2022年現在、サイバー攻撃に巻き込まれ、対処が困難な事態になることを避けたい人にとって、サイバーセキュリティ対策は欠かせないものになっています。また、ヨーロッパ(ウクライナ)での戦争が依然として続いており、2022年初頭には49億5000万人、世界の総人口の62.5%を占めているように(推計では2021年に約4%、2020年に7.3%成長)、過去に例を見ないほど多くの人々がネットに繋がったこの時代に、サイバー戦争も止まる気配がありません。
私たちCloudflareは新たに、大小さまざまなサイバー攻撃を長年にわたって防ぎ、軽減し、常に学習してきた方法に焦点を当てた製品、ソリューション、イニシアチブを、この1年を通して発表してきました。現在、当社では、1日に平均1240億件ものサイバー脅威をブロックしています。攻撃を対処すればするほど、阻止する方法を知ることができ、新たな脅威を発見し対処することが容易になります。そしてお客様は当社が守っていることを意識することが無くなります。
2022年には、攻撃を受けている多くのお客様に対して過去から学んだ内容(Wikimedia/WikipediaやEurovisionは多くの事例のうちの2つに過ぎず、昨年には、当社が書いたFortune Global 500企業の例があります)についてオンボーディングしてきました。最近ではSMSフィッシング攻撃に対処し、その概要についての説明も行いました。
オンライン上のWebサイトの約20%にサービスを提供し、270都市以上(最近ではグアムにも進出)のグローバルネットワークを利用して、何百万ものインターネットプロパティや顧客にサービスを提供していることも大きな役割を担っています。例えば、22年第1四半期、Cloudflareは1日平均1170億件ものサイバー脅威をブロックしました(これは前四半期を遥かに凌ぐものです)。
8月に入り、北半球では多くの人が夏休みを楽しんでいる今、サイバー攻撃に焦点を当てた総括的な読み物リストを作成し、これまで以上に関連性の高いこの分野に関するいくつかの2022年の指針を示します。
戦争 & サイバー戦争:増加する攻撃
まずは、いくつかの背景を説明します。攻撃にはさまざまな種類のものがありますが、全般的に増加傾向にあり、2022年第2四半期におけるDDoS攻撃に関する当社のデータをいくつか紹介すると、アプリケーション層への攻撃は前年同期比72%増、ネットワーク層へのDDoS攻撃は前年同期比109%増となっています。
アメリカ政府は、ウクライナでの戦争が始まった後の3月に、ウクライナ全土だけでなく、同盟国やパートナーに対しても「サイバーセキュリティを強化する」必要性への認識を高めるよう「警告」を発しています。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「ロシアのウクライナ侵攻が地域内外の組織に影響を与える可能性がある」として、Shields Upイニシアチブを作成しました。英国や日本なども、警告を発しました。
そこで、以下に2つの最初の攻撃に関する、より一般的な読み物リストを提案します:
シールドアップ:サイバー対策を向上させるCloudflareの無料サービス(✍)戦争が開始され、各国政府が警告を発表した後、私たちはこの無料のCloudflareサービスサイバー対策の総括的なブログを投稿しました。読者がベテランのITプロフェッショナルであっても、Webサイト運営の初心者であっても、DDoS軽減やチームまたは個人的なデバイス(電話からルーターまで)の保護など、Webサイト、アプリ、またはAPI向けの様々なサービスについて見ることができます。もしこれに共感いただけるのであれば、ITおよびセキュリティチームのZero Trustの採用を簡素化するための、こちらのコラボレーションの発表「CrowdStrikeのエンドポイントセキュリティとCloudflareのZero Trust Servicesの出会い」も役に立つかもしれません。
ウクライナ内外の脆弱者グループをオンライン状態に維持するために何が必要か(✍️)このブログ記事は、人権、ジャーナリズム、NPO公益団体や団体を支援してきた当社のプロジェクトGalileoの8周年に焦点を当てたものです。開戦以来(多くは攻撃されながら)ウクライナに関連する十数件におよぶ組織にオンボードを行ってきたことなど、この1年の傾向を紹介します。2021年7月から2022年5月の間に、私たちは1日平均約5790万件ものサイバー攻撃をブロックし、これは合計180億件の攻撃で昨年から10%近くの増となります。
Galileoによって保護されている組織に対する攻撃手法に関しては、軽減されたリクエストのうち最大の割合(28%)が「HTTP異常」に分類されたもの、20%がSQLインジェクションまたはSQLiの試行(データベースを標的にしたもの)にタグ付けされたもの、約13%が特定のCVE(一般に公開されているサイバーセキュリティの脆弱性)を悪用しようとするものでした — Spring4Shellの脆弱性、Log4j、Atlassianの脆弱性などの詳細な情報はこちらから確認できます。
それでは、前置きはここまでにして、ここでは4つの主要トピックに関するブログ記事を紹介する読み物リスト/攻撃ガイドの全貌をご覧いただきます。
1. DDoS攻撃 & ソリューション
これまでで最も強力なボットネットであるMantis。
Cloudflareが1秒あたり2600万件のリクエストを送信するDDoS攻撃を軽減(✍️)分散型サービス拒否(DDoS)は、基本的な状態ベースの攻撃であり、私たちはこれを自動的に検知・軽減してきました。どの国から発せられたかは関係なく、ボットは世界中に存在しており、このブログの記事では、これらの攻撃の規模に関する具体的な例をご覧いただけます(このケースでは、Cloudflareの無料プランを使用しているお客様のWebサイトが攻撃対象になっています)。私たちは、この史上最強のボットネットを、Mantisと名付けました。
とはいえ、サイバー破壊行為などの攻撃のほとんどが小規模なものですが、私たちはその小さな攻撃でも保護されていないインターネットプロパティに深刻な影響を与える可能性があるということも説明しています。
2022年第2四半期のDDoS攻撃の動向(✍)アプリケーション層(72%)とネットワーク層(109%)の攻撃が前年比で増加していることはすでに述べましたが、後者では100 Gbps以上の攻撃が前四半期比で8%増、3時間以上継続する攻撃は前四半期比で12%増となっています。また、こちらでは、2022年第2四半期にDDoS攻撃の標的となったのはウクライナの放送メディア企業だったというような興味深い傾向も見ることができます。実際、最も攻撃を受けた上位5業種は、すべてオンライン/インターネットメディア、出版、放送の分野でした。
CloudflareのFreeプランをご利用のお客様も、リアルタイムのDDoSアラートの取得が可能に(✍️)DDoSは、お客様のオンラインビジネスを妨害しようとするサイバー攻撃で、あらゆるタイプのインターネットプロパティ、サーバー、ネットワーク(VoIPサーバー、UDPベースのゲームサーバー、HTTPサーバーに依存しているかどうかにかかわらず)で使用することが可能です。と言うこともあり、当社のFreeプラン では、当社が自動的に検知し緩和したHTTP DDoS攻撃について、リアルタイムのアラートを受け取ることができるようになりました。
Cloudflareの利点の1つは、当社のすべてのサービスや機能が連携して、お客様のWebサイトを保護し、パフォーマンスを向上させることができる点です。当社のスペシャリストであるOmer Yoachimikが、Cloudflareの無料アカウントを活用する(そしてDDoS攻撃に対処するために設定を効率化する)ための次のトップ3のヒントを紹介しています:
CloudflareをあなたのWebサイトのフロントに置く:
お客様のWebサイトをCloudflareにオンボードし、すべてのHTTPトラフィックがCloudflareを経由することを確認します。オリジンサーバーをロックダウンしてCloudflare IPsからのトラフィックのみを受け入れるようにします。
Cloudflareの無料セキュリティ機能を活用する
DDoS攻撃対策:これはデフォルトで有効になっており、必要に応じて、デフォルト値が異なるルールに対して、アクションをBlockにオーバーライドすることも可能です。
セキュリティレベル:この機能は、IPレピュテーションの低いIPアドレスから発信されたリクエストに対して、自動的にチャレンジを発行します。「中」以上に設定されていることを確認してください。
悪質なボットをブロック:Cloudflareの無料枠であるボット対策は、計算コストのかかるチャレンジを発行することで、単純なボット(クラウドASNからのもの)やヘッドレスブラウザを撃退することができます。
ファイアウォールルール:カスタムファイアウォールルールを5つまで無料で作成でき、受信を望まないトラフィックをブロックしたり、チャレンジしたりすることができます。
マネージドルールセット:カスタムルールに加えて、Cloudflareの Free Managed Rulesetを有効にすることで、影響の大きい広範な脆弱性から保護します。
コンテンツをクラウドに移行する
Cloudflareネットワークで可能な限り多くのコンテンツをキャッシュします。オリジンにヒットするリクエスト(望ましくないトラフィックを含め)が少ないほど良いです。
2. アプリケーションレベルの攻撃 & WAF
アプリケーションのセキュリティ:Cloudflareの考え方(✍️)CloudflareのHTTPトラフィックは全体の約8%が軽減されていることをご存知ですか?これについては、このアプリケーションの一般的な傾向に関する2022年3月のブログ記事で説明しています。これは、全体で毎秒約250万件のリクエストが当社のグローバルネットワークによって緩和されており、当社のキャッシュやオリジンサーバーに到達しないため、お客様の帯域と計算能力が良質なトラフィックにのみ使用されることを意味します。
またここでは、最も緩和されたトラフィックソース — レイヤ7 DDoSルールとカスタムWAF(Webアプリケーションファイアウォール)ルールを上位に表示と— 最も一般的な攻撃についても確認することができます。その他のハイライトとしては、当時、私たちが確認したHTTPトラフィックの38%が自動化されていたこと(実際にはもっと低く31%、現在のトレンドはRadarで見ることができます)、前述(Galileoについて)のSQLiはAPIエンドポイントで最もよく見られる攻撃ベクトルであることなどが挙げられます。
WAFをすべての人に:深刻な脆弱性からWebを保護(✍️)このブログ記事は、「より良いインターネットの構築を支援する」というCloudflare のミッションと密接に関連する発表であり、コストをかけずに一定レベルの保護を提供することも含まれています(攻撃の防止と緩和の向上にもつながります)。そこで、3月よりすべてのFREEゾーンでデフォルトで動作するCloudflare WAF Managed Rulesetを無償で提供しています。
このトピックでは、12月にすべての有料プランにPage Shieldの機能(先月には、Page Shieldの悪質コード警告をより実用的なものにしました)を提供した際に触れたように、CIOやセキュリティ専門家が懸念するクライアント側のセキュリティ脅威の数も増加しています。もう1つの例は、ブリティッシュ・エアウェイズやチケットマスターなどの大企業に影響を与え、どちらのケースもGDPRから多額の制裁金が科された結果となったMagecart-Style攻撃をどのように検出したかと言うことです。
3. フィッシング(Area 1)
Area 1を買収した理由(✍)フィッシングは、依然として組織を侵入する常套手段となっています。CISAによると、サイバー攻撃の90%はフィッシングから始まっていると言います。また、FBIは最近の報告書で、ビジネスメール詐欺を組織が直面する430億ドル規模の問題として取り上げています。
Cloudflareは2月下旬、高度な電子メール攻撃やフィッシングキャンペーンに対抗する組織を支援するために、Area 1 Securityの買収に合意したと発表しました。当社のブログ記事では、「Area 1のチームはメールベースのセキュリティの脅威からビジネスを保護するために、卓越したクラウドネイティブテクノロジーを構築してきました」と説明しています。そして、その技術と専門知識が当社のグローバルネットワークと統合され、お客様に最も完全なZero Trustセキュリティプラットフォームを提供することができるようになったのです。
高度なフィッシング詐欺のからくりと、それを当社がどう阻止したか(✍️)メッセージの中身は?従業員やシステムを狙った巧妙な攻撃の可能性。Twilioは2022年8月8日、標的型SMSフィッシング攻撃による侵害を受けたことを公表しました。また、Cloudflareの従業員を標的とした、非常に類似した特徴を持つ攻撃も確認されています。ここでは、ほとんどの組織が侵入を許してしまう可能性があった攻撃を、Cloudflare One製品と物理的なセキュリティキーを使ってどのように阻止したかについて、概要を説明しています。また、他の企業でも同じ対処ができるように解説しています。Cloudflareのシステムが危険にさらされたことはありません。
当社のCloudforce Oneの脅威インテリジェンスチームが攻撃を解析し、攻撃者の追跡を支援しました。
メールリンクのブラウザ分離で最新のフィッシング攻撃を阻止(✍️)なぜ人は悪意のあるリンクを未だにクリックしてしまうのでしょうか?多くの人が(「人間はヒューマンエラーを起こすもの」)と考える以上に、人は簡単にクリックしてしまっているようです。ここでは、エンドユーザーが暗黙のうちに信頼し、脅威者がその信頼する性質を利用しているアプリケーションである「電子メール」の保護なしに、現在の組織が真の意味でZero Trustのセキュリティ体制をとることができない理由を説明します。
Area 1を当社の広範なZero Trustスイートに統合する取り組みの一環として、Cloudflare Gatewayのお客様は、メールリンクに対してリモートブラウザ隔離を有効にすることができます。これにより、現代のマルチチャネルの電子メールベースの攻撃から比類ないレベルの保護を提供します。また、メールゲートウェイをCloudflare Area 1に置き換える方法についてもご覧ください。
アカウントの乗っ取りについては、2021年3月に、自社のアプリケーションでアカウント乗っ取りを防止する方法を説明しました(フィッシング側では、当時、すでに顧客として、当社はArea 1を利用していました)。
また昨年から、パスワードセキュリティ(およびパスワードの再利用の問題)における我々の研究をこちらで(技術的に)紹介しています。OPAQUEというパスワード関連の新しいプロトコル(2022年1月にそれに関する新しいデモを追加しています)があり、我々の研究チームが高揚している秘密を蓄積するのに役立ちます。
4. マルウェア/ランサムウェア & その他のリスク
Cloudflare SecurityがZero Trustを実現する仕組み(✍)セキュリティはこれまで以上にエコシステムの一部となっており、堅牢であればあるほど、攻撃を回避または軽減する上で効率的です。Cloudflare One weekのブログ記事では、このエコシステム(この場合は当社のZero Trustサービス内)が、マルウェア、ランサムウェア、フィッシング、コマンド & コントロール、シャドーIT、その他のインターネットリスクをすべてのポートやプロトコル上で保護する方法について説明しています。
2020年以降、私たちはCloudflareのエッジから直接マルウェアを検出・防止することに焦点を当てたCloudflare Gatewayの提供を開始しています。最近では、新しいCASB製品(職場ツールの保護、アクセスのパーソナライズ、機密データの保護)も含めています。
標的型ランサムウェア攻撃の「解剖図」(✍)ランサムウェアの攻撃は、被害者にとってどのようなものか:
「最も重要なシステムの動作が突然停止したとします。そして、システムを再び機能させるのと引き換えに誰かが身代金を要求してきたところを想像してみてください。あるいは、何者かがDDoS攻撃を仕掛け、それを止めさせるために身代金を要求してきとします。これがランサムウェアや身代金要求型DDoSの世界です。」
ランサムウェア攻撃は増加し続けており、近い将来に減速する兆候すら見られません。1年以上前もそうでしたが、2022年3月の上院委員会の報告書によると、このブログ記事が書かれてから現在も継続しており、対前年比で105%増となっています。また、ランサムウェア攻撃の性質は変化しています。ここでは、身代金型DDoS(RDDoS)攻撃がどのように行われているか、CloudflareがFortune 500の顧客をオンボーディングして標的から保護する方法、そして前述のウイルス対策を備えたゲートウェイがそれにどのように役立つかについて説明します。
また、Ransomware as a Service(RaaS )モデルでは、現在経験の浅い脅威者が手を出すことがさらに容易になっていることも示しています(「RaaSは本質的に、犯罪者がマルウェア作者からランサムウェアをレンタルできるフランチャイズです」)。また、お客様とお客様の組織が安全であるために役立つ一般的な推奨事項をいくつか紹介します。是非リンクをクリックしてご覧ください。
常に2FAを(特にリモートアクセスのエントリーポイントで)使用する。これには、Cloudflare Accessが大いに役立ちます。
重要なシステムとデータのバックアップを、オンサイトとオフサイトの両方で冗長的に維持する
Cloudflare Gateway + AVを使用して悪意のあるドメインを監視・ブロックする
Cloudflare RBIを使用してWebブラウジングアクティビティをサンドボックス化して、ブラウザでの脅威を隔離する
Cloudflareのセキュリティセンターを使用して脅威を調査(✍️)ここではまず、Cloudflare Security Center内にある、すべてのお客様が当社のインテリジェンスを直接照会し、セキュリティワークフローを合理化し、フィードバックのループを強化する新しい脅威調査ポータルサイト、_Investigate_を発表します。
これは、グローバルかつ深い視野を持ち、何百万ものインターネットプロパティを攻撃から守っている私たちだからこそ可能なことです(無料プランは、このような洞察力を得るのに役立ちます)。そして、攻撃から収集したデータで機械学習モデルを訓練し、当社のネットワークセキュリティ製品とアプリケーションセキュリティ製品の有効性を高めます。
ウクライナ、ベラルーシ、ロシアにおけるCloudflareのサービスに関して取った措置(✍)ワイパー型マルウェア攻撃(感染したコンピュータを消去することを目的とする)と呼ばれるものが出現しています。このブログ記事では、特に、ウクライナでワイパー型マルウェア(政府機関や大手銀行をオフラインに陥れた)が確認された当時、当社のお客様が確実に保護されるようZero Trust製品をうまく適応させた方法について説明しています。これらの保護には多くのウクライナの組織が含まれており、(多忙な1年を過ごしたプロジェクトGalileoの下で)当社のすべてのお客様が自動的に利用できるようになりました。最近では、衛星通信のViasatもこの攻撃の影響を受けました。
ZarazはWorkersを使って第三者ツールを安全かつ高速に(✍️)Cloudflareは、2021年12月、サードパーティツールのクラウドローディングを可能にするためにZarazを買収したことを発表しました。攻撃とは関係ないように見えますか?思い返してみてください(これは、すでに述べたセキュアなエコシステムに戻ります)。こちらから、特にサードパーティのスクリプトをオフロードすることでZarazがお客様のWebサイトをより安全に(そしてより速く)する方法を学ぶことができます。
これにより、問題や攻撃の回避が可能になりました。これはどのことを指しているのでしょうか?コードが改ざんされてしまうことから、サードパーティに送信されるデータが制御不能されてしまうことまで。私の同僚である Yo'av Mosheが、このソリューションが防ぐものについて詳しく説明しています。「サードパーティのスクリプトは、意図するかしないかに関わらず(ハッキングされることによって)、クレジットカード番号や個人識別情報(PII)など、収集すべきでない情報を収集することができてしまいます」。これらは絶対に避けなければなりません。
Cloudforce Oneの紹介:新しい脅威オペレーション・調査チーム(✍️)当社の新しい脅威オペレーション・調査チームであるCloudforce Oneを紹介します。このチームは調査結果を発表しますが、それが存在理由ではありません。このチームの主な目的は脅威アクターを追跡し、途絶させることです。重要なのは、最小限の関与で、大量の脅威から身を守ることができることです。
まとめ
「触らぬ神に祟りなし」という表現は、攻撃が急速に増加しているインターネット業界にはもはや当てはまりません。もしお客様やお客様の会社、サービスが適切に保護されていなければ、攻撃者(人間またはボット)はおそらく遅かれ早かれあなたを見つけるでしょう(もしかしたら、すでに見つけられているかもしれません)。
最後に、本や映画、人生の中でよく使われる言葉を紹介します。「悪魔の扉を長く叩き続ければ、遅かれ早かれ誰かが応えてくれるだろう」。当社では、攻撃が発生している間にも多くの組織のオンボーディングを行ってきましたが、これは効果的に予防と緩和を行い、保護がそこにあることさえ忘れてしまうもので、多くの犠牲があるような解決策ではありません。
前述のいくつかのセキュリティ機能を試したい場合、Cloudflare Security Center(無料プランを含む)から始めることをお勧めします。これはZero Trustエコシステム(または当社のSASE、Secure Access Service EdgeとしてのCloudflare One)と同様にセルフサービスとして利用できるほか、無料プランもあります(このベンダーに依存しないロードマップはZero Trustアーキテクチャの一般的利点を示しています)。トレンドを知りたい方は、Cloudflare Radarにある攻撃に関するほぼリアルタイムの専用エリアから、 2022年第2四半期のDDoS攻撃動向レポートを閲覧・操作することができます。