« 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。 | Main | ENISA 相互運用可能なEUのリスク管理フレームワーク »

2022.01.17

米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

こんにちは、丸山満彦です。

GAOがSolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応についての報告書を公開していますね。。。

● U.S. Government Accountability Office

・2022.01.13 Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents

・[PDF] Hilights

・[PDF] Full Report

20220117-132401

 

Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
Fast Facts 速報
This report describes the federal response to 2 high-profile cybersecurity incidents that affected the U.S. government. The Russian Foreign Intelligence Service hacked SolarWinds network management software, which is widely used in the U.S. government. Also, Chinese government affiliates likely exploited a vulnerability in the Microsoft Exchange Server, according to the White House. 本報告書は、米国政府に影響を与えた2つの有名なサイバーセキュリティ事件に対する連邦政府の対応について記載しています。ロシア対外情報庁は、米国政府で広く使用されているSolarWindsネットワーク管理ソフトウェアをハッキングしました。また、ホワイトハウスによると、中国政府関連会社がMicrosoft Exchange Serverの脆弱性を悪用した可能性が高いとのことです。
Federal agencies worked with each other and industry after these incidents. Agencies received emergency directives on how to respond and more. これらの事件の後、連邦政府機関は相互に協力し、産業界にも働きかけました。各機関は、対応方法などに関する緊急指令を受け取りました。
Information Security is on our High Risk List. As of Nov. 2021, about 900 of our cybersecurity recommendations remain open. 情報セキュリティは、ハイリスクリストに入っています。2021年11月現在、サイバーセキュリティに関する提言のうち約900件が未解決となっています。
Highlights ハイライト
What GAO Found GAOの調査結果
Beginning as early as January 2019, a threat actor breached the computing networks at SolarWinds—a Texas-based network management software company, according to the company's Chief Executive Officer. The federal government later confirmed the threat actor to be the Russian Foreign Intelligence Service. Since the company's software, SolarWinds Orion, was widely used in the federal government to monitor network activity and manage network devices on federal systems, this incident allowed the threat actor to breach several federal agencies' networks that used the software (see figure 1). 2019年1月から、テキサス州に本社を置くネットワーク管理ソフトウェア会社SolarWindsのコンピューティングネットワークに脅威分子が侵入していたと、同社の最高経営責任者が語っています。後に連邦政府は、この脅威主体がロシア対外情報庁であることを確認しました。同社のソフトウェア「SolarWinds Orion」は、連邦政府のシステムにおけるネットワーク活動の監視やネットワーク機器の管理に広く利用されていたため、この事件により、同ソフトウェアを利用している複数の連邦政府機関のネットワークに侵入することができました(図1参照)。
Rid15_image2_20220117140901
Figure 1: Analysis of How a Threat Actor Exploited SolarWinds Orion Software 図1:脅威行為者がSolarWinds Orionソフトウェアを悪用した方法の分析
While the response and investigation into the SolarWinds breach were still ongoing, Microsoft reported in March 2021 the exploitation or misuse of vulnerabilities used to gain access to several versions of Microsoft Exchange Server. This included versions that federal agencies hosted and used on their premises. According to a White House statement, based on a high degree of confidence, malicious cyber actors affiliated with the People's Republic of China's Ministry of State Security conducted operations utilizing these Microsoft Exchange vulnerabilities. The vulnerabilities initially allowed threat actors to make authenticated connections to Microsoft Exchange Servers from unauthorized external sources. Once the threat actor made a connection, the actor then could leverage other vulnerabilities to escalate account privileges and install web shells that enabled the actor to remotely access a Microsoft Exchange Server. This in turn allowed for persistent malicious operations even after the vulnerabilities were patched (see figure 2). SolarWinds社の侵害に対する対応と調査はまだ継続中ですが、マイクロソフト社は2021年3月に、複数のバージョンのMicrosoft Exchange Serverへのアクセスに使用された脆弱性が悪用されたことを報告しました。この中には、連邦政府機関がホストして構内で使用していたバージョンも含まれていました。ホワイトハウスの声明によると、高度な確信に基づき、中華人民共和国の国家安全部に所属する悪意のあるサイバーアクターが、これらのMicrosoft Exchangeの脆弱性を利用した操作を行ったとしています。この脆弱性を利用すると、まず、外部の不正なソースからMicrosoft Exchange Serverに認証された接続を行うことができます。接続が完了すると、他の脆弱性を利用してアカウントの権限を昇格させたり、ウェブシェルをインストールしたりして、Microsoft Exchange Serverへのリモートアクセスを可能にしていました。これにより、脆弱性にパッチが適用された後も、持続的な悪意ある操作が可能となりました(図2参照)。
Rid16_image3_20220117140901
Figure 2: Analysis of How Threat Actors Exploited Microsoft Exchange Server Vulnerabilities 図2:脅威となる行為者がMicrosoft Exchange Serverの脆弱性をどのように利用したかの分析結果
Federal agencies took several steps to coordinate and respond to the SolarWinds and Microsoft Exchange incidents including forming two Cyber Unified Coordination Groups (UCG), one for the SolarWinds incident and one for the Microsoft Exchange incident. Both UCGs consisted of the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the Office of the Director of National Intelligence (ODNI), with support from the National Security Agency (NSA). According to UCG agencies, the Microsoft Exchange UCG also integrated several private sector partners in a more robust manner than their involvement in past UCGs. 連邦政府機関は、SolarWindsとMicrosoft Exchangeの両インシデントに対応するために、SolarWindsインシデント用とMicrosoft Exchangeインシデント用の2つのサイバー統一調整グループ(UCG)を結成するなど、いくつかの措置を講じました。両UCGは、CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、ODNI(国家情報長官室)で構成され、NSA(国家安全保障庁)の支援を受けました。UCGの各機関によると、Microsoft Exchange UCGには、過去のUCGに比べてより強力な方法で複数の省庁が参加しています。
CISA issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. To aid agencies in conducting their own investigations and securing their networks, UCG agencies also provided guidance through advisories, alerts, and tools. For example, the Department of Homeland Security (DHS), including CISA, the FBI, and NSA released advisories for each incident providing information on the threat actor's cyber tools, targets, techniques, and capabilities. CISA and certain agencies affected by the incidents have taken steps and continue to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. CISAは、連邦政府機関に脆弱性を知らせ、インシデントに対応するためにどのような行動を取るべきかを説明する緊急指令を発行しました。また、各機関が独自に調査を行い、ネットワークのセキュリティを確保するのを支援するため、UCGの各機関は勧告、警告、ツールを通じてガイダンスを提供しました。例えば、CISAを含む国土安全保障省(DHS)、FBI、NSAは、インシデントごとに勧告を発表し、脅威となる人物のサイバーツール、標的、技術、能力に関する情報を提供しました。CISAと事件の影響を受けた一部の機関は、ソーラーウインズ事件への対応策を講じ、引き続き連携しています。各省庁は、Microsoft Exchange社の事件への対応を完了しました。
Agencies also identified multiple lessons from these incidents. For instance, 各省庁は、これらのインシデントから複数の教訓を得ました。例えば、以下のようなものです。
・coordinating with the private sector led to greater efficiencies in agency incident response efforts; ・民間企業との連携により、各省庁のインシデント対応をより効率的に行うことができた。
・providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; ・省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との調整が改善された。
・sharing of information among agencies was often slow, difficult, and time consuming and; ・省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
・collecting evidence was limited due to varying levels of data preservation at agencies. ・各省庁のデータ保存のレベルが異なるため、証拠の収集が制限されていた。
Effective implementation of a recent executive order could assist with efforts aimed at improving information sharing and evidence collection, among others. 最近発表された大統領令を効果的に実施することで、情報共有や証拠収集などを改善するための取り組みを支援することができる。
Why GAO Did This Study GAOがこの調査を行った理由
The risks to information technology systems supporting the federal government and the nation's critical infrastructure are increasing, including escalating and emerging threats from around the globe, the emergence of new and more destructive attacks, and insider threats from witting or unwitting employees. Information security has been on GAO's High Risk List since 1997. 連邦政府や国の重要なインフラを支える情報技術システムに対するリスクは、世界中からの脅威の増大や出現、より破壊的な新手の攻撃の出現、故意または無意識の従業員によるインサイダー脅威など、ますます高まっています。情報セキュリティは、1997年以来、GAOのハイリスクリストに入っています。
Recent incidents highlight the significant cyber threats facing the nation and the range of consequences that these attacks pose. A recent such incident, involving SolarWinds, resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and private sector. Another incident included zero-day Microsoft Exchange Server vulnerabilities that had the potential to affect email servers across the federal government and provide malicious threat actors with unauthorized remote access. According to CISA, the potential exploitation from both incidents posed an unacceptable risk to federal civilian executive branch agencies because of the likelihood of vulnerabilities being exploited and the prevalence of affected software. 最近の事件は、国家が直面している重大なサイバー脅威と、これらの攻撃がもたらす様々な結果を浮き彫りにしています。最近の事件では、SolarWinds社が関与した事件があり、連邦政府や民間企業に対して行われた最も広範で洗練されたハッキングキャンペーンの一つとなりました。また、別の事件では、Microsoft Exchange Serverのゼロデイ脆弱性が、連邦政府全体のメールサーバに影響を与え、悪意のある脅威者に不正なリモートアクセスを許す可能性がありました。CISAによると、この2つのインシデントによる潜在的な悪用は、脆弱性が悪用される可能性が高く、影響を受けるソフトウェアが普及していることから、連邦政府の文民行政府機関に受け入れがたいリスクをもたらしています。
GAO performed its work under the authority of the Comptroller General to conduct an examination of these cybersecurity incidents in light of widespread congressional interest in this area. Specifically, GAO's objectives were to (1) summarize the SolarWinds and Microsoft Exchange cybersecurity incidents, (2) determine the steps federal agencies have taken to coordinate and respond to the incidents, and (3) identify lessons federal agencies have learned from the incidents. GAOは、この分野に対する議会の関心の高さを考慮して、これらのサイバーセキュリティ事件の調査を実施するために、GAOの権限に基づいて作業を行いました。具体的には、GAOの目的は、(1)SolarWindsとMicrosoft Exchangeのサイバーセキュリティ事件を要約し、(2)連邦政府機関が事件を調整・対応するためにとった措置を特定し、(3)連邦政府機関が事件から学んだ教訓を特定することでした。
To do so, GAO reviewed documentation such as descriptions of the incidents, federal agency press releases, response plans, joint statements, and guidance issued by the agencies responsible for responding to the incidents: DHS (CISA), the Department of Justice (FBI), and ODNI with support from NSA. In addition, GAO analyzed incident reporting documentation from affected agencies and after-action reports to identify lessons learned. For all objectives, GAO interviewed agency officials to obtain additional information about the incidents, coordination and response activities, and lessons learned. そのためにGAOは、インシデントの説明、連邦機関のプレスリリース、対応計画、共同声明、インシデントへの対応を担当する省庁が発行したガイダンスなどの文書を確認しました。DHS(CISA)、司法省(FBI)、NSAの支援を受けたODNIが発行したガイダンスなどの文書を調査しました。さらにGAOは、影響を受けた省庁からのインシデント報告書類と事後報告を分析し、得られた教訓を特定した。すべての目的について、GAOはインシデント、調整と対応活動、および学んだ教訓に関する追加情報を得るために、各省庁の担当者にインタビューを行いましたた。
Recommendations 提言事項
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations had not yet been fully implemented. GAO will continue to monitor federal agencies' progress in fully implementing these recommendations, including those related to software supply chain management and cyber incident management and response. Five of six agencies provided technical comments, which we incorporated as appropriate. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月現在、これらの勧告のうち約900件はまだ完全に実施されていません。GAOは、ソフトウェアのサプライチェーン管理やサイバーインシデントの管理と対応に関連する勧告を含め、これらの勧告を完全に実施するための連邦政府機関の進捗状況を引き続き監視します。6つの省庁のうち5つの省庁から技術的なコメントをいただき、適宜反映させました。

 

 

・[PDF] Full Report

の目次...

Letter  レター 
Background  背景 
Threat Actors Exploited Vulnerabilities in SolarWinds Orion and Microsoft Exchange  SolarWinds OrionとMicrosoft Exchangeの脆弱性を悪用した脅威の発生 
Federal Agencies Have Been Taking Action in Response to Significant Cyber Incidents  連邦政府機関は重大なサイバーインシデントに対応して行動を起こしてきた 
Federal Agencies Learned Lessons from Efforts Coordinating and Responding to the SolarWinds and Microsoft Exchange Incidents  連邦政府はSolarWindsとMicrosoft Exchangeのインシデントに対する調整と対応の努力から教訓を得た。
Agency Comments  政府機関のコメント 
Appendix I Detailed Timelines of Steps Taken by Cyber Unified Coordination Group Agencies in Response to the SolarWinds and Microsoft Exchange Incidents  附属書 I SolarWinds と Microsoft Exchange のインシデントに対応して Cyber Unified Coordination Group の各機関が行った措置の詳細なタイムライン 
Appendix II GAO Contacts and Staff Acknowledgments  附属書II GAOの連絡先とスタッフの謝辞 

|

« 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。 | Main | ENISA 相互運用可能なEUのリスク管理フレームワーク »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。 | Main | ENISA 相互運用可能なEUのリスク管理フレームワーク »