ロシアとウクライナの紛争に関するサイバーリソースセンター
ロシアとウクライナの紛争に関連するサイバー攻撃から組織を守るための各種リソースを確認しましょう
ThreatLabzは現在も続く危機を積極的に監視
ロシアのウクライナ侵攻による影響は、地政学的な戦争状態にとどまらず、重要なインフラストラクチャやサプライチェーン、企業を危険にさらす世界規模のサイバーセキュリティ脅威へと拡大しています。CISAやその他の政府機関は、ロシアを拠点とした破壊的なサイバー攻撃の増加に備え、セキュリティインフラストラクチャを整えることの重要性について警告やガイダンスを発表しています。
Zscalerはこれらの差し迫った脅威に関し、全世界のSecOpsコミュニティが対策を整えられるよう支援していきます。
ThreatLabz Security Advisoryのロシアとウクライナの紛争に起因するサイバー攻撃についてのこちらのブログ記事を読み、セキュリティに関する推奨事項やお客様の保護についての当社の取り組みを確認してください。
信頼できるセキュリティパートナーとして、サイバー脅威からお客様を保護することを最優先
Zscaler ThreatLabzの調査チームは、脅威アクターグループや関連する攻撃キャンペーンを追跡しています。毎日2000億以上のトランザクションと1億5000万件のブロックされた脅威を分析することで、Zscaler Cloudのテレメトリはリアルタイムのインサイトを提供し、当社のプラットフォーム全体で迅速な検出を可能にします。
新しい情報や最新の調査結果、リソースについては定期的に確認することをお勧めします。ThreatLabzの最新アップデートでは、ウクライナに対する標的型攻撃で使用される以下のような戦術やテクニックについて、実用的な分析が提供されています。
ThreatLabzは、この破壊的なワイパー型マルウェアから、これまで文書化されていなかった攻撃連鎖を検出しました。7つの一意のサンプルから得られた情報をもとに、この特徴的な攻撃チェーンについて理解し、防御態勢をアップデートしましょう。
ThreatLabzは、ウクライナにおけるHermeticWiperの配信と同時に発生した、デコイ用ランサムウェアとみられるものの分散について分析しました。この手法の背後にある詳細を知ることで、その後に続く真の脅威に備える方法をより深く把握しましょう。
ThreatLabzは、ウクライナ国防省のWebメールサーバを対象とした、脅威アクターによるDDoS攻撃について分析しました。このDDoS攻撃では、2018年に初めて検出されたサービスとしてのマルウェアのプラットフォームである、DanaBotが使用されました。
ThreatLabzのランサムウェアレポートでは、以前ロシアに関連するContiランサムウェアグループを分析しましたが、最近CISAやFBI、NSA、USSSなどの連邦機関が「Contiのサイバー脅威アクターは依然として活発で、米国および国際組織に対するContiランサムウェア攻撃の報告は1000件以上に増加している」との勧告を再発表しました。このグループの詳細については、レポートをダウンロードしてください。
脅威に備えるために
これらの対策と積極的な検査、モニタリングのアプローチを組み合わせることで、
進行するこの状況に関連するリスクを軽減できるでしょう。
パッチ適用、インシデント対応計画、変更文書作成など、基本的な対策を二重に実施
パッチ適用、インシデント対応計画、変更文書作成など、基本的な対策を二重に実施
- インシデントプランを文書化し、IT部門とSecOps部門が容易に利用できるようにする。
- インフラストラクチャの弱点をすべて修正し、修正できないものは分離、除去する。
- 調査および改善を促進するために、すべてのアクションや変更点、インシデントの文書化や記録、確認を行う。
攻撃対象領域を完全に把握し、保護することでリスクを最小化
攻撃対象領域を完全に把握し、保護することでリスクを最小化
- Zscaler Private Accessを活用し、パブリッククラウドやデータセンタにあるプライベートアプリケーションへのゼロトラストアクセスを提供する。
- Zscaler Private Accessを利用できない場合、重要なサービスがインターネットから見えないようにするか、厳格なアクセス制御を実施する。
すべてのネットワークを信頼できないものと考え、ゼロトラスト原則で運用
すべてのネットワークを信頼できないものと考え、ゼロトラスト原則で運用
- 信頼できないネットワークや第三者のネットワークへのリンクを分離または切断する。
- リスクの高いロケーションでは接続が不安定になることを予想する。
- オーバーレイアプリケーションパスによりアクセスを有効化する(Zscaler Private Accessの場合)。
- 影響を受ける地域のユーザーに対して、毎日再認証を実施する。
リスクの高いロケーションでホストされているサービスやIPに対し、地理的ロケーションを対象としたブロッキングを導入
リスクの高いロケーションでホストされているサービスやIPに対し、地理的ロケーションを対象としたブロッキングを導入
- Zscaler Internet Accessを使用して、これらのブロッキング機能を外部への出口にあたる部分で有効にすることで、ユーザーがリスクの高いロケーションでホストされているサービスやIPに意図せずアクセスできないようにする。
影響を受ける可能性のある全ユーザーに対してTLSインスペクションを有効にし、インサイトを得つつ保護を実現
影響を受ける可能性のある全ユーザーに対してTLSインスペクションを有効にし、インサイトを得つつ保護を実現
- 国家的な攻撃から機密情報を保護。重要な知的財産を保護するための制御を設定し、IP流出の特定、阻止を行うDLPルールを設定する。
- 悪意のあるペイロードをすべてサンドボックスでブロックする。
ゼロトラストの原則を採用
ゼロトラストアーキテクチャは4つの主要な考え方に基づき、脆弱なアプリケーションを攻撃者から隠し、侵入を検知、防止し、成功した攻撃の被害を軽減しています。あなたの組織を守るため、ゼロトラスト戦略を導入しましょう。
外部の攻撃対象領域を排除
アプリやサーバをインターネットから不可視化させ、侵害を阻止
完全なSSLインスペクションを実行し侵害を防止
Webアプリの感染と悪用を防止
ラテラル ムーブメントの防止
ゼロトラストネットワークアクセスと統合デセプションで影響を受ける範囲を抑制
データ流出を防止
SSLインスペクションとインラインDLPでデータ流出の試みを阻止