向しました。 ダンラップの逆転勝利 この週末、ダンラップはアマチュアとプロの両方で同じ年の同じシーズンに優勝した最初のゴルフ選手となり、PGAツアーの歴史に名を刻みました。逆転優勝を果たしたダンラップは、最終ラウンドで２７位から驚異的な追い上げを見せました。15番ホールで55フィートのイーグルパットを決めたことで、この大会の最終ラウンドを優位に進めることができました。 ダンラップの総合スコアは49で、大会終了時点でビンス・ホエイリーに２打差をつけていました。この勝利でダンラップはフェデックスカップ・ランキング70位以内に入り、来年メンフィスで開催されるフェデックス・セントジュード選手権の出場権を獲得しました。 ダンラップは、この大会のモディファイド・ステーブルフォードのスコアリング方法（バーディーとイーグルにポイントが与えられ、ボギー以上はペナルティーとなる）のもと、チャンピオンの座を勝ち取りました。 トロフィー授与式までの間、カメラはダンラップが母親と電話で話しているところを捉えていました。 ダンラップは7月最終週にもミネソタ州ブレインで開催された3Mオープンに出場しました。 ニックのバラクーダ選手権でのハイライトは、PGAツアーの総集編でご覧いただけます。 原文はこちら：From tee to trophy: Meet the 2024 Barracuda Championship winnerJul. 24, 2024 Rosey Sainihttps://blog.barracuda.com/2024/07/24/from-tee-to-trophy-meet-the-2024-barracuda-championship-winner

海外ブログ 2024.08.05

最新レポート：メール攻撃の10件に１件がビジネスメール侵害

2024年6月18日、Tilly Travers 攻撃者が成功の可能性を高めるために戦術を適応・進化させ続けているため、メールベースのソーシャルエンジニアリングによる脅威が急増しています。 バラクーダのリサーチャーによる最新のメール検出データの分析では、大量のフィッシングや一般的な詐欺攻撃が依然として主流である一方で、ビジネスメールの侵害や会話のハイジャックなど、よりターゲットが絞られ、潜在的な被害の大きい脅威が着実に増加していることが明らかになっています。 リサーチャーらは、１年間に450万件のメールボックスで6900万件のメール攻撃を分析しました。この調査結果をまとめたのが、最新の主要なメールベースの脅威とその傾向で、攻撃者が生成 AI の能力を活用して攻撃の規模を拡大しカスタマイズしていること、QRコード、Web 短縮リンク、Web メールを実装してその本質と意図を偽装していることがわかります。 このレポートでは、以下のことが明らかになっています。 BEC（ビジネスメール侵害）攻撃は、2023年にはソーシャルエンジニアリング攻撃の10.6％（10件に1件以上）を占め、この数字は時間の経過とともに着実に増加しています。BEC攻撃は、2022年には８％、2021年には９％を占めていました。 会話の乗っ取りは、過去１年間のソーシャルエンジニアリング攻撃の0.5％を占め、2022年の0.3％と比較して70％近く増加しています。会話ハイジャック攻撃は実行に多くの労力を要しますが、うまくいけば攻撃者の得られるものはとても大きくなります。 昨年のソーシャルエンジニアリング攻撃の3分の1（35.5%）がフィッシングによるものでした。このような一般的に標的を絞らない大量攻撃は、被害者をだましてフィッシングリンクをクリックさせようとします。フィッシングメールは何年も前から攻撃者に利用されており、その成功率は依然として高いままです。2024 Data Breach Investigation Reportによると、ひとりの人がフィッシング詐欺に引っかかるまでに要する時間は平均 60 秒未満でした。 2023年の最終四半期には、およそ20通に1通のメールボックスが QR コード攻撃の標的にされました。QR コード攻撃は、従来のメールフィルタリング手法では検知が困難です。また、被害者を企業のマシンから引き離し、企業のセキュリティソフトウェアで保護されていない携帯電話や iPad などの個人用デバイスを使用させます。 Gmail は、ソーシャルエンジニアリングに使用される最も人気のある無料の Web メールサービスでした。バラクーダのデータによると、2023年にソーシャルエンジニアリング攻撃に使用されたドメインの22%は Gmail でした。検出された Gmail 攻撃の半数強が BEC 攻撃に使用されていました。 bit.lyは、短縮 URL を含むソーシャルエンジニアリング攻撃の40％近くで使用されていました。URL 短縮ツールはリンクを凝縮するため、サイトの実際のリンクはランダムな文字や数字で隠されてしまいます。この手口を使うと、リンクの本当の性質やリンク先を偽装できます。 誰でもソーシャルエンジニアリングのターゲットになります。昨年のデータ侵害の３分の２強（68％）は、「悪意のない」人間的な要素、言い換えれば、自分の仕事をこなそうとしていた普通の従業員が不意打ちを食らったものでした。 BEC や会話の乗っ取りから、恐喝、フィッシング、詐欺、スパムに至るまで、ソーシャルエンジニアリング攻撃を真剣に受け止め、ゲートでブロックするか、侵入された場合は迅速に封じ込め、無力化し、排除する必要があります。 そのためには、適切なセキュリティツール、ポリシー、プログラムを導入することだけが重要なのではありません。IT とセキュリティの専門家は、メールの脅威のエコシステムがどのように進化しているのか、そしてそれがリスク、回復力、インシデント対応という観点から、組織とその従業員にとって何を意味するのかを理解する必要があるのです。 レポートを入手する 原文はこちらNew report: Business email compromise accounts for 1 in 10 email attacksJun. 18, 2024 Tilly Travershttps://blog.barracuda.com/2024/06/18/new-report-business-email-compromise-email-attacks

海外ブログ 2024.08.02

英国の NHS の IT サービスプロバイダーがクラウドデータ保護にバラクーダを採用

2024年7月19日、Tony Burgess THIS（The Health Informatics Service）ほど、先進的でスケーラブルなクラウドベースのバックアップソリューションを切実に必要としている顧客はいないでしょう。 THIS は、英国の国民保健サービス（NHS）やその他の医療機関にデジタルおよび IT サービスを提供しています。これらの顧客組織のうち４社（合計1万800ユーザー）は、メールとデータを Microsoft 365 に移行しましたが、ネイティブの保持ポリシーと機能は、医療通信とデータの保持とセキュリティに関する非常に厳しい規制に対応するには不十分でした。 THIS のテクノロジー・オフィサーであるポール・ハリデーは、これらの顧客に提供する適切なバックアップソリューションを見つける責任者でした。 私たちが求めていたのは、すぐに使えるバックアップシステムでした。すべてのデータをバックアップし、役割ベースのアクセス制御を行い、ファイルリカバリーのような日常的な部分はサービスデスクに任せて、エンドカスタマーにできるだけ近づけたかったのです。— THIS のテクノロジー・オフィサー、ポール・ハリデー 全容を知る ケーススタディの全文をダウンロードして、ポールと彼の同僚が Barracuda Cloud-to-Cloud Backup を選択してニーズに対応した理由と、それが予想以上に有益であった理由をご確認ください。簡単なプレビューは以下の通りです。 コスト削減：Microsoft 365を導入する前は、この４社だけで THIS は45TBのバックアップ機能を維持・管理する必要がありました。主任インフラストラクチャエンジニアのポール・シムズは次のように述べています。「Barracuda Cloud-to-Cloud Backup を使用すると、永久バックアップ シナリオが実現し、非常に得に感じました。自社のストレージを管理し、ローカルストレージを持つコストを削減できました。また、内部インフラストラクチャからクラウドに障害ポイントをオフロードしました」 使いやすさ：再びシムズのコメントです。「バックアップ担当者として、日常的なメールボックスの復元作業に深く関わりたくありませんでした。それだけで私の日々の仕事が終わってしまう可能性があったからです。…私自身がバックアップ用製品に精通したうえでサービスデスクをトレーニングし、製品を引き継げるとよいと考えました。実際、サービスデスクにBarracuda Cloud-to-Cloud Backup を引き継いで以来、問題が発生したという問い合わせは１件もありません」 安心：こちらもシムズのコメントです。「Barracuda Cloud-to-Cloud Backup は本当にサービスとしてのバックアップです。私たちはほとんど何もする必要がありません。ボタンをクリックするだけで、サービスを利用できます。これは非常にありがたいことです」 顧客満足度：そしてシムズは最後にこう言いました。「おかげで、最初のコンタクトポイントでユーザーのデータを復元する能力を第一線に伝えるられるようになりました。コールキューに入れられ、私のような者が時間のあるときに電話に出るのでは、解決までに２〜３日かかってしまいます」 Microsoft 365 のデータ保護が THIS や NHS と同様に重要である場合、または単に非常に重要である場合は、Barracuda Cloud-to-Cloud Backup がまさに必要である理由の詳細をケーススタディを通して確認してください。 ケーススタディを入手する 原文はこちらIT services provider for UK’s NHS chooses Barracuda for cloud data protectionJul. 19, 2024 Tony Burgesshttps://blog.barracuda.com/2024/07/19/it-services-provider-uk-nhs-barracuda-cloud-data-protection

海外ブログ 2024.07.29

セキュリティ向上に AI を活用する５つの方法：アプリケーションセキュリティ

2024年7月12日、Christine Barry サイバーセキュリティと AI（人工知能）に関するシリーズも５回目を迎えました。今回は、アプリケーションセキュリティと、AI がこれらの攻撃に対する防御をどのように向上させるかについてです。 アプリケーションセキュリティとは？ アプリケーションセキュリティは、アプリケーションのライフサイクル全体を通じてアプリケーションを保護します。ここには設計から開発、デプロイ、継続的なメンテナンスまですべてが含まれます。アプリケーションセキュリティはサイバーセキュリティにとって非常に重要です。以下はその例です。 Web アプリケーション：ソーシャルメディアプラットフォーム、eコマースサイト、オンラインバンキングポータル モバイルアプリケーション：メッセージング、ナビゲーション、マッピング、フィットネス・トラッキング、モバイル・バンキング・アプリケーション エンタープライズアプリケーション：顧客関係管理システムや企業資源計画ソフトウェア クラウドベースのアプリケーション：ファイルストレージと共有、顧客サービスプラットフォーム、Microsoft 365 のようなコラボレーションアプリケーション 現在使用されているアプリケーションの数を特定するのは簡単ではありません。上記で言及したアプリケーションの総数に、IoT やその他のカスタムアプリケーション、社内アプリケーションを加えると、ざっと見積もって1000万近い単独のアプリケーションが存在することになります。これは、利用可能なアプリケーションの数に過ぎません。これらのアプリケーションはそれぞれ、2023年時点で１つにつき７億近くダウンロードされています。これはすなわち、巨大な攻撃対象だということです。 アプリケーションセキュリティは「万能」ではありませんが、組織は常に以下の基本的な構成要素を適用すべきです。 認証：アプリケーションにアクセスするユーザーの身元を確認すること。 認可：認証されたユーザーがどのようなアクションを実行できるかを制御すること。 暗号化：送信中および保存中に機密データを保護すること。 入力データの検証：アプリケーションに入力されたデータの安全性と妥当性を確保すること。 エラー処理：エラーメッセージによる情報漏えいを防止すること。 ロギングとモニタリング：アプリケーションアクティビティを追跡し、不審な動作を検出すること。この重要性については、Twilio の侵害に関する Tushar Richabadas のブログを参照してください。 こうした基本にとどまらず、業界の専門家や非営利団体は、標準化されたセキュリティアプローチを前進させ続けています。たとえば OWASP は、教育と標準化、そしてコミュニティの連携に大きく貢献しています。 OWASP は、オープン Web アプリケーションセキュリティ・プロジェクト（Open Web Application Security Project）の略称で、安全なソフトウェアとアプリケーションセキュリティに対する認識を高める上で重要な役割を果たしてきた非営利財団です。その多くのプロジェクトを通じて、OWASP はいくつかの文書とガイドを公表しています。広く認知されている Top 10 と API Security Top 10 は、アプリケーションをセキュアにし、アプリケーションセキュリティの領域についてより深く学ぶのに役立ちます。また、OWASP モバイルアプリケーションセキュリティのサイトには、セキュリティテストガイドおよびその他のリソースがあります。 アプリケーションの攻撃対象 アプリケーションの攻撃対象領域とは、攻撃者がシステムへのアクセスや、ある環境との間でデータの送受信を試みることができる様々なポイントの総体を指します。ある地区にある家に、それぞれ複数のドアと窓がついていると想像してください。そのすべての扉と窓が攻撃対象となるのです。シンプルな比喩ですが、この概念をわかっていただきやすいのではないでしょうか。 ソフトウェア開発ライフサイクル（SDLC）とは、開発者が高品質のソフトウェアを設計、開発、テストするために使用するプロセスです。SDLC は、顧客の期待に応える、あるいはそれを上回る高品質のソフトウェアシステムを作成し、時間とコストの見積もりの範囲内で完成させ、現在および計画中の情報技術インフラストラクチャで効率的かつ効果的に動作させることを目的としています。完全に AI で強化されたソフトウェアライフサイクルには、以下の段階が含まれます。 SDLC のステージ 詳細 AI の役割 プランニング プロジェクトの範囲と目的を定義し、プロジェクト計画を作成する 過去のプロジェクトを分析し、現実的なスケジュールとリソースの見積もりを提供する 文書やコミュニケーションからプロジェクト要件を抽出し、包括的なプロジェクト計画の策定を支援する 要件分析 機能要件と非機能要件を収集し、文書化する 文書、電子メール、会議メモからの要件抽出を自動化する 要件の潜在的な矛盾や曖昧さを予測する デザイン ソフトウェアがどのように構築されるかを概説するアーキテクチャーおよび詳細設計文書を作成する 要件に基づき、最も効率的なアルゴリズムとアーキテクチャを提案する さまざまな設計シナリオをシミュレートし、潜在的な問題やパフォーマンスのボトルネックを予測する 実装（コーディング） 設計書に基づいて実際のコードを書く 開発中のバグを検出し、改善を提案することでコーディングを強化する...

海外ブログ 2024.07.22