米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

こんにちは、丸山満彦です。

ロシアとウクライナ問題は、フランスやドイツが間に入って、調整をしながら落ち着くべきところに落ち着くのでしょうかね。。。弱い市民の命に影響がでなければよいのですが。。。

さて、CISAからは、16日に次のようなアラートが上がっていましたね。。。

● CISA

・2022.02.16 Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology

Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology	Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている
Summary	概要
From at least January 2020, through February 2022, the Federal Bureau of Investigation (FBI), National Security Agency (NSA), and Cybersecurity and Infrastructure Security Agency (CISA) have observed regular targeting of U.S. cleared defense contractors (CDCs) by Russian state-sponsored cyber actors. The actors have targeted both large and small CDCs and subcontractors with varying levels of cybersecurity protocols and resources. These CDCs support contracts for the U.S. Department of Defense (DoD) and Intelligence Community in the following areas:	少なくとも2020年1月から2022年2月にかけて、連邦捜査局（FBI）、国家安全保障局（NSA）、サイバーセキュリティ・インフラセキュリティ庁（CISA）は、ロシアの国家支援を受けたサイバーアクターが、米国の許可を受けた防衛請負業者（CDC）を定期的に標的にしていることを確認しました。これらの行為者は、サイバーセキュリティプロトコルやリソースのレベルが異なる大規模なCDCと下請け業者の両方を標的としています。これらのCDCは、米国国防総省（DoD）および情報機関のために、以下の分野の契約をサポートしています。
・Command, control, communications, and combat systems;	・司令部、制御部、通信部、および戦闘システム。
・Intelligence, surveillance, reconnaissance, and targeting;	・諜報、監視、偵察、およびターゲティング
・Weapons and missile development;	・兵器・ミサイルの開発
・Vehicle and aircraft design; and	・車両・航空機の設計、および
・Software development, data analytics, computers, and logistics.	・ソフトウェア開発、データ分析、コンピュータ、ロジスティクス
Historically, Russian state-sponsored cyber actors have used common but effective tactics to gain access to target networks, including spearphishing, credential harvesting, brute force/password spray techniques, and known vulnerability exploitation against accounts and networks with weak security. These actors take advantage of simple passwords, unpatched systems, and unsuspecting employees to gain initial access before moving laterally through the network to establish persistence and exfiltrate data.	歴史的に見て、ロシアの国家支援を受けたサイバーアクターは、セキュリティが脆弱なアカウントやネットワークに対して、スピアフィッシング、クレデンシャルハーベスティング、ブルートフォース／パスワードスプレー技術、既知の脆弱性の利用など、一般的だが効果的な戦術を用いてターゲットネットワークへのアクセスを獲得してきました。これらの行為者は、単純なパスワード、パッチが適用されていないシステム、無防備な従業員などを利用して、最初のアクセスを獲得した後、ネットワークを横切って移動し、持続性を確立してデータを盗み出します。
In many attempted compromises, these actors have employed similar tactics to gain access to enterprise and cloud networks, prioritizing their efforts against the widely used Microsoft 365 (M365) environment. The actors often maintain persistence by using legitimate credentials and a variety of malware when exfiltrating emails and data.	多くの不正アクセスの試みにおいて、これらのアクターは、企業やクラウドのネットワークにアクセスするために同じような戦術を採用しており、広く利用されているMicrosoft 365（M365）環境に対して優先的に取り組んでいます。また、電子メールやデータを盗み出す際には、正規の認証情報やさまざまなマルウェアを使用することで、持続的な活動を行っています。
These continued intrusions have enabled the actors to acquire sensitive, unclassified information, as well as CDC-proprietary and export-controlled technology. The acquired information provides significant insight into U.S. weapons platforms development and deployment timelines, vehicle specifications, and plans for communications infrastructure and information technology. By acquiring proprietary internal documents and email communications, adversaries may be able to adjust their own military plans and priorities, hasten technological development efforts, inform foreign policymakers of U.S. intentions, and target potential sources for recruitment. Given the sensitivity of information widely available on unclassified CDC networks, the FBI, NSA, and CISA anticipate that Russian state-sponsored cyber actors will continue to target CDCs for U.S. defense information in the near future. These agencies encourage all CDCs to apply the recommended mitigations in this advisory, regardless of evidence of compromise.	このような継続的な侵入により、行為者は、機密性の高い未格付けの情報や、CDC独自の輸出規制技術を取得しています。取得された情報は、米国の兵器プラットフォームの開発・配備のスケジュール、車両の仕様、通信インフラや情報技術の計画などに関する重要な情報です。敵対者は、独自の内部文書や電子メールのやり取りを入手することで、自らの軍事計画や優先順位を調整したり、技術開発を急がせたり、米国の意図を外国の政策立案者に伝えたり、潜在的な人材確保の対象としたりすることができます。未分類のCDCネットワークで広く利用できる情報の機密性を考えると、FBI、NSA、CISAは、近い将来、ロシアの国家支援を受けたサイバーアクターが米国の防衛情報を求めてCDCを標的にし続けるだろうと予想しています。これらの機関は、侵害の証拠があるかどうかにかかわらず、すべてのCDCがこの勧告で推奨されている緩和策を適用することを推奨しています。
For additional information on Russian state-sponsored cyber activity, see CISA's webpage, Russia Cyber Threat Overview and Advisories.	ロシアの国家主導のサイバー活動についての詳細は、CISAのウェブページ「Russia Cyber Threat Overview and Advisories」を参照してください。
Click here for a PDF version of this report.	本報告書のPDF版はこちらを参照。
Actions to Help Protect Against Russian State-Sponsored Malicious Cyber Activity:	ロシア国家が支援する悪意のあるサイバー活動からの保護を支援するための行動。
• Enforce multifactor authentication.	・多要素認証を実施する。
• Enforce strong, unique passwords.	・強力でユニークなパスワードを使用する。
• Enable M365 Unified Audit Logs.	・M365 Unified Audit Logsを有効にする。
• Implement endpoint detection and response tools.	・エンドポイント検出・応答ツールの導入