« 日本公認会計士協会 意見募集 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案) | Main | 中国 インターネットの法の支配についての普及・教育計画 »

2021.11.20

米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

こんにちは、丸山満彦です。

米下院監視改革委員会でのブライアン・A・ヴォルンドラン連邦捜査局(FBI)サイバー部門アシスタントディレクターの証言が公開されています。

ランサムウェアおよびその他のサイバーインシデントの報告義務化についても触れられています。FBIとしては歓迎の方向ですよね。。。

FBI

・2021.11.16 Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats

 

Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats Cracking Down on Ransomware: 犯罪者ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略
Statement for the Record 記録のための声明
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the invitation to provide remarks on the FBI’s role in our nation’s fight against ransomware. マロニー委員長、コマー上級委員、そして委員会のメンバーの皆様、ランサムウェアとの戦いにおけるFBIの役割について発言する機会をいただき、ありがとうございます。
Ransomware is a growing threat to the health and safety of the American people and our national and economic security, with no shortage of recent examples of ransomware’s wide-ranging effects. I am honored to lead the men and women of the FBI’s cyber program, where we are using our unique authorities to impose risk and consequences on the malicious cyber actors who are committing these crimes. But we cannot go at it alone, and as you will hear today, our strategy involves not only our partners in the federal government, but also those in the private sector and abroad. ランサムウェアは、米国民の健康と安全、そして国家と経済の安全保障に対する脅威として拡大しており、最近ではランサムウェアの広範な影響を示す例が後を絶ちません。私は、FBIのサイバープログラムを率いていることを光栄に思っています。FBIは独自の権限を駆使して、こうした犯罪を行う悪質なサイバー犯罪者にリスクと結果を与えています。しかし、FBIは単独で活動することはできません。本日ご紹介するように、FBIの戦略には、連邦政府のパートナーだけでなく、民間企業や海外のパートナーも参加しています。
The individuals who conduct cyber intrusions and ransomware campaigns, and the officials who direct or harbor them, believe they can compromise U.S. networks, steal our financial and intellectual property, and hold our critical infrastructure hostage for ransom, all without incurring risk themselves. サイバー攻撃やランサムウェアのキャンペーンを行う人物や、彼らを指示したり匿ったりする政府関係者は、米国のネットワークを危険にさらし、金融資産や知的財産を盗み、重要なインフラを人質にして身代金を要求することが、自分自身がリスクを負うことなくできると考えています。
The FBI sits at the convergence of U.S. government efforts to change this risk calculus. FBIは、このリスク計算を変えるための米国政府の取り組みの中心に位置しています。
As a member of both the law enforcement and intelligence communities, with domestic and international reach, the FBI is focusing our unique authorities, and our ability to engage with international law enforcement, domestic victims, and key technology service providers, to identify and disrupt adversaries before they compromise U.S. networks, and hold them accountable when they do. 法執行機関と情報機関の両方のコミュニティに属し、国内外で活動するFBIは、独自の権限と、国際的な法執行機関、国内の被害者、主要な技術サービスプロバイダと連携する能力を駆使して、敵対者が米国のネットワークを侵害する前に特定して混乱させ、侵害した場合にはその責任を追及しています。
Key to the FBI’s strategy is using the information and insight we develop through our investigations to support our full range of public and private sector partners. There are many countries, companies, and agencies who play roles in defending networks, sanctioning destabilizing behavior, collecting cyber threat intelligence, and conducting cyber effects operations. We seek to work with all of them, in the belief that our collective actions to combat cyber threats are most impactful when they are planned jointly and sequenced for maximum impact. FBIの戦略の鍵となるのは、捜査で得た情報や見識を活用して、官民を問わずあらゆるパートナーを支援することです。ネットワークの防御、不安定な行動への制裁、サイバー脅威情報の収集、サイバー作戦の実施などの役割を担う国、企業、機関は数多くあります。FBIは、サイバー脅威に対抗するための集団行動は、共同で計画し、最大の効果が得られるように順序立てて行うことが最も効果的であるという信念のもと、すべてのパートナーとの協力を求めています。
In coordination with our partners, the FBI has successfully disrupted numerous cybercriminal enterprises, including those deploying ransomware, but lasting impact will require joint, sequenced operations with our U.S. counterparts and foreign allies as well as a removal of the sense of impunity many of these actors currently feel. FBIは、パートナーとの連携により、ランサムウェアを配布している企業を含む数多くのサイバー犯罪企業を壊滅させることに成功していますが、その効果を持続させるためには、米国のカウンターパートや海外の同盟国との共同で順序立てた活動が必要であり、また、これらの犯罪者の多くが現在感じている免罪符の意識を取り除くことが必要です。
Just last week, we held a joint press conference with the departments of Justice, State, and Treasury to highlight our whole-of-government approach to tackling ransomware—in this case, the Sodinokibi/REvil variant responsible for thousands of ransomware attacks worldwide, including the July 2021 attack on IT management company Kaseya. Together, we announced: 先週、私たちは、司法省、国務省、財務省と共同で記者会見を開き、ランサムウェア(今回は、2021年7月にITマネジメント企業のKaseyaを狙った攻撃を含め、世界中で何千ものランサムウェア攻撃の原因となっているSodinokibi/REvil亜種)に対処するための政府全体のアプローチを強調しました。合わせて、次のことを発表しました。
1. The arrest and unsealing of charges on Ukrainian national Yaroslav Vasinskyi for deploying Sodinokibi ransomware on victims, including Kaseya’s computer systems; 1. ウクライナ国籍のヤロスラフ・ヴァシンスキーが、Kaseyaのコンピュータシステムを含む被害者にSodinokibiランサムウェアを展開した罪で逮捕され、告訴が解除されたこと。
2. The seizure of $6.1 million in funds traceable to and unsealing of charges on Yevgeniy Polyanin, a Russian national charged with conducting Sodinokibi/REvil ransomware attacks against thousands of victims; 2. 数千人の被害者に対してSodinokibi/REvilランサムウェア攻撃を行った罪で起訴されたロシア国籍のエフゲニー・ポリアニンの追跡可能な資金610万ドルを押収し、告訴状の開示を行いました。
3. OFAC sanctions against Vasinskyi and Polyanin, as well the Chatex virtual currency exchange for its part in facilitating financial transactions for ransomware actors; and 3. ランサムウェア実行者の金融取引を促進したとして、Vasinskyi、Polyanin、およびChatex仮想通貨取引所に対するOFAC制裁。
4. Two awards, totaling up to $15 million, for information leading to the identification, arrest, and/or conviction of Sodinokibi/REvil ransomware leadership or conspirators. 4. Sodinokibi/REvilランサムウェアのリーダーまたはその共謀者の特定、逮捕、有罪判決につながる情報に対して、2つの賞、合計1,500万ドルを授与。
And it is no coincidence that we announced these actions on the same day our foreign partners in Europol announced the arrest of two additional affiliates of the same group in Romania, and Eurojust made its own announcement regarding related efforts. These coordinated and sequenced operations are the culmination of close and painstaking international and federal law enforcement collaboration, across governments and with private sector companies. Yes, the cyber threat is daunting, but when we combine the right people, the right tools, and the right authorities, our adversaries are no match for what we can accomplish together. また、海外のパートナーであるユーロポールが、ルーマニアで同じグループの2つの関連会社を逮捕したことを発表したのと同じ日に、当社がこれらのアクションを発表し、ユーロジャストが関連する取り組みについて発表したのは偶然ではありません。これらの協調した一連の活動は、政府や民間企業の枠を超えた、国際的かつ連邦的な法執行機関の緊密かつ骨の折れる協力関係の集大成です。しかし、適切な人材、適切なツール、適切な権限を組み合わせれば、敵は私たちが協力して達成できることにはかないません。
What is Ransomware? ランサムウェアとは何か?
At its most basic, ransomware is a computer program created by malicious actors to 1) infect a computer or server, 2) encrypt its contents so they cannot be accessed or used, and 3) allow the malicious actors to demand that a ransom be paid in exchange for the decryption key. Victim organizations without effective backups are not able to operate until their data is restored. Ransomware can paralyze organizations, and the cost to rebuild an encrypted network can be catastrophic for small- and medium-sized businesses and municipalities. ランサムウェアとは、悪意ある者によって作成されたコンピュータプログラムで、1)コンピュータやサーバに感染し、2)コンテンツを暗号化してアクセスや使用ができないようにし、3)復号化キーと引き換えに身代金の支払いを要求できるようにするものです。有効なバックアップを持たない被害者の組織は、データが復旧するまで業務を行うことができません。ランサムウェアは組織を麻痺させ、暗号化されたネットワークを再構築するためのコストは、中小企業や自治体にとって壊滅的なものになる可能性があります。
The ransomware threat is not new, and it has been one of the FBI’s top priorities for cybercriminal investigations for some time. In 2018, for example, we eliminated the threat from a highly impactful ransomware variant called SamSam that infected victims in nearly every U.S. state, including the city of Atlanta, the Port of San Diego, and multiple major healthcare companies. Our investigation led to a November 2018 indictment of the responsible Iranian cybercriminals and sanctions against two digital currency exchanges that enabled their operations; this ransomware variant has not been seen since. ランサムウェアの脅威は目新しいものではなく、以前からFBIのサイバー犯罪捜査の最優先課題の一つとなっています。例えば2018年には、アトランタ市、サンディエゴ港、複数の大手ヘルスケア企業など、米国のほぼすべての州で被害者に感染した「SamSam」という影響力の強いランサムウェアの亜種の脅威を排除しました。私たちの調査により、2018年11月に責任者であるイランのサイバー犯罪者が起訴され、彼らの活動を可能にした2つのデジタル通貨取引所に対する制裁措置が取られ、それ以来このランサムウェアの亜種は見られなくなりました。
In a trend not unique to cybercrime, as we expand our capability to disrupt ransomware actors, criminals have adapted to increase the scale, impact, and prevalence of ransomware attacks. The increasingly sophisticated and targeted nature of ransomware campaigns has significantly increased their impacts on U.S. businesses, and ransom demands are growing larger. Simultaneously, “ransomware-as-a-service” (RaaS), in which a developer sells or leases the ransomware tools to their criminal customers, has decreased the barrier to entry and technological savvy needed to carry out and benefit from these compromises and increased the number of criminals conducting ransomware campaigns. As this has happened, the number of ransomware variants has grown; today, we have investigations into more than 100 variants, many of which have been used in multiple ransomware campaigns. Recently, we have seen “double extortion” ransomware—where actors encrypt, steal, and threaten to leak or sell victims’ data—emerge as a leading tactic for cybercriminals, raising the stakes for victims, which in turn has increased the likelihood of ransom payments being made. サイバー犯罪に特有の傾向ではありませんが、私たちがランサムウェアの行為者を破壊する能力を拡大する一方で、犯罪者はランサムウェア攻撃の規模、影響、普及率を高めるために適応しています。ランサムウェアのキャンペーンがますます洗練され、標的を絞って行われるようになったことで、米国企業への影響が大幅に増加し、身代金の要求額も大きくなっています。同時に、開発者が犯罪者の顧客にランサムウェアのツールを販売またはリースする「ランサムウェア・アズ・ア・サービス」(RaaS)により、これらの侵害を実行して利益を得るために必要な参入障壁や技術的な知識が減少し、ランサムウェアキャンペーンを行う犯罪者の数が増加しました。これに伴い、ランサムウェアの亜種の数も増加し、現在では100種類以上の亜種を調査しており、その多くが複数のランサムウェアキャンペーンで使用されています。最近では、被害者のデータを暗号化して盗み出し、それを漏洩したり販売したりすると脅す「二重恐喝」ランサムウェアがサイバー犯罪者の主要な手口として登場し、被害者の危機感を高め、その結果、身代金の支払いが行われる可能性が高くなっています。
While cybercriminals remain opportunistic, they have also become more targeted in their campaigns, purposely aiming their malware at those institutions that can least afford downtime, specifically infrastructure critical to public safety, including hospitals and emergency services. また、サイバー犯罪者は日和見的ですが、その一方で、ダウンタイムを最も回避できる機関、特に病院や救急隊などの公共の安全に関わるインフラを狙って、意図的にマルウェアを使用するようになっています。
These ransom payments are typically requested in the form of a virtual currency, like Bitcoin. Virtual currency is not governed by a central authority, and regulation of the industry is still evolving globally, which can make it difficult to find out who is behind a transaction. 身代金の支払いは、通常、ビットコインなどの仮想通貨を用いて要求されます。仮想通貨は、中央機関が管理しておらず、世界的に規制が進んでいるため、取引の背後にいる人物を突き止めることが困難な場合があります。
Cryptocurrency can be moved anywhere in the world, often more quickly than traditional currency, and these transactions frequently take place on the dark web, which presents its own set of problems. While these ransom demands often used to be just a few hundred dollars, we now see American businesses targeted with ransom demands in the millions, and in some cases tens of millions, of dollars. The statistics paint a stark picture: In 2020, the FBI’s Internet Crime Complaint Center (IC3) statistics showed a 20 percent increase in reported ransomware incidents and a 225 percent increase in reported ransom amounts. 暗号通貨は世界のどこにでも移動でき、従来の通貨よりも迅速に移動できることが多く、これらの取引はダークウェブ上で行われることが多いため、独自の問題を抱えています。このような身代金要求は、かつては数百ドル程度のものが多かったのですが、現在ではアメリカの企業が数百万ドル、場合によっては数千万ドルの身代金要求の対象となっています。統計では、このような状況が明らかになっています。2020年、FBIのInternet Crime Complaint Center(IC3)の統計によると、ランサムウェアの報告件数は20%、身代金の報告額は225%増加しています。
Unfortunately, what is reported is only a fraction of the incidents out there.1 残念ながら、報告されているのは、世の中に存在するインシデントのほんの一部に過ぎません1。
We have also seen both nation-state adversaries and cybercriminals targeting managed service providers (MSPs), whereby infecting one system, they can access the networks of hundreds of potential victims, as we saw in the Kaseya incident. But we are working to bring awareness to this method of compromise. In June, our partners at the U.S. Secret Service put together a cyber incident response simulation for companies that use MSPs, and it was my pleasure to join the Secret Service and give a unified federal message on the importance of hardening their systems and engaging with law enforcement before they are victims of an attack. また、国家レベルの敵対者とサイバー犯罪者の両方がマネージドサービスプロバイダ(MSP)を標的にしており、Kaseyaの事件で見られたように、1つのシステムに感染させることで、何百人もの潜在的な被害者のネットワークにアクセスすることができます。しかし、私たちは、このような不正アクセスの手口に対する認識を高めるために努力しています。6月には、米国シークレットサービスのパートナーが、MSPを利用している企業を対象としたサイバーインシデント対応シミュレーションを実施しました。私はシークレットサービスに参加して、攻撃の被害に遭う前にシステムを強化し、法執行機関と連携することの重要性について、連邦政府として統一的なメッセージを発信することができました。
Ransomware has become one of the most costly and destructive threats to businesses and governments. On top of this, throughout the COVID-19 pandemic, we saw callous opportunism by criminal groups who put public safety at risk by attacking health care providers during a global pandemic. These groups demonstrate no morality; they will target entities big and small, public and private, and show little care for how their actions affect vulnerable populations. ランサムウェアは、企業や政府にとって最もコストがかかり、破壊的な脅威の一つとなっています。さらに、COVID-19のパンデミックでは、世界的な大流行の際に医療機関を攻撃して公共の安全を危険にさらす犯罪グループの冷酷な日和見主義が見られました。このようなグループは、道徳心を持たず、大小、公私を問わず、自分たちの行動が弱い立場にある人々にどのような影響を与えるかをほとんど気にしません。
How the FBI’s Cyber Strategy Counters the Ransomware Threat ランサムウェアの脅威に対抗するFBIのサイバー戦略
Because this criminal activity has become more lucrative and enticing, it is our job to make it harder and more painful for hackers to do what they are doing. That is why we announced a new FBI cyber strategy last year, using our role as the lead federal agency with law enforcement and intelligence responsibilities to not only pursue our own actions, but to work seamlessly with our domestic and international partners to defend their networks, attribute malicious activity, sanction bad behavior, and take the fight to our adversaries overseas. We must impose risk and consequences on cyber adversaries and use our unique law enforcement and intelligence capabilities and authorities to do so through joint operations sequenced appropriately for maximum impact. We have to target the entire criminal ecosystem—including malware developers, money launderers, and shady infrastructure providers—and work with all relevant federal agencies like the Cybersecurity and Infrastructure Security Agency (CISA) and the Office of the National Cyber Director (ONCD), as well as victims and cybersecurity firms. All the while, we must continue to team with the Department of State to ensure our foreign partners are able and willing to cooperate in our efforts to bring the perpetrators of cybercrime to justice. このような犯罪行為は、より収益性の高い魅力的なものになっているため、ハッカーが彼らのような行為を行うことをより困難にし、より苦しめることが私たちの仕事です。昨年、FBIは新たなサイバー戦略を発表しました。法執行と諜報活動を担う連邦政府機関としての役割を活かし、自らの行動を追求するだけでなく、国内外のパートナーとシームレスに連携して、ネットワークを守り、悪意のある行為を特定し、悪質な行為に制裁を加え、海外の敵に戦いを挑んでいます。私たちは、サイバー敵対者にリスクと結果を与えなければならず、そのためには、法執行機関や情報機関の独自の能力と権限を活用し、最大の効果が得られるように適切な順序で共同作戦を行う必要があります。私たちは、マルウェア開発者、マネーロンダリングを行う者、怪しいインフラを提供する者など、犯罪のエコシステム全体を対象とし、サイバーセキュリティ・重要インフラセキュリティ庁 (CISA) 国家サイバーディレクター局 (ONCD) などの関連するすべての連邦機関や、被害者やサイバーセキュリティ企業と連携しなければなりません。その一方で、国務省と連携し、サイバー犯罪の犯人を裁くための取り組みに海外のパートナーが協力してくれるようにしなければなりません。
More specifically, and in conjunction with the Department of Justice’s recently-formed Ransomware and Digital Extortion Task Force, our strategy for countering ransomware and other complex cybercriminal schemes is focused on pursuing and disrupting 1) the actors, 2) their infrastructure, and 3) their money—all while providing help to victims and actionable intelligence to warn potential future victims. If there’s one thing the Bureau understands, it’s taking down criminal organizations, and when it comes to ransomware, we’re working with an unprecedented number of government and private sector organizations to do just that. When pursuing these actors, we work with like-minded countries to identify those responsible for damaging ransomware schemes, arrest them, and extradite them to the United States to face justice whenever possible. At the same time, taking down cybercriminals’ technical infrastructure adds to the impact, as it raises their costs, disrupts their operations, prevents new victims, and often gives us new intelligence on their operations. Lastly, since virtual currencies are so central to ransomware, we have developed our ability to trace these transactions and have been able to seize funds and shut down illicit currency exchanges in some instances. In addition to the seizure of $6.1 million from the Sodinokibi/REvil group that we announced just last week, we were also recently able to accomplish this objective in the Colonial Pipeline case, when the victim and our federal partners worked quickly and closely with us to recover a substantial portion of the cryptocurrency paid as ransom. Each of these is important, but we have the most durable impact when we do disrupt all three together. 具体的には、最近設立された司法省のランサムウェア・デジタル恐喝タスクフォースと連携して、ランサムウェアやその他の複雑なサイバー犯罪に対抗するための戦略は、1)行為者、2)インフラ、3)資金、を追求し、混乱させることに重点を置いています。ランサムウェアに関しては、これまでにない数の政府機関や民間企業と協力して、犯罪組織を壊滅させています。ランサムウェアに関しては、これまでにないほど多くの政府機関や民間企業と協力しています。また、同じ志を持つ国々と協力して、ランサムウェアの被害をもたらした犯人を特定し、逮捕し、可能な限り米国に送還して裁判にかけています。同時に、サイバー犯罪者の技術的なインフラを破壊することで、彼らのコストを上げ、業務を混乱させ、新たな被害者を出さないようにするとともに、彼らの活動に関する新たな情報を得ることができるため、影響力を高めることができます。最後に、ランサムウェアでは仮想通貨が非常に重要な役割を果たしているため、私たちはこれらの取引を追跡する能力を向上させ、場合によっては資金を差し押さえたり、不正な通貨取引所を閉鎖したりすることができました。先週発表したSodinokibi/REvilグループからの610万ドルの押収に加え、最近ではColonial Pipeline事件でも、被害者と連邦政府のパートナーが迅速かつ緊密に協力して、身代金として支払われた暗号通貨のかなりの部分を回収し、この目的を達成することができました。このように、それぞれが重要ですが、この3つを一緒に破壊することで、最も持続的なインパクトを与えることができます。
We do all this with victims at the center of our efforts. At the FBI, we aim to inform, support, and assist victims in navigating the aftermath of crime and the criminal justice process with dignity and resilience. We want to empower all victims of cyber intrusions, just as we do for victims of other crimes. In some instances, we have done this by developing or acquiring a ransomware’s decryption key to help victims recover without paying the ransom. We have also, on occasion, been able to give advance warning to vulnerable or targeted entities. While the FBI is not a remediation service, the work we do to investigate and respond to cybercrime enables us to collect information, which we share to prevent future attacks and use to assist victims if they have already been hit. 私たちは、被害者を中心に据えてこれらの活動を行っています。FBIでは、被害者が犯罪の後遺症や刑事司法プロセスを尊厳と回復力を持って乗り越えられるように、情報を提供し、支援し、サポートすることを目指しています。私たちは、他の犯罪の被害者と同じように、サイバー侵入のすべての被害者に力を与えたいと考えています。場合によっては、ランサムウェアの解読キーを開発または入手して、被害者が身代金を支払わずに回復できるようにしています。また、被害を受けやすい企業や標的となる企業に事前に警告を与えることもあります。FBIは修復サービスを提供しているわけではありませんが、サイバー犯罪の捜査と対応を行うことで情報を収集し、今後の攻撃を防ぐために共有したり、すでに被害に遭っている場合には被害者を支援するために利用しています。
As I mentioned, we have certain distinctive investigative authorities. And we have the good fortune of another domestic agency, CISA, with very different authorities and insights. Our roles complement each other, and when we work together, we strengthen our defense of cyberspace in ways we could not do if we were in competition or isolation. 先に述べたように、当社には特徴的な調査権限があります。また、幸運なことに、国内にはCISAという、まったく異なる権限と見識を持つ機関があります。それぞれの役割はお互いに補完し合い、協力し合うことで、競争したり孤立したりしていたのではできない方法で、サイバー空間の防衛を強化することができます。
To be more precise, the FBI contributes information we uniquely collect through a combination of criminal and national security authorities that are the envy of many partners overseas, and our physical presence across the U.S. enables our close engagement with victims. That engagement can yield details that unlock the secrets of who is compromising our networks, how our adversaries are succeeding, and where they may strike next because of the technical clues they leave behind. Once revealed, that information gives CISA the opportunity to identify other networks vulnerable to the same technique; it may give us, U.S. Cyber Command, or the National Security Agency a piece of the actor’s infrastructure to disrupt or exploit; and it helps the National Security Council know where to focus all the instruments of power the government might bring to bear against those responsible. These coordinated actions lead to the U.S. government’s most impactful cyber disruptions. We have also worked especially closely with CISA to share information with critical infrastructure owners and operators via FBI reports and joint advisories. より正確に言うと、FBIは、海外の多くのパートナーが羨むような犯罪と国家安全保障に関する権限を組み合わせて独自に収集した情報を提供しています。また、全米に広がるFBIの物理的な存在感は、被害者との密接な関わりを可能にします。その結果、誰がネットワークを侵害しているのか、敵はどのようにして成功しているのか、また、敵が残した技術的な手がかりから、次にどこを攻撃するのかといった秘密を解き明かすことができます。その情報が明らかになれば、CISAは同じ手法に脆弱な他のネットワークを特定することができ、我々や米国サイバー司令部、国家安全保障局は、行為者のインフラの一部を破壊したり利用したりすることができます。このような連携した行動が、米国政府の最もインパクトのあるサイバー破壊につながっているのです。また、CISAとは特に緊密に連携し、FBIの報告書や共同勧告を通じて重要インフラの所有者や運営者と情報を共有しています。
Our strategy has enabled us to land some major blows against the threat actors behind ransomware and its delivery mechanisms. But the ransomware threat is not going away, so we must carry this strategy and its momentum forward into 2022. この戦略により、ランサムウェアの背後にいる脅威の担い手とその配信メカニズムに対して大きな打撃を与えることができました。しかし、ランサムウェアの脅威がなくなることはないので、この戦略とその勢いを2022年に向けて進めていかなければなりません。
Addressing Ransomware’s Global Footprint ランサムウェアの世界的な広がりへの対応
As I mentioned earlier, without strong foreign partnerships, our cyber strategy cannot be fully implemented, and we cannot successfully counter the ransomware threat. 先に述べたように、海外との強力なパートナーシップがなければ、当社のサイバー戦略を完全に実施することはできず、ランサムウェアの脅威にうまく対抗することもできません。
We know our most significant threats come from foreign actors using global infrastructure to compromise U.S. networks. By working with friendly foreign law enforcement agencies and intelligence partners, we make it harder for these actors to conceal their activities and their whereabouts. 最も大きな脅威は、グローバルなインフラを利用して米国のネットワークを危険にさらす外国人であることがわかっています。友好的な外国の法執行機関や情報機関と協力することで、これらの行為者が自分たちの活動や居場所を隠すことを難しくしています。
Not every foreign nation helps us in this fight. While we seek to disrupt entire cybercriminal enterprises, the most impactful consequence we can impose on a malicious cyber actor is an arrest as part of comprehensive disruption. If an actor is in a country like Russia or China, an arrest is currently not a viable option. Even when an indicted cybercriminal is in another country, Russia in particular takes actions to interfere with our extraditions. To make things more difficult, the lines between nation-states and cybercriminal actors are blurred, and even though a foreign nation may not be directing a ransomware campaign, it may still be complicit by providing a safe haven to those malicious actors who are doing harm to the United States, our citizens, and our businesses. しかし、すべての国がこの戦いに協力してくれるわけではありません。私たちはサイバー犯罪者の企業全体を壊滅させることを目指していますが、悪質なサイバー犯罪者に課すことのできる最もインパクトのある結果は、包括的な壊滅の一環としての逮捕です。行為者がロシアや中国のような国にいる場合、現在のところ逮捕は実行可能な選択肢ではありません。起訴されたサイバー犯罪者が他国にいる場合でも、特にロシアは我々の身柄引き渡しを妨害する行動をとります。さらに言えば、国家とサイバー犯罪者の境界線は曖昧であり、外国がランサムウェアのキャンペーンを指揮していなくても、米国、米国市民、米国企業に害を及ぼす悪質な行為者に安全な避難場所を提供することで、加担している可能性があります。
But our allies outnumber our foes, and in just the past few months, our work with foreign partners—supported by our legal attaches overseas—has led to impactful consequences against cybercriminals and sent a strong message that the reach of the U.S. government extends beyond its borders. しかし、米国の同盟国は敵よりも数が多く、この数ヶ月間、海外のパートナーとの協力関係は、海外の法務担当者の支援を受けて、サイバー犯罪者に影響を与える結果となり、米国政府の権限は国境を越えて及ぶという強いメッセージを発信しています。
In January 2021, the FBI and others at the Department of Justice (DOJ) partnered with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, France, Lithuania, Canada, and Ukraine, with international activity coordinated by Europol and Eurojust, to disrupt the infrastructure of a highly destructive malware known as Emotet. Among other things, Emotet could also be used as a way to spread ransomware. This was one of the longest-standing professional cybercrime tools and had enabled criminals to cause hundreds of millions of dollars in damage to government, educational, and corporate networks. In this case, we used sophisticated techniques and our unique legal authorities, but it could never have happened without our international partners. 2021年1月、FBIをはじめとする司法省は、オランダ、ドイツ、英国、フランス、リトアニア、カナダ、ウクライナの法執行機関および司法当局と連携し、EuropolとEurojustが調整する国際的な活動により、「Emotet」という極めて破壊的なマルウェアのインフラを破壊しました。とりわけ、Emotetはランサムウェアを拡散する手段としても使われていました。これは古くからあるプロのサイバー犯罪ツールの一つで、犯罪者は政府、教育機関、企業のネットワークに何億ドルもの損害を与えることができました。このケースでは、高度な技術と独自の法的権限を駆使しましたが、海外のパートナーがいなければ決して実現しなかったことです。
Also this January, we worked with international partners in Canada and Bulgaria to disrupt NetWalker, a ransomware variant that affected numerous victims, including companies, municipalities, hospitals, law enforcement, emergency services, school districts, colleges, and universities. In this case, we obtained federal charges, and a subject was arrested in Canada pending extradition proceedings. In addition, we seized more than $450,000 in cryptocurrency. また、今年の1月には、カナダとブルガリアの国際的なパートナーと協力して、企業、自治体、病院、法執行機関、救急隊、学区、大学など、多くの被害者に影響を与えたランサムウェア「NetWalker」を阻止しました。この事件では、連邦政府による起訴を獲得し、対象者はカナダで逮捕され、身柄引き渡しの手続き中です。また、45万ドル以上の暗号通貨を押収しました。
In June, through coordination with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, Canada, Sweden, Italy, Bulgaria, and Switzerland, as well as Europol and Eurojust, we seized the web domains and server infrastructure of DoubleVPN, a virtual private network that allowed ransomware actors to attack their victims and hide their tracks. Thanks to this international operation, this service, which was heavily advertised on both Russian and English-speaking cybercrime forums, is no longer available to cybercriminals. 6月には、オランダ、ドイツ、英国、カナダ、スウェーデン、イタリア、ブルガリア、スイスの法執行機関および司法当局、EuropolおよびEurojustとの連携により、ランサムウェアの実行者が被害者を攻撃し、その痕跡を隠すことを可能にしていた仮想プライベートネットワーク「DoubleVPN」のウェブドメインとサーバーインフラを押収しました。この国際的な活動のおかげで、ロシア語圏と英語圏のサイバー犯罪フォーラムで大々的に宣伝されていたこのサービスは、サイバー犯罪者が利用できなくなりました。
How Victims and Potential Victims Can Help Themselves and Others 被害者および被害に遭う可能性のある人が自分自身や他人を助ける方法
We have the strategy to take action against our cyber adversaries. But the strategy will fail if we do not know about suspicious activity or that a compromise has occurred. And because of the nature of U.S. laws and network infrastructure, we will never know about most malicious activity if it is not reported to us by the private sector. 私たちは、サイバー敵対者に対して行動を起こすという戦略を持っています。しかし、不審な行動や侵害の発生を知らなければ、この戦略は失敗に終わります。米国の法律やネットワークインフラの性質上、民間企業からの報告がなければ、ほとんどの悪質な活動を知ることはできません。
We know ransomware victims, particularly large enterprises, risk negative publicity if they disclose being impacted by ransomware. As a result, ransomware incidents are often addressed by the victim directly and are never reported to the public or law enforcement. ランサムウェアの被害者、特に大企業は、ランサムウェアの影響を受けたことを公表すると、ネガティブなイメージを持たれるリスクがあることを知っています。そのため、ランサムウェアのインシデントは、被害者が直接対処することが多く、一般市民や法執行機関に報告されることはありません。
Ransomware incidents targeting public entities, such as state or local municipalities, often receive high levels of publicity. In addition to the losses reported to the IC3 that I mentioned earlier, these groups face costs associated with business disruption and remediation, which can eclipse the ransom demand itself. For example, these costs were $17 million and $18.2 million, respectively, in ransomware campaigns against Atlanta and Baltimore. 国や地方自治体などの公的機関を対象としたランサムウェアの被害は、しばしば高い評価を受けます。これらの団体は、先に述べたIC3に報告された損失に加えて、事業の中断と修復に関連するコストに直面し、身代金の要求そのものを凌駕することもあります。例えば、アトランタとボルチモアに対するランサムウェアのキャンペーンでは、これらのコストはそれぞれ1,700万ドルと1,820万ドルでした。
I would like to spend a moment on the decision of whether or not to make a ransom payment. The FBI discourages ransomware victims from paying ransom for a variety of reasons. Even if a ransom is paid, there is no guarantee the business or individual will regain access to their data. On top of this, paying a ransom does not always keep data from ultimately being leaked. Additionally, paying a ransom incentivizes future ransomware attacks and emboldens criminal actors to continue their illicit work. However, regardless of whether or not a victim chooses to pay, the FBI strongly encourages victims to report ransomware incidents to the FBI. Our goal is to identify, pursue, and impose consequences on criminal actors, not their victims. 身代金の支払いを行うかどうかの判断について、少し触れておきたいと思います。FBIは、様々な理由から、ランサムウェアの被害者に身代金の支払いを勧めています。身代金を支払ったとしても、企業や個人がデータへのアクセスを回復できる保証はありません。また、身代金を支払っても、最終的にデータが流出しないとは限りません。また、身代金を支払うことで、今後のランサムウェアの攻撃を助長し、犯罪者が不正な活動を続けることになります。しかし、被害者が身代金を支払うかどうかにかかわらず、FBIは被害者に対して、ランサムウェアの被害をFBIに報告することを強く推奨しています。私たちの目的は、被害者ではなく、犯罪者を特定し、追及し、その結果をもたらすことです。
We are pushing important threat information to network defenders, and we are making it as easy as possible for the private sector to share information with us. For example, we are emphasizing to the private sector how we keep our presence unobtrusive in the wake of a breach, how we protect information that companies and universities share with us and commit to providing useful feedback, and how we coordinate with our government partners so we speak with one voice. A call to one federal agency is a call to all federal agencies, and I hope we are sending that message by sitting as a unified front here today. 私たちは、重要な脅威の情報をネットワーク防御者に伝え、民間企業が私たちと情報を共有することができるようにしています。例えば、セキュリティ侵害が発生した際に、どのようにして私たちの存在を目立たせないようにするか、企業や大学が私たちと共有する情報をどのように保護し、有益なフィードバックを提供することをどのように約束するか、そして、どのようにして政府のパートナーと連携し、私たちが一つの声で話すことができるようにするかを、民間企業に強調しています。ある連邦政府機関への呼びかけは、すべての連邦政府機関への呼びかけであり、今日ここで一丸となって座っていることで、そのメッセージを伝えられればと思っています。
At the same time, we need the private sector to do its part. We need to be warned—quickly—when they see malicious cyber activity. We also need companies to work with us when we warn them they are being targeted. The recent examples of significant cyber incidents—SolarWinds, Microsoft Exchange, Colonial Pipeline, JBS, and Kaseya—only emphasize what Director Wray has been saying for a long time: The government cannot protect against cyber threats on its own. We need a whole-of-society approach that matches the scope of the danger. 同時に、民間企業にもその役割を果たしてもらう必要があります。悪質なサイバー活動を発見した場合には、迅速に警告を発してもらう必要があります。また、企業が標的にされていることを警告した場合、企業に協力してもらう必要があります。最近発生した重大なサイバー事件(SolarWinds、Microsoft Exchange、Colonial Pipeline、JBS、Kaseya)は、レイ長官が以前から言っていることを強調しています。政府だけでは、サイバー犯罪の脅威から守ることはできません。政府だけでは、サイバー脅威から守ることはできません。危険の範囲に合わせて、社会全体で取り組む必要があります。
There is really no other option for defending a country where nearly all of our critical infrastructure, personal data, intellectual property, and network infrastructure sit in private hands. So what specific steps can companies take to follow our guidance, protect themselves and our nation, and help themselves if ransomware strikes? 重要インフラ、個人情報、知的財産、ネットワークインフラのほぼすべてが民間の手に委ねられているこの国を守るためには、これ以外の選択肢はありません。では、ランサムウェアの被害に遭った場合、企業はどのような具体策を講じて、自社と国家を守り、自助努力をすればよいのでしょうか。
First, the public, cybersecurity professionals and system administrators, and business leaders can use threat information shared by the FBI and the rest of the federal government to strengthen their network defenses and guard against ransomware and other malicious cyber activity. まず、一般市民、サイバーセキュリティの専門家やシステム管理者、ビジネスリーダーは、FBIをはじめとする連邦政府が共有する脅威情報を利用して、ネットワークの防御を強化し、ランサムウェアやその他の悪意のあるサイバー活動から身を守ることができます。
Our reports, which are coordinated with our federal partners, are shared directly with critical infrastructure owners and operators, and when possible, are posted to our IC3 website to warn the public about the trends we are seeing and the specific threats out there. In addition to these threat advisories, CISA’s website and the new interagency site www.StopRansomware.gov have resources on how people and businesses can protect themselves. Some of the general cybersecurity practices we encourage include creating and securing offline backups of critical data, installing patches as soon as they become available, updating anti-virus software, connecting only to secure networks, employing multi-factor authentication, and ensuring the validity of all e-mails and the links they contain before clicking them. 連邦政府のパートナーと連携して作成された報告書は、重要インフラの所有者や運営者と直接共有されるほか、可能な場合はIC3のウェブサイトにも掲載され、我々が見ている傾向や具体的な脅威について一般の人々に警告を発します。これらの脅威に関する勧告に加えて、CISAのウェブサイトや新しい省庁間のサイト(www.StopRansomware.gov)には、人々や企業が自分自身を守るための情報が掲載されています。一般的なサイバーセキュリティ対策としては、重要なデータのオフラインバックアップの作成と保護、パッチが公開されたらすぐにインストール、アンチウイルスソフトウェアの更新、安全なネットワークのみへの接続、多要素認証の採用、電子メールをクリックする前にそのリンクの有効性を確認することなどが挙げられます。
Second, if you are an organization, create an incident response plan. If you are compromised, you need to know what to do. All of your leaders and security professionals need to be on the same page, and you must be able to make decisions quickly. Having worked with victims who had incident response plans versus those who did not, the difference is stark. 第二に、組織であれば、インシデントレスポンスプランを作成します。侵入された場合、何をすべきかを知っておく必要があります。組織のリーダーやセキュリティの専門家全員が同じ見解を持ち、迅速に意思決定を行うことが必要です。インシデントレスポンスプランを持っている被害者と持っていない被害者とを比較した結果、その差は歴然としています。
Victims with incident response plans are often able to respond faster and more efficiently and can significantly limit the damage caused by a ransomware incident. インシデント対応計画を持っている被害者は、多くの場合、より迅速かつ効率的に対応することができ、ランサムウェアのインシデントによる被害を大幅に抑えることができます。
Third, organizations should build relationships with their local FBI field offices. Whether you are a small organization or a large corporation, our local offices welcome making connections before anything has gone wrong. If you see us speaking at an event in your area, show up, and talk to us after—we would be thrilled to meet your CEO, chief information security officer (CISO), general counsel, or anyone who has a role in keeping your networks secure and incident response. But it cannot stop there. Continue to share information with us after that meeting, and you have my word we will do the same back to you. 第三に、企業は地元のFBI支局との関係を築くべきである。小規模な組織でも大企業でも、FBIの現地事務所は、何か問題が起きる前に関係を築くことを歓迎しています。CEO、最高情報セキュリティ責任者(CISO)、法務担当者など、ネットワークの安全性確保やインシデント対応に関わるすべての方にお会いしたいと思っています。しかし、それだけでは終わりません。お会いした後も、私たちと情報を共有してください。
Fourth, if you are compromised, or if you think you may have been, report it to us as quickly as you can. You can report these incidents via the Internet Crime Complaint Center at www.IC3.gov or by contacting your local FBI field office, hopefully to the FBI agent you already know. We will take it from there and make sure the wheels of the entire federal government incident response team are set into motion so you can focus on remediation. 第四に、もしも情報漏洩してしまった場合、あるいはその可能性がある場合には、できるだけ早く私たちに報告してください。インターネット犯罪苦情処理センター(www.IC3.gov)、または近くのFBI支局(できればお知り合いのFBI捜査官に)に連絡ください。そこから先は、連邦政府のインシデント対応チーム全体の歯車が動き出すようにして、皆さんが修復に専念できるようにします。
If an incident occurs, it may not be too late, but time is of the essence. The difference between seeking help on day one and day five is real–it can be the difference between a company reconstituting its network or declaring bankruptcy. We will always use our full range of national security authorities and criminal legal processes to investigate ransomware incidents, but many of those techniques require probable cause and prior court authorization, so there is no substitute for quick, voluntary action by private owners of U.S. networks and infrastructure in helping us act rapidly against a threat. Swift action from the private sector is an enormous public service, and we truly appreciate private sector cooperation whenever we can get it. In the Colonial Pipeline and Kaseya incidents, for example, swift reporting and response contained the impact of what could have been significantly worse events. インシデントが発生した場合、遅すぎるということはありませんが、時間は重要です。初日に助けを求めるのと、5日目に助けを求めるのとでは、企業がネットワークを再構築するか、破産を宣言するかの違いになりかねません。私たちは、ランサムウェアの事件を捜査するために、国家安全保障上のあらゆる権限と刑事法的手続きを常に駆使していますが、これらの手法の多くは、正当な理由と裁判所の事前承認を必要とするため、脅威に対する迅速な行動を支援するためには、米国のネットワークやインフラの民間所有者による迅速かつ自発的な行動に代わるものはありません。民間企業の迅速な行動は非常に大きな公共サービスであり、民間企業の協力にはいつでも心から感謝しています。例えば、Colonial PipelineとKaseyaの事件では、迅速な報告と対応により、もっとひどい事件になっていたかもしれない影響を抑えることができました。
Mandatory Reporting of Ransomware and Other Cyber Incidents ランサムウェアおよびその他のサイバーインシデントの報告義務化
The administration is supportive of legislative proposals that would require the reporting of a wider range of cyber incidents, to include ransomware and incidents that impact critical infrastructure and federal entities and their supply chain. These proposals would grant courts the authority to enjoin a greater range of botnets and other cybercrime involving damage to 100 or more computers, explicitly criminalize the sale or renting of a botnet, bring the forfeiture provisions of the Computer Fraud and Abuse Act (CFAA) in line with other federal statutes, and update the CFAA to add penalties for the crime of conspiracy. 米国政府は、ランサムウェア、重要インフラや連邦政府機関とそのサプライチェーンに影響を与えるインシデントを含む、より広範なサイバーインシデントの報告を義務付ける法案を支持しています。これらの提案は、100台以上のコンピュータに損害を与えるボットネットやその他のサイバー犯罪をより広範囲に差し止める権限を裁判所に与え、ボットネットの販売やレンタルを明確に犯罪化し、コンピュータ詐欺・乱用法(CFAA)の没収条項を他の連邦法と一致させ、CFAAを更新して共謀罪の罰則を追加するものです。
All of these legislative proposals would enhance the FBI’s ability to combat ransomware, but I would like to focus on mandatory cyber incident reporting legislation that is being considered in Congress. We welcome and applaud congressional efforts that would require the reporting of certain cyber incidents, including ransomware attacks. However, we are troubled that all legislation being considered on mandatory cyber incident reporting does not explicitly account for the essential role that federal law enforcement, and notably the Department of Justice and the FBI, plays in receiving cyber incident reporting and actioning the information to assist victims and impose risk and consequences on cybercriminals. これらの立法案はいずれもFBIのランサムウェア対策を強化するものですが、私が注目したいのは、議会で検討されているサイバーインシデント報告義務化法案です。私たちは、ランサムウェア攻撃を含む特定のサイバーインシデントの報告を義務付ける議会の取り組みを歓迎し、賞賛します。しかし、現在検討されているサイバー事件の報告義務化に関するすべての法案が、サイバー事件の報告を受け、被害者を支援し、サイバー犯罪者にリスクと結果を負わせるために情報を行動に移すという、連邦法執行機関、特に司法省とFBIが果たす本質的な役割を明示的に考慮していないことに、私たちは困っています。
The administration’s position is that the Department of Homeland Security (DHS) and DOJ – the two lead agencies respectively responsible for federal cyber incident response mitigation and investigation efforts for significant cyber incidents—should immediately receive all information mandated to be reported with appropriate protections. Cyber incidents that would have to be reported are not only digital breaches that require remediation, but also federal crimes that need to be investigated. Cyber incident reporting is crime reporting. To streamline and simplify reporting obligations, there should be one designated reporting intake mechanism for entities that are required to report, with the reports going to both DOJ and DHS. 政権の立場としては、重大なサイバーインシデントに対する連邦政府のサイバーインシデント対応の緩和と調査を担当する国土安全保障省(DHS)と司法省が、報告が義務付けられているすべての情報を適切な保護のもとで直ちに受け取るべきだと考えています。報告が必要となるサイバーインシデントは、修復が必要なデジタル侵害だけでなく、捜査が必要な連邦犯罪でもあります。サイバーインシデントの報告は、犯罪の報告です。報告義務を合理化・簡略化するために、報告義務のある事業者には指定された報告受付機構を1つ設け、その報告を司法省とDHSの両方に行うべきです。
Our need to receive all cyber incident reports is two-fold: one, to provide victims with rapid federal incident response support, and two, to disrupt ongoing harm through our unique authorities and forward-deployed capabilities. 1つは、被害者に連邦政府の迅速な事故対応支援を提供するため、もう1つは、独自の権限と前方展開された能力により、進行中の被害を阻止するためです。
Cyber threats are global, but victims need and deserve a local response. Many victims choose to report cyber incidents to the FBI because they know their local field office has a cyber squad with technically trained special agents, computer scientists, and other digital evidence and cyber threat experts who are ready to arrive on a victim’s doorstep in hours or less nationwide. But we can only move as fast as we learn about the incident. We owe it to the American people to not create any unnecessary delays to providing them with this assistance. サイバー脅威はグローバルなものですが、被害者はローカルな対応を必要としており、それに値するものです。多くの被害者は、FBIにサイバー事件を報告することを選択しています。それは、地元の支局には、技術的な訓練を受けた特別捜査官、コンピュータ科学者、その他のデジタル証拠やサイバー脅威の専門家を擁するサイバー部隊があり、全国で数時間以内に被害者のもとに到着する準備ができていることを知っているからです。しかし、私たちが動けるのは、事件の情報を知るまでの間だけです。私たちには、米国民への支援を不必要に遅らせることのないようにする義務があります。
When the FBI responds to a cyber incident report, the Bureau is not just there to collect evidence of a crime. The FBI arrives to assist victims. Our cyber threat experts rapidly analyze information that victims provide to determine if the incident resembles others that we are investigating so we can provide victims with the technical information and hands-on support they need to limit ongoing harm and prevent additional malicious activity on their networks. With the insights that we have as a member of the USIC, we are able to meld the information victims provide with the community’s holdings to fill in visibility gaps and inform victims how they can defend against active and potential threats. FBIがサイバー事件の報告に対応するとき、FBIは犯罪の証拠を集めるためだけに存在するのではありません。FBIは被害者を支援するために到着します。FBIのサイバー脅威の専門家は、被害者から提供された情報を迅速に分析し、FBIが調査している他の事件と類似しているかどうかを判断し、被害の拡大を抑え、ネットワーク上で悪意のある行為が行われないように、被害者に必要な技術情報や実地のサポートを提供します。また、USICの一員としての見識を活かし、被害者から提供された情報とコミュニティが保有する情報を融合させることで、情報の欠落を補い、現在進行中の脅威や潜在的な脅威からの防御方法を被害者に伝えることができます。
Rapid FBI responses to cyber victims has helped thwart major ongoing cyber incidents nationwide. Examples include stopping active intrusions into critical infrastructure entities, including a major healthcare facility; helping defense contractors block sensitive information from being exfiltrated from its networks; and helping a large financial institution secure terabytes of customer records, including personally identifiable information, that had been stolen from its systems. サイバー被害者に対するFBIの迅速な対応は、全国で進行中の大規模なサイバー事件を阻止するのに役立っています。例えば、大手医療施設などの重要インフラへの積極的な侵入を阻止したり、防衛関連企業がネットワークから機密情報が流出するのを防いだり、大手金融機関がシステムから盗まれた個人識別情報を含むテラバイト単位の顧客記録を保護するのに役立ったりしています。
But our rapid incident response services do not only help individual victims; they also help others who are vulnerable to similar cyber attacks. When recently assisting a major critical infrastructure victim during an ongoing incident, we identified a zero-day exploit the attackers were using, used our investigative tools to search for other victims affected by this vulnerability, and worked with CISA to provide cybersecurity assistance to these entities while a patch for the vulnerability was being developed. しかし、私たちの迅速なインシデントレスポンスサービスは、個々の被害者を助けるだけでなく、同様のサイバー攻撃にさらされている他の人々を助けることにもなります。最近では、ある重要インフラの被害者を支援した際に、攻撃者が使用していたゼロデイ・エクスプロイトを特定し、当社の調査ツールを使用してこの脆弱性の影響を受ける他の被害者を探し出し、CISAと協力して、脆弱性のパッチが開発されるまでの間、これらの企業にサイバーセキュリティの支援を行いました。
In another incident reported to the FBI, a victim reported the malicious sever that connected to its network. We used our law enforcement and intelligence authorities to quickly monitor the malicious actor’s virtual infrastructure, dispatched agents across the country to warn targeted entities that the actor planned to compromise next, provided these entities with security advice, and intercepted and corrupted some stolen information before it could be exfiltrated. また、FBIに報告された別の事件では、被害者からネットワークに接続した悪意のあるウィルスについての報告がありました。FBIは、法執行機関としての権限と情報機関としての権限を駆使して、悪意ある行為者の仮想インフラを迅速に監視し、全国に捜査官を派遣して、悪意ある行為者が次に侵害を計画していることを対象となる企業に警告し、これらの企業にセキュリティに関するアドバイスを提供し、盗まれた情報の一部が流出する前に傍受して破壊しました。
Each response feeds into our collective efforts to link intrusions to common perpetrators and virtual infrastructure, attribute incidents, and impose risk and consequences on cybercriminals. それぞれの対応は、侵入行為を共通の犯人や仮想インフラに結びつけ、インシデントを特定し、サイバー犯罪者にリスクと結果を負わせるための総合的な取り組みにつながります。
We need to track and disrupt malicious hackers’ activity, infrastructure, and illicit proceeds in as close to real-time as possible. The FBI needs to be able to receive cyber incident reporting information as soon as it is reported to facilitate the fastest federal response possible. There is simply no time to waste, especially in cyberspace. 私たちは、悪質なハッカーの活動、インフラ、不正な収益を可能な限りリアルタイムに追跡し、破壊する必要があります。FBIは、サイバー犯罪の報告を受けたらすぐにその情報を受け取り、連邦政府としての対応を迅速に行う必要があります。特にサイバー空間では、時間を無駄にすることはできません。
The administration also holds that both DHS and DOJ should be co-equal partners in developing the rules that will be used to set incident reporting requirements. However, current incident reporting legislation being considered fails to recognize the critical expertise and role that DOJ, including the FBI, play when it comes to cyber incident reporting. また、DHSとDOJは、インシデント報告の要件を定めるための規則を策定する上で、同等のパートナーであるべきだとしています。しかし、現在検討されているインシデント報告法案は、サイバーインシデント報告に関して、FBIを含むDOJが果たす重要な専門性と役割を認識していません。
Congress has previously recognized how valuable it is to have both DHS and DOJ setting standards to address cyber threats. In the Cybersecurity Information Sharing Act of 2015, Congress established joint roles for both departments to establish policies, procedures, and guidelines related to the receipt of cyber threat indicators and defensive measures. The administration believes co-equal roles for DHS and DOJ is also the right approach for cyber incident reporting rulemaking. 議会は以前から、サイバー脅威に対処するための基準をDHSとDOJの両方が設定することの価値を認めています。2015年のサイバーセキュリティ情報共有法において、議会は、サイバー脅威の指標と防御策の受領に関連する方針、手順、ガイドラインを確立するために、両省庁の共同の役割を確立しました。政権は、DHSとDOJが共同で同等の役割を果たすことが、サイバーインシデント報告の規則制定においても正しいアプローチであると考えています。
DOJ, including the FBI, bring investigative and intelligence expertise about what information law enforcement and national security agencies need to disrupt malicious cyber actors, degrade their capabilities, and ultimately hold them accountable. DOJ also has extensive experience in navigating complex privacy and civil liberties issues that will inevitably arise from new requirements and would prove to be invaluable in helping to set standards that strike the right balance to ensure that incident report information is collected, stored, and shared appropriately. FBIを含むDOJは、法執行機関や国家安全保障機関が悪意のあるサイバー犯罪者を阻止し、その能力を低下させ、最終的に責任を負わせるために必要な情報について、捜査や情報に関する専門知識を有しています。また、DOJは、新たな要件から必然的に生じる複雑なプライバシーや市民的自由の問題を解決するための豊富な経験を有しており、インシデントレポートの情報を適切に収集、保存、共有するための適切なバランスのとれた基準を設定する上で、非常に重要な役割を果たすことになるでしょう。
The FBI also brings substantial knowledge about how to manage centralized federal cyber incident reporting mechanisms based on its experience running the IC3. Each year, IC3 receives hundreds of thousands of complaints from the public, which the FBI uses to prompt response efforts and inform other agencies about intrusions. Joint DHS and DOJ rulemaking will provide for the best outcomes for the entire federal government as well as the public. また、FBIは、IC3の運営経験に基づき、連邦政府のサイバーインシデント報告機構を一元管理する方法についても豊富な知識を持っています。IC3には、毎年、何十万件もの苦情が寄せられており、FBIはこれらの苦情をもとに、対応策を講じたり、侵入について他の機関に知らせたりしています。DHSとDOJが共同でルールメイキングを行うことで、連邦政府全体と一般市民にとって最良の結果を得ることができます。
We are delighted so many in Congress are invested in passing cyber incident reporting legislation, but we have to make sure legislation explicitly empowers the agencies at the front lines of incident response. As you will hear all the witnesses at today’s hearing emphasize, cyber is the team sport, and the Department of Justice and the FBI are key players. It is time for legislation to reflect this reality. 議会の多くの議員がサイバー事件報告法の成立に尽力していることは喜ばしいことですが、事件対応の最前線にいる機関に明確な権限を与えるような法案にしなければなりません。本日の公聴会で証人の方々が強調されているように、サイバーはチームスポーツであり、司法省とFBIは重要な役割を担っています。司法省とFBIは重要な役割を担っています。今こそ、この現実を反映した法律を制定すべきです。
The Resource Demands of Malicious Cyber Activity 悪意のあるサイバー活動に必要な資源
When we do learn of a ransomware incident, our agents are in direct contact with victims and with private industry partners to share threat indicators—such as malicious IP addresses—and gather evidence that helps us identify who is compromised and who else is vulnerable. Our technically trained incident response assets throughout the country, collectively known as our Cyber Action Team (CAT), assist affected entities. Our field offices with experience in complex national security and cyber investigations are our hubs for triaging the data we acquire through legal process, from partners, and through other lawful means. And our digital forensics and intelligence personnel exploit that information for indicators and intelligence that will help us to attribute the malicious activity to those responsible. ランサムウェアの感染が判明した場合、FBI の捜査官は、被害者や民間企業のパートナーと直接連絡を取り、悪意のある IP アドレスなどの脅威の指標を共有し、誰が感染し、誰が脆弱なのかを特定するための証拠を収集します。また、技術的な訓練を受けたインシデント対応要員が全国に配置されており、「サイバー・アクション・チーム(CAT)」と総称され、被害を受けた企業を支援しています。また、複雑な国家安全保障やサイバー捜査の経験を持つフィールドオフィスは、法的手続きやパートナーからの情報提供など、合法的な手段で入手したデータのトリアージを行う拠点となっています。また、デジタルフォレンジックとインテリジェンスの担当者は、これらの情報を利用して、悪意のある活動の責任者を特定するのに役立つ指標や情報を探します。
With the growing frequency and scale of recent significant cyber incidents—in some cases involving tens of thousands of victims—we are increasingly faced with hard choices that carry risk, include moving personnel away from long-term investigations or other significant incidents so we can surge toward the immediate need. In our SolarWinds investigation alone, a single FBI field office collected more than 170 terabytes of data, about 17 times the content of the entire Library of Congress. The FBI continues to exploit and analyze intelligence and technical data to uncover adversary tactics, share our findings, and pursue actions that will prevent those responsible from striking again. 最近の重大なサイバー事件(数万人の犠牲者を出したケースもある)の頻度と規模が大きくなるにつれ、私たちはリスクを伴う難しい選択を迫られるようになっています。例えば、長期的な調査やその他の重大な事件から人員を移動させて、緊急の必要性に急行することもあります。ソーラーウインズの調査だけでも、FBIの1つの支局が収集したデータは170テラバイトを超え、これは米国議会図書館全体の約17倍に相当します。FBIは、敵の戦術を明らかにするために、情報や技術データを利用・分析し、調査結果を共有して、犯人の再犯を防ぐための行動を継続しています。
Recent ransomware campaigns have shown us the investments in time, money, and talent cybercriminals are willing to make to compromise our networks. Accordingly, it requires a teams-based approach among various departments and agencies to understand, defend against, and counter these malicious cyber actors. Congress can help us by providing the resources requested in the President’s 2022 budget request to ensure the FBI and our partners are resourced to play our respective parts as we defend the nation together. 最近のランサムウェアのキャンペーンは、サイバー犯罪者が私たちのネットワークを侵害するために、時間、資金、人材を惜しまないことを示しています。したがって、このような悪質なサイバー犯罪者を理解し、防御し、対抗するためには、さまざまな部門や機関がチームを組んで取り組むことが必要です。議会は、2022年の大統領予算要求で要求されている資源を提供することで、FBIとパートナー企業がそれぞれの役割を果たすための資源を確保し、共に国を守ることができるようにします。
Conclusion まとめ
Even more than the other criminal violations we investigate, the FBI depends on our partners—public and private, foreign and domestic—to help us keep Americans safe from the many threats posed by ransomware. As part of our strategy, we have been putting a lot of energy and resources into cultivating these partnerships. As Director Wray has put it, cyber is the ultimate team sport, and I truly believe our partners are seeing the benefits of having FBI Cyber on their team. ランサムウェアがもたらす多くの脅威からアメリカ国民の安全を守るためには、FBIが捜査する他の犯罪行為と同様に、官民、国内外のパートナーの協力が不可欠です。FBIの戦略の一環として、私たちはこのようなパートナーシップの構築に多くのエネルギーと資源を投入しています。レイ長官が言うように、サイバーは究極のチームスポーツであり、FBIサイバー部門をチームに加えることで、パートナー企業はそのメリットを実感していると思います。
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the opportunity to testify today. I am happy to answer any questions you might have and to work together with you in the nation’s fight against ransomware so the FBI can help achieve our collective cyber mission—to give the American people safety, security, and confidence in our digitally connected world. マロニー委員長、コマー委員長、そして委員会のメンバーの皆様、本日は証言の機会をいただきありがとうございます。ご質問があれば喜んでお答えします。また、ランサムウェアとの戦いにおいて皆様と協力し、FBIのサイバーミッションの達成に貢献したいと考えています。
*** ***
1 In 2019, the IC3 received 2,047 ransomware complaints with adjusted losses of more than $8.9 million. This likely represents a small fraction of the true scope of the threat because it captures only those who individually reported to the IC3. These numbers represent a nearly 40 percent increase in ransomware complaints to the IC3 and more than double the adjusted losses reported in 2018. In 2020, the IC3 received 2,474 complaints identified as ransomware with adjusted losses of over $29.1 million. 1 2019年にIC3が受け取ったランサムウェアに関する苦情は2,047件で、調整後の損失額は890万ドルを超えています。この数字は、IC3に個別に報告した人のみを対象としているため、脅威の真の範囲のごく一部を示していると思われます。これらの数字は、IC3に寄せられたランサムウェアの苦情が約40%増加したことを示しており、2018年に報告された調整後の損失額の2倍以上となっています。2020年、IC3はランサムウェアと特定される2,474件の苦情を受け、調整後の損失額は2,910万ドルを超えました。
Resources リソース
Arrest in Ransomware Attack on Kaseya Kaseyaへのランサムウェア攻撃で逮捕

 

Doj_20210608075901

 


まるちゃんの情報セキュリティ気まぐれ日記

サイバーインシデント報告に関連する法律案(Cyber Incident Nortification Act of 2021案 と Cyber Incident Reporting Act of 2021案
)については、

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

捜査機関によるランサムウェア犯罪者に対する対応例

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.06.28 Satoriの開発者に13ヶ月の刑?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

ちょっと毛色がちがいますが...

・2006.01.26 日本初 スパイウエア作成者逮捕

・2005.06.14 フィッシングで逮捕@日本

・2005.04.25 ドコモの個人情報漏えい事件で元従業員が逮捕された件と情報窃盗罪

 

国際連携

2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

大統領令 E014028 

2021.05.13 国家のサイバーセキュリティ大統領令

 

 

 

|

« 日本公認会計士協会 意見募集 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案) | Main | 中国 インターネットの法の支配についての普及・教育計画 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 日本公認会計士協会 意見募集 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案) | Main | 中国 インターネットの法の支配についての普及・教育計画 »