2023年上半期脅威インテリジェンス: 暗闇に身を潜めているサイバー犯罪者を追跡
過去5年間で、サイバー犯罪者グループはますます企業化しています。2020年代初頭は自らを売り込む段階でした。犯罪者グループは、自分たちが深刻な存在として受け止められること、そして被害者との「正当な」取引に対する「評判」を確立することの両方によって有名になろうとしていました。それほど有名ではないグループも、大規模なグループのブランド力を借りることで名を知られるようになり、自分たちの周囲のブランド認知度から利益を得ることを期待していました。 しかし、現金が降り注ぎ続ける中で、サイバー犯罪者グループは1つのことを見落としていたように思われます。犯罪者グループは、自分たちが模倣していた企業のような法人ではありませんでした。実際に、政治家や警察が取り締まりを強化し、犯罪者グループが自分たちに法律という力が向けられていることを知ったときには、多くの人々は、犯罪者グループには合法的なものは何一つないことに気付きました。 サイバー犯罪者が逮捕されるたびに、同じ言葉が繰り返されます。「私たちは取り締まりの努力を称賛しますが、逮捕が永続的な変化をもたらすとは思っていません。」しかし、このほどリリースされた2023年版SonicWallサイバー脅威レポートの中間アップデートで報告されているように、2023年上半期のデータを見ると、この既成概念に疑問が提起されます。犯罪者はスポットライトを避けて、クリプトジャック、IoTマルウェア、暗号化された脅威のようなリスクの低い活動に集中し始めています。 マルウェアは引き続き移行中 マルウェアは基本的に前年から横ばいであり、2022年の上半期と比較してわずか2%の減少です。しかし、これは表面下で大きな変化が起きていないという意味ではありません。北米は(世界全体における27億件のうち)13億件の被害を記録し、依然としてマルウェアの大部分を占めていますが、減少した唯一の地域でもありました。対照的に、ヨーロッパと中南米は2桁の増加となっています。これは、サイバー犯罪者が新しい環境に攻撃対象を移していることを示めしています。 当社の調査でマルウェアの減少が確認されている業界はありませんが、特に教育や金融の業界の顧客はマルウェアの増大に直面しています。 ランサムウェアは減少、ただし反転の可能性あり サイバー犯罪者が捕まらないことにより大きな関心を示している場合、犯罪者が自分自身について公表し、自己紹介するようなサイバー犯罪の形態であるランサムウェアの減少は予想されます。それでも、2022年の最初の6か月で攻撃件数が41%減少したため、多くの人々は、サイバー犯罪者がランサムウェアを断念しているのかどうか疑問に思うかもしれません。 当社がそのように考えていない理由はいくつかあります。そのうちの1つは、当社が2023年に目にしているランサムウェアのトレンドラインです。前年からのトレンドラインは依然として減少傾向ですが、月ベースでは、ランサムウェアは増加し、第2四半期は第1四半期より74%高くなっています。 クリプトジャックは引き続き記録的な増加 しかし、ランサムウェアが減少しているとすれば、その代わりに何が増加しているのでしょうか?いくつかの攻撃タイプの増加が確認されていますが、おそらく最も顕著なものはクリプトジャックです。 2023年上半期のクリプトジャック攻撃の件数は3億3,200万件に達しており、年初から399%という驚異的な増加となっています。この数値は新記録であるだけでなく、2023年には他のすべての年の記録を合計した件数を上回る勢いでもあります。 IoTマルウェアは3割を超える増加 SonicWall Capture Labsの脅威研究者は、2023年上半期もIoTマルウェアの件数は増加傾向が続いており、37%増加して7,790万件に達したと指摘しています。このペースで進むと、IoTマルウェア攻撃の件数は過去最高だった前年の合計を容易に上回ります。 他のタイプの脅威で見られているように、北米では攻撃が減少しています。ただし、わずか3%であり、この減少はアジアと中南米における3桁の増加によってそれ以上に補完されています。特にインドでは、これらの攻撃の件数が大きく増加しています。IoTマルウェアは311%の爆増となりました。 悪意のあるPDFやMicrosoft Officeファイルは2桁の減少 2023年上半期の悪意のあるPDFが関連する攻撃の件数は10%減少しましたが、悪意のあるMicrosoft Officeファイルの使用はさらに大幅に減少しました。これらの攻撃は、2022年の同じ期間と比較して驚異的な75%の減少となりました。この減少は、Microsoftの近年のセキュリティ強化の取り組みが一因となっている可能性もありますが、継続的な減少となるかどうか、サイバー犯罪者がこれらの新しい制限の周辺を攻撃するかどうかは、時がたてばわかるでしょう。 SonicWallの社長兼CEOであるボブ・ヴァン・カークは次のように述べています。「企業、政府、世界中の人々への際限のないデジタルによる侵害行為は激化しており、脅威の情勢としては拡大が続いているように見えます。サイバー犯罪者は冷酷です。当社のデータが示しているように、犯罪者はこれまで以上に機会をうかがっており、前例のない勢いで学校、連邦政府や小売組織を標的にしています。2023版SonicWallサイバー脅威レポート中間アップデートは、犯罪者の考え方と行動を理解するための助けとなり、組織自体の保護と、悪意のある活動に対するより強固な防衛策の構築に役立ちます。」 レポートの全文はこちらから。.
拡張されたエンドポイントの可視性と制御により、在宅勤務者を保護する
現在進行中のパンデミックが、私たちに教えてくれることが1つあるとすれば、在宅勤務が新しい常識になる可能性があるということです。しかし、ITエグゼクティブはこれに慎重に対処する必要があります。なぜなら、企業の境界を拡張することにより、新しいリスクが発生し、標準的な保護のコントロールの価値が損なわれる傾向があるからです。継続性とセキュリティを確保するためには、組織が、無数の高度な脅威にさらされることなく、従業員がリモートで操作できるようにする必要があります。二つの相反する要件は実現できるのでしょうか? 組織がこれらの課題を乗り越えるのにあたり、SonicWall Capture Client 3.0エンドポイントソリューションは、どう支援できるかを確認してみましょう。 コンテンツフィルタリングを用いて、攻撃対象領域を削減する ほとんどのマルウェアの脅威は、Webサイトまたは電子メールのリンクを通じて加えられます。この攻撃手段は、詐欺サイトかもしれないし、本物のウェブサイトである可能性もあります。これまで、Capture Client 2.0では、エンドポイントは既知の悪意のあるサイトからである場合のみブロックされました。 Capture Client 3.0は、包括的なクライアントベースのコンテンツフィルタリングサービスを備えています。HTTPとHTTPSの両方のトラフィック、許可およびブロックするカテゴリのきめ細かなポリシー、信頼できるアプリケーションの除外、および信頼できないアプリケーションのブラックリストを検査することにより、管理者はネットワークベースのコンテンツフィルタリングサービスをリモートユーザーに簡単に拡張できます。 アプリケーションの脆弱性インテリジェンスによりリスクを最小化する 多くの場合、在宅勤務では、SlackやZoomなどのさまざまな生産性アプリケーションやコラボレーションアプリケーションを利用します。多くの場合、従業員は別のツールを探しに行きます。別のツールとは、企業によって管理されていないツール、ということです。これらのいずれの場合でも、攻撃者は常に、エンドポイントで実行されているアプリケーションの脆弱なバージョンを探します。そして、パッチ、まあ…パッチは常に動くターゲットですよね? アプリケーションの脆弱性インテリジェンスにより、Capture Clientはアプリケーションおよびアプリケーション上で発見された脆弱性をリアルタイムで可視化します。管理者は、パッチを適用するアプリケーションに優先順位を付けることができ、許可されていないアプリケーションが起動したプロセスをブラックリストに登録することもできます。 きめ細かいポリシー割り当てのためにActive Directoryプロパティを活用-どこでも 在宅勤務のもう1つの側面は、クラウドサービス(O365やAzure Active Directory (AD) など)の爆発的な採用です。企業は多くの場合、ユーザーとデバイスに関連付けられたADプロパティに基づいて詳細なポリシーを適用します(例えば、マーケティングユーザーはソーシャルネットワーキングにアクセスでき、IT管理者は高度なツールにアクセスできます)。Capture Clientは、グループメンバーシップなど、これらのプロパティに基づき、きめ細かなポリシー割り当てもサポートするようになり、ディレクトリがオンプレミスでホストされているかクラウドでホストされているかは関係ありません。 Linuxサポートにより、サーバー保護を拡張する クラウドへの移行すると、Linuxベースのワークロードの使用量の増加も伴い、これをマルウェアの脅威から保護する必要があります。Capture Client 3.0は、SentinelOne Linuxエージェントのサポートも導入し、次世代のウイルス対策機能をLinuxサーバーに拡張します。 ツールを使用することにより、業務時間が楽になる さらに、Capture Client 3.0では、次のような点において使いやすさが強化されました。 新しい通知センターにより、未解決のアラートを確認できます カスタマイズ可能な警告設定により、優先度を設定できます […]
SonicWallファイアウォール、未知のCVE攻撃に対するセキュリティ効果を測定するNetSecOPENラボテストで満点を獲得
セキュリティベンダーや次世代ファイアウォール製品を評価するにあたり、セキュリティを重視する顧客は、どれをどう選択すべきかという難しい問題に直面しています。 このプロセスを簡略化し、サイバーセキュリティ市場の透明性を高めるために、NetSecOPENが発表する2020年テストレポートで、認定セキュリティベンダー4社のうちの1社としてSonicWallが選定されました。 SonicWall NSa 4650ファイアウォールは、ニューハンプシャー大学のInterOperabilityラボラトリで行われた既知・未知をあわせた465種類の共通脆弱性識別子(CVE)によるテストにおいて、すべての未知CVE(NGFWベンダーとして知られていないCVE)に対し、100%のセキュリティ効果を達成しました。また、既知のCVEテストの結果を考慮に入れた場合、99%の評価を獲得しました。 「完全に現実的な条件が設定された場合、このように同一条件下で比較することで、次世代ファイアウォールの実際のパフォーマンスとセキュリティ効果の検証が可能となります」と、SonicWallのシニアバイスプレジデント兼最高執行責任者アトゥル・ダブラニアは公式発表で述べています。 現実的な条件下でのファイアウォールのテスト NetSecOPENのオープンスタンダードは、特に、テストしたファイアウォールがベンダーが約束した通りに機能しているかどうかを測定、判断する際にセキュリティ専門家が直面する課題に対処するよう、現実的なテスト条件をさまざまに組み合わせてシミュレーションするよう設計されています。このサービスの価値は、製品について明確な最終判断を下す際に、議論の余地のない証拠としてこのテスト結果を活用することで最大化されます。 SonicWallは、これまでにNGFW用につくられた業界で最も包括的で厳密なベンチマークテストのうちの1つにおいて、早くから優れた企業と認められています。SonicWall NSa 4650 NFGWは、NetSecOPENテストレポートで以下のように評価されています。 業界最高レベルのセキュリティ効果を実証 テストで使用された未知の脆弱性に対する攻撃を100%ブロック 未知および既知の攻撃を99%ブロック NetSecOPENの測定により、高速な処理性能を実証済み(5 Gbpsの脅威保護と最大1.95 GbpsのSSL暗号化およびインスペクションスループット) きわめて高性能で拡張可能なエンタープライズセキュリティプラットフォーム、大規模なデータセンターのセキュリティや大量データ、キャパシティの要求を満たすことが確証される ファイアウォールのテスト方法・測定基準 スループット、レイテンシー、その他測定基準(以下参照)などの重要パフォーマンス指標(KPI)は、製品の妥当性を判断する上で重要です。以下のKPIは、実際の使用条件で一般的に使用される標準の推奨ファイアウォール設定とセキュリティ機能を用いてNetSecOPENテスト中に記録されたものです。 KPI 意味 説明 CPS CPS 1秒あたりのTCP接続数 持続期間中に確立された1秒あたりのTCP接続数の平均値の測定。「1秒あたりのTCP/HTTP(S)接続数」ベンチマークテストのシナリオでは、KPIは確立されたTCP接続数および終了したTCP接続数(1秒あたり)の平均値を同時に測定する。 CPS 1秒あたりのTCP接続数 持続期間中に確立された1秒あたりのTCP接続数の平均値の測定。「1秒あたりのTCP/HTTP(S)接続数」ベンチマークテストのシナリオでは、KPIは確立されたTCP接続数および終了したTCP接続数(1秒あたり)の平均値を同時に測定する。 TPUT TPUT […]
ディザスタリカバリ計画はどうあるべきか。事業継続性を確保するための5つの提案
現在、組織の最大の関心事はサイバー攻撃の抑制ですが、脅威はさまざまな形で侵入してきます。ありえないと思えるような不測の事態に備えるため、組織は、迅速にディザスタリカバリを実現し、ビジネス継続性を確保する計画を策定・実装し、改善を加えていく必要があります。 これはハリケーンや地震、火災、大雪、洪水などが発生する前に災害に備えるという、一見シンプルなアイデアです。中小企業(SMB)の多くは(ときには大企業であっても)、十分な時間を割いてディザスタリカバリの詳細を検討していません。こうした「発生したときに考える」という場当たり的な姿勢では、企業は終焉を迎えることになるでしょう。 有事への万全な備えは一朝一夕でできるものではないため、無責任に先送りされているのではないでしょうか。ディザスタリカバリ計画を開始する、あるいは既存の計画を最適化するための5つのベストプラクティスを紹介します。中小企業が最悪のシナリオに備えるための一助となれば幸いです。 実践的な計画の準備 当たり前のようですが、災害に直面した場合に事業継続性を確保するための最初の一歩は、実際に計画を立て、訓練を積むことです。何らかの大災害が発生すれば、誰もが極度のストレスにさらされ、明瞭な思考力が働かなくなります。 だからこそ、災害発生時に従うべき手順や指示について検討を重ね、具体的な計画を準備することが極めて重要です。ビジネスの世界では、これを事業継続計画(BCP)と呼びます。 すべてのチーム(通信、セキュリティ、IT、人事、財務、エンジニアリング、サプライチェーンなど)の活動の調整、指揮系統の把握と資産管理、顧客の期待に応えることを可能にするのがBCPです。計画の実装を成功させるには研修や実践的な訓練が不可欠です。実践を伴わなければ、計画書もただの紙切れに過ぎません。 データのアクセシビリティの確保 災害が発生したら、ネットワークにアクセスできるとは限りません。ディザスタリカバリ計画が誰もアクセスできないネットワークドライブや社内のパソコンに保存されていては、折角の苦労も水の泡です。 メールへのアクセスについても同じことが言えます。オンプレミスのセキュアなメールサーバーを維持管理している企業であっても、接続がダウンすれば通信障害が発生します。その解決策として一般的なのが、クラウドのメールリポジトリやデータリポジトリを活用する方法です。 また、メインサイトの接続だけがダウンし、予備のサイトは利用できるものの従業員がアクセス方法を知らないというシナリオもありえます。たとえばSonicWall Secure Mobile Access(SMA)アプライアンスであれば、もっとも近いオンラインサイトに自動的にVPNを設定し、必要に応じてアクセスをルーティングし直して、リモートアクセスを透過的にすることができます。 通信オプションの確立 災害時にチームや会社の経営陣、顧客、ベンダー、提携企業と効果的に通信ができる機能の有無は、企業の早期復旧能力に直結します。 電子メールはすべての企業にとって主要な通信手段となっていますが、災害時には利用できない可能性があります。バックアップ手段として、ソーシャルメディアの利用を検討してください。TeamsやSlack、WhatsAppなどのアプリケーションは、社内グループ間で利用できる便利なオプションです。Twitterや企業のウェブサイトもまた、一般社会への伝達手段として使用できます。 サイバー攻撃への認識強化 常にサイバー攻撃を認識しておく必要がありますが、災害時は特に油断しないことが重要です。 サイバー犯罪は日和見主義で、支援を必要とする状況につけ込んだり、混乱で防御が甘くなっていると思われるエリアや地域、企業、組織に標的型攻撃(フィッシングキャンペーン、ランサムウェア攻撃など)を仕掛けてきます。 残念ですが、赤十字やFEMA(米連邦緊急事態管理局)、FCC(連邦通信委員会)など多くのNPO団体が、災害発生時に繰り返し詐欺行為への警告を発しています。こうした攻撃によって従業員やパートナーが侵害されれば、攻撃者に組織のネットワークへの道筋が開かれるのです。適切なネットワークセキュリティファイアウォールとセキュアな電子メールコントロールが配備されていなければ、ほんの1回のクリックでネットワークが侵害されたり、マシンが汚染されてしまいます。 基本的なベストプラクティスは、災害時にユーザーを保護し、緊急時対応のネットワークやアクセスを保護します。これには2要素認証(2FA)や多要素認証(MFA)、次世代のウイルス対策(NGAV)、エンドポイント保護(SonicWall Capture Clientなど)が含まれます。 これらを併用することで、認証情報が侵害された場合でもユーザーの身元を確認し、悪意のあるファイルが実行されたり、インストールされて社内のマシンが感染する状況が防止できます。 災害への備えを今すぐ 適切なディザスタリカバリおよび事業継続計画の策定に、今すぐ着手してください。事業や顧客、従業員、ブランドは、大惨事や自然災害によって深刻なダメージを被る可能性があり、この被害額は適切なサイバーセキュリティ、冗長性のあるネットワーク、フェイルオーバー制御に対するプロアクティブかつ責任ある投資を遥かに上回るでしょう。 災害に備えることは、危機的状況においてユーザーを保護するだけでなく、組織に対する日常的なサイバー攻撃(ランサムウェア、電子メール攻撃、暗号化された脅威、内部関係者による脅威、その他悪意のある脅威)からネットワークやデータを保護します。 この投稿は次の言語でも読むことができます。フランス語 ドイツ語 スペイン語
リモートオフィス同士の安全な接続 – コストパフォーマンスのよいファイアウォールを備えたネットワーク
ファイアウォールとサンドイッチは通常無関係ですが、先日のアリゾナ旅行ではこの両者が見事なハーモニーを奏でました。米国南西部を訪れるたびに、建設現場ばかりが増え、砂漠がいくらか減ったように感じます。 私はこの旅行中、美しい渓谷を眺めながら新たなビジネスについて考え始めていました。孤立した比較的小さなアイデアもあれば、明確に大局的な構想の一部をなすものもあります。 ランチのために立ち寄ったレストランでは、いつもの癖でワイヤレスアクセスポイントはないかと店内を見回しました。これが一種のオタク的な行動であることは自覚していますが、必ず見つかるのもですから。そこでふと考えました。この店のネットワークセキュリティはどうなっているのだろう、と。Wi-Fiを使ってデータ通信量を節約し、高速接続を楽しみたい従業員や顧客のために、どのような対策がなされているのかに興味を持ったのです。 このようなチェーン店を展開して事業を拡大していく企業では、新店舗を立ち上げ軌道に乗せるのに毎回時間と経費がかかります。主力商品(たとえば私が注文したサンドイッチ)を売るための場所と設備が必要なだけでなく、ネットワーキングについても考慮する必要があります。 それぞれの拠点からはインターネットサービスプロバイダー(ISP)だけでなく、本社とも安全に接続できなくてはなりません。適切なファイアウォールの設置が不可欠なのは言うまでもありませんが、親会社が新拠点を(その場所を問わず)迅速かつ簡単に立ち上げるためのソリューションも必要です。 中小企業やリモートオフィス向けのファイアウォール:SOHO 250およびTZ350の登場 SonicWall TZシリーズのUnified Threat Management(UTM)ファイアウォールは、小規模オフィスやホームオフィス、そしてリモートサイトを擁した分散型ネットワークに最適な製品です。このたび、このシリーズの品揃えを拡大し、2種類のモデルが新たに加わりました。それがSOHO 250とTZ350です。 新しいモデルはこれまでのTZシリーズのファイアウォールと同様、新しい拠点に必要なセキュリティおよびネットワーク機能のすべてをまとめてカバーします。どちらのモデルも、ネットワークを行き交うパケットの処理を非常に高速に行います。 これらのファイアウォールは、優れたパフォーマンスのために最適化された高速のマルチプロセッサーを備えており、暗号化および非暗号化トラフィックの両方で非常に高いディープ パケット インスペクション(DPI)スループットを実現します。 たとえば、SOHO 250では脅威対策の処理におけるスループットが現行のSOHOよりも50パーセント向上しています。TZ350はTZ300の数値を25パーセント上回る実力を持ったパワフルな機器です。 どちらにもワイヤレスコントローラーが付属し、オプションで統合型のワイヤレス接続が可能です。また、SonicWave 4×4または2×2 802.11ac Wave 2アクセスポイントを設置すれば、ワイヤレスの有効範囲を拡大できます。 ファイアウォールのゼロタッチデプロイ機能 もちろん、高速性能や安全性が新店舗の立ち上げや運営に対応してくれるわけではありませんし、店舗と本社との距離が何千キロも離れていればなおさらです。 各拠点に人員を派遣し、現地でファイアウォールの設置と設定を行えばいいのですが、それには費用と時間がかかります。理想的には、各拠点に新しいファイアウォールを送り、その店舗または営業所のスタッフに設置させてインターネットに接続。事前に定義しておいた設定を機器に流し込めばそれで完了、といきたいところです。 いくらなんでも、そんなにいい話はないと思われるでしょうか。実はSonicWallのゼロタッチデプロイ機能なら、それが可能です。 Capture Security Center(SonicWallのクラウドベースの集中管理コンソール)に含まれるゼロタッチデプロイを活用することで、リモートサイトでのファイアウォールの実装と設定を簡便化できます。 新たに設置するSOHO 250またはTZ350ファイアウォールを登録し、新拠点宛てに発送。あとは現地スタッフが電源を入れてインターネットに接続するだけで、操作・管理できる準備が整います。 それが済んだら、作成しておいた設定やポリシーをCapture Security Center経由でファイアウォールに流し込みます。なお、このCapture […]
This post is also available in: 英語 ポルトガル語(ブラジル) フランス語 ドイツ語 韓国語 スペイン語 簡体中国語