2023年現在、サイバーセキュリティは、サイバー攻撃に巻き込まれることやその被害に遭うことを避けたい人々にとって、ほとんどのケースで必要不可欠なものであり続けています。攻撃はより巧妙化し、ウクライナを含む紛争(オンラインとオフラインの同時進行で)も続いています。各国政府はサイバーへの警戒を強め、重要なインフラ(医療や教育など)を中心に戦略をまとめています。かつてないほどのオンライン上のリスクを抱えるこの時代に、インターネット利用者は2023年7月には過去最大となる50億人を超え、これは世界総人口80億人の64.5%に相当します。
ここでは、2023年のCloudflareのこれまでのブログで議論してきた攻撃とオンラインセキュリティ全般に関連する内容を、オススメする8月の読み物リストと共に紹介します。AIサービスの安全性を含む新しいトレンド、製品、取り組み、パートナーシップから、ブロックされた記録的なサイバー攻撃まで。これに関して、最近当社はAIハブ(ai.cloudflare.com)を立ち上げました。
Cloudflareは年間を通じて、お客様が攻撃を受けている間もオンボーディングを続けており、動員数が1億6200万人にまで達した2023年のユーロビジョン・ソング・コンテストのオンライン投票システムを担当するonce.net社を含む他の多くのユーザーを保護してきました。
当社のグローバルネットワーク(通称スーパークラウドは)により私たちは独自の視点をを持つことができます。Cloudflareの持つ大規模な環境もセキュリティ強化に寄与しており、最近のWAF攻撃スコアリングシステムのような機械学習を活用した予防的サービスにより、攻撃が知られる前に、あるいはマルウェアなる前に攻撃を阻止することができます。
当社は最近、世界100か国以上、300以上の都市で事業を展開し、12,000以上のネットワークと相互接続していることを公表し、現在もその規模を拡大し続けています。私たちはオンライン上のWebサイトの約20%と、数百万人のインターネットプロパティにサービスを提供しています。
攻撃は増加しています。覚悟と信頼のゲーム
まず、いくつかの背景について説明します。攻撃には様々な種類がありますが、総じて言えることとして、攻撃は増加しています。2023年第2四半期、Cloudflareは、1日平均1400億件ものサイバー脅威をブロックしました。同様のブログ記事を書いた 1年前は1240億件で、前年比13%増となりました。攻撃者は手を緩めることなく、より洗練された攻撃を増加させており、教育や医療分野などが標的にされています。
機械学習のような人工知能(AI)は新しいものではありませんが、2023年にはトレンドに入っており、特定の機能はより一般的に利用できるようになっています。そのため、詐欺手口の質が向上するだけでなく、AIハッカーに対する懸念さえも生まれています。
今年も各国政府は報告書や警告を継続的に発表しています。2022年、米サイバーセキュリティ・社会基盤安全保障庁(CISA)は、ロシアのウクライナ侵攻を受けて「シールド・アップ」構想を策定しています。2023年3月、バイデン・ハリス政権はインターネットの安全確保を目的とした「国家サイバーセキュリティ戦略」を公表しています。
英国のサイバー戦略が2022年末に発表され、今年3 月には特に国民保健サービス(NHS)をサイバー攻撃から守るための戦略が発表され、5月には英国国防省も同様の戦略を導入しました。ドイツでは新しいデジタル戦略が2022年から存在していますが、セキュリティ戦略が6月に発表されました。同様のシナリオは、日本やオーストラリアなど他の国々でも見られます。
ですが、ここではより一般的な国に関する攻撃に加え、政策や信頼のサイバーセキュリティに関連する読み物も紹介します:
ウクライナ戦争の1年:インターネットのトレンド、攻撃、耐障害性(✍️)
このブログ 記事では、ヨーロッパの戦争中におけるインターネットに関する洞察を報告するとともに、3段階にわたり攻防が繰り広げられたこの戦争の中で数々の障害が発生したにもかかわらず、ウクライナのインターネットがどのようにして耐障害性を発揮し続けているかについて論じています。
ホワイトハウスは国家サイバーセキュリティ戦略で、民間セクターにサイバー攻撃との戦いに乗り出すよう求めています。Cloudflareにはその準備があります(✍️)
ホワイトハウスは2023年3月、インターネットをオープン、フリー、グローバル、相互運用性、信頼性、安全性の高いものに維持・拡張することを目的とした国家サイバーセキュリティ戦略を発表しました。Cloudflareはこの戦略と切望されていた政策イニシアチブを歓迎し、重要なインフラの防衛に大きな役割を果たすZero Trustの必要性を強調しました。同月、Cloudflareは2023年民主主義サミットへのコミットメントを発表しました。また、これらのイニシアチブに関連してCloudflareは、2022年3月には独自の重要インフラ防衛プロジェクト(CIDP)、2022年12月にはProject Safekeepingを開始し、オーストラリア、日本、ドイツ、ポルトガル、英国の特定の適格な機関に対してZero Trustソリューションを提供しています。
デフォルトで安全:CISAの最新ガイドからの推奨事項と、Cloudflareがどのようにこれらの原則に従ってお客様の安全を確保しているか(✍️)
この2023年4月の投稿では、複数の国際機関(米国、英国、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランド)が共同で執筆した最近発表されたガイドの焦点であった「デフォルトで安全」の態勢と勧告についてレビューしています。端的に言えば、あらゆる種類のツール、機械学習、デフォルトで安全な設計アプローチ、そしていくつかの原則を使うことが非常に重要となります。
プロジェクト・ガリレオの9年間とこの1年の変化(✍️)+ プロジェクト・ガリレオ・レポート (✍️)
2023年6月のプロジェクト・ガリレオ9周年では、手頃な価格で使用できるサイバーセキュリティ・ツールを提供し、最も脆弱とされるコミュニティの保護から得た教訓を共有することに焦点が当てられました。また、プロジェクト・ガリレオの導入事例や、プロジェクト・ガリレオが教育・健康、文化、退役軍人サービス、インターネットアーカイブ、調査報道などの分野に、どのような変化をもたらしたかも紹介しています。Cloudflare Radar Project Galileoのレポートも公開しており、その中には注目すべきポイントがいくつかあります:
- Cloudflareは、2022年7月1日から2023年5月5日までの間にプロジェクトGalileo保護対象組織への攻撃200億件を軽減。過去10か月を平均すると1日あたり約6,770万件のサイバー攻撃を軽減。
- LGBTQ+の組織において、過去10か月間で1日平均79万件の攻撃(その大半がDDoS攻撃に分類される)の緩和を確認。
- 市民社会団体を標的にした攻撃は概して増加。ある団体を狙った攻撃を分析したところ、リクエスト量は毎秒66.7万件にも上った。この時期の前後に、この団体へのアクセスはほとんどなかった。
- ウクライナでは、緊急対応や災害救援を提供する団体へのトラフィックが急増し、10か月間にわたる同国への爆撃と重なっている。
Project Cybersafe Schools:米国の小規模な幼稚園から高校まで(K-12)の学区に無料のセキュリティツールを提供(✍️)
Cloudflareは2023年8月より、小規模な幼稚園から高校まで(K-12)の公立学区を対象としたイニシアチブであるProject Cybersafe Schoolsを導入しています。8月7日にホワイトハウスで開催されたBack to School Safely:K-12 Cybersecurity Summitの一環として発表されたProject Cybersafe Schoolsは、対象となるK-12公立学区をZero Trustのサイバーセキュリティソリューションパッケージで、無償かつ無期限でサポートするものです。2023年第2四半期、Cloudflareは米国の教育セクターを標的としたサイバー脅威を1日平均7000万件ブロックしており、DDoS攻撃は前四半期比で47%増となっています。
プライバシーに関する懸念はオンラインセキュリティとも密接に関係しています。このトピックについては今年初め、データプライバシーを保護するためのセキュリティへの投資に関連してさらに詳しく説明しています。また、Cloudflareは新しいEUにおけるクラウド行動規範のプライバシー検証も達成しています。
1. DDoS攻撃 & ソリューション
2023年第2四半期DDoS脅威レポート(✍️)
DDoS攻撃(分散型サービス妨害)は新しいものではありませんが、依然として攻撃者が使用する主要なツールの1 つになっています。2023年第2四半期、CloudflareはDDoS攻撃の高度化がかつてないほどエスカレートしていることを確認しており、当レポートでは、この現象について掘り下げています。親ロシア派のハクティビストであるREvil、Killnet、Anonymous Sudanが手を組んで西側のサイトを攻撃しています。Mitelの脆弱性を悪用した攻撃は532%急増し、暗号資産への攻撃は600%急増しました。また、より広範に見ると、3時間を超える攻撃は前四半期比で103%増となっています。
このブログ記事と対応するCloudflare Radarレポートでは、これらの傾向の一部を明らかにしています。一方、2023年第1四半期DDoS脅威レポートにあるように、仮想専用サーバー(VPS)で構成される新世代のボットネットを活用した超帯域幅消費型攻撃の急増が観察されました。
KillnetとAnonymousSudanのDDoS攻撃がオーストラリアの大学Webサイトを攻撃し、さらなる攻撃の恐れがあります。何をすべきかは、こちら(✍️)
2023年3月下旬、Cloudflareはオーストラリアの大学のWebサイトを標的としたHTTP DDoS攻撃を観測しました。親ロシア派ハッカーグループKillnetとその関連団体AnonymousSudanが公に標的としたいくつかの団体のうち、大学は、最初の標的でした。この記事では、こうした組織的グループによる標的型攻撃の傾向だけでなく、具体的な推奨事項も示しています。
1 月には、ホロコーストに関する教育Webサイト(Cloudflareのプロジェクト・ガリレオが保護)に対するサイバー攻撃が増加したという同様の事例が見られました。
標的型DDoS攻撃を受ける医療機関が急増(✍️)
2023年2月初旬、Cloudflareを含む他の情報源は、Killnetを名乗る親ロシア派のハクティビストグループに標的とされる医療機関が増加していることを確認しました。このような攻撃から身を守るために、私たちの助けを求める組織が増加しました。Cloudflareによってすでに保護されている医療機関では、HTTP DDoS攻撃が緩和されました。
Cloudflareが1秒あたり7,100万件のリクエストを送信する記録的なDDoS攻撃を軽減(✍️)
また2月上旬には、Cloudflareは数十件(うち1件は記録的なものになりました)の超帯域幅消費型(DDoS)攻撃を検知、緩和しています。攻撃の大部分はピーク時に概算5,000万~7,000万リクエスト/秒(rps)で、最大で71Mrpsを超えるものもありました。これは、報告されたHTTP DDoS攻撃の中では過去最大のもので、2022年6月に報告された46Mrpsの記録を54%以上上回ったことになります。
SLP:野生の新しいDDoS増幅ベクター(✍️)
2023年4月のこのブログ記事では、SLPプロトコル(サービスロケーションプロトコル)を利用した新型の反射型DDoS攻撃(アンプ攻撃)ベクトルの発見に関する研究者らの発表内容について説明しています。SLPベースのDDoS攻撃も増加すると予想されますが、当社の自動化されたDDoS攻撃対策システムはCloudflareのお客様を安全に保ちます。
さらに今年4月には、新しく改良されたネットワーク分析ダッシュボードが導入され、セキュリティ専門家にDDoS攻撃とトラフィックの状況についての洞察を提供しています。
2. アプリケーションレベルの攻撃 & WAF
2023年アプリケーションセキュリティの状況(✍️)
私たちは2年連続でアプリケーション・セキュリティ・レポートを発表しています。Cloudflareはこの1年で上位100万サイトの中で最もよく使用されるWebサーバーベンダー(現在、市場シェアは22%)へと成長しました(Netcraft調べ)。いくつかのハイライトを以下に示します:
- 1日あたりHTTPリクエスト(Cloudflareネットワークによってプロキシされる)の平均6%を軽減。昨年比で2ポイント低下。
- 軽減されたトラフィック全体うちDDoSに関するものは50%以上を占め、依然としてレイヤ7(アプリケーション層)の軽減されたHTTPリクエストの最大の要因となっている。
- しかし、Cloudflare WAF(Webアプリケーションファイアウォール)による軽減件数は前年比で大幅増となっており、現在では軽減されたリクエストの約41%を占めている。
- HTTP異常(例:不正なメソッド名、ヘッダー内のNULLバイト文字など)は、WAFが最も頻繁に緩和するアプリケーション層の攻撃ベクトルとなっている。
- HTTPトラフィックの30%が自動化されたもの(ボットトラフィック)である。動的(キャッシュ不可)なトラフィックの55%はAPI関連である。世界のAPIトラフィックの65%はブラウザによって生成されている。
- 未検証のボットHTTPトラフィックの16%が軽減される。
- HTTP異常は、SQLi (データ駆動型アプリを攻撃するために使用されるコードインジェクション技法)を上回り、APIエンドポイント上で最も一般的な攻撃ベクトルとなっている。ブルートフォースによるアカウント乗っ取り攻撃が増加。また、Microsoft Exchangeに対する攻撃件数はWordPressを上回る。
Cloudflareが、アプリに到達する前にマルウェアを阻止する方法(✍️)
2023年4月、私たちは当社のWebアプリケーションファイアウォール(WAF)と統合されたコンテンツスキャンエンジンを提供しました。これは、エンドユーザーによってアップロードされる悪意のあるファイルが、そもそもオリジンサーバーに到達することを防ぐもので、アプリケーションセキュリティチームの負担を軽減します。2022年9月以降、Cloudflare WAFはよりスマートになり、攻撃が知られる前に防ぐことができるようになりました。
Businessプランのお客様向けにWAF Attack Score LiteとSecurity Analyticsを発表(✍️)
2023年3月、私たちは当社の機械学習で強化されたWAFとセキュリティ分析ビューをBusinessプランのお客様に提供し、攻撃が判明する前に検出して阻止できるようになったことを発表しました。一言で言うと「早期発見 + 強力な緩和 = より安全なインターネット」と表現できます。または:
early_detection = True
powerful_mitigation = True
safer_internet = early_detection and powerful_mitigation
3. フィッシング(Area 1およびZero Trust)
組織に侵入する主な手段は依然としてフィッシングが利用されています。CISAによると、サイバー攻撃の90%はフィッシングから始まっているとされています。FBIが発行するインターネット犯罪報告書の最近のものでは、フィッシングがインターネット犯罪のトップ5の1位に君臨し続けています。報告されたフィッシング犯罪件数および被害額は2018年から1038%増となっており、2022年には300,497件に達するまでになっています。また、FBIはビジネスメール詐欺を組織が直面する430億ドルの問題として言及し、2022年には苦情が2021年と比較して127%増となり、関連損失は33億1,000万ドルに達するまでになっています。
2022年、Cloudflare Area 1は23億通の迷惑メッセージをお客様の受信トレイから排除しました。今年、この数字は簡単に上回ることが予測されます。
「Cloudflareの2023年フィッシング脅威レポート」のご紹介(✍️)
2023年8月、Cloudflareは初のフィッシング脅威レポートを発行しました。レポートの全文はこちらで公開しています。このレポートは、2022年5月から2023年5月までのメールセキュリティデータを基に、主要なフィッシングの傾向の調査結果とそれに関する推奨事項を掲載したものになっています。
レポートでは、欺瞞的なリンクを使用する攻撃者がフィッシング手口の第1位となった理由、クリックさせる方法やリンク先を武器化するタイミングの進化の内容などを取り上げています。また、個人情報の詐取は複数の形態(ビジネスメール詐欺(BEC)や企業・ブランド偽装を含む)の手口で行われること、標準的なメール認証は簡単にバイパスできることなども取り上げています。
Cloudflare Area 1がSOC 2レポートを取得(✍️)
1年以上前、CloudflareはArea 1 Securityを買収し、それに伴い、Cloudflare Zero Trustプラットフォームにユーザーの受信トレイに攻撃が到達する前に攻撃を特定しブロックするクラウドネイティブなメールセキュリティサービスを追加しました。今年、私たちは、お客様が当社に送信する機密情報の安全性を保証する最善の方法の1つであるSOC 2 Type IIレポートを取得しました。
メールリンク分離:最新のフィッシング攻撃に対するセーフティネット(✍️)
CIO Week中の1月、私たちはすべてのお客様に「メールリンク分離」をご利用いただけるようにしました。メールリンク分離は、受信トレイに届く不審なリンクや、ユーザーが誤ってクリックしてしまう可能性のあるリンクに対するセーフティネットです。この保護機能が追加されたことで、Cloudflare Area 1はマルウェアやフィッシング攻撃などから保護する最も包括的なメールセキュリティソリューションとなりました。また、Cloudflareらしく、ワンクリックによる導入が可能です。
さらに、同じ週から、Cloudflareは企業のメール向けにArea 1 Email Securityとデータ損失防止(DLP)の機能を統合した完全なデータ保護を提供しました。また、フィッシング攻撃を回避するためのリアルタイムのセキュリティコーチングを組織に提供するKnowBe4との提携も実現しています。
フィッシングから身を守るには(✍️)
フィッシング攻撃は、人々を騙すためにあらゆる手法を仕掛けてきます。この高度な「フィッシング」ガイドでは、メールが最も一般的であることは間違いありませんが、その他存在する様々なタイプについても説明し、これらの詐欺に巻き込まれる前に気付くための注意すべきポイントを提供しています。
最もフィッシング攻撃されやすいブランド上位50件と、フィッシングから社員を守るために使える新しいツール(✍️)
ここでは、ほぼすべてのセキュリティチームが常に直面している最も困難な課題の1つである、フィッシング攻撃の検知、ブロック、リスク軽減について説明しています。 3月のSecurity Weekでは、フィッシング攻撃で最もなりすまされているブランドのトップ50(ネタバレ注意:AT&T Inc.、PayPal、Microsoftがランクイン)を発表しています。
さらに、いわゆる「紛らわしい」ドメインを自動的に識別してブロックするフィッシング対策の利用をCloudflare Oneのお客様に拡大することも発表しました。Cloudflare Oneは企業の既存環境に統合するカスタマイズ可能なZero TrustのNetwork as a Serviceを提供する製品スイートです。すでに述べたような使いやすさと、オンライン利用の不安を取り除くように設計されています。Cloudflare Oneと物理的なセキュリティキーの使用により、昨年夏にCloudflareの従業員を標的とした巧妙な「Oktapus」フィッシング攻撃を阻止しました。
Zero Trustについては、「Cloudflare Zero Trust:高リスク組織のためのロードマップ」と題した最近のPDFガイドも合わせてご覧ください。
4. AI/マルウェア/ランサムウェア & その他のリスク
私たちは過去数年にわたり、脅威を調査するCloudflareのセキュリティセンターの役割や、2022年と2021年の「標的型ランサムウェア攻撃の解剖」、「フォーチュン・グローバル500社を狙ったランサム型DDoS 攻撃」のようにさまざまなタイプのリスクの関連性を示してきました。しかし、2023年の進む先には新たなリスクが待ち受けています。
生成AIアプリケーションを安全に保つ方法(✍️)
画期的なテクノロジーは相応の課題をもたらします。Cloudflareは世界最大級のAIアプリを保護した経験があり、このブログ記事では生成AIアプリを保護するためのヒントとベストプラクティスを紹介しています。消費者向けアプリの成功は、本質的に基盤となるAIシステムを何百万人ものユーザーにさらすことになり、潜在的な攻撃対象領域が大幅に増加します。
Cloudflareのグローバルネットワークの力を活用し、機械学習を用いて悪意のあるドメインを検出する(✍️)
ここでは、大混乱を引き起こす前に脅威を防ぐという目的を念頭にCloudflareが最近開発した機械学習やその他の高度な分析技術を活用した独自のモデルについて説明します。これは、インターネットの電話帳として知られるドメインネームシステム(DNS)を利用したセキュリティ脅威を検出します。
Silicon Valley銀行のお客様を狙う巧妙な詐欺師やフィッシャーの手口とは?(✍️)
信頼関係を侵害し、無防備な被害者を騙すために、脅威行為者は最新のニュースをネタとして多用します。今年初めのシリコンバレー銀行に関するニュースは、SVBを誘い文句にした日和見的なフィッシングキャンペーンに注意し、警戒する必要がある最新の出来事の1つでした。当時、Cloudforce One(Cloudflareの脅威オペレーション・調査チーム)は、SVBのデジタル・プレゼンスに焦点を当てたブランド監視を大幅に強化しました。
Cloudflareが、アプリに到達する前にマルウェアを阻止する方法(✍️)
2023年4月、Cloudflareは当社のWebアプリケーションファイアウォール(WAF)と統合されたコンテンツスキャンエンジンの提供を開始しました。これは、エンドユーザーによってアップロードされる悪意のあるファイルが、そもそもオリジンサーバーに到達することを防ぐもので、アプリケーションセキュリティチームの負担を軽減するツールです。
Cloudflare Radar URL Scannerを使って、どんなURLでも安全に分析する(✍️)
Cloudflare Radarは、インターネットの状況を把握できる当社の無料プラットフォームです。3月には、誰でも安全にURLを分析することができるURLスキャナを発表しました。作成されるレポートには、フィッシングスキャンを含む無数の技術的詳細が記されます。多くのユーザーがセキュリティ上の理由から使用していますが、ある一定のユーザーはWebページの裏側を探るために使用しています。
2022年に最も悪用された脆弱性を明らかに(✍️)
最後に、このブログ記事では2023年8月より、サイバーセキュリティ・社会基盤安全保障庁(CISA)による最も一般的に悪用される脆弱性に焦点を当てています。Cloudflareがインターネットの大部分に対するリバースプロキシとしてのの役割を担っていることを踏まえ、CISAが言及した共通脆弱性識別子(CVE)がインターネット上でどのように悪用されているか、これまでに得られた知見を詳しく掘り下げます。
Google Analytics 4、Facebook CAPI、TikTokなどのサードパーティ製ツールを読み込みながら、Webサイトをよりセキュアに(かつ高速に)する方法について知りたい方は、当社のCloudflare Zarazソリューション(2023年7月に一般提供を開始)をご利用ください。
まとめ
「インターネットは当初、現在のような状況を想定して構築されたものではありませんでした。」
これはCloudflareのS-1文書のあるセクションの冒頭部分です。また、私たちのブログでは、この驚くべき実験であるネットワークのネットワークが、いかに現在の私たちの日常生活や仕事で果たす役割を想定して設計されていなかったかを示すための参考として何度か利用しています。誰もが攻撃や脅威、脆弱性の標的になり得る時代において、セキュリティ、パフォーマンス、プライバシーは極めて重要です。AIは攻撃を軽減するのに役立つ一方で、攻撃者の戦術をより複雑なものにもします。
このことを念頭に置いて、この2023年の読み物リストの提案/オンライン攻撃ガイドでもお伝えしたように、有害な攻撃による被害を防ぐことを優先することは、依然として最適な戦略です。うまくいけば、あなたの会社に対する攻撃のいくつかが気づかれずに済んだり、被害から免れたり、セキュリティダッシュボードで共有できる興味深いストーリーに変わるかもしれません。
具体的な事例についてさらに知りたい方は、ハブの中のケーススタディを探ることで、Sageのようなテクノロジー企業から、アリゾナ州、エストニア国家情報システム庁、さらにはサイバーセキュリティニュースメディアのCybernewsまで、さまざまな機関のセキュリティ関連の記事を見つけることができます。
また、私たちはプライベートでセキュアなインターネットの未来についても考えており、2022年3月にCloudflareがすべてのお客様に対してポスト量子暗号のサポートを可能にしたことは特筆すべきことでしょう。量子コンピュータの脅威に対して安全であるように設計されたポスト量子暗号についてのトピックは非常に興味深いものとなっているため是非お読みいただくことをお勧めしますが、量子暗号に対する知識の無い方も、保護がすでにここにあることを知っていただくだけでも良いことです。
前述のいくつかのセキュリティ機能を試したい方は、Cloudflare Security Center(Freeプランを含む)から始めることをお勧めします。同様に、セルフサービスで利用できるZero Trustのエコシステム(または当社のSASE -Secure Access Service Edge- であるCloudflare One)から始めることもお勧めします(こちらもFreeプランを含む)。このベンダー非依存型のロードマップは、Zero Trustアーキテクチャの一般的な利点を示しており、これまで見てきたような高リスクの組織に焦点を当てたものもあります。
用心すること。準備すること。安全であること。