米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演
こんにちは、丸山満彦です。
ボストン大学で6月1日にサイバーセキュリティに関するボストン会議が開催され、そこでFBIのクリストファ・レイ長官 (Christopher Wray, Director)が基調講演で発表した内容が公表されていますね。。。
ランサムウェアについても触れていますが、「人」、「技術インフラ」、「資金網」に注目して、それぞれ破壊していくことが、身代金要求のランサムウェア対策にとって有効という考え方のようですね。。。
FBIの取り組みの一端が垣間見える発言ですね。。。
サイバー犯罪に関する白浜シンポジウムですが、以前はFBIの方が来て話をしたりということもあったのですが、来年くらいFBIの方にも話してもらいたいですね。。。
● Boston Conference on Cyber Security 2022
クリストファ・レイ長官の発表は16分20秒くらいから始まります。。。
・[YouTube] 2022 Boston Conference on Cyber Security | Christopher Wray Keynote
● Federal Bureau of Investigation; FBI
・2022.06.01 Director's Remarks to the Boston Conference on Cyber Security 2022
Director's Remarks to the Boston Conference on Cyber Security 2022 | 2022年サイバーセキュリティに関するボストン会議での局長挨拶 |
Remarks prepared for delivery. | 配信用に準備された内容 |
Introduction | はじめに |
It’s good to be back here at BC, particularly since I couldn’t participate in the virtual conference last year. In fact, the last time I was able to participate was in March 2020, right before everything went into lockdown. It’s pretty incredible how quickly our lives—work, school, social events —shifted to being online. | 昨年はバーチャルカンファレンスに参加できなかったので、特にここBCに戻ってこれてうれしいです。実は、前回参加できたのは2020年3月で、すべてがロックダウンされる直前でした。仕事、学校、社会的なイベントなど、私たちの生活があっという間にオンラインに移行してしまったのは、本当に信じられないことです。 |
I can’t say I was a fan of shifting from interacting with my staff around a conference table to seeing a fair number of folks show up only on screen, usually from elsewhere in the building. | 会議テーブルを囲んでスタッフと交流していたのが、画面上だけで、しかも普段は別の場所にいる人たちと会うことになるのは、好きとは言えません。 |
It worked, sort of. But I’m glad we’ve been able to go back to meeting in person. For the FBI, a lot of our work is hard to accomplish online. We work with a lot of classified information that can’t go home, and we certainly can’t conduct crime scene investigations remotely. | でも、それはそれでいいんです。でも、直接会って話をするようになってよかったと思います。FBIにとって、私たちの仕事の多くはオンラインで達成するのが難しいものです。多くの機密情報を扱うため、家に帰ることはできませんし、犯罪現場の調査も遠隔ではできません。 |
But I recognize that we’re fairly unique, and a lot of businesses have been able to cut costs by keeping employees at home instead of leasing office spaces. | しかし、私たちはかなり特殊で、多くの企業がオフィススペースを借りる代わりに従業員を自宅に置くことでコスト削減を実現していることは認識しています。 |
So, it’s clear that our world and our society are not just going back to where we were two-and-a-half years ago. And people are going to continue to take advantage of the connectivity that cyberspace provides. | ですから、私たちの世界や社会は、2年半前に戻ったわけではないことは明らかです。そして、人々はサイバースペースが提供するコネクティビティを活用し続けることでしょう。 |
But, at the same time, the shift of our personal and professional lives even more online has created new vulnerabilities. And malicious cyber actors are going to continue to take advantage of people and networks. | しかし同時に、私たちの個人生活や仕事上の生活がさらにオンライン化されたことで、新たな脆弱性が生まれました。そして、悪意のあるサイバーアクターは、これからも人々とネットワークを利用し続けるでしょう。 |
That includes cybercriminals holding data for ransom and nation states like China stealing defense and industrial secrets. | その中には、身代金目的でデータを持ち出すサイバー犯罪者や、防衛・産業機密を盗む中国などの国家も含まれます。 |
And lately, that’s included Russia trying to influence what happens in the ground war they started—by threatening attacks against the West in cyberspace. | 最近では、ロシアがサイバースペースで西側諸国を攻撃すると脅すことで、彼らが始めた地上戦の行方に影響を与えようとしていることも含まれています。 |
I think, if we’re going to address cyber security properly, we’ve got to talk about how we’re responding to each of those threats. | サイバーセキュリティに適切に対処するためには、こうした脅威の一つひとつにどう対処していくかを話し合う必要があると思います。 |
We’ve got to hold the line on multiple fronts—all at once—to help people and businesses protect themselves, to support victims, and to inflict costs on criminals. | 私たちは、人々や企業が自分自身を守るのを助け、被害者を支援し、犯罪者に犠牲を強いるために、多方面から一度に対策を講じなければならないのです。 |
And we can’t let up on China or Iran or criminal syndicates while we’re focused on Russia. So that’s what we’re doing, taking on all these threats and shifting resources quickly to respond. | また、ロシアに注力している間に、中国やイラン、犯罪組織への対策を怠るわけにはいきません。ですから、私たちはあらゆる脅威を受け止め、迅速にリソースをシフトして対応しています。 |
And I think it’s worth covering some of those threats with you today. | 本日は、これらの脅威のいくつかをご紹介します。 |
Russia | ロシア |
I do want to start with Russia because we’re laser focused on them right now. | 私たちは現在、ロシアに焦点を合わせているので、ロシアから始めたいと思います。 |
I’m not breaking any new ground or compromising any intelligence sources by saying they’ve been absolutely reckless on the battlefield. They really don’t care who they hurt—civilians, noncombatants, women, children. And their recklessness with human lives carries over into how they act in cyberspace. | ロシアが戦場で無謀なことをしていると言っても、目新しいことは何もありませんし、情報源を損なうこともありません。彼らは、民間人、非戦闘員、女性、子どもなど、誰を傷つけるかを本当に気にしていないのです。そして、人命に対する彼らの無謀さは、サイバースペースでの行動にも表れています。 |
Of course, that’s not new. In 2017, the Russian military used the NotPetya malware to hit Ukrainian critical infrastructure. The attack was supposed to look like a criminal heist but was actually designed to destroy any systems it infected. | もちろん、それは新しいことではありません。2017年、ロシア軍はマルウェア「NotPetya」を使って、ウクライナの重要インフラを攻撃しました。この攻撃は、犯罪的な強盗のように見えるはずでしたが、実際には感染したシステムを破壊するように設計されていました。 |
They targeted Ukraine but ended up also hitting systems throughout Europe, plus the U.S. and Australia, and even some systems within their own borders. They shut down a big chunk of global logistics. | 彼らはウクライナをターゲットにしましたが、最終的にはヨーロッパ全域、さらに米国とオーストラリアのシステム、そして自国内の一部のシステムにも打撃を与えました。世界の物流の大部分を停止させたのです。 |
That reckless attack ended up causing more than 10 billion dollars in damages—one of the most damaging cyberattacks in the history of cyberattacks—and spread world-wide before anyone knew to do anything. | この無謀な攻撃は、結局100億ドル以上の損害を引き起こし、サイバー攻撃史上最も大きな被害をもたらし、誰も何も知らないうちに世界中に広まりました。 |
Now, in Ukraine, we see them again launching destructive attacks, using tools like wiper malware. And we’re watching for their cyber activities to become more destructive as the war keeps going poorly for them. | 現在、ウクライナでは、ワイパー型マルウェアなどのツールを使って、再び破壊的な攻撃を仕掛けているのが見られます。そして、戦争が彼らにとって不利になるにつれて、彼らのサイバー活動がより破壊的になることを私たちは注視しています。 |
At the FBI, we’re on what I’d call combat tempo. | FBIでは、いわゆる戦闘態勢をとっています。 |
We’ve got a 24/7 cyber command post running, and we've been pushing out intelligence products and technical indicators—not just to government partners, but also to private companies and others. | 24時間365日体制でサイバーコマンドポストを稼働させ、政府機関だけでなく民間企業などにも情報製品や技術的指標を発信しています。 |
We’ve seen the Russian government taking specific preparatory steps towards potential destructive attacks, here and abroad. We’re racing out to potential targets to warn them about the looming threat, giving them technical indicators they can use to protect themselves. And we’re moving rapidly to disrupt Russian activity. | ロシア政府は、国内外で破壊的な攻撃を行う可能性があるため、具体的な準備段階を踏んでいることがわかった。私たちは、潜在的な標的に対して、迫り来る脅威を警告し、彼らが自らを守るために利用できる技術的な指標を提供するために、急いで行動しています。そして、ロシアの活動を妨害するために迅速に行動しています。 |
Russia/WatchGuard | ロシア/WatchGuard |
Just this April, the FBI disrupted a botnet that the Russian GRU intelligence service had created and could have used to obfuscate malicious and damaging cyber activity. | 今年4月、FBIは、ロシアの情報機関GRUが作成し、悪質で有害なサイバー活動を難読化するために使用する可能性のあったボットネットを破壊したばかりです。 |
This is the same Russian agency behind NotPetya and that attacked the Ukrainian electric grid in 2015, attacked the Winter Olympics and Paralympics in 2018, and conducted attacks against Georgia in 2019. | これは、NotPetyaの背後にあり、2015年にウクライナの電力網を攻撃し、2018年に冬季オリンピックとパラリンピックを攻撃し、2019年にグルジアに対して攻撃を行ったのと同じロシアの機関です。 |
The GRU’s Sandworm team had implanted Cyclops Blink malware on ASUS home routers and Firebox devices, which are firewall devices produced by WatchGuard Technologies and largely used by small to medium businesses. | GRUのSandwormチームは、ASUSの家庭用ルーターと、WatchGuard Technologiesが製造し、中小企業で主に使用されているファイアウォール機器であるFireboxデバイスに、Cyclops Blinkマルウェアを埋め込んでいたのです。 |
By infecting and controlling thousands of these devices worldwide, the GRU could string them together to use their computing power in a way that would hide who was really running the network. | このようなデバイスを世界中で数千台感染させ、コントロールすることで、GRUはこれらのデバイスをつなぎ合わせ、誰が本当にネットワークを運営しているのかを隠す方法でコンピューティング・パワーを使用することができたのです。 |
This past November, we alerted WatchGuard about the malware targeting their devices, and we collaborated with CISA and WatchGuard on mitigation. | この 11 月、私たちは WatchGuard 社のデバイスを標的としたマルウェアについて警告を発し、CISA 社と WatchGuard 社と共同でその緩和策を講じました。 |
We collected additional malware samples from U.S. victims, while WatchGuard developed mitigation tools. | CISA は米国の被害者から追加のマルウェア・サンプルを収集し、WatchGuard はミティゲーション・ツールを開発しました。 |
We reverse-engineered the malware samples and developed a sophisticated technical operation to sever the GRU’s ability to communicate with the botnet’s command-and-control layer. | 私たちはマルウェア・サンプルをリバース・エンジニアリングし、GRU がボットネットのコマンド&コントロール層と通信する能力を断ち切るための高度な技術作戦を開発しました。 |
And in March, we executed the operation and successfully cut their ability to control the botnet. | そして3月、私たちはこの作戦を実行し、ボットネットを制御する彼らの能力を切断することに成功しました。 |
We removed malware from the “Firebox” devices—used by small businesses for network security all over the world—and then shut the door the Russians had used to access them. | 世界中の中小企業でネットワークセキュリティに利用されている「Firebox」デバイスからマルウェアを除去し、ロシアがアクセスするために使っていたドアを閉めたのです。 |
Clearly, that’s not the only threat coming out of Russia, and we’re certainly not resting on our laurels. But that was a pretty solid hit against Russian intelligence. And it shows that we can do quite a bit to counter threats and help companies hit by threats like that posed by the Russian government. | ロシアからの脅威がこれだけでないことは明らかであり、私たちもそれに甘んじているわけではありません。しかし、これはロシアの諜報機関に対するかなり強力な攻撃でした。そして、ロシア政府からの脅威に対抗し、そのような脅威に見舞われた企業を支援するために、私たちがかなりのことを行えるということを示しています。 |
Reminders and Lessons | 留意すべきことと教訓 |
As I mentioned earlier, even while we’re at full tilt against Russian cyber threats, we’re also countering other nation-state and criminal cyber actors. So we’re particularly attuned to lessons from the Ukraine conflict that apply more broadly. | 先に述べたように、私たちはロシアのサイバー脅威に対して全力を尽くしていますが、他の国家や犯罪的サイバー行為にも対抗しています。そのため、ウクライナ紛争から得た教訓は、より広範に適用できるものであると認識しています。 |
We’re not the only ones. We know that China is studying the Ukraine conflict intently. They’re trying to figure out how to improve their own capabilities to deter or hurt us in connection with an assault on Taiwan. | 私たちだけではありません。中国がウクライナ紛争を熱心に研究していることは知っています。中国は、台湾への攻撃に関連して、我々を抑止したり、傷つけたりするために、どのように自国の能力を向上させるかを考えているのです。 |
So, take for example the blended threat where we see Russia—like China, Iran, and sometimes other nation states—essentially hiring cyber criminals, in effect cyber mercenaries. | 例えば、中国やイラン、時には他の国々と同様に、ロシアもサイバー犯罪者を雇い、事実上、サイバー傭兵のような存在になっていることがあります。 |
We see Russian cyber criminals explicitly supporting, and taking actions to assist, the Russian government, as well as some just taking advantage of the very permissive operating environment that exists in Russia. | ロシアのサイバー犯罪者は、ロシア政府を明確に支持し、支援する行動を取っていますが、ロシアに存在する非常に寛容な活動環境を利用する者もいます。 |
In some instances, we also see Russian intelligence officers, moonlighting, making money on the side, through cybercrime or using cybercriminal tools to conduct state-sponsored attacks because they think it gives them some plausible deniability or will hide who's behind it. | また、ロシアの情報機関職員が副業としてサイバー犯罪でお金を稼いでいたり、サイバー犯罪のツールを使って国家主導の攻撃を行っていたりするケースも見られますが、これはその方がもっともらしい否認権が得られる、あるいは背後に誰がいるのかを隠せると考えているからです。 |
So one key question for us today is, when do criminal actors become agents of their host nation? | そこで、今日の私たちにとって重要な問題の1つは、犯罪行為者が敵対国の代理人となるのはどのような場合か、ということです。 |
Does money have to change hands, or is publicly pledging support to a foreign government enough? | 金銭の授受が必要なのか、それとも外国政府への支援を公的に表明するだけで十分なのか。 |
We are realizing the value of our accumulated investigative work, with our partners, against all manner of Russian cyber threats. That work has established connections, motives, and tactics among Russian hackers before the current crisis. | 私たちは、ロシアのあらゆるサイバー脅威に対して、パートナーとともに蓄積してきた調査活動の価値を実感しています。その結果、今回の危機以前に、ロシアのハッカーたちのつながり、動機、戦術が確立された。 |
It gives us a basis for potentially holding the Russian government accountable for the actions of a Russian ransomware gang. Because we’ve been able to show that their government sometimes supports, uses, and protects, cybercriminals. | これは、ロシアのランサムウェア集団の行動に対してロシア政府が責任を負う可能性を示す根拠となるものです。なぜなら、ロシア政府がサイバー犯罪者を支援し、利用し、保護することがあることを示すことができたからです。 |
A second thing we’re thinking about is the speed and scope of attribution. How do we balance the need for speed, to get to an operational level of attribution, supporting actions we or our partners need to take next, against specificity? | もうひとつは、アトリビューションのスピードと範囲についてです。当社やパートナーが次に取るべき行動を支援するために、アトリビューションの運用レベルに到達するまでのスピードと、具体性のバランスをどのように取ればよいでしょうか。 |
It won’t surprise you to learn that we can figure out which country is responsible for something, or even which specific intel service, faster than we can identify which individual was sitting at the keyboard. | キーボードを叩いていた人物を特定するよりも、どの国がどのような行為に関与しているか、あるいは特定の情報機関を特定する方が早いという事実を知っても、皆さんは驚かないことでしょう。 |
For victims, we’re helping as we respond to malicious cyber activity in this kinetic, destructive context, we’ve found that speed trumps pretty much everything else. It’s more important for us to get to their doorstep in an hour than it is to tell them whether we’re looking at nation-state cyber activity or cyber criminals. | 被害者のために、私たちはこの運動的、破壊的な状況での悪質なサイバー活動に対応するために、スピードが他のほとんど全てに勝ることを発見しました。国家によるサイバー活動なのか、サイバー犯罪者によるものなのかを説明するよりも、1時間以内に被害者のもとに駆けつけることが重要なのです。 |
But it’s also important to keep marching toward more-specific attribution even while we hand off defensive information before we build the full picture of who’s responsible. Because for the broader government’s response calculations—for us to meaningfully degrade, disrupt, and deter a cyber adversary—we often need to be a lot more specific about who’s responsible. | しかし、犯人の全体像を把握する前に防御的な情報を提供しながらも、より具体的なアトリビューションに向けて前進し続けることも重要です。というのも、政府全体の対応策を計算する上で、サイバー敵対者を有意義に劣化させ、混乱させ、抑止するためには、誰が犯人なのかをもっと具体的に示す必要がある場合が多いからです。 |
A third lesson, or really a reminder, from this conflict with broad application: When it comes to the threat of destructive attack, the adversary’s access is the problem. | この紛争から得られた3つ目の教訓というか、広範な応用が可能な注意事項があります。破壊的な攻撃の脅威に関しては、敵のアクセス権が問題となります。 |
This is something we’ve talked about a lot, but that has acquired heightened resonance lately. Russia has, for years and years, been trying to infiltrate companies to steal information. | これは私たちが何度も話してきたことですが、最近になってより大きな反響を呼んでいます。ロシアは何年も前から、企業に潜入して情報を盗もうとしています。 |
In the course of doing so, they’ve gained illicit access to probably thousands of U.S. companies, including critical infrastructure. Just look at the scope of their Solar Winds campaign. | その過程で、重要なインフラを含む、おそらく何千もの米国企業に不正にアクセスするようになったのです。彼らのSolar Windsキャンペーンの範囲を見てください。 |
They can use the same accesses they gained for collection and intelligence purposes to do something intentionally destructive. It’s often not much more than a question of desire. | 彼らは、収集と諜報のために得た同じアクセスを使って、意図的に破壊的なことをすることができます。それは、多くの場合、欲望の問題以上のものではありません。 |
That’s why, when it comes to Russia today, we’re focused on acting as early, as far “left of boom,” as we can against the threat. | だからこそ、今日のロシアに関しては、脅威に対してできるだけ早く、「ブームの左側」で行動することに重点を置いているのです。 |
That is, launching our operations when we see the Russians researching targets, scanning, trying to gain an initial foothold on the network, not when we see them later exhibit behavior that looks potentially destructive. | つまり、ロシアがターゲットを調査し、スキャンし、ネットワークへの最初の足がかりを得ようとするのを見たときに作戦を開始するのであって、後になって破壊的な行動を取る可能性があるのを見たときではないのです。 |
As broad as Russia’s potential cyber accesses across the country may be, they pale in comparison to China’s. | ロシアが国中に張り巡らせたサイバーアクセスの可能性は、中国とは比べものにならないほど広範です。 |
So the same reminder that this conflict has given the community about the urgency of battling adversaries at the point of access, or earlier, applies in spades when we think about how to defend against the Chinese Communist Party’s potential aggression toward Taiwan. | 中国共産党の台湾に対する潜在的な侵略行為からいかに身を守るかを考えるときにも、この紛争がもたらした、敵にアクセスする時点、あるいはそれ以前の段階で戦うことの緊急性を思い起こさせるものがあります。 |
We need to study what’s going on with Russia and learn from it because we’re clearly not the only ones paying attention. | 私たちはロシアで起きていることを研究し、そこから学ぶ必要がある。なぜなら、私たちだけが注目しているわけではないのだからです。 |
China | 中国 |
Now, China is clearly a very different threat than Russia. The Chinese government is methodical, hacking in support of long-term economic goals. | さて、中国はロシアとは明らかに異なる脅威です。中国政府は理路整然としており、長期的な経済目標を支えるためにハッキングを行う。 |
And China operates on a scale Russia doesn’t come close to. They’ve got a bigger hacking program than all other major nations combined. They’ve stolen more American personal and corporate data than all nations combined. And they’re showing no sign of tempering their ambition and aggression. | また、中国はロシアとは比べものにならない規模で活動しています。他のすべての主要国の合計よりも大規模なハッキングプログラムを持っています。アメリカの個人および企業データを盗んだ数は、すべての国の合計を上回ります。そして、その野心と攻撃性を弱める気配はありません。 |
Even their hacks that may seem noisy and reckless actually fit into a long-term, strategic plan to undermine U.S. national and economic security. | 一見、騒々しく無謀に見えるハッキングも、実は米国の国家と経済の安全保障を脅かす長期的かつ戦略的な計画に沿ったものなのです。 |
China’s economy also gives it leverage and tools, sway over companies, that Russia lacks. For many U.S. and foreign companies doing business in China, or looking to, the cost effectively amounts to a blanket consent to state surveillance in the name of security—at best. | 中国の経済力は、ロシアに欠けている企業への影響力やツールも与えている。中国でビジネスを行っている、あるいは行おうとしている多くの米国企業や外国企業にとって、このコストは、よく言えば、安全保障の名の下に国家の監視に全面的に同意することに等しいのです。 |
At worst, they’ve got to accept the risk that their sensitive information may be co-opted to serve Beijing’s geopolitical goals. | 最悪の場合、自社の機密情報が北京の地政学的目標のために利用されるかもしれないというリスクを受け入れなければならないのです。 |
In 2020, we became aware that some U.S. companies operating in China were being targeted through Chinese government-mandated tax software. The businesses were required to use certain government-sanctioned software to comply with the value-added tax system and other Chinese laws. | 2020年、私たちは、中国で活動する一部の米国企業が、中国政府指定の税務ソフトによって標的にされていることを知りました。その企業は、増値税制度やその他の中国の法律を遵守するために、政府公認の特定のソフトウェアを使用することを要求されていました。 |
A number of U.S. companies then discovered that malware was delivered into their networks through this software. So, by complying with Chinese laws for conducting lawful business in China, they ended up with backdoors into their systems that enabled access into what should be private networks. | その後、多くの米国企業が、このソフトウェアを通じてマルウェアが自社のネットワークに送り込まれていることを発見しました。つまり、中国で合法的にビジネスを行うための中国の法律を遵守することで、本来はプライベートなネットワークにアクセスするためのバックドアをシステムに仕込んでしまったのです。 |
That’s just one example of how the Chinese government is pursuing their goal to lie, cheat, and steal their way into global domination of technology sectors. It’s really a whole-of-government operation to steal research and proprietary secrets from U.S. companies and then undercut prices on the global market. So that companies that play by the rules can’t compete. | これは、中国政府が嘘と不正行為と盗用によってテクノロジー分野の世界的支配を目指すという目標を達成するための一例に過ぎません。中国政府は、米国企業から研究成果や機密情報を盗み出し、グローバル市場で価格を引き下げるという、まさに政府を挙げての作戦を展開しているのです。ルールに従って行動する企業が競争できないようにするためです。 |
That effort is not limited to cyber. Heck, we’ve caught Chinese agents out in the heartland of the U.S. targeting our agricultural innovation, sneaking into fields to dig up proprietary, experimental, genetically modified seeds. | このような取り組みは、サイバーに限ったことではありません。中国の工作員が米国の中心地で農業革新を狙い、畑に忍び込んで独自の実験的な遺伝子組み換え種子を掘り出しているのを目撃したこともあります。 |
But China’s other means of stealing technology—things like human spies, corporate transactions—often run in concert with, and even in service of, its cyber program. Like when the MSS recently used a human agent on the inside to enable hackers in mainland China to penetrate GE Aviation’s joint venture partner and steal proprietary engine technology. | しかし、中国が技術を盗む他の手段、例えば人間のスパイや企業間取引などは、しばしばサイバー・プログラムと連携し、さらにはそれを利用したものでさえあります。例えば最近、中国本土のハッカーがGEアビエーションの合弁パートナーに侵入し、独自のエンジン技術を盗むために、MSSは内部に人間のスパイを送り込みました。 |
The Chinese government sees cyber as the pathway to cheat and steal on a massive scale. In March 2021, Microsoft and other U.S. tech and cybersecurity companies disclosed some previously unknown vulnerabilities targeting Microsoft Exchange Server software. | 中国政府は、サイバーが大規模な不正行為や窃盗を行うための経路であると見ているのです。2021年3月、マイクロソフトをはじめとする米国のハイテク企業やサイバーセキュリティ企業は、Microsoft Exchange Serverソフトウェアを標的としたこれまで知られていなかった脆弱性をいくつか公表しました。 |
The hackers, operating out of China, had compromised more than 10,000 U.S. networks, moving quickly and irresponsibly to do so prior to the public disclosure of the vulnerabilities. Through our private sector partnerships, we identified the vulnerable machines. | 中国を拠点に活動するハッカーは、脆弱性の公開前に迅速かつ無責任に動いて1万以上の米国内のネットワークに侵入していたのです。私たちは、民間企業との連携により、脆弱性のあるマシンを特定しました。 |
And learned the hackers had implanted webshells—malicious code that created a backdoor and gave them continued remote access to the victims’ networks. So, we pushed out a joint advisory with CISA to give network defenders the technical information they needed to disrupt the threat and eliminate those backdoors. | そして、ハッカーがウェブシェル(バックドアを作成し、被害者のネットワークに継続的にリモートアクセスできるようにする悪意のあるコード)を埋め込んでいたことを知りました。そこで、CISAと共同で勧告を発表し、ネットワーク防御者が脅威を阻止し、バックドアを排除するために必要な技術情報を提供しました。 |
But some system owners weren’t able to remove the webshells themselves, which meant their networks remained vulnerable. So, we executed a surgical, court-authorized operation, copying and removing the harmful code from hundreds of vulnerable computers. | しかし、一部のシステム所有者はWebシェルを自分で削除することができず、ネットワークが脆弱なままになっていました。そこで私たちは、裁判所の許可を得て、数百台の脆弱なコンピュータから有害なコードをコピーして除去する外科的な作戦を実行しました。 |
Those backdoors the Chinese government hackers had propped open? | 中国政府のハッカーが開けていたバックドア? |
We slammed them shut, so the cyber actors could no longer use them to access victim networks. So, while that’s another win we can celebrate, it is also a stark reminder that the Chinese government remains a prolific and effective cyber espionage threat. | 中国政府のハッカーが開けていたバックドアを閉め、サイバーアクターが被害者のネットワークにアクセスするために使うことができなくなりました。このように、私たちは新たな勝利を収めることができましたが、同時に、中国政府が依然として多産で効果的なサイバースパイの脅威であることをはっきりと思い知らされることになったのです。 |
Iran and Boston Children’s Hospital | イランとボストン小児病院 |
And China and Russia aren’t the only nation states exhibiting malicious behavior on the international stage. Iran and North Korea also continue to carry out sophisticated intrusions targeting U.S. victims. | また、国際舞台で悪意ある行動をとっているのは、中国とロシアだけではありません。イランと北朝鮮も、米国の被害者をターゲットにした巧妙な侵入を続けています。 |
In fact, in the summer of 2021, hackers sponsored by the Iranian government tried to conduct one of the most despicable cyberattacks I’ve seen—right here in Boston—when they decided to go after Boston Children’s Hospital. | 実際、2021年の夏には、イラン政府の支援を受けたハッカーが、ここボストンで、ボストン小児病院を狙うという、私が見た中で最も卑劣なサイバー攻撃を行おうとしました。 |
Let me repeat that, Boston Children’s Hospital. | 繰り返しますが、ボストン小児病院です。 |
We got a report from one of our intelligence partners indicating Boston Children’s was about to be targeted. And, understanding the urgency of the situation, the cyber squad in our Boston Field Office raced to notify the hospital. | 私たちは、ある情報機関から、ボストン小児病院が標的にされそうだという報告を受けました。事態の緊急性を理解したボストン支局のサイバー班は急いで病院に知らせました。 |
Our folks got the hospital’s team the information they needed to stop the danger right away. We were able to help them ID and then mitigate the threat. | そして、ボストン支局のサイバー部隊は、危険をすぐに阻止するために必要な情報を病院側に提供しました。そして、脅威を特定し、緩和することができたのです。 |
And quick actions by everyone involved, especially at the hospital, protected both the network and the sick kids who depend on it. | そして、関係者全員、特に病院側の迅速な対応により、ネットワークと、それに依存している病気の子どもたちの両方が守られました。 |
It’s a great example of why we deploy in the field the way we do, enabling that kind of immediate, before-catastrophe-strikes response. | これは、大惨事が起こる前に即座に対応できるような、私たちのフィールドでの展開の理由を示す素晴らしい例です。 |
Ransomware | ランサムウェア |
Unfortunately, hospitals these days—and many other providers of critical infrastructure—have even more to worry about than Iranian government hackers. | 残念ながら、最近の病院や他の多くの重要インフラのプロバイダーは、イラン政府のハッカー以上に心配することがあります。 |
If malicious cyber actors are going to purposefully cause destruction or are going to hold data and systems for ransom, they tend to hit us somewhere that’s going to hurt. That’s why we’ve increasingly seen cybercriminals using ransomware against U.S. critical infrastructure sectors. | 悪意のあるサイバー犯罪者が意図的に破壊を引き起こしたり、データやシステムの身代金を要求したりする場合、私たちが傷つくような場所を攻撃する傾向があります。そのため、サイバー犯罪者が米国の重要インフラ部門に対してランサムウェアを使用するケースが増加しています。 |
In 2021, we saw ransomware incidents against 14 of the 16 U.S. critical infrastructure sectors, including healthcare, but also many of the other things we depend on. | 2021年には、米国の重要インフラ16分野のうち14分野に対してランサムウェアが発生し、ヘルスケアだけでなく、私たちが依存している他の多くのものも含まれています。 |
Ransomware gangs love to go after things we can’t do without. | ランサムウェアの集団は、私たちが無くてはならないものを狙うのが大好きです。 |
We’ve seen them compromise networks for oil and gas pipelines, grade schools, 9-1-1 call centers. They also go after local governments. | 石油やガスのパイプライン、小学校、9-1-1コールセンターなどのネットワークが危険にさらされているのを私たちは見てきました。また、地方自治体のネットワークも狙われています。 |
The FBI cyber team here in Boston, for example, last May uncovered important indicators of compromise for the Avaddon ransomware strain. | 例えば、ボストンにあるFBIのサイバーチームは、昨年5月、ランサムウェア「Avaddon」の感染経路を示す重要な指標を発見しています。 |
Avaddon was one of the most prolific ransomware variants in the world at the time. Our folks quickly published what they found to warn the public. | Avaddonは当時、世界で最も多発したランサムウェアの亜種の1つでした。私たちは、発見した内容をすぐに公表し、世間に警告を発しました。 |
And just two days after that, a local police department in the Southwest told FBI Boston that they’d seen some of those indicators of compromise we published—newly identified malicious IP addresses—connecting to the department’s network. | そのわずか2日後、アメリカ南西部のある警察署からFBIボストン支部に、私たちが公表した不正アクセスの兆候、つまり新たに特定された悪意のあるIPアドレスが同署のネットワークに接続されているのを確認したと連絡がありました。 |
The police department was able to use our Boston Division’s information to stop Avaddon from infecting their network. | この警察署はボストン支部の情報をもとに、Avaddonによるネットワークへの感染を食い止めることができました。 |
So, that’s our folks here helping out a city on the other side of the country and a lot of other potential victims nationwide, but also a reminder of the kind of damage ransomware groups are able and willing to inflict. | このように、ボストン警察では、国の反対側にある都市や、全国に潜在する多くの被害者を支援するとともに、ランサムウェアグループがどのような被害を与えることができるのか、また、どのような被害を与える意思があるのか、あらためて認識させることができました。 |
Lessons Learned from Disrupting Hackers | ハッカーの妨害から学んだ教訓 |
Hopefully, as you listen, you’ve been gleaning a bit about our focus. We aim to stop attacks, and degrade actors, as early as we can. | 話を聞いているうちに、私たちが重視していることが少しはわかっていただけたかと思います。私たちは、できる限り早い段階で攻撃を阻止し、攻撃者の能力を低下させることを目指しています。 |
It’s worth taking a few minutes to think about what we’ve learned from the operations of the past couple of years, as more and more of society has moved online, and as cyberattacks and intrusions have accelerated. | 社会のオンライン化が進み、サイバー攻撃や侵入が加速する中、ここ数年の活動から私たちが学んだことについて、少し考えてみる価値があると思います。 |
For one, we’ve learned that in cyber, as with other parts of our work countering criminal organizations, we can impose costs on cybercriminals by focusing on three things: the people, their infrastructure, and their money. We make the most durable impact when we disrupt all three together and when we set aside who gets credit and just equip the best athlete with the information they need to take action. | ひとつは、犯罪組織に対抗する他の活動と同様に、サイバーでも3つの要素(人、インフラ、そして資金)に注目することで、サイバー犯罪者にコストを課すことができることを学びました。この3つを同時に破壊することで、最も持続的な影響を与えることができるのです。 |
First: To go after the people, we work with like-minded countries to identify who’s responsible for the most damaging ransomware schemes and take them out of the game. That may mean arresting and extraditing them to the U.S. to face justice. Or it may mean prosecution by a foreign partner. | 第1に、「人」です。私たちは、志を同じくする国々と協力し、最も有害なランサムウェアの仕掛け人を特定し、そのような人物をゲームから排除します。これは、犯人を逮捕し、米国に送還して裁判にかけることを意味する場合もあります。あるいは、海外のパートナーによる起訴を意味する場合もあります。 |
Crucially, we cast a broad net, going after everyone from the ransomware administrators building the malware, to affiliates deploying it, to the hosting providers and money launderers making the criminal enterprise possible. | マルウェアを作成するランサムウェアの管理者から、それを配備する関連会社、犯罪行為を可能にするホスティングプロバイダーやマネーロンダリングに至るまで、すべての人を対象に、幅広い網を張っていることが重要なのです。 |
Second: Simultaneously, taking down cybercriminals’ technical infrastructure disrupts their operations. | 第二に、サイバー犯罪者の技術的なインフラを破壊することで、彼らの活動を妨害することができます。 |
For instance, last year, the FBI led an international operation that seized control of a botnet called Emotet, consisting of tens of thousands of infected computers, which had been used in a range of cybercrime schemes including ransomware. | 例えば、昨年、FBIは、数万台の感染したコンピュータからなるEmotetと呼ばれるボットネットの制御を奪取する国際作戦を主導しました。このボットネットは、ランサムウェアを含むさまざまなサイバー犯罪に利用されてきました。 |
And that Russian botnet we just disrupted in March is another great example of how we can take infrastructure offline before it causes damage. | また、3月に破壊したロシアのボットネットも、被害が発生する前にインフラをオフラインにすることができる素晴らしい例です。 |
Third: By going after their money, when we seize virtual wallets and return stolen funds, we hit them where it hurts, taking resources away from the bad guys, helping to prevent future criminal operations. | 第三に、仮想ウォレットを押収し、盗まれた資金を返還することで、悪党から資金を奪い、将来の犯罪行為を防止することができます。 |
And we’ve had even bigger successes in disrupting operations by shutting down illicit currency exchanges. | また、不正な通貨取引所を閉鎖することで、犯罪を阻止することに成功しています。 |
Bottom line: We believe in using every tool we’ve got to impose risk and consequences and to remove bad guys from cyberspace.That includes leveraging every partnership we have. | 要するに、私たちは 私たちは、リスクと結果をもたらし、サイバー空間から悪者を排除するために、あらゆる手段を用いることが重要だと考えています。 |
FBI’s Role and the Virtuous Cycle | FBI の役割と好循環 |
So how do we make all that happen. How do we make sure the best athlete has the proverbial ball at the right time and that we’re all making each other stronger? | では、これらを実現するにはどうすればよいのでしょう。最高のアスリートが適切なタイミングでボールを持ち、全員がお互いを強化し合うようにするには、どうすればよいのでしょうか。 |
There's a symmetry to the way we identify threats and the way we deal with them. | 脅威を特定する方法と、脅威に対処する方法には、対称性があります。 |
At the FBI, as both a law enforcement and intelligence service, we're pulling in information about hostile cyber activity from a wide range of sources, from on one end of the spectrum, providers, incident response firms, victims, and others in the private sector, and from our partnerships with CISA, Treasury, and other SRMAs. | FBI は法執行機関であると同時に諜報機関として、プロバイダー、インシデント対応企業、被害者、その他民間セクター、CISA、財務省、その他の SRMA との連携など、さまざまなソースから敵対的サイバー活動に関する情報を入手しています。 |
From our FISA collection, human sources, our fellow USIC agencies' signals and human collection, and from intelligence and law enforcement partners around the world, many of whom have overseas FBI cyber agents working alongside them daily. | また、FISAの情報収集、人的情報源、USIC加盟機関の信号および人的情報収集、世界中の情報機関や法執行機関のパートナーから、その多くが海外のFBIサイバー捜査官と一緒に日々活動しています。 |
Then, we analyze what the adversaries are trying to do, and how. We take, for example, information shared by one victim we know they hit and work back to find others either already being hit or about to be. | そして、敵が何をどのように行おうとしているのかを分析します。例えば、敵が攻撃したことがわかっているある被害者の情報をもとに、すでに攻撃されている被害者やこれから攻撃されそうな被害者を探し出します。 |
We dissect their malware to see what it's capable of and compare what we see in the field to what we know about their strategic intent. | また、マルウェアを解析してその能力を確認し、現場で目にしたものを敵の戦略的意図と照らし合わせます。 |
Then—the other side of that symmetry I mentioned—we quickly push the information we've developed to wherever it can do the most good, whether that means employing our tools or arming partners to use theirs, or both. Often that means racing information to victims or potential victims. | そして、先ほど述べた対称性の裏返しとして、私たちは開発した情報を、私たちのツールを使うか、パートナーのツールを使うか、あるいはその両方か、最も効果的な場所に迅速に送り込みます。それは多くの場合、被害者や潜在的な被害者に情報を届けることを意味します。 |
We've developed the ability to get a technically trained agent out to just about any company in America in an hour, and we use it a lot. | 私たちは、技術的な訓練を受けたエージェントを1時間以内にアメリカのあらゆる企業に派遣する能力を開発し、それを大いに活用しています。 |
Almost every week, we’re rushing cyber agents out to help companies figure out what they’ve got on their systems, how to disrupt it, how to interrupt it, how to mitigate, and how to prevent this from becoming something much worse. | ほぼ毎週、私たちはサイバーエージェントを派遣し、企業が自社のシステム上で何が起きているのか、それをどのように妨害し、どのように軽減し、より深刻な事態になるのを防ぐのかを把握する手助けをしています。 |
Other times, we work jointly with CISA, and often NSA, to disseminate the information even more broadly, if more companies and public entities can make use of it. | また、CISAやNSAと共同で、より多くの企業や公共団体が情報を活用できるように、より広く情報を発信することもあります。 |
For example, in the last couple of months you've seen us publish indicators of compromise for Russian cyber operations targeting U.S. critical infrastructure, helping companies prepare defenses and enabling threat hunting. | 例えば、ここ数カ月の間に、米国の重要インフラを標的としたロシアのサイバー作戦に関する侵害指標を発表し、企業が防御策を準備したり、脅威の追跡を可能にしたりするのに役立ちました。 |
And not long ago, you saw us and NSA push out details on malware the GRU was using to help companies defend against it. | また、少し前には、私たちと NSA が GRU が使用しているマルウェアの詳細を発表し、企業の防御に役立てました。 |
But we're also pushing what we learn to government partners in order to enable joint, sequenced operations that disrupt the harm at its source, at the same time we’re helping companies mitigate on their own networks. | しかし、私たちが学んだことを政府のパートナーに伝えることで、害の発生源を断つための統合的で順序だった作戦を可能にすると同時に、企業が自社のネットワークで被害を軽減できるよう支援しています。 |
We push targeting information about hostile infrastructure abroad either to foreign law enforcement, to seize or shut down; or to government partners here with a mandate to conduct offensive operations overseas; or to Treasury or Commerce, for sanctions. | また、海外の敵対的インフラに関する情報を、海外の法執行機関や、海外で攻撃的な活動を行う権限を持つ政府のパートナー、あるいは制裁のために財務省や商務省に提供することもあります。 |
And so on. | といった具合です。 |
But it’s important to keep in mind that we aren’t playing a one-move game. What we need to do is kick off a virtuous cycle that feeds on itself. | しかし、私たちは一挙手一投足で勝負しているわけではないことを心に留めておくことが重要です。私たちがすべきことは、好循環を生み出すことです。 |
We use the information one company might give us to develop information about who the adversary is, what they're doing, where, why, and how, taking pains to protect that company’s identity just as we do our other sources. | ある企業から得た情報をもとに、敵が誰で、どこで、なぜ、どのような活動をしているのかという情報を、他の情報源と同じようにその企業のアイデンティティを保護しながら構築するのです。 |
Then, when we pass what we develop to partners here and abroad—our fellow U.S. and foreign intel services, foreign law enforcement, CISA and sector risk management agencies, providers like Microsoft. | そして、開発した情報を国内外のパートナー(米国内外の情報機関、外国の法執行機関、CISAやセクターリスク管理機関、マイクロソフトのようなプロバイダー)に渡します。 |
Crucially, those partners can then in turn leverage what we've given to provide us with more information. | そして、これらのパートナーは、私たちが提供した情報を活用して、より多くの情報を提供してくれるのです。 |
Enhancing our Global Investigations | グローバル調査の強化 |
Helping us discover more malicious infrastructure we can target ourselves, or alert private sector partners to more opportunities to arrest or otherwise disrupt the adversaries, which leads us to more useful information to pass back to that first company, to better remediate and protect itself, maybe find more technical info it can share back to us and to our partners, to take further steps. And so on. | また、民間セクターのパートナーに、敵対者を逮捕したり妨害したりする機会を提供することで、最初の企業に有益な情報を提供し、より適切な修復と保護を行い、さらに技術情報を見つけて当社とパートナーに提供し、次のステップに進むことができます。そして、そのような情報をもとに、さらに対策を講じることができるのです。 |
It's why we're deployed all over this country and in nearly 80 countries around the world. | このような理由から、私たちはアメリカ国内はもとより、世界80カ国近くに配備されています。 |
What these partnerships let us do is hit our adversaries at every point—from the victims' networks, back all the way to the hackers' own computers. | このようなパートナーシップにより、被害者のネットワークからハッカー自身のコンピュータに至るまで、あらゆるポイントで敵に打撃を与えることができるのです。 |
Of course, for this virtuous cycle of information to work, we rely on companies to work with us the way WatchGuard and Boston Children’s Hospital did. | もちろん、この情報の好循環が機能するためには、WatchGuard や Boston Children's Hospital のように、私たちと協力してくれる企業に依存しています。 |
So, for companies that conduct any work on the internet, I would encourage you to have an incident response plan and to include contacting your local FBI field office as part of that plan. It’s immensely helpful for any business to have an existing relationship with their local office before an attack occurs. | そこで、インターネット上で何らかの業務を行っている企業には、インシデント対応計画を立て、その計画の一環として、地元のFBI支局に連絡することをお勧めしたいのです。攻撃される前に、地元の支局との関係を築いておくことは、どのような企業にとっても非常に有益なことです。 |
In fact, that’s one of the reasons we were able to help Boston Children’s Hospital so quickly. | 実際、私たちがボストン小児病院を迅速に支援できたのは、このような理由からです。 |
The FBI Boston Field Office had worked with Children’s on a series of attacks in 2014—those stemming from a misguided online protest. We worked closely with Children’s all the way through our investigation, which led to a conviction and sentencing of the hacker in 2019. | FBIボストン支局は、2014年にネット上の誤った抗議活動から発生した一連の攻撃について、小児科病院と協力したことがあります。私たちは、調査期間中ずっと小児科病院と緊密に連携し、その結果、2019年にハッカーに有罪判決が下されることになりました。 |
So, Children’s and our Boston office already knew each other well before the attack from Iran, and that made a difference. | つまり、チルドレンズとボストンオフィスは、イランからの攻撃の前にすでにお互いをよく知っており、それが違いを生んだのです。 |
So, I’d encourage everyone to give us a call and talk with your local FBI cyber team. | ですから、皆さんもぜひ、私たちに電話をかけて、お近くのFBIのサイバーチームに相談してみてください。 |
But whether you take that proactive step or not, if you suspect a cyber intrusion, please report the compromise by contacting your local field office immediately—the more quickly we get involved, the more we can do to help. | しかし、そのような積極的な行動を取るかどうかにかかわらず、サイバー侵入の疑いがある場合は、直ちに最寄りの支部に連絡して、侵害を報告してください。 |
Conclusion | まとめ |
Thank you all for being here and for inviting me to speak. | この度はお集まりいただき、ありがとうございました。 |
Our goal at the FBI is to make sure Americans and our partners and families overseas can use cyberspace safely and securely. To do that, we rely on help from everyone in this room—whether you’re a government partner, a service provider, or an online content writer. And I want you to know you can rely on us to help you. | FBI の目標は、米国人および海外のパートナーや家族が安全かつセキュアにサイバースペースを利用できるようにすることです。そのためには、政府のパートナー、サービス・プロバイダー、オンライン・コンテンツ・ライターなど、ここにお集まりの皆様の協力が不可欠です。そして、私たちはあなたを助けるために信頼することができることを知ってほしいのです。 |
Thank you for your trust and for your ideas on how to do this better. | 皆様の信頼と、より良い方法についてのアイデアに感謝します。 |
I’m looking forward to helping the Bureau work with each of you. | 私は、FBIが皆さんと協力していけることを楽しみにしています。 |
●まるちゃんの情報セキュリティ気まぐれ日記
・2022.05.13 CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー
・2022.05.04 CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)
・2022.04.22 米国 CISAがオーストラリアACSC、カナダCCCS、ニュージーランドNZ NCSC、英国NCSC-UKと協力して重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威についての警告を公表していますね。。。
・2022.04.16 FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した
・2022.03.23 米国 FBI 2021年インターネット犯罪レポート
・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...
・2022.02.02 米国 FBI長官が中国政府の脅威を語る...
・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言
・2021.07.02 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。
・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...
・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収
・2021.05.16 U.S. FBI & CISA 国内テロリズムに関する戦略的情報評価とデータ
・2021.05.08 5月6日は「世界パスワードの日」でした。。。FBI「強力なパスフレーズとアカウント保護」
・2021.04.25 U.S. FBI サイバー犯罪者が偽の求人情報を利用して応募者の個人情報を狙っていると警告
・2021.04.11 FBI インターネット犯罪レポート2020を発表
・2021.03.04 「サイバー脅威に打ち勝つためのユニークなアライアンスの開発について」 ボストン大学のサイバーセキュリティに関する会議における Paul Abbate FBI副長官のスピーチ
・2021.02.05 米国 National Cyber Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。
・2020.11.01 米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。
・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。
・2020.08.20 FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加
・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。
・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。
・2020.03.25 Oregon FBI Tech Tuesday: Building a Digital Defense When You Are On-the-Go
・2020.02.12 米司法省(DOJ)が中国軍人4人をEquifax不正侵入で提訴したようですね
Comments