CISA アラート（AA22-216A） & ACSC 2021年のトップマルウェア株

こんにちは、丸山満彦

米国のCISAと、オーストラリアのACSCが、2021年のマルウェアトップ10を公表していますね。。。

トップ10は

1. Agent Tesla
2. AZORult
3. Formbook
4. Ursnif
5. LokiBot
6. MOUSEISLAND
7. NanoCore
8. Qakbot
9. Remcos
10. TrickBot and GootLoader

ということのようですね。。。

● CISA

・2022.08.04 Alert (AA22-216A) 2021 Top Malware Strains

・[PDF] 

Alert (AA22-216A) 2021 Top Malware Strains	アラート（AA22-216A） 2021年のトップマルウェア株
Summary	まとめ
This joint Cybersecurity Advisory (CSA) was coauthored by the Cybersecurity and Infrastructure Security Agency (CISA) and the Australian Cyber Security Centre (ACSC). This advisory provides details on the top malware strains observed in 2021. Malware, short for “malicious software,” can compromise a system by performing an unauthorized function or process. Malicious cyber actors often use malware to covertly compromise and then gain access to a computer or mobile device. Some examples of malware include viruses, worms, Trojans, ransomware, spyware, and rootkits.[1]	この共同サイバーセキュリティ勧告（CSA）は、サイバーセキュリティ・重要インフラ庁（CISA）とオーストラリア・サイバーセキュリティ・センター（ACSC）が共同で作成したものである。本アドバイザリーでは、2021年に観測された上位のマルウェアの詳細について説明する。マルウェアは「悪意のあるソフトウェア」の略称で、不正な機能やプロセスを実行することでシステムを危険にさらすことができる。悪意のあるサイバーアクターは、しばしばマルウェアを使用して、コンピュータやモバイルデバイスを密かに侵害し、アクセス権を取得する。マルウェアの例としては、ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、ルートキットなどがある[1]。
In 2021, the top malware strains included remote access Trojans (RATs), banking Trojans, information stealers, and ransomware. Most of the top malware strains have been in use for more than five years with their respective code bases evolving into multiple variations. The most prolific malware users are cyber criminals, who use malware to deliver ransomware or facilitate theft of personal and financial information.	2021年、マルウェアの上位には、リモートアクセス型トロイの木馬（RAT）、バンキング型トロイの木馬、情報窃取型、ランサムウェアが含まれている。上位のマルウェア系統のほとんどは、5年以上にわたって使用されており、それぞれのコードベースは複数のバリエーションに進化している。最も多くマルウェアを使用しているのはサイバー犯罪者で、マルウェアを使用してランサムウェアを配信したり、個人情報や財務情報の窃取を促進している。
CISA and ACSC encourage organizations to apply the recommendations in the Mitigations sections of this joint CSA. These mitigations include applying timely patches to systems, implementing user training, securing Remote Desktop Protocol (RDP), patching all systems especially for known exploited vulnerabilities, making offline backups of data, and enforcing multifactor authentication (MFA).	CISAとACSCは、組織がこのジョイントCSAの「緩和策」のセクションにある推奨事項を適用することを推奨する。これらの緩和策には、システムへのタイムリーなパッチの適用、ユーザートレーニングの実施、リモート・デスクトップ・プロトコル（RDP）の保護、特に既知の脆弱性を悪用したすべてのシステムへのパッチ適用、データのオフラインバックアップ、多要素認証（MFA）の強化が含まれる。
Immediate Actions You Can Take Now to Protect Against Malware:	マルウェアから身を守るために、今すぐできること。
• Patch all systems and prioritize patching known exploited vulnerabilities.	・すべてのシステムにパッチを適用し,悪用される既知の脆弱性には優先的にパッチを適用する。
• Enforce multifactor authentication (MFA).	・多要素認証（MFA）を導入する。
• Secure Remote Desktop Protocol (RDP) and other risky services.	・リモート・デスクトップ・プロトコル（RDP）およびその他の危険なサービスを保護する。
• Make offline backups of your data.	・データのオフライン・バックアップを行う。
• Provide end-user awareness and training about social engineering and phishing.	・ソーシャル・エンジニアリングやフィッシングに関するエンドユーザーの意識向上とトレーニングを実施する。
Technical Details	技術的な詳細
Key Findings	主な発見事項
The top malware strains of 2021 are: Agent Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot and GootLoader.	2021年のマルウェア上位株は以下の通り。Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBotおよびGootLoaderである。
・Malicious cyber actors have used Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, and TrickBot for at least five years.	・悪意のあるサイバー行為者は、少なくとも5年間、Agent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos、TrickBotを使用している。
・Malicious cyber actors have used Qakbot and Ursnif for more than a decade.	・悪意のあるサイバーアクターは、10年以上にわたってQakbotとUrsnifを使用している。
Updates made by malware developers, and reuse of code from these malware strains, contribute to the malware’s longevity and evolution into multiple variations. Malicious actors’ use of known malware strains offers organizations opportunities to better prepare, identify, and mitigate attacks from these known malware strains.	マルウェアの開発者によるアップデートや、これらのマルウェアのコードの再利用が、マルウェアの長寿命化と複数のバリエーションへの進化に寄与している。悪意のある行為者が既知のマルウェア株を使用することは、組織がこれらの既知のマルウェア株からの攻撃に備え、識別し、軽減する機会を提供する。
The most prolific malware users of the top malware strains are cyber criminals, who use malware to deliver ransomware or facilitate theft of personal and financial information.	上位のマルウェア株を最も多く使用しているのは、サイバー犯罪者で、マルウェアを使用してランサムウェアを配信したり、個人情報や財務情報の窃取を容易にしたりしている。
・Qakbot and TrickBot are used to form botnets and are developed and operated by Eurasian cyber criminals known for using or brokering botnet-enabled access to facilitate highly lucrative ransomware attacks. Eurasian cyber criminals enjoy permissive operating environments in Russia and other former Soviet republics.	・QakbotとTrickBotは、ボットネットを形成するために使用され、ボットネットを使用したアクセスを仲介し、非常に有利なランサムウェア攻撃を行うことで知られるユーラシアのサイバー犯罪者によって開発・運用されている。ユーラシア大陸のサイバー犯罪者は、ロシアやその他の旧ソビエト共和国において、寛容な活動環境を享受している。
・According to U.S. government reporting, TrickBot malware often enables initial access for Conti ransomware, which was used in nearly 450 global ransomware attacks in the first half of 2021. As of 2020, malicious cyber actors have purchased access to systems compromised by TrickBot malware on multiple occasions to conduct cybercrime operations.	・米国政府の報告によると、TrickBotマルウェアは、しばしばContiランサムウェアの初期アクセスを可能にし、2021年上半期に約450件のグローバルランサムウェア攻撃で使用された。2020年現在、悪意のあるサイバーアクターは、TrickBotマルウェアによって侵害されたシステムへのアクセスを複数回購入し、サイバー犯罪のオペレーションを実施している。
・In 2021, cyber criminals conducted mass phishing campaigns with Formbook, Agent Tesla, and Remcos malware that incorporated COVID-19 pandemic themes to steal personal data and credentials from businesses and individuals.	・2021年、サイバー犯罪者は、企業や個人から個人データや認証情報を盗むために、COVID-19パンデミックをテーマに取り入れたFormbook、Agent Tesla、Remcosマルウェアによる大規模なフィッシングキャンペーンを実施した。
In the criminal malware industry, including malware as a service (MaaS), developers create malware that malware distributors often broker to malware end-users.[2] Developers of these top 2021 malware strains continue to support, improve, and distribute their malware over several years. Malware developers benefit from lucrative cyber operations with low risk of negative consequences. Many malware developers often operate from locations with few legal prohibitions against malware development and deployment. Some developers even market their malware products as legitimate cyber security tools. For example, the developers of Remcos and Agent Tesla have marketed the software as legitimate tools for remote management and penetration testing. Malicious cyber actors can purchase Remcos and Agent Tesla online for low cost and have been observed using both tools for malicious purposes.	マルウェア・アズ・ア・サービス（MaaS）を含む犯罪用マルウェア業界では、開発者が作成したマルウェアを、マルウェア配布業者がマルウェアのエンドユーザに仲介するケースが多く見られる[2]。 これらの2021年トップレベルのマルウェア株の開発者は、数年にわたってマルウェアのサポート、改善、配布を続けている。マルウェア開発者は、悪影響を及ぼすリスクの低い、儲かるサイバーオペレーションから利益を得ている。マルウェア開発者の多くは、マルウェアの開発や配備に対する法的な禁止事項がほとんどない場所で活動していることが多い。また、開発者の中には、自社のマルウェア製品を正当なサイバーセキュリティツールとして販売する者もいる。例えば、RemcosやAgent Teslaの開発者は、これらのソフトウェアを遠隔管理や侵入テストのための合法的なツールとして販売している。悪意のあるサイバーアクターは、RemcosとAgent Teslaをオンラインで安価に購入することができ、両ツールを悪意のある目的で使用していることが確認されている。
Top Malware	トップマルウェア
Agent Tesla	エージェント テスラ
Overview: Agent Tesla is capable of stealing data from mail clients, web browsers, and File Transfer Protocol (FTP) servers. This malware can also capture screenshots, videos, and Windows clipboard data. Agent Tesla is available online for purchase under the guise of being a legitimate tool for managing your personal computer. Its developers continue to add new functionality, including obfuscation capabilities and targeting additional applications for credential stealing.[3][4]	概要：Agent Teslaは、メールクライアント、ウェブブラウザ、およびファイル転送プロトコル（FTP）サーバからデータを盗み出すことができる。また、このマルウェアは、スクリーンショット、ビデオ、およびWindowsのクリップボードデータをキャプチャすることができる。Agent Tesla は、個人的なコンピュータを管理するための正当なツールであるかのように装って、オンラインで購入することができる。その開発者は、難読化機能を含む新しい機能を追加し続け、資格情報窃盗のための追加のアプリケーションをターゲットにしている[3][4]。
Active Since: 2014	活動開始時期：2014年
Malware Type: RAT	マルウェアの種類：RAT
Delivery Method: Often delivered as a malicious attachment in phishing emails.	配信方法：多くの場合、フィッシングメールの悪意のある添付ファイルとして配信される。
Resources: See the MITRE ATT&CK page on Agent Tesla.	リソース：Agent Tesla に関する MITRE ATT&CK のページを参照。
AZORult	AZORult
Overview: AZORult is used to steal information from compromised systems. It has been sold on underground hacker forums for stealing browser data, user credentials, and cryptocurrency information. AZORult’s developers are constantly updating its capabilities.[5][6]	概要：AZORultは、感染したシステムから情報を盗むために使用される。ブラウザデータ、ユーザー認証情報、暗号通貨情報を盗むために、アンダーグラウンドハッカーフォーラムで販売されている。AZORultの開発者は、その機能を常に更新している[5][6]。
Active Since: 2016	活動開始時期：2016年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Phishing, infected websites, exploit kits (automated toolkits exploiting known software vulnerabilities), or via dropper malware that downloads and installs AZORult.	配信方法：フィッシング、感染したWebサイト、エクスプロイトキット（既知のソフトウェアの脆弱性を悪用する自動ツールキット）、またはAZORultをダウンロードおよびインストールするドロッパーマルウェアを経由する。
Resources: See the MITRE ATT&CK page on AZORult and the Department of Health and Human Services (HHS)’s AZORult brief.	リソース：AZORult に関する MITRE ATT&CK のページ、および保健社会福祉省（HHS）の AZORult 概要を参照。
FormBook	FormBook
Overview: FormBook is an information stealer advertised in hacking forums. ForrmBook is capable of key logging and capturing browser or email client passwords, but its developers continue to update the malware to exploit the latest Common Vulnerabilities and Exposures (CVS)[7], such as CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability.[8][9]	概要：FormBookは、ハッキング・フォーラムで宣伝されている情報窃盗犯である。ForrmBookは、キーロギングとブラウザまたはメールクライアントのパスワードのキャプチャが可能であるが、その開発者は、CVE-2021-40444 Microsoft MSHTMLリモートコード実行脆弱性などの最新のCommon Vulnerabilities and Exposures (CVS)[7] を利用するためにマルウェアの更新を続けている[8][9]。
Active Since: At least 2016	活動開始時期：少なくとも2016年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered as an attachment in phishing emails.	配信方法：通常、フィッシングメールの添付ファイルとして配信される。
Resources: See Department of Health and Human Services (HHS)’s Sector Note on Formbook Malware Phishing Campaigns.	リソース：米国保健社会福祉省（HHS）のSector Note on Formbook Malware Phishing Campaignsを参照。
Ursnif	Ursnif
Overview: Ursnif is a banking Trojan that steals financial information. Also known as Gozi, Ursnif has evolved over the years to include a persistence mechanism, methods to avoid sandboxes and virtual machines, and search capability for disk encryption software to attempt key extraction for unencrypting files.[10][11][12] Based on information from trusted third parties, Ursnif infrastructure is still active as of July 2022.	概要：Ursnifは、金融情報を盗むバンキング型トロイの木馬である。Goziとしても知られるUrsnifは、長年にわたり進化を続け、永続化メカニズム、サンドボックスや仮想マシンを回避する手法、ディスク暗号化ソフトウェアの検索機能を備え、暗号化されていないファイルの鍵抽出を試みます[10][11][12] 信頼できる第三者からの情報に基づいて、Ursnifインフラは2022年7月の時点でまだアクティブな状態であるとされている。
Active Since: 2007	活動開始時期：2007年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered as a malicious attachment to phishing emails.	配信方法：通常、フィッシングメールに悪意のある添付ファイルとして配信される。
Resources: See the MITRE ATT&CK page on Ursnif.	リソース：Ursnif に関する MITRE ATT&CK のページを参照。
LokiBot	LokiBot
Overview: LokiBot is a Trojan malware for stealing sensitive information, including user credentials, cryptocurrency wallets, and other credentials. A 2020 LokiBot variant was disguised as a launcher for the Fortnite multiplayer video game.[13][14]	概要：LokiBot は、ユーザー認証情報、暗号通貨ウォレットなどの機密情報を盗み出すためのトロイの木馬型マルウェアである。2020年のLokiBotの亜種は、マルチプレイヤービデオゲーム「Fortnite」のランチャーとして偽装されていました[13][14]。
Active Since: 2015	活動開始時期：2015年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered as a malicious email attachment.	配信方法：通常、悪意のある電子メールの添付ファイルとして配信される。
Resources: See CISA’s LokiBot Malware alert and the MITRE ATT&CK page on LokiBot.	リソース：CISA の LokiBot マルウェア警告および LokiBot に関する MITRE ATT&CK のページを参照。
MOUSEISLAND	MOUSEISLAND
Overview: MOUSEISLAND is usually found within the embedded macros of a Microsoft Word document and can download other payloads. MOUSEISLAND may be the initial phase of a ransomware attack.[15]	概要：MOUSEISLAND は通常、Microsoft Word ドキュメントの埋め込みマクロ内に存在し、他のペイロードをダウンロードすることができる。MOUSEISLANDは、ランサムウェア攻撃の初期段階である可能性がある[15]。
Active Since: At least 2019	活動開始時期：少なくとも2019年
Malware Type: Macro downloader	マルウェアの種類：マクロダウンローダ
Delivery Method: Usually distributed as an email attachment.	配信方法：通常、電子メールの添付ファイルとして配布される。
Resources: See Mandiant’s blog discussing MOUSEISLAND.	リソース：MOUSEISLAND について説明した Mandiant のブログを参照。
NanoCore	NanoCore
Overview: NanoCore is used for stealing victims’ information, including passwords and emails. NanoCore could also allow malicious users to activate computers’ webcams to spy on victims. Malware developers continue to develop additional capabilities as plug-ins available for purchase or as a malware kit or shared amongst malicious cyber actors.[16][17][18]	概要：NanoCoreは、パスワードや電子メールなど、被害者の情報を盗むために使用される。また、悪意のあるユーザがコンピュータのウェブカメラを起動し、被害者を監視することも可能である。マルウェア開発者は、購入可能なプラグインとして、またはマルウェアキットとして、あるいは悪意のあるサイバーアクター間で共有される機能として、さらなる開発を続けている[16][17][18]。
Active Since: 2013	活動開始：2013年
Malware Type: RAT	マルウェアの種類：RAT
Delivery Method: Has been delivered in an email as an ISO disk image within malicious ZIP files; also found in malicious PDF documents hosted on cloud storage services.	配信方法：クラウドストレージサービスにホストされている悪意のあるPDF文書でも確認されている。
Resources: See the MITRE ATT&CK page on NanoCore and the HHS Sector Note: Remote Access Trojan Nanocore Poses Risk to HPH Sector.	リソース：MITRE ATT&CK の NanoCore および HHS Sector Note: Remote Access Trojan Nanocore Poses Risk to HPH Sector のページを参照。
Qakbot	Qakbot
Overview: originally observed as a banking Trojan, Qakbot has evolved in its capabilities to include performing reconnaissance, moving laterally, gathering and exfiltrating data, and delivering payloads. Also known as QBot or Pinksliplot, Qakbot is modular in nature enabling malicious cyber actors to configure it to their needs. Qakbot can also be used to form botnets.[19][20]	概要：当初はバンキング型トロイの木馬として観測されたQakbotは、偵察の実行、横方向への移動、データの収集と流出、ペイロードの配信など、その機能を進化させている。Qakbotは、QBotまたはPinksliplotとしても知られており、悪意のあるサイバーアクターがニーズに合わせて設定できるよう、モジュール化されている。また、Qakbotはボットネットを形成するために使用されることもある[19][20]。
Active Since: 2007	活動開始：2007年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: May be delivered via email as malicious attachments, hyperlinks, or embedded images.	配信方法：悪意のある添付ファイル、ハイパーリンク、または埋め込み画像として電子メール経由で配信されることがある。
Resources: See the MITRE ATT&CK page on Qakbot and the Department of Health and Human Services (HHS) Qbot/Qakbot Malware brief.	リソース：Qakbot に関する MITRE ATT&CK のページおよび米国保健社会福祉省（HHS）の Qbot/Qakbot Malware brief を参照。
Remcos	Remcos
Overview: Remcos is marketed as a legitimate software tool for remote management and penetration testing. Remcos, short for Remote Control and Surveillance, was leveraged by malicious cyber actors conducting mass phishing campaigns during the COVID-19 pandemic to steal personal data and credentials. Remcos installs a backdoor onto a target system. Malicious cyber actors then use the Remcos backdoor to issue commands and gain administrator privileges while bypassing antivirus products, maintaining persistence, and running as legitimate processes by injecting itself into Windows processes.[21][22]	概要：Remcos は、リモート管理および侵入テストのための正規のソフトウェアツールとして販売されている。Remcos は Remote Control and Surveillance の略で、COVID-19 の流行時に悪意のあるサイバーアクターが個人データや認証情報を盗むために大量のフィッシングキャンペーンを行った際に利用された。Remcosは、標的のシステムにバックドアをインストールする。悪意のあるサイバーアクターは、Remcosバックドアを使用してコマンドを発行し、管理者権限を取得する一方で、アンチウイルス製品を回避し、持続性を維持し、Windowsプロセスに自身を注入することで正規のプロセスとして実行する[21][22]。
Active Since: 2016	活動開始時期：2016年
Malware Type: RAT	マルウェアの種類：RAT
Delivery Method: Usually delivered in phishing emails as a malicious attachment.	配信方法：通常、悪意のある添付ファイルとしてフィッシングメールで配信される。
Resources: See the MITRE ATT&CK page on Remcos.	リソース：Remcos に関する MITRE ATT&CK のページを参照。
TrickBot	TrickBot
Overview: TrickBot malware is often used to form botnets or enabling initial access for the Conti ransomware or Ryuk banking trojan. TrickBot is developed and operated by a sophisticated group of malicious cyber actors and has evolved into a highly modular, multi-stage malware. In 2020, cyber criminals used TrickBot to target the Healthcare and Public Health (HPH) Sector and then launch ransomware attacks, exfiltrate data, or disrupt healthcare services. Based on information from trusted third parties, TrickBot’s infrastructure is still active in July 2022 .[23][24][25][26]	概要：TrickBot マルウェアは、ボットネットの形成や、Conti ランサムウェアまたは Ryuk バンキング型トロイの木馬の初期アクセスを可能にするためによく使用される。TrickBotは、悪意のあるサイバーアクターの洗練されたグループによって開発および運用されており、高度にモジュール化された多段階のマルウェアに進化している。2020年、サイバー犯罪者はTrickBotを使用して、ヘルスケアおよびパブリックヘルス（HPH）セクターを標的とし、その後、ランサムウェア攻撃、データの流出、またはヘルスケアサービスの妨害を行っている。信頼できる第三者からの情報に基づいて、TrickBotのインフラストラクチャは2022年7月現在もアクティブである[23][24][25][26]。
Active Since: 2016	活動開始時期：2016年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered via email as a hyperlink.	配信方法：通常、ハイパーリンクとして電子メールで配信される。
Resources: See the MITRE ATT&CK page on Trickbot and the Joint CSA on TrickBot Malware.	リソース：Trickbot に関する MITRE ATT&CK のページおよび TrickBot マルウェアに関する Joint CSA を参照。
GootLoader	GootLoader
Overview: GootLoader is a malware loader historically associated with the GootKit malware. As its developers updated its capabilities, GootLoader has evolved from a loader downloading a malicious payload into a multi-payload malware platform. As a loader malware, GootLoader is usually the first-stage of a system compromise. By leveraging search engine poisoning, GootLoader’s developers may compromise or create websites that rank highly in search engine results, such as Google search results.[27]	概要：GootLoader は、歴史的に GootKit マルウェアに関連するマルウェア ローダーである。開発者がその機能を更新するにつれ、GootLoaderは、悪意のあるペイロードをダウンロードするローダーから、マルチペイロードマルウェアプラットフォームへと進化している。GootLoaderは、通常、ローダー型マルウェアとして、システム侵害の第一段階を担いる。検索エンジンのポイズニングを活用することで、GootLoaderの開発者は、Googleの検索結果など、検索エンジンの結果で上位にランクされるWebサイトを侵害したり、作成したりすることがある[27]。
Active Since: At least 2020	活動開始時期：少なくとも2020年
Malware Type: Loader	マルウェアの種類：ローダー
Delivery Method: Malicious files available for download on compromised websites that rank high as search engine results	配信方法：配信方法：検索エンジンの検索結果で上位にランクインする侵害されたWebサイト上でダウンロード可能な悪質なファイル
Resources: See New Jersey’s Cybersecurity & Communications Integration Cell (NJCCIC) page on GootLooader and BlackBerry’s Blog on GootLoader.	リソース：GootLooader に関する New Jersey's Cybersecurity & Comunications Integration Cell (NJCCIC) のページおよび GootLoader に関する BlackBerry 社のブログを参照。
Mitigations	軽減措置
Below are the steps that CISA and ACSC recommend organizations take to improve their cybersecurity posture based on known adversary tactics, techniques, and procedures (TTPs). CISA and ACSC urge critical infrastructure organizations to prepare for and mitigate potential cyber threats immediately by (1) updating software, (2) enforcing MFA, (3) securing and monitoring RDP and other potentially risky services, (4) making offline backups of your data, and (5) providing end-user awareness and training.	以下は、CISA と ACSC が、既知の敵の戦術、技術、手順 (TTP) に基づいて、サイバーセキュリティの姿勢を改善するために組織に推奨する手順である。CISA と ACSC は、重要インフラストラクチャ組織に対し、(1) ソフトウェアのアップデート、(2) MFA の実施、(3) RDP など潜在的にリスクの高いサービスの保護と監視、(4) データのオフラインバックアップ、(5) ユーザの認識とトレーニングなど、潜在的サイバー脅威に対する準備と軽減を早急に行うよう促している。
Update software, including operating systems, applications, and firmware, on IT network assets. Prioritize patching known exploited vulnerabilities and critical and high vulnerabilities that allow for remote code execution or denial-of-service on internet-facing equipment.	ITネットワーク資産のOS、アプリケーション、ファームウェアなどのソフトウェアを更新する。インターネットに接続された機器において、既知の悪用される脆弱性、リモートでのコード実行やサービス拒否を可能にする重要かつ高度な脆弱性に対して、優先的にパッチを適用する。
Consider using a centralized patch management system.	集中型パッチ管理システムの利用を検討する。
Consider signing up for CISA’s cyber hygiene services, including vulnerability scanning, to help reduce exposure to threats. CISA’s vulnerability scanning service evaluates external network presence by executing continuous scans of public, static IP addresses for accessible services and vulnerabilities.	脆弱性スキャンを含むCISAのサイバーハイジーンサービスへの加入を検討し、脅威への露出を減らす。CISAの脆弱性スキャンサービスは、公開されている静的IPアドレスに対して、アクセス可能なサービスや脆弱性のスキャンを継続的に実行することで、外部ネットワークの存在を評価する。
Enforce MFA to the greatest extent possible and require accounts with password logins, including service accounts, to have strong passwords. Do not allow passwords to be used across multiple accounts or stored on a system to which an adversary may have access. Additionally, ACSC has issued guidance on implementing multifactor authentication for hardening authentication systems.	可能な限りMFAを実施し、サービスアカウントなどパスワードログインが必要なアカウントには強力なパスワードを要求する。パスワードを複数のアカウントで使用したり、敵対者がアクセスできるシステムに保存したりしないようにする。さらに、ACSCは、認証システムを堅牢化するための多要素認証の実装に関するガイダンスを発行している。
If you use RDP and/or other potentially risky services, secure and monitor them closely. RDP exploitation is one of the top initial infection vectors for ransomware, and risky services, including RDP, can allow unauthorized access to your session using an on-path attacker.	RDPやその他の潜在的にリスクの高いサービスを使用している場合は、それらの安全性を確保し、厳重に監視する。RDPの悪用は、ランサムウェアの最初の感染経路の上位の一つであり、RDPを含むリスクの高いサービスは、オンパス攻撃者を使用してセッションに不正にアクセスすることを可能にする。
Limit access to resources over internal networks, especially by restricting RDP and using virtual desktop infrastructure. After assessing risks, if RDP is deemed operationally necessary, restrict the originating sources, and require MFA to mitigate credential theft and reuse. If RDP must be available externally, use a virtual private network (VPN) or other means to authenticate and secure the connection before allowing RDP to connect to internal devices. Monitor remote access/RDP logs, enforce account lockouts after a specified number of attempts to block brute force attempts, log RDP login attempts, and disable unused remote access/RDP ports.	特にRDPの制限や仮想デスクトップインフラの利用により、内部ネットワーク経由のリソースへのアクセスを制限する。リスクを評価した上で、RDP が業務上必要と判断される場合は、発信元を制限し、MFA を要求してクレデンシャルの盗難と再利用を軽減する。RDPを外部から利用する必要がある場合は、仮想プライベートネットワーク（VPN）などを利用して認証し、接続を安全にした上で、RDPによる内部デバイスへの接続を許可する。リモートアクセス/RDPのログを監視し、ブルートフォースの試行をブロックするために指定回数の試行後にアカウントのロックアウトを実施し、RDPログイン試行を記録し、未使用のリモートアクセス/RDPポートを無効化する。
Ensure devices are properly configured and that security features are enabled. Disable ports and protocols that are not being used for a business purpose (e.g., RDP Transmission Control Protocol Port 3389).	デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。ビジネスで使用されていないポートやプロトコルを無効にする（例：RDP Transmission Control Protocol Port 3389）。
Maintain offline (i.e., physically disconnected) backups of data. Backup procedures should be conducted on a frequent, regular basis (at a minimum every 90 days). Regularly test backup procedures and ensure that backups are isolated from network connections that could enable the spread of malware.	データのオフライン（物理的に切断された状態）バックアップを維持する。バックアップの手順は、頻繁に、定期的に（最低でも90日ごとに）実施すること。定期的にバックアップ手順をテストし、バックアップがマルウェアの拡散を可能にするネットワーク接続から分離されていることを確認する。
Ensure the backup keys are kept offline as well, to prevent them being encrypted in a ransomware incident.	バックアップキーがランサムウェアのインシデントで暗号化されるのを防ぐため、オフラインで保管されていることも確認する。
Ensure all backup data is encrypted, immutable (i.e., cannot be altered or deleted), and covers the entire organization’s data infrastructure with a particular focus on key data assets.	バックアップデータは暗号化され、変更・削除ができないようにし、主要なデータ資産に特に重点を置いて、組織のデータインフラ全体をカバーするようにする。
Provide end-user awareness and training to help prevent successful targeted social engineering and spearphishing campaigns. Phishing is one of the top infection vectors for ransomware.	エンドユーザーの意識向上とトレーニングにより、ソーシャル・エンジニアリングやスピアフィッシングの成功防止に努める。フィッシングは、ランサムウェアの最も重要な感染経路の一つである。
Ensure that employees are aware of potential cyber threats and delivery methods.	従業員が、潜在的なサイバー脅威とその伝達方法について認識するよう徹底する。
Ensure that employees are aware of what to do and whom to contact when they receive a suspected phishing email or suspect a cyber incident.	フィッシングの疑いのあるメールを受け取ったとき、またはサイバーインシデントが疑われるときに、従業員が何をすべきか、誰に連絡すべきかを認識するようにする。
As part of a longer-term effort, implement network segmentation to separate network segments based on role and functionality. Network segmentation can help prevent the spread of ransomware and threat actor lateral movement by controlling traffic flows between—and access to—various subnetworks. The ACSC has observed ransomware and data theft incidents in which Australian divisions of multinational companies were impacted by ransomware incidents affecting assets maintained and hosted by offshore divisions outside their control.	長期的な取り組みの一環として、役割や機能に応じてネットワークセグメントを分離するネットワークセグメンテーションを実施する。ネットワーク・セグメンテーションは、様々なサブネットワーク間のトラフィックフローやアクセスを制御することにより、ランサムウェアの拡散や脅威者の横移動を防止することができる。ACSC は、多国籍企業のオーストラリア部門が、自社の管理外のオフショア部門が管理・ホストする資産に影響を与えたランサムウェアおよびデータ盗難事件を観察している。
RESOURCES	リソース
For alerts on malicious and criminal cyber activity, see the FBI Internet Crime Complaint Center webpage.	悪質なサイバー犯罪に関するアラートについては、FBIインターネット犯罪相談センターのウェブページを参照。
For more information and resources on protecting against and responding to ransomware, refer to StopRansomware.gov, a centralized, U.S. Government webpage providing ransomware resources and alerts.	ランサムウェアからの保護と対応に関する詳細な情報とリソースについては、ランサムウェアのリソースとアラートを提供する米国政府の集中型ウェブページである StopRansomware.gov を参照。
The ACSC recommends organizations implement eight essential mitigation strategies from the ACSC’s Strategies to Mitigate Cyber Security Incidents as a cybersecurity baseline. These strategies, known as the “Essential Eight,” make it much harder for adversaries to compromise systems.	ACSC は、サイバーセキュリティの基本方針として、ACSC の「Strategies to Mitigate Cyber Security Incidents」にある 8 つの重要な緩和策を実施することを組織に推奨している。これらの戦略は「エッセンシャルエイト」として知られ、敵対者がシステムを侵害することをより困難にする。
Refer to the ACSC’s practical guides on how to protect yourself against ransomware attacks and what to do if you are held at ransom at cyber.gov.au .	ランサムウェア攻撃から身を守る方法と身代金を要求された場合の対処法については、ACSCの実践的なガイドcyber.gov.auを参照。

 

オーストラリアの発表

● Australian Cyber Security Centre: ACSC

・2022.08.05 2021 Top Malware Strains