1. HOME
  2. Blog
  3. Blog

Info.

お知らせ

Blog

キヤノンシステムアンドサポート株式会社、 Barracuda Backupの出荷台数が10,000台を突破 のページ写真 1

キヤノンシステムアンドサポート株式会社、 Barracuda Backupの出荷台数が10,000台を突破

バラクーダネットワークスジャパンのセールスパートナーである、キヤノンシステムアンドサポート株式会社が、バラクーダのバックアップ製品「Barracuda Backup」の出荷台数10,000台を突破しました。Barracuda Backupは、ソフトウェアとハードウェアが一体化した市場をリードするバックアップアプライアンスです。 突発的な災害や、日々ニュースが絶えないランサムウェアへの脅威に対し、組織における対策が一層求められています。そのような中で、バックアップへの重要性が高まっており、一般企業のほか、行政書士、公認会計士といった士業、病院などで、Barracuda Backupの導入が増加しています。 本件について、キヤノンシステムアンドサポート株式会社 ITソリューション推進本部 インフラソリューション推進部 部長の石井雄太氏は、「実際に災害やウイルス感染の被害を受けた私たちのお客様の中には、“Barracuda Backupを導入していたおかげで早急に復旧できた”という事例がいくつもあり、感謝のお言葉をいただいております。今後もバラクーダネットワークスジャパン株式会社様と連携し、お客様の大切なデータを保護するとともに、導入から運用まで充実したサポート体制による安心・安全な事業環境を提供してまいります」と語っています。 <Barracuda Backupの主な特長> 設定が簡単 一般的なバックアップシステムは、ハードウェアとソフトウェアが別々のソリューションが多い中、Barracuda Backupは、構築時に箱を開けてアプライアンスを設置し、基本設定とバックアップジョブの設定を行うだけで稼働します。またトラブル時は、弊社リモートサポートをご利用いただけるので、ログファイル収集、送信、ハードウェア、ソフトウェアの切り分けが不要なため解決までの時間を大幅に削減します。 ライセンスフリー Barracuda Backupは、バックアップ製品についてまわる複雑なオプションや追加ライセンスを一切なくし、ライセンスフリーを実現しました。システム・アプリケーション・仮想環境、すべてのバックアップが追加料金不要でご利用頂けます。 操作も簡単 Barracuda Backupは、クラウドベースのWeb GUIにより、どこからでも状態確認・操作が可能です。またBox To Boxなどにより機器を複数管理している場合も、単一ユーザインターフェースで、すべてのバックアップサーバを管理することができます。 リンク キヤノンシステムアンドサポート株式会社: https://corporate.canon.jp/profile/group/system-and-supportBarracuda Backup: https://www.barracuda.co.jp/products/backup/

Blog

バラクーダの経営陣による、2025年の7つのセキュリティ予測 のページ写真 2

バラクーダの経営陣による、2025年の7つのセキュリティ予測

2025年1月13日、Anne Campbellのブログを基に一部編集 この1年で脅威の状況は急速に進化し、あらゆる規模の組織がデータ、ネットワーク、アプリケーションの保護に躍起になっています。2025年に入ってもその傾向に減速の兆しは見られません。 2025年に備えるため、私たちは最近、バラクーダの3人の経営幹部と対談し、来年に起こる変化、発展、トレンドについて、それぞれの視点と予測を語ってもらいました。また、企業が保護を維持するために注意すべき点についても説明しています。 バラクーダCIO Siroui Mushegian 2025年はAIセキュリティの転換点となる 企業は今、AIイノベーションの重要な局面に立たされています。これはスリリングな機会であると同時に、大きなリスクも伴います。AIはサイバーセキュリティにおける盾であり、剣でもあります。サイバーセキュリティを強化するこれまでにない可能性をもたらす一方で、攻撃者に悪用される新たなツールも提供します。企業がAIの利用を進めるにあたっては、慎重に進める必要があります。AIを誇大広告のために採用するのではなく、真に価値をもたらす場所に戦略的に展開することが成功の鍵となります。 企業は、新たな脅威に対するサイバーセキュリティレジリエンス(回復力)構築に真剣に取り組むことになる ランサムウェアやサプライチェーン攻撃が急増する中、コンプライアンス業界はサイバーセキュリティ基準のハードルを上げ、企業に適応と防御の強化を迫っています。世界的に重複する部分はあるかもしれませんが、地域的なニュアンスの違いにより、コンプライアンスには個別のアプローチが必要です。サイバーセキュリティレジリエンス(回復力)は極めて重要です。変化する規制に先手を打つだけでなく、不可避な事態が発生した場合に組織が迅速に対応し、回復できることを保証するためにも不可欠です。来年には、あらゆる業界の企業が統一されたアプローチを採用し、サイバーセキュリティを組織全体の責任とし、進化し続ける脅威に対するサイバーレジリエンスを全体的に向上させるでしょう。 最高情報セキュリティ責任者(CISO) Riaz Lakhani 2025年にはシャドーITのリスクが拡大する 企業が積極的に取り組まない限り、シャドーITに関連するリスクは大幅に拡大するでしょう。セキュリティレビューなしで簡単に導入できる、より革新的なツールが数多く登場しているため、従業員や契約社員、その他の人々によって多くのSaaS型サービスが導入されるようになり、データ漏洩や一般的なセキュリティ脅威のリスクが高まっています。さらに、承認されていないAI SaaSツールの使用が増加し、悪意のあるLLMや改ざんされた正規LLMをダウンロードするリスクも高まります。 脅威の主体はランサムウェアにさらに力を入れる ランサムウェアは引き続き大きな問題であり、大企業だけでなく、中小規模の医療機関や個人にも影響を与えています。昨年、私はUHC/Change Healthcareの問題を取り上げましたが、これは、個人開業医として診療所を所有し、収益サイクル管理にChange Healthcareを使用している私の妻に個人的な影響を与えた問題でした。また、GMのような事件も発生しました。脅威の主体はランサムウェア攻撃に高い投資対効果(ROI)を見出しており、さらに攻撃を強化するでしょう。バラクーダは、脅威の主体が個人の自宅の写真を公開し、身代金を支払わなければ物理的な脅威を与えるとほのめかすキャンペーンに関する脅威のスポットライトを公開しました。 ソーシャルエンジニアリング攻撃は極めて説得力を持つようになる これまでにないほど説得力のあるソーシャルエンジニアリング攻撃が増加するでしょう。脅威の主体は、コンテンツ作成の規模拡大、より説得力のあるコンテンツの作成、高度なフィッシング攻撃やソーシャルエンジニアリング攻撃のためのディープフェイク/音声複製の採用にAIを使用するでしょう。フィッシングはすでに脅威の主体にとって十分な投資対効果(ROI)をもたらしていますが、今後は、ターゲットをウォームアップするための高品質なフィッシングと、その後の段階的なソーシャルエンジニアリング戦術が組み合わさるようになるでしょう。 グローバルセキュリティオペレーション担当 シニアバイスプレジデント(SVP) Adam Khan AIがXDRの革新と進化を推進する 2025年には、XDRは単なる事後対応型の監視を超えて、予測的かつ自動化されたセキュリティ運用の中核となるでしょう。XDRプラットフォームがSOARやAI駆動型の脅威インテリジェンスなどのより幅広いエコシステムと統合され、クラウド、エンドポイント、ネットワークなど、さまざまな環境で動的なリスク評価と優先順位付けされた対応が可能になることが期待されます。AIが中心的な役割を果たし、XDRが膨大な量のデータをリアルタイムで分析し、微妙な攻撃パターンを検知し、潜在的な脅威が現実のものとなる前に予測できるようになるでしょう。このAI主導の進化により、XDRは対応型のツールから、刻々と変化する脅威の状況に適応できる先を見越したセキュリティ戦略へと変貌を遂げるでしょう。 中小企業は、攻撃者にとって格好の標的と見られがちですが、XDRを導入する企業はますます増えるでしょう。XDRは、防御を統合し、手の届く規模でエンタープライズクラスのセキュリティを反映する費用対効果の高いソリューションだからです。AIの自動化機能により、リソースに制約のある組織でも高度なセキュリティを実現できるようになり、大規模なSOCチームへの依存度を大幅に低減できます。XDRを単にビジネスにおける110番、119番としてではなく、AIによって駆動されるフルサービスの司令センターとして考えてみてください。脅威を事前に鎮静化し、継続的に学習してレジリエンス(回復力)を強化します。 データ保護戦略は、新たな方法でデータを保護する方向にシフトする 2025年までに、データ保護戦略は、静止中または転送中のデータの保護から、使用中のデータの保護へとシフトするでしょう。 準同型暗号化や機密コンピューティングなどのプライバシー保護技術は、コンプライアンス要件や機密データを損なうことなくリアルタイムでコラボレーションを行う必要性によって推進され、広く採用されるでしょう。 医療や教育などの分野では、個人や組織の貴重なデータを保護するために、AIベースの異常検知を採用し、これらの業界に対する攻撃者の注目が高まっている問題に対処するでしょう。インシデント対応は、年1回の机上訓練から、攻撃シミュレーションプラットフォームによる継続的なテストに移行し、組織はリアルタイムで対応能力を測定できるようになります。 サイバーセキュリティ予測ウェビナーアーカイブ(英語)のご紹介 1月22日、バラクーダは、サイバーセキュリティのトップトレンドと2025年以降の予測を行うウェビナーを開催しました。アダムとリアズが、進化する脅威の状況に関する予測や、来年に向けての準備に役立つベストプラクティスなど、洞察に富んだディスカッションが行われました。 当ウェビナーは英語のウェビナーとはなりますが、ご興味のある方はアーカイブをご覧いただき、ビジネスと顧客を今年守るために必要な知識について、バラクーダの2人の幹部より専門的なインサイトを得てください。 サイバーセキュリティ予測ウェビナー(英語)のアーカイブを視聴

海外ブログ

数字で振り返る2024年 のページ写真 3

数字で振り返る2024年

2025年1月9日、Christine Barry 脅威の状況は常に変化しており、新たな脅威が出現する一方で、消滅したり、関連性を失ったりする脅威もあります。 2024年2月にChange Healthcareから2200万ドルを身代金として要求した個人ハッカーにインフラ、ツール、管理サービスを提供したランサムウェア・アズ・ア・サービス(RaaS)グループであるALPHVを考えてみましょう。 ALPHVは、攻撃を実行した脅威行為者と身代金を分け合うことを望んでいなかったようです。このグループは暗号通貨口座を空にし、解散し、2024年に登場した33の新しい、または”ブランド変更”されたランサムウェアグループの1つへと姿を消しました。 これらの33のグループと40以上の既存のアクティブなグループは、ランサムウェアの脅威アクターの30%増を占めているようです。 一部のグループはそのまま残りましたが、ランサムウェアへの注意を外し、目をそらしました。 状況の変化は結果の変化にもつながります。2024年のデータ侵害の平均コストは488万ドルに跳ね上がり、2023年の445万ドルから増加しました。これらのコストは2018年以降増加しており、目新しいものではありません。興味深いのは詳細です。医療業界におけるデータ侵害関連コストは109.3億ドルから97.7億ドルに減少しました。また、データ侵害の特定と封じ込めにかかる平均時間は277日から258日に減少しました。フィッシングと盗難または侵害された認証情報は、依然として上位2つの攻撃ベクトルでした。 ランサムウェアによる被害額も増加傾向が続きましたが、身代金を支払った企業の数は減少しました。2024年の平均的な身代金支払額は273万ドルに増加し、2023年の182万ドルから増加しました。最も高額な身代金支払額として知られているのは、約7,500万ドルでした。この支払額は被害者によって公表されておらず、研究者によって発見・確認されたためわかったことです。このように当該企業が公表しないということが、グローバルなサイバー犯罪によるコストやその他の被害の全体像を把握することが難しい理由の1つです。脅威の全体像とその影響について完全な把握はできていませんが、他にも興味深いデータがあります。 9.22ドル~9.5兆ドル 先ほど世界的なサイバー犯罪の総コストについて触れたばかりなので、そこから始めましょう。これについては正確な数字は一つではありませんが、データに基づく被害額の推定値はいくつかあります。 世界的なサイバー犯罪のコストとして最も頻繁に引用されるのは、9兆5000億ドルという数字です。これは、サイバーセキュリティベンチャーズ社(Cybersecurity Ventures)による推定値で、同社はコストを「データの損傷と破壊、盗まれた金銭、生産性の低下、知的財産の盗難、個人情報および財務データの盗難、横領、詐欺、攻撃後の通常の業務への支障、法医学的調査、ハッキングされたデータおよびシステムの復旧と削除、評判の低下」と定義しています。同じ定義を使用して、StatistaのMarket Insightsは2024年の被害額を9兆2200億ドルと推定しています。これはCybersecurity Venturesの推定額より若干低いですが、両者とも2025年には被害額がさらに1兆ドル増加すると予測しています。 世界的なサイバー犯罪の総被害額について明確な全体像を把握できない理由のひとつは、風評被害のようなものを考慮しなければならないことです。ブランドイメージの回復や消費者および株主の信頼の回復は、困難で費用のかかる作業です。セキュリティインシデントの直後に失った顧客数や売上減、ダウンタイム関連のコストを測定することはできますが、「評判やブランドの修復」に対する”請求書”は届きません。被害の全容とコストを把握するには、長期的な視点が必要です。 サイバー犯罪のコストを算出するには、正確な報告も必要となりますが、ほとんどの攻撃は一般公開も法執行機関への報告も行われません。評判を守るという理由以外にも、被害者の中には自力で解決できる事件を報告する意味を見出せない、あるいは誰に連絡すればよいのかわからないという理由で報告を行わないケースもあります。 米国にはサイバー犯罪に関する情報を収集する連邦機関が少なくとも12機関ありますが、それらの機関は犯罪を追跡し、分類する方法が統一されていません。この断片化により、サイバー攻撃の特定や追跡が困難になっています。 標準的な分類法と一元化されたサイバー犯罪データベースの作成に向けた取り組みが進行中です。また、「Secure Our World」プログラムも、サイバー犯罪の撲滅と報告に関する意識向上を目指す取り組みの一例です。 4億 約4億台のデスクトップパソコンが、残り10ヶ月の寿命を残して2024年に終了しました。これらのシステムは、2025年10月にマイクロソフトがWindows 10の公式サポートを終了すると、セキュリティ更新プログラムや技術サポートへのアクセスを失うことになる。企業は、この日付以降の更新プログラムのサブスクリプションを購入できるが、デバイスあたりの価格は毎年2倍になる。 Microsoft WindowsはデスクトップOSの世界を独占しており、複数のバージョンを合わせると市場シェアは約99.93%に達しています。 2024年12月現在の内訳は以下の通りです。 Windowsバージョン 市場シェア(%) Windows 10 62.73 Windows 11 34.1 Windows 7 2.4 その他のWindowsバージョン 0.7 Windows 10 より古いシステムはすでにサポート対象外となっており、今後、Windows 10 搭載のデバイスもサポート対象外となることが予想されます。セキュリティ対策が施されていないシステムを稼働させるのはリスクが高いですが、実際にはそのような状況が発生しています。しかし、すべてのデスクトップがアップデートされると仮定した場合、企業や個人に600億ドル以上のコストがかかる可能性があります。その理由は以下の通りです。 カテゴリー デバイス数(推定) デバイスあたりのコスト(想定) 総コスト(米ドル) 交換が必要なシステム 4800万(12%) 1,000ドル 480億ドル ハードウェアのアップグレードが必要なシステム 8800万(22%) 200ドル 176億ドル 延長セキュリティ更新(ESU) Per Device 427ドル(3年間) 数十億ドルの可能性 また、Windows 11と互換性のあるデバイスの更新にも費用がかかります。ほとんどの最新システムでは、1時間以内にWindows 11をインストールできますが、オペレーティングシステムの更新には依然としてリスクがあります。一部のインストールでは、サードパーティのソフトウェアやドライバ、データ損失、互換性のあるはずのハードウェアとの予期せぬ競合など、さまざまな問題が発生する可能性があります。小規模な企業でも、Windows 11の計画、テスト、インストールには多大なリソースが必要になる可能性があります。ダウンタイムやトラブルシューティングが必要になれば、コストはさらに増加します。 40,289 2024年は、共通脆弱性識別子(CVE)を追跡しているあらゆるソースによると、CVEの記録を更新する年となりました。CVEdetailsによると、新たに40,289件のCVEが公開され、これはこれまでに公開されたCVEの15%以上にあたります。 これらの脆弱性のうち、脅威行為者によって悪用されたのは204件のみでしたが、これらは今年最も重大なサイバー攻撃のいくつかの原因となりました。例えば、Ivanti ConnectとPolicy Secure Webに対する悪用試行は1日あたり約25万件に達し、18か国から攻撃トラフィックが送信されました。 また、2024年には、古いCVEsの悪用が10%増加しており、新たな脅威だけがリスクではないことを示す注意喚起となっています。システムにパッチを適用したり、交換したりするのが難しい場合でも、以前に特定された脆弱性には対処しなければなりません。...

海外ブログ

専門家が振り返る2024年のサイバーセキュリティニュース のページ写真 4

専門家が振り返る2024年のサイバーセキュリティニュース

2025年1月2日、Kevin Williams 2024年はサイバーセキュリティに関するニュースが数多く報道された年でした。データ侵害、ランサムウェア、量子コンピューティングの台頭など、さまざまな出来事がありました。唯一変わらないことがあるとすれば、それは変わり続けることそのものでした。 ランサムウェアが引き続き被害をもたらす中、Security Intelligence によると、2024年にはランサムウェアの支払額が過去最高を記録し、被害者は上半期だけで約4億5,980万ドルを支払いました。 開示された単一のランサムウェア支払額としては、Fortune 50社にランクインする未公開企業がダークエンジェルズ(Dark Angels)ランサムウェアグループに支払った7,500万ドルが最高額でした。 2024年にはゼロトラストの採用が増加し、IoTデバイスの爆発的な成長が続きました。IoT Analytics によると、2024年時点で、世界中で接続されたモノのインターネット(IoT)デバイスの数は約188億台と推定され、2023年の166億台から13%増加しています。この成長は今後も続き、予測では2030年までにIoTデバイスの数は約400億台に達する見込みです。 大手医療企業からKrispy Kreme(クリスピー・クリーム・ドーナツ)まで、あらゆる企業が大規模なデータ侵害の被害に遭いました。 2024年のサイバーセキュリティの主な出来事 5人のサイバーセキュリティの専門家たちに、2024年の最も印象に残った出来事について意見を聞きました。以下は、その年の主なサイバーセキュリティの出来事についての彼らの見解です。 Simon Wijckmans(サイモン・ウィックマンズ:c/sideのCEO):2024年の最大の課題は、ブラウザ側のサプライチェーン攻撃でした。脆弱なサードパーティのウェブサイトスクリプトは、決済ポータルから分析、チャットボットに至るまで、あらゆる用途で使用されており、サイバーセキュリティの主要な話題となりました。 2024年に発生した注目度の高いPolyfill攻撃は、50万ものウェブサイトに影響を与えました。 この攻撃は、監視されていないサードパーティのスクリプトがどれほど大きな問題となっているかを如実に示しました。 これらの攻撃の範囲は、ユーザーを悪意のあるサイトにリダイレクトするものから、機密性の高い決済情報を取得するものまで多岐にわたりました。 「マネージドサービスプロバイダー(MSP)にとって、これらの攻撃は新たなセキュリティ上の懸念事項です。 彼らは今、従来のネットワークの脅威からだけでなく、複数のクライアントを同時に侵害する可能性のある改ざんされたサードパーティスクリプトからも、クライアントを保護しなければなりません」とWijckman氏は説明します。 さらに同氏は、2025年3月に発効するPCI DSS v4.0.1の要件により、組織に対するプレッシャーは高まっていると付け加えています。特に決済ページでは、サードパーティスクリプトに対する十分な監視と検知戦略が必要です。 QRコード開発企業のコミュニケーションコーディネーター、ジョー・ロビンソン氏は、「今年私が聞いた中で最も懸念すべきことは、悪意のある人物がAIを使用して、わずか3秒の音声から人の声を複製できるようになったという話です」と語り、さらに次のように付け加えています。「この話を詐欺師の詐欺という文脈に当てはめると、心配になります。詐欺師の詐欺はここ数年で急速に増加しています。「高齢者は、親戚の実際の声のように聞こえる精巧な偽装の孫からの詐欺に特に高いリスクにさらされており、このようなテクニックを使ったホエール・フィッシングが話題になるようになると思います。 専門家が振り返る重要な瞬間と新たな脅威 AdGuard VPNの最高製品責任者、デニス・ヴィヤゾヴォイ氏:「2024年1月に起こったことなので、忘れてしまった人もいるかもしれませんが、ハッカーが260億件のレコードを盗み出した、史上最大のデータ漏洩事件がありました。これは「史上最大の漏洩」と呼ばれています。その影響は今後何年にもわたって続くでしょう。特に、量子コンピューティングの出現と、将来的にデータ復号化を促進する可能性を考慮すると、その影響は計り知れません。 SureShieldのセールスおよびマーケティング担当上級副社長、トム・リーヒー氏:Change Healthcareのデータ侵害は、最も重大なサイバーセキュリティ事件のひとつでした。その規模と影響は、何百万人もの個人とその機密情報に及びました。この侵害により、約1億件の通知が送信されました。これにより、多数の米国人の個人情報や医療記録が公開されてしまいました。この事件の犯行グループはBlackCat/ALPHVです。彼らは Change Healthcare のネットワークに侵入し、9日間、データを外部に持ち出すために操作を行いました。その後、ランサムウェアを展開してファイルを暗号化し、ネットワークにさらなる被害をもたらしました。 AJ Thompson(Northdoor 最高セキュリティ責任者):2024年の最大のサイバーセキュリティ関連の話題は、データ侵害のコストが引き続き上昇していることです。この傾向は、IBMの2024年データ侵害コストに関するレポートで強調されています。世界平均のデータ侵害コストは488万ドルに達しました。これは驚異的な10%の急増であり、パンデミック以来最大の増加です。重要なのは、これらの侵害の35%がシャドーデータに関係しており、パブリッククラウドの侵害が現在、517万ドルでコストチャートのトップに立っていることです。この憂慮すべき傾向は、サイバーリスクの複雑化を強調しています。企業は、強化されたサイバーセキュリティ対策と意識の向上によって、これに対処しなければなりません。 2024年のまとめ 2024年を振り返ると、サイバーセキュリティではランサムウェアによる支払いが過去最高額を記録し、ゼロトラストの台頭が見られました。また、IoTデバイスの爆発的な増加も目立った年でした。マネージドサービスプロバイダー(MSP)は、ヘルスケアから小売業まで、さまざまな業界に影響を及ぼした大規模なデータ侵害により、脅威の増加に直面しました。この状況は急速に進化しており、マネージドサービスプロバイダー(MSP)には課題と機会の両方が生じています。

海外ブログ

新機能:Cloud-to-Cloud Backupのマルウェア検出 のページ写真 5

新機能:Cloud-to-Cloud Backupのマルウェア検出

2024年12月18日、Tony Burgess 絶対に避けておきたいシナリオを考えてみましょう。Microsoft 365に保存されている重要なデータが削除されてしまったとします。 事故によるものかもしれませんし、悪意のある行為によるものかもしれませんし、ランサムウェア攻撃によるものかもしれません。 「まあ、問題ない」とあなたは考える。「バラクーダのCloud-to-Cloud Backupがあるから、失われたデータを正確に復元するのに数分かければ、何事もなかったかのように作業を再開できる」という考えが浮かぶかもしれません。 ただし、そのデータの中に誰かが起動するのを待っているマルウェアの断片が含まれていたとします。 なぜこのようなことが起こるのでしょうか。 犯罪者によって常に新しいマルウェアが開発されているため、たとえばBarracuda Email Protection のような最も洗練された脅威検出でも、システムに侵入した新しい未知の脅威を検出できない可能性があります。 そのため、データの保護に依存しているバックアップシステムが、以前は検出できなかったマルウェアを、ユーザがうっかりクリックする可能性のある場所に再び配置してしまう可能性があります。つまり、データ漏洩やさらに深刻な問題が発生するリスクに再びさらされることになります。このような事態は避けなければなりません。 マルウェア検出で救済 バラクーダの開発チームは、弊社の最高クラスのクラウドデータ保護製品の新機能の開発に全力で取り組んできました。 最近の英語圏のウェビナーに参加された方は、新しいEntra IDデータ保護機能について学んだだけでなく、マルウェア保護についても簡単に紹介されました。 この度、Barracuda Cloud-to-Cloud Backupのマルウェア検出機能が利用可能になりました。すでにCloud-to-Cloud Backupをご利用中のお客様は、何もする必要はありません。マルウェア検出機能は無料でご利用いただけます。この新機能はすでに動作しており、マルウェアが検出されてデータ復元ジョブから除外されたことを通知するまで、お客様は気づかないかもしれません。 また、まだCloud-to-Cloud Backupを導入していない場合は、今こそ導入する絶好のタイミングです。まずは、無料トライアルを設定するか、デモを予約してください。 機能と動作 原則として、非常にシンプルです。バックアップからデータを復元するたびに、Cloud-to-Cloud Backupは、シグネチャベースの検出や、長年Barracuda Email Protectionの主要コンポーネントとして使用されてきた当社の高度な脅威防御スタックなど、バラクーダの実績ある独自のマルウェア検出システムにすべてのデータを実行します。 また、これらの検出システムは常に新しい脅威データでリアルタイムに更新されるため、メールが最初に到着したときにメールフィルタリングを回避したマルウェアも、バックアップからリストアされるとほぼ確実に検出されます。 リストア処理中に悪意のあるファイルを検出すると、クラウド間バックアップはデータリストアプロセスからそのファイルを削除し、管理者にマルウェアを通知するアラートを送信します。 この機能は、Cloud-to-Cloud Backupを単独ソリューションとして、またはBarracuda Email Protectionのサブスクリプションの一部として使用している場合でも、すでに有効になっています。 バラクーダの利点 他のベンダーはマルウェア検出機能を備えたバックアップソリューションを提供していますが、これらはほとんどが純粋なバックアッププロバイダです。独自のマルウェア検出技術を持っていないため、他のセキュリティベンダーからライセンスを取得する必要があります。また、その効果、速度、信頼性、およびバックアップソリューションへの統合の度合いを把握することは困難です。 一方、バラクーダは、高度な脅威検出技術の開発、展開、および改善に数十年にわたる実績があり、それをセキュリティソリューションおよびプラットフォームのポートフォリオに統合しています。弊社の高度な脅威防御システムは、それを支えるグローバルな脅威インテリジェンスネットワークとともに、Barracudaだけが提供できる、テスト済みの実証済みのテクノロジです。 つまり、Barracuda Cloud-to-Cloud Backupでは、最新のイノベーションを活用し、最も高度なサイバー攻撃を検出するための効果的なマルウェア検出機能を備えています。この機能はシームレスに統合され、かつ常に最新の状態に保たれており、企業はより安全な形でデータ保護を実現できます。 参考リンク 無料トライアル

海外ブログ

BianLian:顔を変えるランサムウェアの脅威 のページ写真 6

BianLian:顔を変えるランサムウェアの脅威

2024年8月9日、Christine Barry サイバー犯罪の世界では、奇妙なブランド名は尽きることがありません。脅威をもたらす行為者は、人々を威嚇し、強力で巧妙な脅威であるというイメージを植え付けようとします。「ボブのランサムウェア」と呼ばれるものは、REvilやHiveほど不穏なものではありません。 REvilとHiveはどちらも「バイオハザード」を思わせる不穏な雰囲気を持っています。そして、Rhysidaというランサムウェアもあります。これはランサムウェアにふさわしい名前ですが、Rhysidaが何なのか知っている人だけがそう思うでしょう。詳細を理解するには調べる必要があるでしょう。そして、RansomHubは不気味な出会い系アプリのように聞こえます。 今日は、BianLianと呼ばれるランサムウェアの脅威に注目しますが、このグループは私が尊敬しうる命名を行いました。オリジナルのBianLianは「ビーイェンリーイェン」と発音され、四川オペラに組み込まれた伝統的な中国の芸術形式です。この名前は「顔が変わる」と訳され、パフォーマーがさまざまなキャラクターや感情状態を描写、巧妙な手口やその他の技術を使用して、マスクをほぼ瞬時に交換します。以下のビデオで例を見ることができます。 まるで魔法のようです。 脅威アクターのBianLianは、Bian Lianの美しい芸術とはまったく異なりますが、「顔を変える」という名前は的を射ているということができます。 BianLianの起源について BianLian関連のインフラストラクチャは早くも2021年12月に検出されており、専門家は、グループがその時点でツールセットを積極的に開発していたと考えています。このランサムウェアは2022年7月に登場し、8月末までに、このグループはコマンド&コントロール(C2)インフラストラクチャを3倍に増やし、いくつかの業界で被害者をリストアップしました。 活動から1か月以内のBianLianの被害者、Cyble経由 一部の専門家は、BianLianは、同様の戦術、技術、手順(TTP)と観察可能な活動のタイムラインにより、Pysaグループのブランド変更または分派であると推測しています。この理論を裏付ける証拠は、公式の勧告や詳細な分析を発表していません。それどころか、Recorded Futureの研究者は、BianLianが2022年のランサムウェアシーンの真の新参者であると理論付けました。彼らは当時、これらの観察結果を発表しました。 …BianLianグループは、ランサムウェアエコシステムにおける新しい存在であるように見えます。さらに、BianLianの攻撃者は、ネットワークへの侵入に非常に長けているが、恐喝/ランサムウェアビジネスには比較的新しい個人のグループを表していると評価しています。… このアクターは、被害者のネットワークを侵害することに長けていることを証明していますが、私たちは以下のことを見てきました。 被害者から別の被害者に誤ってデータを送信する。 比較的安定したバックドアツールキットを所有していますが、進化する身代金メモを備えた暗号化ツールを積極的に開発しています。 被害者とのコミュニケーションに長い遅延。 グループ自身がOnionのサイトで認めているため、インフラストラクチャのビジネス面は信頼できません。 それ以来、BianLianは成熟しており、グループはランサムウェアの運用により経験豊富な新しいメンバーを獲得した可能性があります。私たちが確実に知っているのは、約2年間の運用で、BianLianは世界中のあらゆる規模の企業を犠牲にしてきたということです。 BianLianの脅威アクターの正確な場所は不明のようですが、グループは通信にロシア語を使用しており、ロシア語圏の国を標的にしていません。彼らの脅威活動は、米国(米国)、オーストラリア、およびヨーロッパの被害者に重点を置いています。これらの攻撃の大部分は、米国の製造業者や医療機関に対するものです。このグループは、イデオロギーや国民国家と結びついているようには見えない。BianLianはただお金を稼ぐために出かけており、ここでの彼らのプロフィールは、金銭的な動機を持つランサムウェアグループの典型です。政治や社会経済の問題はさておき、このグループは、対象国の法執行機関に協力しない場所で活動したいと考えています。 BianLian グローバル インパクト (Bleeping Computer 経由) BianLianと暗号化 BianLianは、ここ数年でその名にふさわしいことを証明しました。このランサムウェアはGo(またはGoLang)で書かれているため、コードの更新プロセスが簡素化され、機能、ステルス性、永続性が向上しています。この継続的な開発により、BianLian ランサムウェアのいくつかのバージョンが生まれましたが、ほとんどの場合、新しいセキュリティ対策に対応していました。また、このグループは、ツールセットの速度とパフォーマンスを向上させるために、コードを微調整しました。しかし、最も顕著な変化は、2023年にグループが暗号化からデータ流出に業務を移行したことです。 BianLian ランサムウェアは、2022 年に発売されたときにいくつかの脆弱性がありました。初期のバージョンでは、欠陥のある暗号化アルゴリズムや壊れた実装を使用していたため、身代金を支払わずにファイルを復号化して復号化キーを取得することができました。2023 年 1 月、アバストの研究者は無料の BianLian 復号化ツールを一般に公開し、脅威アクターに多大な損害をもたらしました。BianLian ランサムウェアは、暗号化キーもコマンド アンド コントロール (C2) サーバーとの通信に依存しており、これらのサーバーへのアクセスをブロックすると暗号化プロセスがブロックされます。ネットワーク監視ツールは、簡単な自動化でそのタスクを実行できます。 BianLianは、C2通信を含むツールセットのステルス機能とバックドア永続性機能を改善し、脅威のデータ流出側に傾倒することで、これらの欠陥と公開されている復号化機能に対応しました。「恐喝のないランサムウェア」の使用は増加しており、多くの脅威アクターは、企業がデータのプライバシーを維持するためよりも復号化にお金を払うことを望んでいないことに気づいています。ほとんどのランサムウェアグループは、いまだに恐喝の手段として暗号化を使用していますが、最近では盗まれたデータが現実の金銭となっています。 BianLianがランサムウェアのバイナリを実行すると、ファイルの名前が変更され、身代金要求メモが生成されます。 BianLianは、サイバーエクスプレスを介してファイルを暗号化しました BianLian 身代金メモ (2023)、アバスト経由 BianLianが米国や世界経済にどれだけの損害を与えたかを知る方法はありませんが、「膨大な規模」と捉えることができます。米国では、昨年、医療侵害の平均コストは1,100万ドル近くに達しました。製造業者のインシデントあたりのコストは低くなっていますが、上昇し続けています。これらのセクターは、BianLianや他の多くの脅威アクターにとって好ましいターゲットです。 BianLian攻撃の仕組み BianLian ランサムウェアの感染は、多くの場合、フィッシング メール、侵害された資格情報、または脆弱性の悪用から始まります。これらの戦術は脅威アクターにとって一般的なものであるため、BianLianはこれに関して特別なことは何もありません。しかし、この機会に、私たちは自分自身(そして私たちが知っているすべての人)に、自分の資格情報を保護することが非常に重要であることを思い出すべきです。RockYou2024やCollection #1のようなリストは、攻撃者が自動化された攻撃に使用される何十億ものユニークなメールとパスワードの組み合わせを含む新しいリストを作成する可能性を提供します。認証情報は脅威アクターにとって常に価値があり、AIの助けを借りて、認証情報の盗み、推測、または実際のデータセットへの道筋を計算することがはるかに容易になります。多くの脅威アクターは、侵害されたシステムへのアクセスを販売することを専門とする他の攻撃者から資格情報セットを購入するだけです。 BianLianがシステムに侵入すると、ローダーとしても機能する複数のバックドアを展開することで、永続性、制御性、冗長性を確立します。BianLian バックドアは、システム上で追加のマルウェアをダウンロードして実行し、C2 サーバーとの通信に必要な情報が含まれています。このバックドアにより、攻撃者はコマンドを実行し、必要に応じてデータを盗み出すことができるため、BianLian攻撃の重要な構成要素となっています。 バックドアやその他のツールが確立された後、BianLianはアカウントの権限を昇格させ、セキュリティポリシーを無効にしようとします。このグループは、正規のシステムユーティリティを使用してネットワーク内を横方向に移動し、Makopランサムウェアと共有するカスタムデータ抽出ツールを使用してデータを見つけて盗みます。この時点で、攻撃は暗号化バイナリを実行する可能性があります。これが失敗した場合、彼らは盗んだデータを身代金を要求するだけです。 「私たちのビジネスは、他の多くのビジネスよりも評判に依存しています。私たちがお金を取り、あなたの情報を広めるならば、私たちは将来的に支払いに問題を抱えるでしょう。だから、私たちは約束と評判に固執します。もし私たちが、あなたのスタッフ全員にメールを送り、すべてのデータを公開すると言ったなら、私たちはそうするでしょう。(Via Redacted) BianLianグループは、これらのメッセージをカスタマイズし、被害者へのプレッシャーを増大させる方法で作成しています。これらのカスタムメッセージは通常、データ侵害が公になった場合に会社が直面する法的な影響と規制上の問題を参照しています。この情報は、流出したデータから引き出されたり、グループが他の方法で被害者を調査している可能性があります。 2024年4月、米国保健福祉省は、BianLianを公的医療セクターに対する脅威アクターとして3番目に多いと報告しました。 BianLianの仲間や家族 BianLianがリブランディングや他のグループの分派であるという強力な証拠はありません。他のランサムウェアグループと重複する部分もありますが、最も一般的に使用されるTTPのみです。 TTPs BianLian REvil Darkside 二重恐喝 Yes Yes Yes データ流出 Yes...

海外ブログ

Hunters Internationalというグループにあなたのデータが狙われている のページ写真 7

Hunters Internationalというグループにあなたのデータが狙われている

2024年7月29日、Christine Barry Hunters International (Hunters) は、名前がその実態を表す犯罪グループの 1 つです。このグループはあなたのデータを狙っており、国際的に活動しています。この記事の執筆時点で、このグループは29 か国で被害者を攻撃することに成功していますが、これは確認された被害者のみを数えたものです。いくつかの業界調査では、報告されていないランサムウェア攻撃の数は 60% から 80% の間であることがわかっているため、おそらくその数は私たちが知っているよりも高いと考えられます。 ランサムウェア グループが複数の国の企業を標的にするのは珍しいことではありませんが、このグループは意図的に国際的な活動を展開している点で興味深いです。このグループはランサムウェア アズ ア サービス (RaaS) の運営者であり、多くの RaaS 運営者は複数の国に関連会社を持っています。ハンターの「本拠地」は東ヨーロッパとロシアのどこかにあると考えられていますが、グループのインフラと活動はアジア、南アフリカ、および世界の他の地域にまでさかのぼります。この地理的に分散した拠点により、法執行機関が活動を阻止することがより困難になりますが、活動を調整することも困難になります。タイム ゾーン、運用上のセキュリティ、攻撃の一貫性はすべて、これによって影響を受ける可能性があります。 起源について Hunters International は 2023 年 10 月に確認され、当初は Hive ランサムウェアのブランド変更であると考えられていました。Hive は 2023 年 1 月に法執行機関によって解体され、その名前で再び現れることはありませんでした。Hunters International が出現したとき、研究者はそのコードの 60% が Hive と重複していることを発見しました。これがブランド変更に関する噂の始まりとなり、Hunters はすぐにこれを阻止しました。 独立した「スタートアップ RaaS」として、Hunters は Hive コードとインフラストラクチャを購入し、アフィリエイトの募集とターゲットへの攻撃を開始するための実用的なシステムを立ち上げることができました。Hunters は、以下を含む多くの改良を Hive コードに加えました。 Hive の元の暗号化ロジックにおける「ファイルの復号化を妨げることがあるいくつかの問題」を修正しました。 コマンドラインパラメータを削減し、暗号化キーの保存プロセスを合理化しました。 以前の Hive バージョンでは C と Golang で記述されていたコードを Rust で再構築しました。 ファイル拡張子のカスタマイズ、ボリューム シャドウ コピーの削除、暗号化の最小ファイル サイズの指定のオプションを作成しました。 暗号化の種類をChaCha20-Poly1305からAESとRSA暗号の組み合わせに変更しました Hunters International のユニークな特徴の 1...

海外ブログ

バラクーダの注目する脅威:レンタル型ランサムウェアが大きな脅威となる理由 のページ写真 8

バラクーダの注目する脅威:レンタル型ランサムウェアが大きな脅威となる理由

2024年8月21日、Adam Khan 今年のランサムウェア攻撃の年次レビューは、2つの視点から脅威を見ています。 1つ目は、3年連続で、報告されたランサムウェア攻撃のグローバルサンプルを取得し、過去12か月間のランサムウェア攻撃者とその標的について、また、前年との比較について分析しています。 次に、バラクーダXDRの最新の洞察とデータを使用して、世界中の組織が毎日経験している、現実世界における日和見的なランサムウェア攻撃を見極めます。このような攻撃を阻止する要因について考察します。また、当社のケースブックから2つの実例を紹介します。 ITセキュリティの専門家の皆様が、進化するランサムウェアの状況や、攻撃に備え、それに耐える方法をより深く理解するための一助となれば幸いです。 2023/2024年のランサムウェア脅威の状況 バラクーダの脅威研究者たちは、2023年8月から2024年7月にかけて報告された200件のインシデントのサンプルを分析しました。 私たちが毎年追跡している主なカテゴリーである自治体、医療、教育、インフラ、金融サービスを中心に、すべての産業分野のインシデントを対象としました。サンプルを見ると、医療機関に対する攻撃が増加し続けていることがわかります。2023/24年には、5件に1件強(21%)の攻撃が医療機関を襲い、前年の18%から増加しました。これらの中には、手術の延期や長期的な治療計画の中断など、世界的な見出しを飾るようなものもあります。教育を狙った攻撃は昨年の18%から半減し、2023/24年には9%を占め、金融サービスを狙ったものは1%未満から2024年には6%に急増した。 他業種を狙った攻撃の割合が増加し、全攻撃の42%が重点分野以外のセクターを攻撃し、前年の32%から増加しました。2023/24年には、報告された攻撃の9%が製造業、13%がテクノロジー企業を標的としていました。 これらの結果は、あらゆる業界・組織がランサムウェアの潜在的な標的であることを示しています。注目すべきは、世界各国の規制により、一部の組織や業界にはサイバーセキュリティ インシデントを報告する法的義務があり、これが業種・業界関連の結果に影響を及ぼす可能性があることです。 レンタル型ランサムウェア 最も蔓延しているランサムウェアグループは、ランサムウェア・アズ・ア・サービス(RaaS)モデルである。これにはLockBit が含まれ、2024年2月に法執行機関がこのグループを摘発したにもかかわらず、2023年/24年には、攻撃者の身元が判明している攻撃の6件に1件、つまり18%に関与していました。これらのインシデントのうち、28%は医療機関、21%は自治体、14%は教育機関を標的としていました。 BlackCatとしても知られるALPHVランサムウェアは、攻撃者の身元が判明している2023/24年の攻撃の14%を占め、これらのインシデントの3分の1は医療機関を、17%は金融サービスを標的としていました。 2023年初頭に登場した新しいランサムウェア・グループであるRhysidaは、指定された攻撃の8%を占め、その38%は医療機関を標的としています。 RaaS型ランサムウェアの攻撃は予測が難しく、そのため封じ込めることが困難です。同じランサムウェアファミリーの攻撃を実行する関連組織の数、範囲は、観察された戦術、技術、手順(TTP)に大きなばらつきをもたらす可能性があります。 組織によっては、異なる攻撃で異なるランサムウェアのタイプを使用する場合もあり、さらに混迷を深めています。幸いなことに、ほとんどの攻撃者が頼りにしている、試行錯誤を重ねたTTPが存在し、これらはインシデント発生の兆候を示すのに役立ちます。 アクティブなランサムウェア攻撃の構造 バラクーダXDRのエンドポイントセキュリティのデータによると、2024年の最初の6か月間(1月1日から6月末まで)に、XDRの顧客の約4人に1人(23%)の割合で、ランサムウェア攻撃の試行に直面しています。 この期間に、バラクーダXDRのエンドポイントセキュリティは、ランサムウェア攻撃の可能性を示す6,052件のインスタンス(ツール、テクニック、または動作)を検出し、ブロックしました。最も一般的な検出は、セキュリティチームが侵入者を追跡する際に注意すべきナビゲーショナルマーカを表しています。 2024年に検出された攻撃ツールと動作のトップ セキュリティ・アナリストは、サイバー脅威の存在を示すアクティビティを特定するために、さまざまな検出ルールとエンジンに依存しています。このような複数の検出レイヤーは、ランサムウェアのような能動的な脅威との戦いにおいて不可欠です。攻撃者は多くの場合、ITチームが合法的に使用している市販のツールを活用し、成功するために行動や戦術をリアルタイムで調整することができます。 さらに、ファイルの暗号化など、攻撃のランサムウェア・コンポーネントの実行は、インシデントの最終段階であることが多い。これには、スキャン、横方向への移動、マルウェアのダウンロードなどが先行することが多く、セキュリティチームは、ランサムウェアのインシデントが完全に展開する前に、検出、封じ込め、影響を軽減する機会を得ることができます。 2024年のデータでは、横方向への移動がランサムウェアの活動の最も明確な兆候であることが示されています。ランサムウェア攻撃の半数弱(44%)は、横移動検出エンジンによって発見されました。 4分の1(25%)は、ファイルが書き込まれたり変更されたりするタイミングを検出し、既知のランサムウェアのシグネチャや疑わしいパターンに一致するかどうかを分析するエンジンによって検出され、14%はシステムまたはネットワーク内の異常な動作を識別する検出エンジンによって捕捉された。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習する。このエンジンは、ユーザー、プロセス、アプリケーションの典型的な動作を学習し、異常なファイルアクセス、オペレーティング・システム・コンポーネントの改ざん、疑わしいネットワーク・アクティビティなどの逸脱を検出すると、警告を発します。 バラクーダのセキュリティオペレーションセンター(SOC)のアナリストは、強力な検出エンジンと共に、疑わしい脅威を自動的に特定して緩和し、エンドポイントを隔離するためのカスタムルールを開発しています。2024年の最初の6か月間、これらのカスタムルールに基づいて、3,600件以上のセキュリティアラートがトリガされました。これらの脅威の多くはランサムウェアのインシデントに見られるもので、セキュリティ・チームにとって、何か不測の事態が進行中であることを示すさらなる警告サインとなります。 XDRケースブックに掲載された2つのランサムウェア攻撃 ケーススタディ 1: 標的 – 従業員150~200人の医療技術企業 脅威の主体 – PLAYランサムウェア ターゲットは、ほとんどのデバイスにセキュリティを導入していましたが、すべてのデバイスには導入していませんでした。このため、可視性とセキュリティに大きなギャップが生じていました。攻撃者は、ターゲットのために働いていたサードパーティの開発者のアカウントを侵害することでアクセス権を得ました。そして、侵入したアカウントを使って、多要素認証(MFA)が有効になっていない企業VPNにアクセスした。ネットワーク内に侵入すると、侵入者は横方向に移動し、保護が不十分なアプリケーション・サーバーにたどり着きました。 主な攻撃 この脆弱なサーバーから11のビジネスクリティカルなサーバーへのリンクを確立し、市販のリモートアクセスツールを使用して、ファイルのシャドーコピーの削除、セキュリティ対策の無効化、永続性の確立を試みました。攻撃者はまた、コンピュータのビデオフォルダや音楽フォルダに悪意のあるファイルを隠そうとしました。 各悪意のあるアクティビティが実行されると、保護されたデバイス上のセキュリティ・エージェントが速やかに脅威ファイルを強制終了、隔離、修復しました。8分後、攻撃者は再び攻撃を試みました。 保護されていないアプリケーションサーバをベースとして、11台のサーバ上のファイルをリモートで暗号化しようとし始めました。攻撃者は、サーバーが自動的にネットワークから隔離される前に、いくつかのデバイス上のファイルを部分的に暗号化することに成功し、これ以上被害が拡大しないことを確認しました。 しかし、攻撃者は、セキュリティ・ソフトウェアが検査できないサーバーからデータを流出させることができた。最後の手段として、攻撃者はkiller.exeと呼ばれるファイルを含む追加のマルウェアを実行しようとしたが、これは消滅する前に何も殺すことができなかった。侵害されたアカウントは無効化され、ファイアウォールの変更により、脅威者からのさらなる接続は阻止された。 ケーススタディ2 ターゲット – 従業員数800~1,000人のカーケアおよび修理製品メーカー 脅威の主体 – 8baseランサムウェア 攻撃は2024年1月の週末に行われました。1月下旬の土曜日の夜明け前、サイバー攻撃者は侵害された、または盗まれたドメイン管理者認証情報を使用してワークステーションにリモートアクセスしました。 主な攻撃 その後2日間にわたり、侵入者は最初に侵害されたデバイスから足跡を拡大し、インフラ内の数百台のデバイスに横方向に移動し、保護されていない数台のマシンに感染しました。攻撃者はリモート・アクセス・サービスを利用して、感染したサーバーへの永続的なアクセスを確立しました。その後、攻撃者はランサムウェアを展開しました。複数のファイルを暗号化することができました。また、セキュリティ・ソフトウェアを無効化し、データの流出を試みました。 ただこの活動のほとんどは失敗に終わりました。すべてのデバイスが保護されていたわけではありませんでしたが、攻撃者が影響を受けたマシンを完全に暗号化し、セキュリティを無効にすることを防ぐのに十分なセキュリティが施されていました。 復元と回復 ファイアウォールは、攻撃者がコマンド・アンド・コントロールに接続し、データを流出させようとする試みを阻止した。日曜日の夕方までには、攻撃は完全にブロックされ、終了した。合計13台の影響を受けたデバイスが攻撃前の状態に「ロールバック」され、さらに6台が手動で復元された。 どちらの例でも、対象企業は、将来の攻撃を防止し、修復するために、すべてのデバイスにセキュリティを拡張すること、検出されたすべての IT 管理およびリモート管理ツールの使用を調査すること、パッチ適用やパスワードの面で適切なサイバー衛生を実施することをアドバイスされました。 結論:ランサムウェア攻撃に対するレジリエンスの構築 ランサムウェアの状況は常に進化しており、それは今後も続くでしょう。非常に多くの異なる脅威グループや関連会社がゲームに参加しているため、攻撃者がどのように行動するかを正確に予測することは困難である。しかし、企業が準備と対応のためにできることは多くあります。 最優先すべきは、攻撃を検知して未然に防ぐための対策とツールを整えることだ。これには、AIを活用した電子メール保護や ゼロ・トラスト・アクセス対策、アプリケーション・セキュリティ、スレット・ハンティング、XDR機能、効果的なインシデント・レスポンスなど、多層的なセキュリティ技術が含まれるのが理想的である。 セキュリティの基本を見落としてはならない: ソフトウェアを常に最新の状態に保ち、既知の脆弱性や悪用された脆弱性に対して優先的にパッチを適用し、従業員に対して定期的にサイバーセキュリティに関する意識向上トレーニングを実施する。最小権限のアクセス制御を実施し、不要なパブリック・サービスやリモート・サービスを閉鎖することで、攻撃対象領域を縮小する。特定された商用IT管理ツールが合法的に使用されていることをダブルチェックし、侵入者やマルウェアの拡散を防ぐためにネットワークをセグメント化する。 暗号化された不変のバックアップ・システムを導入し、メイン・ネットワークから分離して攻撃者が到達できないようにし、強力な認証とアクセス・ポリシーを導入する。 最後に、ランサムウェア攻撃が成功した場合の対応について、コンプライアンスと報告要件に関する詳細を含むインシデント対応計画を策定すること。 ランサムウェアから組織を保護する方法の詳細については、https://www.barracuda.co.jp/products/ransomware/を参照してください。 Barracuda Managed XDRの詳細:https://www.barracuda.com/products/managed-xdr(英語) e-book: すべてを変える、AI時代のランサムウェア(日本語) 原文はこちらThreat...

海外ブログ

サイバーセキュリティとビジネスの実践力が問われる場、Hardening Project 2024に参加 のページ写真 9

サイバーセキュリティとビジネスの実践力が問われる場、Hardening Project 2024に参加

2024年10月16~18日の日程で、バラクーダは沖縄県豊見城市、沖縄空手会館で開催された「Hardening 2024 Convolutions」にプラチナスポンサーとして協賛し、現地イベントへ参加いたしました。 Hardening Projectとは? Hardeningとは「堅牢化」という意味ですが、Hardening Project を主催するHardening Project 実行委員会(Link)によれば、このプロジェクトは、サイバー攻撃のあふれるインターネット社会において、最高の「衛る」ための施策、つまりセキュリティにおける技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰し、サイバーセキュリティの実践力を強力に向上することが目的です。当イベントでは、守るという一般的な漢字ではなく、”護衛”等で使われる「衛」の字が使われています。 イベント(競技会)の概要 Hardening 競技会は、脆弱なビジネスシステムを主催者によるサイバー攻撃から衛りながら、堅牢化スキルとビジネス運営(EC企業と、その関連企業という設定)能力を競うコンペティションです。チームは、実際に攻撃を受ける仮想環境で技術力、コミュニケーション力など総合力を試されます。 参加対象と準備 エンジニア以外も参加可能で、若手の有望なセキュリティエンジニアや、エンジニア以外のさまざまな職種の方が集まります。選考後、各チーム(今年は7名チーム×15)が1〜2ヶ月の準備を経て競技当日である「Hardening Day」に臨みます。競技は8時間にわたり、攻撃対応とビジネス運営をバランス良く、双方を両輪でしっかりと対応していくことが求められます。さきほど、各チームは仮想のEC企業やそのグループとしてビジネス運営を行うとお伝えしましたが、この仮想企業における組織図までが作り込まれており、各チームにおいて組織/役割のアサインがこの組織図を参考に実施されます。他に準備日、Analysis/Reviewの日程が含まれ、全4日間にわたる長丁場となります。 競技の詳細と評価 参加者はチームで、仮想環境の脆弱性を見つけ出し、実際の企業活動のようにITサービスを導入することでシステムを強化しつつ、攻撃の被害を最小限に抑えます。主催者側は、各チームの環境に対し、サイバー攻撃を実施。それを各チームがいかに防御し、模擬的なECビジネスを継続できるかがキーです。エンジニア以外の職種の方は、 インシデント発生時の報告や顧客対応といったコミュニケーション業務や、ECサイトの在庫管理などに従事します。競技の成否は、売上の維持、ダウンタイムの最小化、適切な修正対応がカギとなります。 競技の最終的な評価は、模擬的なチームの「売上」に基づきます。脆弱なシステムの堅牢化と共に、ビジネスの安定運営や防御の技術力、コミュニケーション力も含めた総合力が競われます。 2024年におけるバラクーダの貢献 バラクーダは競技者にセキュリティソリューションを提供するマーケットプレイス(MP)として参加。具体的には、バラクーダでは「Barracuda Web Application Firewall (WAF)」、とその設定/運用等を支援するサービスを提供しました。当社バラクーダのSEが、事前準備とともに、現地イベント会場での各チームのセキュリティ強化を支援。今年、現地において、各チームにおける競技、運用状況に連動しバラクーダでも様々なことを経験しましたが、最終日の振り返り日(Softening Dayといいます)において、バラクーダのWAFが実際にイベント会場における主催者による模擬サイバー攻撃を防御したことが発表されたことは、私としても当社ソリューションの効果を実感する良い機会となりました。 終わりに 各チームの緻密な連携の様子は、振り返りの発表スライドや、作業の様子を見れば手に取るように伝わってきました。競技参加者の各チームの皆様の熱量の高さ、真剣さを感じることができ、とても良い機会となりました。また、各チームの工夫の仕方もそれぞれで、在庫が途中で買えなくなることを見越して在庫をある時点で一気にまとめて購入したチームや、対照的に一定のペースで購入していくチーム、また、事前準備、攻撃等様々な事柄にうまく対処したチーム、対照的になかなか対処が難しかったチーム等、本当にチーム、そしてその対応状況というのは組織によって様々だということを改めて感じました。 この度、バラクーダのHardening競技会への協賛、当日の現地参加等にご協力いただきました全ての皆様に、改めて感謝申し上げます。ありがとうございました。 リンク Hardening Project関連情報:YouTube: https://www.youtube.com/@hardeningprojectHardening Project情報サイト:https://wasforum.jp/hardening-project/hardening-2024-convolutions/Barracuda Web Application Firewall:https://www.barracuda.co.jp/products/waf/

Blog

バラクーダネットワークス、進化したインフォスティーラー(情報窃取マルウェア)を使用した、ステルス型のフィッシング攻撃によるデータ流出を確認 のページ写真 10

バラクーダネットワークス、進化したインフォスティーラー(情報窃取マルウェア)を使用した、ステルス型のフィッシング攻撃によるデータ流出を確認

2024年8月14日、Saravanan Mohankumar バラクーダネットワークス(以下「バラクーダ」)の脅威アナリストは、広範な機密情報を流出させるために設計された、高度かつステルス化された手法を特徴とするフィッシング攻撃を確認しました。 この手口には、大半のフォルダからPDFファイルやディレクトリを収集するだけでなく、セッションCookie、保存されたクレジットカード情報、暗号資産関連の拡張機能、ウェブ履歴などのブラウザ情報をも収集することができる高度なインフォスティーラー(情報窃取マルウェア)が使用されており、攻撃者は窃取した情報をZip形式の添付ファイルとしてリモートの電子メールアカウントに送信します。 これほど広範な情報を収集し、流出させるように設計されたインフォスティーラーを目の当たりにするのは珍しいことです。通常、インフォスティーラーは保存されたブラウザパスワードや、時には暗号資産ウォレットをターゲットとしていますが、それ以外はほとんど対象としていません。 バラクーダの研究者によると、攻撃は次のように展開されます。 ステップ1:フィッシングメール バラクーダが確認したインシデントでは、受信者に添付された発注書を開くように促すフィッシングメールが送られることから攻撃が始まります。このメールには、基本的な文法の誤りが複数含まれています。 すべてメールは、同じアドレス「yunkun[@]saadelbin.com」から送付されており、会社名と連絡先はすべて架空のものだと見受けられます。 バラクーダが確認した例では、「P.O.7z」という名称の添付ファイルには、ISOイメージファイルが含まれています。ISOファイルは、CDやDVDなどの光ディスクにあるデータの同一のイメージを含むアーカイブファイルです。 ISOディスクイメージファイルの中には、HTA(HTMLアプリケーション)ファイルがあります。HTAは、Microsoft Windowsが、ウェブブラウザではなくデスクトップ上で動作するウェブ技術を使ったアプリケーションを作成するために使用されるファイルの一種です。つまり、HTAファイルはウェブブラウザのセキュリティー機能の制限を受けないため、セキュリティー上のリスクがあります。 HTAファイルを実行すると、一連の悪意のあるペイロードがダウンロードされ実行されます。 ステップ2:悪意のあるペイロード HTAファイルが実行されると、侵害されたアカウントにリモートサーバーから難読化されたJavaScriptファイルがダウンロードされ、ファイルが実行されます。 このJavaScriptファイルは、PowerShellファイルをダウンロードし、アカウントの「Temp」フォルダにドロップして実行します。 PowerShellスクリプトは、リモートサーバーからZipファイルをダウンロードしTempフォルダにドロップします。 このZipファイルは、「PythonTemp」フォルダに解凍されます。 このフォルダから、Pythonスクリプトであるインフォスティーラーマルウェアが実行されます。その後、Pythonファイルは3秒間スリープし、Pythonプロセスがまだ実行中であれば終了させ、PythonTempフォルダ内のすべてのファイルを削除してから、自身を消去します。 Pythonスクリプトは難読化、暗号化されているため、セキュリティアナリストが脅威をリバースエンジニアリングすることは困難です。 第一段階 デコーディング スクリプトは、さまざまな段階の解読と復号を経て、最終的なコードにたどり着きます。 スクリプトは最終的なペイロードを解読 ステップ3:データ流出 フィッシング攻撃の多くはデータ窃取と関連しており、攻撃者は認証情報や金融口座の詳細などを盗み出そうとします。データ流出もデータ窃盗を目的として行われる行為の一種ですが、多くの場合、ランサムウェアやツールやエクスプロイトによって大量の情報を特定のネットワークから積極的に削除することに関連しています。 これらの攻撃では、一般的なインフォスティーラーよりも幅広い情報を収集し、流出させるように設計された高度なインフォスティーラーを利用してデータの漏洩・窃盗が行われています。 Pythonインフォスティーラーマルウェア この攻撃で使われたインフォスティーラーの機能は以下の通りです: ブラウザ情報の収集 このマルウェアは、ブラウザのプロセスを停止させ、マスターキーを収集するように設計されており、Chrome、Edge、Yandex、Braveのマスターキーを収集することができます また、ブラウザディレクトリからセッションCookieを、ウェブブラウザから保存されたパスワードを収集することに加え、保存されたクレジットカード情報、ウェブ履歴、ダウンロード履歴、オートフィル情報を収集することができます また、MetaMask、BNB Chain Wallet、Coinbase Wallet、Ronin Walletなど、暗号資産関連のブラウザの拡張フォルダをコピーすることもできます ファイルの収集 インフォスティーラーは、以下のフォルダにあるPDFファイルを収集しようとします:デスクトップ、ダウンロード、ドキュメント、AppDataフォルダ内のRecentフォルダ、Tempフォルダ内のBrowserフォルダ AppDataフォルダ内のZcash、AppDataフォルダ内のArmory、任意のゲームフォルダを含むディレクトリ全体をコピーし、圧縮することができます 流出 インフォスティーラーは、収集した情報をZipファイルとして圧縮し、このZipファイルを電子メールの添付ファイルとして「maternamedical[.]top」に送ります 収集されたクッキーは、「cooklielogs[@]maternamedical[.]top」に送信されます 収集されたPDFファイルは、「filelogs[@]maternamedical[.]top」に送られます 収集されたテキストファイルは、「minestealer8412[@]maternamedical[.]top」に送信されます ブラウザの拡張機能は、「extensionsmtp[@]maternamedical[.]top」に送信されます 収集される情報の量は膨大で、機密性が高いものです。盗まれた保存パスワードやクッキーは、攻撃者が組織内で横方向に移動するのに役立ち、クレジットカード情報や暗号資産ウォレット情報は金銭を盗むのに使われる可能性があります。 結論 データの流出は、あらゆる規模の組織にとって重大かつ進化し続ける脅威となっています。サイバー犯罪者が機密情報を盗むための高度な方法を開発し続けているため、企業はサイバーセキュリティへの取り組みにおいて警戒を怠らず、積極的に行動することが重要です。堅牢なセキュリティ・プロトコルを導入し、疑わしい活動を継続的に監視し、さらに重要なこととして、潜在的なリスクについて従業員を教育することがデータ流出のリスクを軽減するためには、重要な戦略となります。 AIと機械学習を活用した多層的な検出機能を備えたメールプロテクションソリューションは、この種の攻撃がユーザの受信トレイに到達することを防止します。バラクーダのお客様は、こうした攻撃から保護されています。 バラクーダのアソシエイト脅威アナリストであるアシュト—シュ・デシュナ(Ashitosh Deshnur)も、本ブログ記事の調査に協力しています。 レポート:電子メールの脅威とトレンド 原文はこちらStealthy phishing attack uses advanced infostealer for data exfiltrationAug. 14, 2024 Saravanan Mohankumarhttps://blog.barracuda.com/2024/08/14/phishing-advanced-infostealer-data-exfiltration

海外ブログ