「脅威の深刻度が休暇期間中に上昇」バラクーダのXDRによるインサイト
2022年6月から9月末までに検知された脅威アラームの5分の1は高リスクに

クラウド対応セキュリティソリューションのリーディングプロバイダーであるBarracuda Networks, Inc.の日本法人、バラクーダネットワークスジャパン株式会社（以下「バラクーダネットワークス」）は、「バラクーダのXDRによるインサイト：脅威の深刻度が休暇期間中に上昇」について、調査結果を発表した。

バラクーダの高度なXDRプラットフォームと24時間365日稼働のセキュリティオペレーションセンターからの最新の脅威インサイトでは、2022年の脅威の量と深刻度について、特に夏期に焦点を当てて調査している。調査に関わるデータは、疑わしい脅威や悪意のある脅威の検出・分析・対応にBarracuda XDRを活用している顧客及びMSPパートナーより、取得される。

2022年現在までに検知された脅威
2022年1月、XDRプラットフォームが検知した脅威アラームの数は140万件に急増し、その後4分の3弱（71.4%）に激減した。さらにその後、6月にアラームが140万件に急増し、7月から8月にかけては緩やかながら減少を示した。

アラームからお客様へのセキュリティアラートまで
これらの脅威アラームのうち、バラクーダの脅威エキスパートの詳しい検証の後に顧客へのセキュリティアラートを引き起こした数を見ると、状況は大きく異なる。顧客への警告が必要なほど深刻なセキュリティアラートは、1月には全脅威アラームの約80分の1（17,500件、1.25%）しかなかったが、6月から9月になると、その割合は5分の1（96,428件）にまで上昇した。

夏期の脅威アラームに関する詳細
6月から9月の間にバラクーダの脅威エキスパートが分析した476,994件の脅威アラームのうち、20%にあたる96,428件は、顧客に潜在的な危険を警告し、改善策を講じるよう促すほど深刻な内容となっている。

6月から9月にかけて最も多く検出された脅威は、以下の3つ。

1. 疑わしい国からのMicrosoft 365へのログインの成功 （高リスク）
   この種の攻撃は、6月から9月末までの90日間に発生した全攻撃の40％を占めている。自動セキュリティ警告のフラグの対象となっている国は、ロシア、中国、イラン、ナイジェリアなど。Microsoft 365のアカウントへの侵入は、ターゲットがプラットフォーム上に保存しているすべての接続・統合された資産に侵入者がアクセスできる可能性があるため、特に危険。中でも、イギリスからログインした後、1時間後にロシアや中国からログインするなど、同じアカウントに複数の国からログインしている証拠を、アナリストは検証している。これらのアラームのうち、正当なログインである「誤検知」はわずか5％。これらのアラームは、「高リスク」な脅威と分類される。「高リスク」の脅威とは、お客様の環境に深刻な損害を与える可能性があり、即時の対応が必要な事象を指す。
2. 脅威インテリジェンスが認知しているIPアドレスへの通信 （中程度のリスク）
   この種の攻撃は、ネットワーク内の機器からウェブサイトや既知のコマンド＆コントロールサーバーなどへ悪意のある通信を試みるもので、この期間の攻撃全体の15％を占めている。これは、「中程度のリスク」に分類され、緩和策を講じる必要があるが、通常、単独で大きな影響を及ぼすことはないレベルの脅威を指す。
3. ブルートフォース認証による試み（中程度のリスク）
   全攻撃の10％を占め、名前とパスワードの組み合わせをできるだけ多く実行することで、組織の防御を突破しようとする自動化された攻撃となっている。

データの意味するところ
サイバー攻撃者は、企業やITセキュリティ・チームのリソースが不足しがちな時期に標的を定めている。これは、週末や夜間、あるいは夏休みなどの休暇期間となっている。この現象は XDR のデータにも反映されており、脅威の数は全体的に減少しているにもかかわらず、夏期に検出された脅威のうち、高リスクの脅威の割合が著しく高いことが明確に示されている。今年も年末年始を迎えるにあたり、こういった傾向に留意する必要がある。

バラクーダでは、ITセキュリティチームが以下のような基本的なセキュリティ対策を強化することを推奨している。

1. すべてのアプリケーションとシステムでの多要素認証（MFA）の有効化
2. すべての重要なシステムのバックアップの確保
3. メール保護やEDR（Endpoint Detection and Response）を含む堅牢なセキュリティソリューションの導入
4. ITインフラ全体の可視化
5. サイバー脅威を監視、検知、対処するための24時間体制のセキュリティオペレーションセンター（SOC）を、社内または信頼できるサービスプロバイダー経由で設置

この調査結果は、24時間365日のセキュリティオペレーションセンター（SOC）を背景に、人間とAIによる脅威の検知、分析、インシデント対応、および軽減サービスを顧客に提供する拡張された可視性、検知、および対応（XDR）プラットフォームであるBarracuda XDRからの検知データに基づいている。Barracuda XDRは現在、MSP向けに提供されている。