リソース センター

ロシアのウクライナ侵攻に関連するサイバー攻撃についてのリソース

ロシアのウクライナ侵攻に関連するサイバー攻撃からの保護に役立つリソースをご案内します

ThreatLabzは新たな脅威を積極的に監視

ロシアのウクライナに対する武力行使および侵攻による影響は、地政学的な戦争にとどまらず、サイバーセキュリティ上の世界的な脅威に発展し、重要なインフラ、サプライ チェーン、企業に危険が迫る事態となっています。ロシアからの破壊的なサイバー攻撃の増加に備え、CISAやその他の政府機関は、セキュリティ インフラの整備の重要性について警告やガイダンスを発表しています。 

Zscalerは、全世界のSecOpsコミュニティーがこうした脅威への対策を整えられるよう支援していきます。 

セキュリティ上の推奨事項やお客様を保護するための当社の取り組みについては、ブログ記事ThreatLabz Security Advisory: Cyberattacks Stemming from Russia's invasion of Ukraineをご確認ください。

ThreatLabzの調査

信頼できるセキュリティ パートナーとしてお客様をサイバー脅威から守るべく注力

Zscaler ThreatLabzの調査チームは、一般の環境で活動する脅威アクター グループや関連する攻撃キャンペーンを追跡しています。Zscalerでは、1日あたり4000億件以上のトランザクションとブロックされた90億件の脅威から得られるクラウド テレメトリーによってリアルタイムのインサイトを生み出し、プラットフォーム全体で迅速な検出を実現しています。

 

新しい情報や最新の調査結果、リソースについては定期的に確認することをお勧めします。ThreatLabzの最新アップデートでは、ウクライナに対する標的型攻撃で使用されている戦術やテクニックについて、実用的な分析を提供しています。

HermeticWiperマルウェア

ThreatLabzは、HermeticWiperと呼ばれる破壊的なワイパー型マルウェアから、これまで公に知られていなかった攻撃チェーンを発見しました。一意の7件のサンプルから取得した情報を基に、この特徴的な攻撃チェーンについて解説します。防御態勢のアップデートにお役立てください。

PartyTicketランサムウェア

ThreatLabzは、PartyTicketと呼ばれるランサムウェアの分析を行いました。これは、ウクライナのHermeticWiperと並行して展開されており、明らかに同マルウェアのデコイと考えられます。この手法の背後にある詳細を知り、その後に続く真の脅威への対策にお役立てください。
 

DanaBotによるDDoS攻撃

ThreatLabzは、ウクライナ国防省のWebメール サーバーを標的としたDDoS攻撃について分析しました。このDDoS攻撃の脅威アクターは、2018年に初めて検出されたサービスとしてのマルウェアのプラットフォームであるDanaBotを使用していました。
 

Contiランサムウェア

ThreatLabzは、ロシアと関連のあるランサムウェア グループContiについて、ウクライナ侵攻開始後の解散前に分析を行いました。Contiのソース コードは、後にScareCrow、Meow、Putin、Akiraなどの新たなランサムウェアの誕生につながっています。また、BlackBastaがContiとほぼ同じネゴシエーション スクリプトを使用していることも判明しました。Contiの長期的な影響について詳しく解説します。
 

対策の方法
パッチ適用、インシデント対応計画、変更文書作成などの基本的な対策の強化
  • インシデント対応計画を文書化し、IT部門とSecOps部門がいつでも参照できるようにする
  • インフラストラクチャーの弱点をすべて修正し、修正できないものは分離、除去する
  • すべてのアクション、変更、インシデントを文書化、記録、確認し、調査と修復を円滑化する
攻撃対象領域の完全な把握と保護を通じたリスク最小化
  • Zscaler Private Access™を活用し、パブリック クラウドやデータ センターにあるプライベート アプリケーションへのゼロトラスト アクセスを提供する
  • Zscaler Private Accessを利用できない場合、重要なサービスをインターネットに対して不可視化する、または厳格なアクセス制御を実施する
すべてのネットワークに対する信頼の排除とゼロトラストの原則に基づく運用
  • 信頼できないネットワークや第三者のネットワークとのリンクを分離または切断する
  • リスクの高い地域における接続の不安定性をあらかじめ見込んでおく
  • (Zscaler Private Accessで)オーバーレイ アプリケーション パスによるアクセスを有効化する
  • 影響を受けている地域のユーザーに対して、毎日再認証を実施する
リスクの高い地域でホストされているサービスやIPに対するジオロケーション ブロックの導入
  • Zscaler Internet Access™を使用して、エグレス ポイント(出口)でブロック機能を有効化し、ユーザーがリスクの高い地域でホストされているサービスやIPに意図せずアクセスすることを防ぐ
影響を受け得る全ユーザーに対するTLSインスペクションの有効化を通じた保護およびインサイトの取得
  • 重要な知的財産を保護するための制御、IPの抜き取りを特定およびブロックするためのDLPルールの設定によって、国家的な攻撃から機密情報を守る
  • 悪意のあるペイロードをすべてサンドボックスでブロックする
ゼロトラストの原則

ゼロトラストの原則の採用

ゼロトラスト アーキテクチャーは、4つの重要原則に基づき、脆弱なアプリケーションを攻撃者から隠し、侵入を検知および防止し、侵害発生時の被害を軽減します。組織を守るためには、ゼロトラスト戦略を導入することが重要です。

外部攻撃対象領域の排除
外部攻撃対象領域の排除

アプリやサーバーをインターネットから不可視化し、侵害を阻止

完全なTLSインスペクションによる侵害防止
完全なTLSインスペクションによる侵害防止

Webアプリの感染と悪用を防止

ラテラル ムーブメントの防止
ラテラル ムーブメントの防止

ゼロトラスト ネットワーク アクセスと統合デセプションで影響を受ける範囲を抑制

データ流出の防止
データ流出の防止

TLSインスペクション機能を備えたインラインDLPによって、データを窃取しようとする試みを阻止