« カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解 | Main | AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11) »

2022.05.16

英国 NCSC 組織体向けコネクテッド・デバイスの組織的利用 (2022.05.10)

こんにちは、丸山満彦です。

英国政府が、Organisational use of Enterprise Connected Devices(組織体向けコネクテッド・デバイスの組織的利用)に関する報告書を公開していますね。。。

 

National Cyber Security Centre (NCSC)

・2022.05.10 Organisational use of Enterprise Connected Devices

・2022.05.10 [PDF] Organisational use of Enterprise Connected Devices

20220515-63408

 

Organisational use of Enterprise Connected Devices 組織体向けコネクテッド・デバイスの組織的利用
Assessing the cyber security threat to UK organisations using Enterprise Connected Devices. 組織体向けコネクテッド・デバイスを使用する英国組織体のサイバーセキュリティ脅威の評価
Introduction はじめに
This paper aims to provide an assessment of the current cyber security threat to Enterprise Connected Devices. This information will be of interest to industry and any person using a connected device. 本文書の目的は、組織体向けコネクテッド・デバイスに対する現在のサイバーセキュリティの脅威を評価することです。この情報は、産業界および接続デバイスを使用するすべての人の関心を引くものです。
Devices used and deployed by organisations have changed dramatically in recent years. From enabling remote and flexible working to improving efficiency and productivity, these devices are broad in scope and frequently rely on their ability to be connected; with this comes increased risk. 組織が使用・導入するデバイスは、近年劇的に変化しています。リモートワークやフレキシブルワークの実現から、効率性や生産性の向上まで、これらのデバイスは幅広い範囲に及び、頻繁に接続する能力に依存しています。
In collaboration with DCMS, the NCSC have begun the process of assessing the landscape of these Enterprise Connected Devices and we have launched the Device Security Principles (Beta) as a framework to help drive forward security in this area. DCMSと共同で、NCSCはこれらの組織体向けコネクテッド・デバイスの状況を評価するプロセスを開始し、この分野のセキュリティを推進するための枠組みとして、Device Security Principles (ベータ)を立ち上げました。
Key judgements 主要意見
・It is highly likely that the growing number of Enterprise Connected Devices (ECDs) being adopted by enterprises presents an expanding attack surface, with many of these devices being accessible over the public internet, and with cyber security often being an afterthought. ・組織体によって採用される組織体向けコネクテッド・デバイス(ECD)の数は増加しており、これらのデバイスの多くが公共のインターネットを介してアクセス可能で、サイバーセキュリティが後回しにされることが多いため、攻撃対象が拡大している可能性が高い。
・Following initial compromise, it is highly likely that ECDs will be used as an attack vector or pivot point to enable cyber actors to gain access to an enterprise's corporate network for espionage purposes, disruption, or financial gain. ・ECDは、最初の侵害の後、サイバー攻撃者がスパイ活動や破壊活動、金銭的な利益を得るために組織体のネットワークにアクセスするための攻撃のベクトルや基点として使用される可能性が高い。
・Deployments of ECDs within large UK organisations are likely to present a different threat profile from typical consumer use. Organisations often have more knowledge, responsibility and control of networks and cyber security, compared with a typical consumer. ・英国の大規模な組織における ECD の導入は、一般的な消費者の使用とは異なる脅威のプロフィールを示する可能性があります。組織は、一般的な消費者と比較して、ネットワークやサイバーセキュリティについてより多くの知識、責任、管理を持っている場合が多いからです。
How likely is a 'realistic possibility'? 「現実的な可能性」とはどの程度の可能性か?
NCSC Assessment uses the PHIA probability yardstick every time we make an assessment, judgement, or prediction. The terms used correspond to the likelihood ranges below. NCSCアセスメントでは、評価、判断、予測を行うたびに、PHIAの確率基準を使用しています。使用される用語は、以下の可能性の範囲に対応しています。
Ecdyardlarge
What are Enterprise Connected Devices? 組織体向けコネクテッド・デバイスとは何ですか?
Enterprise Connected Devices (ECDs) are any devices that interact with, hold, or process an organisation’s data. ECD is making the fabric of the world around us smarter and more responsive, merging the digital and physical worlds. 組織体向けコネクテッド・デバイス (ECD) は、組織のデータと相互作用し、データを保持し、処理するあらゆるデバイスです。ECDは、私たちを取り巻く世界の構造をよりスマートで応答性の高いものにし、デジタル世界と物理世界を融合させています。
Enterprise Connected Devices (ECDs) refer to any device which interacts with, holds, or processes an organisation's data. As a result of the broad range of devices, ECDs can encompass other categories of devices depending on their use and can cross over to multiple other device classes, including: 組織体向けコネクテッド・デバイス (ECD) は、組織のデータと相互作用し、データを保持し、処理するあらゆるデバイスを指します。ECDには幅広いデバイスが含まれるため、用途に応じて他のデバイスのカテゴリを包含し、以下のような他の複数のデバイスクラスとクロスオーバーする可能性があります。
・End user devices: Devices such as laptops and smartphones. Although these are devices designed for both consumers and organisations, if used in the context outlined above, they are classed as ECDs. If a personal device is also used for work purposes (e.g. Bring Your Own Device (BYOD)) or is able to interact with organisation data, for example by being able to connect to an enterprise network, as classed above, it is viewed as an ECD. ・エンドユーザーデバイス: エンドユーザーデバイス:ノートパソコンやスマートフォンなどのデバイス。エンドユーザーデバイス:ノートパソコンやスマートフォンなどのデバイス。これらは消費者と組織の両方のために設計されたデバイスですが、上記の文脈で使用される場合、それらはECDとして分類されます。個人所有のデバイスが業務目的でも使用される場合(例:BYOD(Bring Your Own Device))、または、上記のように組織体ネットワークに接続できるなど、組織のデータとやり取りできる場合は、ECDとみなされる。
・Internet of Things (IoT): IoT refers to the billions of physical devices around the world that are now connected to the internet, all collecting and sharing data. Connecting all these different devices to the internet and adding sensors and mechanisms to interact with their surrounding environment adds a level of digital intelligence to devices, enabling them to communicate real-time data without involving a human being. ・IoT:IoTとは、インターネットに接続され、データを収集・共有する世界中の何十億もの物理デバイスを指します。これらの機器をインターネットに接続し、センサーや周辺環境と相互作用する仕組みを追加することで、機器にデジタルインテリジェンスのレベルが加わり、人間が介在しなくてもリアルタイムのデータ通信が可能になります。
・Distinct ECDs: These are devices that are primarily designed for use in an enterprise setting. Whilst they may be available to purchase by consumers, they usually require some form of additional infrastructure or have limited use by the public. ・専用ECD:主に組織体での利用を想定して設計された機器です。一般消費者が購入できる場合もありますが、通常は何らかの追加インフラを必要とするか、一般消費者の利用が限定されます。
Consumer IoT is now embedded in every part of our lives, with more and more devices becoming connected to the internet each day. Examples include smart kettles, watches, refrigerators, and televisions. As we connect more devices in our homes to the internet, products and appliances that have traditionally been offline are now becoming part of the IoT. 消費者向けIoTは、今や私たちの生活のあらゆる部分に組み込まれており、日々、より多くの機器がインターネットに接続されるようになっています。例えば、スマート電気ポット、時計、冷蔵庫、テレビなどです。家庭内の多くの機器をインターネットに接続することで、従来はオフラインであった製品や家電がIoTの一部となりつつあるのです。
For the purpose of this paper, Enterprise IoT devices and distinct ECDs are defined as devices that are industry-agnostic and are typically not available or intended for consumers to purchase. Operational Technology (OT) is not within scope. 本文書では、組織体向けIoTデバイスと明確なECDを、業界にとらわれず、通常、消費者が購入することができない、または購入することが意図されているデバイスと定義しています。オペレーショナルテクノロジー(OT)は範囲外です。
Enterprise IoT is the advancement in technology that enables physical 'things' with embedded computing devices to participate in business processes for reducing manual work and increasing overall business efficiency. Taking advantage of a combination of technologies ranging from embedded devices with sensors and actuators to internet-based communication and cloud platforms, enterprise IoT applications can now automate business processes that depend on contextual information provided by programmed devices such as machines, vehicles, and other equipment. エンタープライズIoTは、コンピューティングデバイスが組み込まれた物理的な「モノ」をビジネスプロセスに参加させ、手作業を減らしてビジネス全体の効率を向上させる技術の進歩です。センサーやアクチュエーターを備えた組み込みデバイスから、インターネットベースの通信やクラウドプラットフォームまで、さまざまな技術を組み合わせて活用することで、エンタープライズIoTアプリケーションは、機械、自動車、その他の機器など、プログラムされたデバイスから得られるコンテキスト情報に依存するビジネスプロセスを自動化できるようになりました。
ECDs, both consumer and enterprise, are used within the daily operation of thousands of organisations around the UK. However, vulnerable devices can provide a route for hostile actors to attack enterprise systems. ECDは、消費者向け、エンタープライズ向けを問わず、英国内の何千もの組織の日常業務の中で使用されています。しかし、脆弱なデバイスは、敵対行為者が組織体システムを攻撃するための経路を提供する可能性があります。
Why target Enterprise Connected Devices? なぜ組織体向けコネクテッド・デバイスを標的にするのか?
ECDs are a hugely attractive target for different types of threat actor as they can hold and process valuable, sensitive, or personal data. Many categories of ECDs (particularly IoT devices) present an easy target to compromise due to typically limited security efforts by vendors, a large attack surface (multiple endpoints for access to wider networks) and attack base for lateral movement. ECDは、貴重な機密データや個人データを保持し処理することができるため、さまざまなタイプの脅威者にとって非常に魅力的なターゲットです。多くの種類のECD(特にIoTデバイス)は、ベンダーによるセキュリティ対策が一般的に限られており、攻撃対象領域(より広いネットワークにアクセスするための複数のエンドポイント)および横移動のための攻撃基盤が広いため、容易に侵害されるターゲットとなり得ます。
The COVID-19 pandemic has driven a surge in remote working, and ECDs have played a vital role in supporting business continuity. ECD usage has boosted operational efficiency, as seen in the retail industry where some ECDs are used to monitor entire supply chains, from manufacturing to the store. This has improved production quality and ensures that distribution matches demand across retail outlets. Not only has it enabled some tasks to be automated and work to be carried out remotely, but it has also helped prioritise manual work to cope with reduced labour, and protect those employees doing vital work. For example, energy providers can remotely check an organisation’s utility installations from a distance rather than going into the field themselves. COVID-19の流行により、リモートワークが急増し、ECDは事業継続を支援する上で重要な役割を担っています。小売業では、製造から店舗までのサプライチェーン全体を監視するためにECDが使用されるなど、ECDの使用は業務効率を向上させました。これにより、生産品質が向上し、小売店での需要に見合った流通が可能になりました。また、一部の作業を自動化し、リモートで作業を行うことが可能になっただけでなく、労働力の減少に対応するために手作業に優先順位をつけ、重要な作業を行っている従業員を保護することにも役立っています。例えば、エネルギー供給会社は、自ら現場に行くのではなく、離れた場所から組織のユーティリティ設備をリモートでチェックすることができます。
This has presented opportunities for organisations to work innovatively but has also created new opportunities for threat actors. The increase in the number of connected services globally and their dependency on ECDs to run and facilitate such services raises concerns over threats like Distributed Denial of Service (DDoS) attacks to potentially cause nationwide failures for businesses and critical systems. これは、組織が革新的な仕事をする機会を提供する一方で、脅威要因に新たな機会を与えることにもなりました。世界的に接続されたサービスの数が増加し、そのようなサービスを実行し促進するためにECDに依存しているため、分散型サービス拒否(DDoS)攻撃などの脅威が懸念され、組織体や重要システムに全国規模の障害を引き起こす可能性があります。
Case Study: Hacking group compromise of VoIP networks ケーススタディ:ハッキンググループによるVoIPネットワークへの侵害
Cyber security researchers have detailed how one hacking group compromised the VoIP networks of almost 1,200 organisations in over 20 countries, with over half the victims in the UK. Industries including government, military, insurance, finance, and manufacturing are believed to have fallen victim to the campaign. The attackers exploited CVE-2019-19006, a critical vulnerability in Sangoma and Asterisk VoIP phone systems that allows outsiders to remotely gain access without any form of authentication. A security patch to fix the vulnerability had been released, but many organisations were yet to apply it, at the time of reporting – and cyber criminals are taking advantage of this by scanning for unpatched systems. サイバーセキュリティ研究者は、あるハッキンググループが20カ国以上の約1,200の組織のVoIPネットワークを侵害し、その半数以上が英国で被害を受けていたことを明らかにしました。政府、軍、保険、金融、製造業など、さまざまな業種がこのキャンペーンの犠牲になったと考えられています。攻撃者は、SangomaおよびAsterisk VoIP電話システムの重大な脆弱性であるCVE-2019-19006を悪用して、部外者が何の認証もなしにリモートでアクセスできるようにした。この脆弱性を修正するセキュリティパッチがリリースされましたが、報告時点では多くの組織がまだ適用しておらず、サイバー犯罪者はパッチが適用されていないシステムをスキャンすることでこの状況を利用しているのです。
Lateral movement  横方向の移動 
A single exposed ECD has the potential to enable a cyber actor to gain access to an enterprise's corporate network. While the security postures of many ECDs make them easy targets, it is highly likely devices are used as stepping stones in lateral movement to compromise other systems on a network. ECDが1つでも露出すると、サイバー犯罪者は組織体のネットワークにアクセスできるようになる可能性があります。多くのECDは、そのセキュリティポーズから容易に標的となりますが、ネットワーク上の他のシステムを侵害するための横移動の足がかりとしてデバイスが使用される可能性が非常に高いのです。
Case Study: Internet-connected fish tank ケーススタディ:インターネットに接続された水槽
In 2017, cyber actors acquired data from a North American casino by compromising an internet-connected fish tank. The fish tank had sensors connected to a computer, which monitored the temperature, food, and cleanliness of the fish tank. The cyber actor was able to compromise the fish tank, gain access to other areas of the network through lateral movement, and steal data. 2017年、サイバーアクターは、インターネットに接続された水槽を侵害することで、北米のカジノからデータを取得しました。水槽にはコンピュータに接続されたセンサーがあり、水槽の温度、餌、清潔さを監視していました。サイバーアクターは、水槽を侵害し、横移動によってネットワークの他の領域にアクセスし、データを盗むことができました。
Data theft データの窃取
An ECD can store, process, or stream an abundance of information that can be critical, private, or sensitive, depending on the environment or industry. One of the main ECD challenges is that the devices often record, have access to, and stream sensitive data. Security systems such as cameras and doorbells are increasingly a part of small business networks and can quickly create major issues if compromised by a cyber actor. Office equipment, such as printers, are also potential access points - a compromised printer could easily mean that the attacker can view everything that is printed or scanned in an office. ECDは、環境や産業によって、重要、私的、または機密となりうる情報を大量に保存、処理、または流すことができます。ECDの主な課題の1つは、デバイスが機密データを記録し、アクセスし、ストリームすることが多いということです。カメラやドアベルなどのセキュリティシステムは、中小組織体のネットワークの一部となりつつあり、サイバー行為者によって侵害された場合、すぐに大きな問題を引き起こす可能性があります。プリンターなどのオフィス機器も潜在的なアクセスポイントであり、侵害されたプリンターは、攻撃者がオフィスで印刷またはスキャンされたすべてのデータを見ることができることを意味する可能性があります。
Monetary gain 金銭的利益
ECD attacks can prove profitable for threat actors. Vulnerable ECDs can enable ransomware attacks against victim networks, providing attackers with the ability to seek payment to relinquish control of compromised assets. ECD攻撃は、脅威者にとって利益をもたらす可能性があります。脆弱な ECD は、被害者のネットワークに対するランサムウェア攻撃を可能にし、攻撃者に、侵害された資産の制御を放棄するための支払いを要求する能力を提供することができます。
Attack base/positioning 攻撃拠点/配置
Cyber actors can weaponise ECDs so attacks can be spread outwards or deeper into the main infrastructure. ECDs are also ideal targets to turn into bots for use in further campaigns. A botnet is a collection of internet-connected 'bots' under remote control from malicious actors. サイバー攻撃者は、ECDを武器として、攻撃を外部に広げたり、主要なインフラストラクチャの奥深くに侵入させたりすることができます。また、ECDは、さらなるキャンペーンに使用するためにボット化するための理想的なターゲットでもあります。ボットネットとは、インターネットに接続された「ボット」の集合体で、悪意のある行為者から遠隔操作されるものです。
Case Study: VPNFilter malware ケーススタディ:VPNFilter マルウェア
VPNFilter is a malware type that affects routers and storage devices by using backdoor accounts and exploits of several known vendors, likely to have been developed by a nation state. The botnet, referred to by the FBI and cyber security researchers as VPNFilter, targets small office/home office routers and network-access storage (NAS) devices, which are hardware devices made up of several hard drives used to store data in a single location that can be accessed by multiple users. VPNFilter operates in multiple stages that include initial infection, command-and-control communications, and the third stage, in which the payloads are deployed. VPNFilterは、複数の既知のベンダーのバックドアアカウントとエクスプロイトを使用してルータやストレージデバイスに影響を与えるマルウェアの一種で、国家によって開発された可能性が高いとされています。このボットネットは、FBIやサイバーセキュリティ研究者によってVPNFilterと呼ばれ、小規模オフィス/ホームオフィスのルーターや、複数のユーザーがアクセスできる1つの場所にデータを保存するために使用される複数のハードディスクからなるハードウェアデバイスであるネットワークアクセスストレージ(NAS)デバイスをターゲットにしています。VPNFilterは、初期感染、コマンド&コントロール通信、ペイロードが展開される第3ステージなど、複数のステージで動作します。
Who targets Enterprise Connected Devices? 組織体向けコネクテッド・デバイスを狙うのは誰か?
Nation state actors 国家背景の攻撃者
Nation state cyber actors have reportedly targeted ECDs for espionage purposes. Nation state cyber actors have highly likely taken notice of such ECD vulnerabilities such as default passwords, outdated protocols, the absence of encryption, incorrect configurations, and unpatched devices, to get in the backdoor of enterprise networks. 国家のサイバー攻撃者は、諜報活動のためにECDを標的としていると報告されています。国家レベルのサイバー攻撃者は、デフォルトのパスワード、古いプロトコル、暗号化の欠如、不正な設定、パッチが適用されていないデバイスなど、ECDの脆弱性に着目し、組織体ネットワークのバックドアに侵入している可能性が高いのです。
Case Study: APT group compromising popular IoT devices ケーススタディ:一般的なIoTデバイスを侵害するAPTグループ
In April 2020, Microsoft security researchers observed the Russian-backed hacking group STRONTIUM (also known as Fancy Bear or APT28) compromising popular IoT devices (a VOIP phone, an office printer, and a video decoder) across multiple customer locations. Microsoft had more widely observed the group’s attacks targeting a range of sectors, including defence, education, engineering, government, IT, medicine, and military. 2020年4月、マイクロソフトのセキュリティ研究者は、ロシアに支援されたハッキンググループSTRONTIUM(別名Fancy BearまたはAPT28)が、複数の顧客拠点で人気のあるIoTデバイス(VOIP電話、オフィスプリンター、ビデオデコーダー)を侵害しているのを観測しました。マイクロソフトは、防衛、教育、エンジニアリング、政府、IT、医療、軍事など、さまざまな分野を標的とした同グループの攻撃をより広く観測していました。
The goals for cyber espionage campaigns may differ but are often focused on theft of information without the target becoming aware. It is a realistic possibility that nation state actors target the supply chain of ECDs, due to the wide range of ECDs, the access they have, and the size of the user base. Nation states compromising supply chains is nothing new - the 2017 NotPetya attack and the 2020 SolarWinds compromise are both supply chain attacks that have been attributed by the UK to a nation state. サイバースパイ活動の目的は様々ですが、多くの場合、ターゲットに気付かれることなく情報を盗むことに重点が置かれています。ECDの種類やアクセス権、ユーザー数の多さから、国家権力がECDのサプライチェーンを狙うことは現実的な可能性です。国家がサプライチェーンを侵害することは目新しいことではなく、2017年のNotPetya攻撃と2020年のSolarWindsの侵害は、いずれも英国が国家に起因するサプライチェーン攻撃であると発表しています。
Case Study: Ransomware and smart TVs ケーススタディ:ランサムウェアとスマートテレビ
In 2016, there were instances reported of Android malware infecting phones, tablets, and other Android-powered devices, such as smart TVs. LG smart TVs were infected with ransomware, and victims were required to pay the cyber actors to unlock their smart TV. A 2016 report detailed that smart TVs were regularly targeted by ransomware, with the most active threat being Cyber. Police (FLocker). 2016年、Androidマルウェアがスマホやタブレット、スマートテレビなどのAndroid搭載端末に感染する事例が報告されました。LGのスマートテレビがランサムウェアに感染し、被害者はスマートテレビのロックを解除するためにサイバーアクターにお金を支払うことを要求されました。2016年のレポートでは、スマートテレビが定期的にランサムウェアの標的になっており、最も活発な脅威はCyber.FLocker(FLocker)です。
Cyber criminals サイバー犯罪者
Cyber criminals are financially motivated, and their capabilities vary. They often attempt to disrupt services via DDoS attacks or encrypt data through ransomware and demand payment. Cyber criminals will likely attempt to gain access to insecure ECDs by openly scanning for vulnerabilities that can be exploited. サイバー犯罪者は金銭的な動機があり、その能力もさまざまです。彼らはしばしば、DDoS攻撃によってサービスを妨害しようとしたり、ランサムウェアによってデータを暗号化し、支払いを要求したりします。サイバー犯罪者は、悪用可能な脆弱性を公然とスキャンして、安全でないECDにアクセスしようとすることが多いでしょう。
Case Study: Mirai malware being used by cyber criminals ケーススタディ:サイバー犯罪者に利用されるMiraiマルウェア
In 2016, IP cameras and basic home routers were infected with the Mirai malware, creating a botnet that was subsequently abused to take out Domain Name System (DNS) provider Dyn, in an attack that left many high-profile websites inaccessible. Despite first appearing in 2016, the Mirai malware has continued to be dominant, and a worrying new trend has seen criminals develop variations that are specifically engineered to infect enterprise IoT devices. Digital signage monitors, wireless presentation systems and other such devices present attackers with access to greater bandwidth connections than can be achieved through consumer devices, which enables them to launch stronger DDoS attacks. 2016年、IPカメラと基本的な家庭用ルーターがマルウェア「Mirai」に感染し、ボットネットを作成し、その後、ドメインネームシステム(DNS)プロバイダーのDynを悪用し、多くの著名なウェブサイトをアクセス不能にする攻撃で、Dynを破壊しました。2016年に初めて出現したにもかかわらず、Miraiマルウェアは支配的であり続け、心配な新しい傾向として、犯罪者が組織体のIoTデバイスに感染するように特別に設計されたバリエーションを開発していることが挙げられます。デジタルサイネージモニター、ワイヤレスプレゼンテーションシステム、その他のデバイスは、攻撃者が消費者向けデバイスよりも大きな帯域幅の接続にアクセスできるようにし、より強力なDDoS攻撃を可能にします。
The Mirai malware targets IoT devices to turn them into botnets capable of launching DDoS attacks. Once infected with Mirai, computers continually search the internet for vulnerable IoT devices and then use known default usernames and passwords to log in, infecting them with malware. マルウェア「Mirai」は、IoTデバイスを標的とし、DDoS攻撃を行うことができるボットネットに変貌させます。Miraiに感染すると、コンピュータはインターネット上で脆弱なIoTデバイスを継続的に検索し、既知のデフォルトのユーザー名とパスワードを使用してログインし、マルウェアに感染させます。
How threat actors target Enterprise Connected Devices 組織体向け接続デバイスを狙う脅威の手口
ECDs bring great opportunities for organisations but a significant number of devices on the market today have been found to lack basic security measures. Threat actors will seek to take advantage of technical vulnerabilities and poor cyber security to compromise ECDs. This is problematic if manufacturers do not seek to fix the issue, and if users do not apply updates. ECDは組織に大きなチャンスをもたらしますが、現在市場に出回っているデバイスの中には、基本的なセキュリティ対策が施されていないものが相当数あることが判明しています。脅威者は、技術的な脆弱性や不十分なサイバーセキュリティを利用して、ECDを侵害しようとします。メーカーが問題を解決しようとせず、ユーザーがアップデートを適用しない場合、これは問題となります。
Most IoT devices possess fewer processing and storage capabilities than traditional enterprise computing platforms. This makes it difficult to employ security applications that could help protect them, such as antivirus software. Additionally, whilst patches are made available for IoT devices, many older IoT devices were not built with security in mind and do not have capacity to receive remote patches. Some organisations also do not have processes in place to monitor and manage if an ECD is supported or not. At the same time, it has become steadily easier and cheaper for criminals to acquire tools that enable them to launch high-volume, low-sophistication attacks that are ideally suited for compromising large numbers of poorly secured devices. ほとんどのIoTデバイスは、従来のエンタープライズコンピューティングプラットフォームに比べて、処理能力やストレージ能力が低くなっています。そのため、ウイルス対策ソフトウェアなど、IoTデバイスの保護に役立つセキュリティ・アプリケーションを採用することが難しくなっています。さらに、IoTデバイスにはパッチが提供されていますが、多くの古いIoTデバイスはセキュリティを考慮して作られていないため、リモートパッチを受信する能力を備えていません。また、ECDがサポートされているかどうかを監視・管理するためのプロセスを備えていない組織もあります。同時に、犯罪者は、セキュリティが不十分な大量のデバイスを危険にさらすのに最適な、大量かつ低精巧な攻撃を行うことができるツールを、着実に容易かつ安価に入手できるようになってきています。
ECD attack surface areas or areas in ECD systems and applications where threats and vulnerabilities may exist include: ECD の攻撃対象領域、または ECD システムやアプリケーションにおいて脅威や脆弱性が存在する可能性のある領域は以下の通りです。
・Devices - devices can be the primary means by which attacks are initiated. Parts of a device where vulnerabilities may exist include its storage firmware and application software, physical interface, web interface, and network services. Attackers can also take advantage of insecure default settings, outdated components, and insecure update mechanisms, among others. Vulnerabilities that exist in hardware sometimes cannot be patched, like with software, and would need a complete physical replacement to secure. ・デバイス - デバイスは、攻撃が開始される主要な手段となり得ます。デバイスの脆弱性が存在する可能性のある部分には、ストレージファームウェアやアプリケーションソフトウェア、物理的なインターフェース、ウェブインターフェース、ネットワークサービスなどがあります。また、攻撃者は、安全でないデフォルト設定、古いコンポーネント、安全でないアップデートメカニズムなどを利用することができます。ハードウェアに存在する脆弱性は、ソフトウェアのようにパッチを当てることができない場合があり、安全を確保するためには物理的に完全に交換する必要があります。
・Communication channels - attacks can originate from the communication channels that connect ECD components with one another. Protocols used in a range of ECD systems can have security issues that can affect the entire system. Many ECD systems are also susceptible to known network attacks such as denial of service and spoofing. ・通信チャネル - 攻撃は、ECDコンポーネント同士を接続する通信チャネルから発生する可能性があります。様々なECDシステムで使用されているプロトコルは、システム全体に影響を与える可能性のあるセキュリティ問題を抱えている場合があります。また、多くのECDシステムは、サービス拒否やスプーフィングなどの既知のネットワーク攻撃の影響を受けやすいです。
・Applications and software - vulnerabilities in network services and related software for ECDs can lead to compromised systems. Network services can, for example, be exploited to steal user credentials or push malicious firmware updates. ・アプリケーションとソフトウェア - ECD のネットワークサービスおよび関連ソフトウェアの脆弱性は、システムの侵害につながる可能性があります。例えば、ネットワークサービスが悪用されると、ユーザーの認証情報を盗んだり、悪意のあるファームウェアのアップデートを押しつけたりすることができます。
Case Study: Ripple20 ケーススタディ:Ripple20
In June 2020, researchers announced 19 zero-day vulnerabilities impacting millions of devices, affecting the Treck embedded IP stack. Treck is used by over 50 vendors and millions of devices, including mission-critical devices for healthcare, data centres, and critical infrastructure. This group of vulnerabilities has been named "Ripple20" to reflect the widespread impact the exploitation of these flaws could have on a wide range of products from various industries. 2020年6月、研究者は、数百万台のデバイスに影響を与える19のゼロデイ脆弱性を発表し、Treck組み込みIPスタックに影響を及ぼしました。Treckは、医療、データセンター、重要インフラ向けのミッションクリティカルなデバイスを含む、50以上のベンダーと数百万台のデバイスで使用されています。この脆弱性グループは、これらの欠陥が悪用された場合、様々な業界の幅広い製品に影響を及ぼす可能性があることから、「Ripple20」と命名されました。
Ripple20 impacts critical IoT devices, including printers, networking equipment, IP cameras, video conferencing systems and building automation devices. By exploiting the software library flaws, attackers could remotely execute code and gain access to sensitive information. The impact of these vulnerabilities is exacerbated by the fact that Ripple20 is a supply chain vulnerability, meaning it is hard to track all the devices that make use of this library. Ripple20は、プリンター、ネットワーク機器、IPカメラ、ビデオ会議システム、ビルオートメーション機器など、重要なIoT機器に影響を与えます。ソフトウェアライブラリの欠陥を悪用することで、攻撃者はリモートでコードを実行し、機密情報にアクセスすることができます。Ripple20はサプライチェーンの脆弱性であるため、このライブラリを利用するすべてのデバイスを追跡することは困難であるため、これらの脆弱性の影響はさらに大きくなります。
Supply chain サプライチェーン
ECDs exacerbate supply chain vulnerabilities. Supply chain attacks typically occur before devices are deployed onto organisations' networks. However, as seen in the SolarWinds supply chain attack, compromised software updates to devices deployed onto a network can also be a vector. Supply chain attacks on ECDs often involve compromised software being installed in a certain ECD, such as a router or a camera. However, an ECD supply chain attack can also refer to a piece of hardware that has been implanted or modified to change a device's behaviour. ECDは、サプライチェーンの脆弱性を悪化させます。サプライチェーンの攻撃は、通常、デバイスが組織のネットワークに展開される前に発生します。しかし、SolarWinds社のサプライチェーン攻撃で見られたように、ネットワークに展開されたデバイスのソフトウェアアップデートが侵害されることも、その媒体となり得ます。ECDに対するサプライチェーン攻撃では、ルータやカメラなど、特定のECDに危険なソフトウェアがインストールされることがよくあります。しかし、ECD のサプライチェーン攻撃は、デバイスの動作を変更するために埋め込まれた、または変更された ハードウェアを指すこともあります。
Shodansearchresults
Figure 1: Shodan search results for vulnerable device models, split between printer, IP cameras and video conferencing, networking, and ICS. 図 1: Shodan による脆弱なデバイスモデルの検索結果。プリンタ、IP カメラとビデオ会議、ネットワーキング、ICS に分かれています。
Supply chain attacks have a significant impact since the compromised software or device can present a single point of failure for the security of several entities. 侵害されたソフトウェアやデバイスは、複数の事業体のセキュリティにとって単一障害点となり得るため、サプライチェーン攻撃は大きな影響を及ぼします。
In 2020, a series of Shodan* searches for 37 specific device models from 18 vendors (including printers, IP cameras, video conferencing systems and networking equipment) revealed that there were around 15,000 internet-connected instances of these affected devices that could potentially be compromised by anybody on the internet. 2020年、18のベンダーの37の特定機器モデル(プリンター、IPカメラ、ビデオ会議システム、ネットワーク機器など)をShodan*で検索した結果、これらの影響を受ける機器のインターネット接続例は約15,000件あり、インターネット上の誰でもが侵害できる可能性があることが判明しました。
*Shodan is a search engine that lets users search for internet-connected devices *Shodanは、インターネットに接続された機器を検索することができる検索エンジンです。
Bots ボット
While threat actors still make ready use of compromised traditional computers, their bot armies are now increasingly composed of IoT. The majority of IoT botnets have been used for coordinated DDoS attacks, although there are also IoT botnets that have the ability to exfiltrate sensitive information, as seen in the example of the Torri botnet. With the large, and rapidly increasing, number of ECDs, IoT botnets will continue to pose a unique challenge and noteworthy threat. 脅威者は、感染した従来のコンピュータを依然として利用していますが、そのボット軍団は、現在、ますますIoTで構成されるようになっています。IoTボットネットの大半は、協調的なDDoS攻撃に使用されていますが、Torriボットネットの例に見られるように、機密情報を流出させる能力を持つIoTボットネットも存在します。ECDの数が多く、かつ急速に増加していることから、IoTボットネットは今後も独自の課題と注目すべき脅威をもたらし続けるでしょう。
Case Study: Mirai-inspired IoT botnet ケーススタディ:MiraiにインスパイアされたIoTボットネット
In 2020, a Russian hacking group, dubbed Digital Revolution, leaked documents claimed to be taken from a subcontractor to a company building cyber tools for the FSB, the Russian domestic intelligence agency. According to the documents, the project began in 2017 and looks to create an IoT botnet inspired by the notorious Mirai botnet of 2016. The plans showed that its main targets would be security cameras and network video recorders. Each infected device in the botnet would be reprogrammed to carry out password attacks on other devices in order to keep the botnet alive and growing. With a large enough botnet, attackers can launch powerful DDoS attacks. Both state and non-state actors are likely to exploit vulnerabilities in the IoT, including CCTV cameras, to form botnets for malicious ends including attack infrastructure and DDoS attacks 2020年、ロシアのハッキンググループ「Digital Revolution」が、ロシア国内情報機関であるFSBのサイバーツールを構築する組織体の下請け会社から持ち出されたとする文書を流出させました。その文書によると、プロジェクトは2017年に始まり、2016年の悪名高いMiraiボットネットに触発されたIoTボットネットを作成するようです。計画では、主なターゲットは防犯カメラやネットワークビデオレコーダーであることが示されていました。ボットネット内の感染した各デバイスは、ボットネットを存続させ、成長させるために、他のデバイスにパスワード攻撃を行うように再プログラム化されるます。十分な規模のボットネットがあれば、攻撃者は強力なDDoS攻撃を仕掛けることができます。国家・非国家問わず、CCTVカメラなどのIoTの脆弱性を悪用してボットネットを形成し、攻撃インフラやDDoS攻撃などの悪意のある目的のために利用する可能性があります。
Unpatched IoT devices on enterprise networks 組織体ネットワーク上のパッチ未適用のIoTデバイス
The security of common enterprise infrastructure devices such as desktops and laptops has advanced over the years through incremental improvements in operating systems and endpoint security. However, security controls for network devices such as enterprise printers are often ignored and thus present a greater potential for exploitation and compromise by threat actors seeking to gain a persistent foothold on target organisations. デスクトップやノートパソコンなどの一般的な組織体インフラ機器のセキュリティは、OSやエンドポイントセキュリティの段階的な改善により、長年にわたって進歩してきました。しかし、組織体向けプリンターなどのネットワークデバイスのセキュリティ管理は無視されがちであるため、標的の組織に永続的な足がかりを得ようとする脅威行為者による搾取や侵害の可能性が大きくなっています。
Cyber actors will try to locate any vulnerable ECD to compromise enterprise systems. The use of unpatched devices is a common risk - since they lack the latest security updates, threat actors can use older known vulnerabilities to compromise such devices and gain privileged access to corporate networks. Ultimately, unpatched devices can then lead to data breaches or exposed information, manipulation of other assets, access to servers and systems, deployment of malware, or even physical disruption of operations. サイバー攻撃者は、組織体システムを侵害するために、あらゆる脆弱なECDを見つけようとします。パッチの適用されていないデバイスの使用は、一般的なリスクです。デバイスには最新のセキュリティアップデートがないため、脅威者は古い既知の脆弱性を利用してそのデバイスを侵害し、組織体ネットワークへの特権的アクセスを獲得することができます。最終的に、パッチの適用されていないデバイスは、データ漏洩や情報の流出、他の資産の操作、サーバーやシステムへのアクセス、マルウェアの展開、あるいは業務の物理的な妨害につながる可能性があります。
Case Study: Enterprise printer vulnerabilities ケーススタディ:組織体向けプリンターの脆弱性
In 2019, researchers conducted a six-month project to identify vulnerabilities and exploitations relating to devices made by six of the largest enterprise printer makers in the world. The researchers uncovered weaknesses that opened devices to DDoS attacks, but of much more concern is the potential for those devices to be used as entry points into corporate networks, with remote code execution (RCE) and the bypassing of security layers. According to a leading printer manufacturer, cyber crime represents a $445 billion global crisis for printers, PCs, and other mission-critical IoT endpoints. 2019年、研究者は、世界最大の組織体向けプリンターメーカー6社が製造するデバイスに関する脆弱性とエクスプロイトを特定する6カ月間のプロジェクトを実施しました。研究者は、デバイスをDDoS攻撃に開放する弱点を発見しましたが、より懸念されることは、それらのデバイスが組織体ネットワークへの侵入口として利用され、リモートコード実行(RCE)やセキュリティ層の迂回が可能であることです。大手プリンターメーカーによると、サイバー犯罪は、プリンター、PC、その他のミッションクリティカルなIoTエンドポイントにとって、世界的に4,450億ドルの危機を意味するそうです。
Personal connected devices on enterprise networks 組織体ネットワーク上の個人向けコネクテッド・デバイス
Personal IoT devices which are brought into the office environment may be allowed to connect to some enterprise networks. Due to the increased number of personal devices connected to enterprise networks, it is likely these devices will be targeted to gain access to the enterprise network. オフィス環境に持ち込まれた個人のIoTデバイスは、一部の組織体ネットワークへの接続を許可される場合があります。組織体ネットワークに接続される個人所有のデバイスの増加により、これらのデバイスが組織体ネットワークにアクセスするための標的となる可能性があります。
Deployments of ECDs within large UK organisations are likely to present a different threat profile from personal consumer-use devices. Organisations often have more knowledge, responsibility and control for networks and cyber security, compared with a typical consumer. On the consumer side, DCMS has been conducting extensive work to improve the security of consumer connected products and brought legislation into Parliament to support this goal in 2021. 英国の大規模な組織における ECD の導入は、個人の消費者用デバイスとは異なる脅威のプロ ファイルを提示する可能性があります。組織は、一般的な消費者と比較して、ネットワークやサイバーセキュリティについてより多くの知識、責任、管理を持っている場合が多いからです。消費者側では、DCMSが消費者向け接続製品のセキュリティを向上させるための広範な作業を実施し、2021年にこの目標を支援するための法律を議会に提出しました。
Conclusion 結論
ECDs are a hugely attractive target for different types of threat actors as they can hold valuable, sensitive, or personal data. They present an easy target to compromise due to typically limited security efforts by vendors, a large attack surface (multiple endpoints for access to wider networks) and attack base for lateral movement. With the huge scale of ECDs connected to the internet comes a wave of products that are potential targets for both espionage and financially-motivated cyber actors. ECDは、貴重なデータや機密情報、個人情報を保持している可能性があるため、さまざまなタイプの脅威者にとって非常に魅力的なターゲットです。ECDは、ベンダーによるセキュリティ対策が限定的であること、攻撃対象領域が広いこと(複数のエンドポイントからより広いネットワークにアクセスできる)、横方向に移動できる攻撃基盤があることなどから、容易に侵害できる標的となっています。インターネットに接続されたECDの大規模化に伴い、諜報活動や金銭的動機のあるサイバー行為者の潜在的なターゲットとなる製品が次々と登場しています。
The COVID-19 pandemic has driven a surge in remote working, and ECDs have played a vital role in supporting business continuity as the COVID-19 crisis affected companies across the globe. This has presented opportunities for organisations to work innovatively but has also created new opportunities for threat actors. COVID-19の大流行により、リモートワークが急増し、COVID-19危機が世界中の組織体に影響を与えたため、ECDは事業継続を支援する上で重要な役割を果たしました。これは、組織が革新的な仕事をする機会を提供しましたが、同時に脅威を与える側にも新たな機会を生み出しました。
Organisations increasingly rely on ECDs. Many of these devices are built with poor security which could result in these devices being used as part of DDoS attacks, such as against large organisations and critical national infrastructure. 組織はますますECDに依存するようになっています。これらのデバイスの多くは、セキュリティが不十分な状態で構築されているため、大規模な組織や重要な国家インフラに対するDDoS攻撃などの一部として、これらのデバイスが使用される可能性があります。
It is likely that malware which creates IoT botnets poses the greatest threat to ECDs and therefore the wider enterprise. The majority of IoT botnets have been used for coordinated DDoS attacks; however, there are also IoT botnets that have the ability to exfiltrate sensitive information. IoTボットネットを作成するマルウェアは、ECD、ひいてはより広範な組織体にとって最大の脅威となる可能性があります。IoTボットネットの大半は、協調的なDDoS攻撃に使用されていますが、機密情報を流出させる能力を持つIoTボットネットも存在します。
Following initial compromise, ECDs can be used as an attack vector or pivot point to enable cyber actors to gain access to an enterprise's corporate network for espionage purposes, disruption, or financial gain. A single exposed ECD has the possibility of enabling a cyber actor to gain access to an enterprise's corporate network and potentially put their supply chain at risk. ECDは、最初の侵害の後、サイバーアクターが諜報活動や破壊活動、金銭的な利益を得るために組織体のネットワークにアクセスするための攻撃ベクトルまたはピボットポイントとして使用されることがあります。ECDが1つでも露出すると、サイバー攻撃者は組織体のネットワークにアクセスできるようになり、サプライチェーンが危険にさらされる可能性があります。
All sectors deploying ECDs will be at risk, if these devices are found to be insecure, particularly due to the common uptake of particular devices that help enterprises to run on a day-to-day basis. The growing number of IoT devices being adopted by enterprises presents an expanding attack surface, with many of these devices being accessible over the public internet, and with cyber security often being an afterthought. ECDが安全でないことが判明した場合、ECDを導入しているすべての部門が危険にさらされます。特に、組織体の日常業務を支援する特定のデバイスが一般的に普及していることが原因です。組織体で採用されるIoTデバイスの数は増加しており、これらのデバイスの多くは公共のインターネットを介してアクセス可能で、サイバーセキュリティはしばしば後回しにされるため、攻撃対象が拡大することになります。
   
Assessment - what it is アセスメント - その内容
NCSC Assessment products are drawn from all-source information. We fuse government, industry, media and open source material with unique classified intelligence to provide assessment on cyber threats to the UK. They are commissioned by NCSC’s ‘customers’, including government and industry, to inform their work. Assessment includes Key Judgements (KJs) and a Probability Yardstick. The purpose of these devices is to provide the reader with the key takeaways from the paper and ensure that the reader interprets any judgements in the way that the analyst intended. NCSCのアセスメント製品は、あらゆる情報源から抽出されています。政府、産業界、メディア、オープンソースを独自の機密情報と融合させ、英国へのサイバー脅威に関するアセスメントを提供します。これらは、政府や産業界を含むNCSCの「顧客」から依頼され、その業務に役立てられます。評価には、Key Judgements (KJ)とProbability Yardstickが含まれる。これらの装置の目的は、読者に論文の主要な論点を提供し、読者が分析者の意図する方法ですべての判断を解釈することを保証することです。
Key judgements 主要意見
Key Judgements provide answers to the specific questions agreed between NCSC and the sponsor of the paper when it was commissioned. KJs are the most important judgements that an NCSC analyst wants a reader to absorb. KJs relate only to a specific issue and are not a summary of the paper's overall assessment or a summary of all the judgements within a paper. Typically, a paper will contain no more than six or seven KJs and each will be approximately three or four lines long. KJs will generally correspond closely to the language in the main body of the paper. 主要意見は、論文の委託を受けた際に NCSC と論文のスポンサーとの間で合意された特定の質問に対する回答を提供するものです。主要意見は、NCSC のアナリストが読者に理解してもらいたいと考える最も重要な意見です。主要意見は特定の問題にのみ関連するものであり、論文全体の評価や論文内の全判断を要約したものではありません。一般に、1つの論文に含まれる「主要意見」は6~7個以下で、それぞれ3~4行程度の長さです。主要は、一般的に論文本文の表現と密接に対応します。
PHIA probability yardstick PHIAの確率基準
Most judgements have some degree of uncertainty associated with them. The assessment community use terms like unlikely or probable to convey this. These terms are used instead of numerical probabilities (e.g., 55%) to avoid interpretation of judgements as being overly precise, as most judgements are not based on quantitative data. A Yardstick establishes what these terms approximately correspond to in numerical probability. This ensures that readers understand a judgement as the analyst intends. The rigorous use of a Yardstick also ensures that analysts themselves make clear judgements and avoid the inappropriate use of terms that imply a judgement without being clear what it is (e.g., "if X were to occur then Y might happen"). ほとんどの判断は、ある程度の不確実性を伴います。アセスメント業界では、これを伝えるために、ありそうもない、あるいは、ありそうだ という言葉を使います。これらの用語は、ほとんどの判断が定量的データに基づかないため、判断が過度に正確であるとの解釈を避けるために、数値による確率(例:55%)の代わりに使用されています。ヤードスティックは、これらの用語が数値的な確率にほぼ対応するものを定めています。これにより、読者は分析者が意図したとおりに判断を理解することができます。また、ヤードスティックを厳密に使用することにより、分析者自身が明確な判断を下し、判断が何であるかを明確にしないまま判断を暗示するような不適切な用語(例えば、「もしXが起これば、Yが起こるかもしれない」等)を使用しないようにすることができます。
The Professional Head of Intelligence Assessment (PHIA) Probability Yardstick splits the probability scale into seven ranges. Terms are assigned to each probability range. The choice of terms and ranges was informed by academic research, and they align with an average reader's understanding of the terms in the context of what they are reading. プロフェッショナル・ヘッド・オブ・インテリジェンス・アセスメント(PHIA)の確率基準では、確率の尺度を7つの範囲に分割しています。各確率の範囲には用語が割り当てられています。用語と範囲の選択は、学術的な研究に基づいており、平均的な読者が読んでいる内容の文脈でその用語を理解できるように配慮されています。

 

参考

National Cyber Security Centre (NCSC)

Cyber security in enterprise connected devices

・2021.03.25 [PDF] Literature review on connected devices within enterprise networks

20220516-53415

 

・2021.10.19 [PDF] Enterprise connected devices: procurement, usage and management among UK businesses

20220516-53509

 

|

« カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解 | Main | AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解 | Main | AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11) »