« 欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと | Main | 中国 習近平総書記が中国のサイバーセキュリティ活動を指導 (2022.09.28) »

2022.10.09

米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

こんにちは、丸山満彦です。

政府機関にとっては、ランサムウェアの脅威は、お金の問題というよりも、システムを停止させられ、データを喪失することにあるように思います。そのためには、バックアップが有効ではあるのですが、膨大になったデータを全てをオフラインにバックアップすることの困難さ(量、バックアップメディアの紛失等)、システムをバックアップする際にシステムにランサムウェアが混入していないことの検証の問題もあり、なかなか難しい問題ですね。。。

さて、GAOは連邦政府におけるランサムウェア対応について報告書を公表していますね。。。ランサムウェアについてのサービスを州政府等に提供している、国土安全保障省、FBI、シークレットサービスについて監査を行ったものですね。。。ほとんどの政府機関は彼らの対応について満足していると回答しているものの、若干の推奨事項を挙げ、彼らもそれに同意していますね。。。

 

● U.S. Government Accountability Office; GAO

・2022.10.04 Ransomware: Federal Agencies Provide Useful Assistance but Can Improve Collaboration

 

Ransomware:Federal Agencies Provide Useful Assistance but Can Improve Collaboration ランサムウェア:連邦政府機関は有用な支援を提供するが、協力体制を改善することができる
GAO-22-104767 GAO-22-104767
Fast Facts 基本情報
Ransomware is a malicious software that encrypts files and leaves data and systems unusable. With ransomware attacks, hackers gain entry into a system, lock out users, and demand payment to regain access. ランサムウェアは、ファイルを暗号化し、データやシステムを使用不能にする悪質なソフトウェアである。ランサムウェアの攻撃では、ハッカーがシステムに侵入し、ユーザーをロックアウトして、アクセスを回復するために支払いを要求する。
Homeland Security, FBI, and Secret Service help state, local, and other governments prevent or respond to ransomware attacks on systems like emergency services. Most government entities said they're satisfied with the agencies' prevention and response efforts. But many cited inconsistent communication during attacks as a problem. We recommended that the federal agencies address cited issues and follow key practices for better collaboration. 国土安全保障省、FBI、シークレットサービスは、州、地方、その他の政府が、緊急サービスなどのシステムに対するランサムウェア攻撃を防止したり、対応したりするのを支援している。ほとんどの政府機関は、これらの機関の予防と対応に満足していると回答している。しかし、その多くは、攻撃時の一貫性のないコミュニケーションを問題点として挙げている。我々は、連邦政府機関に対し、指摘された問題に対処し、より良い協力関係を築くための重要な慣行に従うよう提言した。
Highlights  ハイライト
What GAO Found GAOの発見事項
Ransomware is a form of malicious software designed to encrypt files on a device and render data and systems unusable. Malicious actors then demand ransom payments in exchange for restoring access to the locked data and systems. A ransomware attack is not a single event but occurs in stages (see figure). ランサムウェアは、デバイス上のファイルを暗号化し、データやシステムを使用不能にするよう設計された悪意のあるソフトウェアの一形態である。そして、悪意のある行為者は、ロックされたデータやシステムへのアクセスを回復させるのと引き換えに、身代金の支払いを要求する。ランサムウェアの攻撃は1回で終わるのではなく、段階的に発生する(図参照)。
Figure: Four Stages of a Common Ransomware Attack 図: 一般的なランサムウェア攻撃の4つのステージ
Fig1_20221009063301
The Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA), FBI, and Secret Service provide assistance in preventing and responding to ransomware attacks on state, local, tribal, and territorial government organizations. For example: 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)、FBI、シークレットサービスは、州、地方、部族、および領土の政府組織に対するランサムウェア攻撃の防止と対応について支援を行っている。例えば、以下のようなものである。
Education and awareness. CISA, in collaboration with FBI, Secret Service, and other federal partners, developed the www.stopransomware.gov website to provide a central location for ransomware guidance, alerts, advisories, and reports from federal agencies and partners. 教育および意識向上: CISAは、FBI、シークレットサービス、その他の連邦政府パートナーと協力して、ランサムウェアのガイダンス、アラート、アドバイザリー、連邦政府機関やパートナーからのレポートの一元化を行うウェブサイト(www.stopransomware.gov)を開発した。
Information sharing and analysis. CISA, FBI, and Secret Service collect and analyze security and ransomware-related information—such as threat indicators, incident alerts, and vulnerability data—and share this information by issuing alerts and advisories. For example, CISA, through a cooperative agreement with the MultiState Information Sharing and Analysis Center, provides intrusion detection sensors to nonfederal entities that reportedly analyze 1 trillion network activity reports per month. 情報の共有と分析: CISA、FBI、シークレットサービスは、脅威指標、インシデントアラート、脆弱性データなど、セキュリティおよびランサムウェア関連の情報を収集、分析し、アラートや推奨事項を発表してこの情報を共有している。例えば、CISA は マルチステートISAC (MS-ISAC) との協力協定を通じて、連邦政府以外の団体に侵入検知センサーを提供しており、毎月 1 兆件のネットワーク活動レポートを分析していると言われている。
Cybersecurity review and assessment. CISA and the Multi-State Information Sharing and Analysis Center have provided review and assessment services upon request, such as vulnerability scanning, remote penetration testing, and risk assessments. サイバーセキュリティのレビューと評価: CISA と マルチステートISAC (MS-ISAC) は、脆弱性スキャン、リモート侵入テスト、リスク評価など、リクエストに応じてレビューと評価のサービスを提供している。
Incident response. When a ransomware attack occurs, CISA, FBI, and Secret Service can provide incident response assistance to nonfederal entities upon request. CISA and the Multi-State Information Sharing and Analysis Center provide technical assistance such as forensic analysis of the attack and recommended mitigations. Additionally, FBI and Secret Service primarily collect evidence to conduct criminal investigations and attribute attacks. According to the Multi-State Information Sharing and Analysis Center, state, local, tribal, and territorial governments experienced more than 2,800 ransomware incidents from January 2017 through March 2021. インシデント対応: ランサムウェア攻撃が発生した場合、CISA、FBI、シークレットサービスは、要請に応じて、連邦政府以外の団体にインシデントレスポンス支援を提供することができる。CISAとマルチステートISAC (MS-ISAC) は、攻撃のフォレンジック分析や推奨される緩和策などの技術的支援を提供する。さらに、FBI とシークレットサービスは、主に犯罪捜査と攻撃の属性決定のために証拠を収集する。マルチステートISAC (MS-ISAC) によると、州、地方、部族、準州の政府は、2017年1月から2021年3月までに2、800件以上のランサムウェアインシデントを経験している。
Other federal agencies, such as the Federal Emergency Management Agency, National Guard Bureau, National Institute of Standards and Technology, and the Department of the Treasury have a more indirect role. These agencies provide ransomware assistance to nonfederal entities through administering cybersecurity grants, issuing guidance to manage ransomware risk, or pursuing sanctions to disrupt ransomware activity. 連邦緊急事態管理庁、国家警備局、国立標準技術研究所、財務省など、その他の連邦機関は、より間接的な役割を担っている。これらの機関は、サイバーセキュリティ助成金の管理、ランサムウェアのリスクマネジメントのためのガイダンスの発行、またはランサムウェアの活動を妨害するための制裁措置の追求を通じて、非連邦団体にランサムウェア支援を提供している。
The officials from government organizations that GAO interviewed were generally satisfied with the prevention and response assistance provided by federal agencies. They had generally positive views on ransomware guidance, detailed threat alerts, quality no-cost technical assessments, and timely incident response assistance. However, respondents identified challenges related to awareness, outreach, and communication. For example, half of the respondents who worked with the FBI cited inconsistent communication as a challenge associated with the agency's ransomware assistance. GAOがインタビューした政府機関の関係者は、連邦政府機関が提供する予防と対応の支援に概ね満足していた。彼らは、ランサムウェアのガイダンス、詳細な脅威の警告、質の高い無償の技術評価、タイムリーなインシデント対応支援について、概ね肯定的な見解を持っていた。しかし、回答者は、啓発、アウトリーチ、コミュニケーションに関連する課題を特定している。例えば、FBIと連携している回答者の半数は、同庁のランサムウェア支援に関連する課題として、一貫性のないコミュニケーションを挙げている。
CISA, FBI, and Secret Service took steps to enhance interagency coordination through existing mechanisms—such as interagency detailees and field-level staff—and demonstrated coordination on a joint ransomware website, guidance, and alerts. However, the three agencies have not addressed aspects of six of seven key practices for interagency collaboration in their ransomware assistance to state, local, tribal, and territorial governments (see table). CISA、FBI、シークレットサービスは、省庁間の抑留者や現場レベルのスタッフなど、既存の仕組みを通じて省庁間の調整を強化する措置を取り、ランサムウェアの共同ウェブサイト、ガイダンス、アラートで調整を示した。しかし、3つの機関は、州、地方、部族、および領土の政府に対するランサムウェア支援において、省庁間の協力のための7つの重要な実践のうち6つの側面には取り組んでいない(表参照)。
Table: Extent to Which Cybersecurity and Infrastructure Security Agency, Federal Bureau of Investigation, and Secret Service Addressed Key Collaboration Practices in Their Ransomware Assistance 表: サイバーセキュリティおよびインフラセキュリティ庁、連邦捜査局、シークレットサービスがランサムウェア支援において主要な協力の実践に取り組んだ度合い
Key practice : Extent addressed 主要な実践: 対応した程度
Defining outcomes and monitoring accountability : Not addressed 成果の定義とアカウンタビリティの監視 : 非対応
Bridging organizational cultures : Partially addressed 組織文化の連携 : 部分的対応
Identifying and sustaining leadership : Generally addressed リーダーシップの確立と維持: 概ね実施済み
Clarifying roles and responsibilities : Partially addressed 役割と責任の明確化:部分的対応
Including relevant participants : Partially addressed 関係者の参加:部分的対応
Identifying and leveraging resources : Partially addressed リソースの特定と活用:部分的対応
Developing and updating written guidance and agreements : Partially addressed 文書による指針及び協定の作成と更新:部分的対応
Source: GAO analysis of agency documentation. | GAO-22-104767 出典:GAOによる機関資料の分析。| GAO-22-104767|
Specifically, the agencies generally addressed the practice of identifying leadership by designating agency leads for technical- and law enforcement-related ransomware response activities. However, the agencies could improve their efforts to address the other six practices. For instance, existing interagency collaboration on ransomware assistance to state, local, tribal, and territorial governments was informal and lacked detailed procedures. 特に、技術的および法執行関連のランサムウェア対応活動のための機関の主導権を指定することによって、機関は概してリーダーシップを特定する慣行に対処している。しかし、各省庁は他の6つの慣行に対する取り組みを改善することができる。例えば、州、地方、部族、および領土の政府に対するランサムウェア支援に関する既存の省庁間協力は非公式なもので、詳細な手順を欠いていた。
Recognizing the importance of formalizing interagency coordination on ransomware, the Consolidated Appropriations Act, 2022 required CISA to establish a Joint Ransomware Task Force, in partnership with other federal agencies. Among other responsibilities, the task force is intended to facilitate coordination and collaboration among federal entities and other relevant entities to improve federal actions against ransomware threats. Addressing key practices for interagency collaboration in concert with the new ransomware task force can help ensure effective delivery of ransomware assistance to state, local, tribal, and territorial governments. ランサムウェアに関する省庁間の調整を正式に行うことの重要性を認識し、2022年の連結歳出法では、CISAに対し、他の連邦機関と連携してランサムウェア合同タスクフォースを設立するよう求めている。このタスクフォースは、他の責務の中でも、ランサムウェアの脅威に対する連邦政府の行動を改善するために、連邦政府機関および他の関連する団体間の調整と協力を促進することを目的としている。新しいランサムウェア・タスクフォースと連携して、省庁間の協力のための重要な実践に取り組むことは、州、地方、部族、および領土の政府に対するランサムウェアの支援を効果的に提供するのに役立つと思われる。
Why GAO Did This Study GAOがこの調査を行った理由
The Department of Homeland Security has reported that ransomware is a serious and growing threat to government operations at the federal, state, and local levels. In recent years, there have been numerous reported ransomware attacks on hospitals, schools, emergency services, and other industries. 国土安全保障省は、ランサムウェアが連邦、州、地方レベルの政府業務に対する深刻かつ増大する脅威であると報告している。近年では、病院、学校、救急サービス、その他の業界に対するランサムウェアの攻撃が多数報告されている。
GAO was asked to review federal efforts to provide ransomware prevention and response assistance to state, local, tribal, and territorial government organizations. Specifically, this report addresses (1) how federal agencies assist these organizations in protecting their assets against ransomware attacks and in responding to related incidents, (2) organizations' perspectives on ransomware assistance received from federal agencies, and (3) the extent to which federal agencies addressed key practices for effective collaboration when assisting these organizations. GAOは、州、地方、部族、および領土の政府組織に対してランサムウェアの予防と対応支援を提供する連邦政府の取り組みについて検討するよう要請された。具体的には、(1)連邦政府機関がこれらの組織の資産をランサムウェア攻撃から保護し、関連する事件に対応する際にどのように支援しているか、(2)連邦政府機関から受けたランサムウェア支援に対する組織の見解、(3)これらの組織を支援する際に連邦政府機関がどの程度効果的な協力のための主要な実践に取り組んでいるかを取り上げた。
GAO reviewed agency documentation from eight federal agencies to identify efforts to help state, local, tribal and territorial governments address ransomware threats. Documents reviewed included agency service catalogs, ransomware guidance, and agency websites. GAO supplemented these reviews with interviews of officials from CISA, FBI, Secret Service, Department of Justice, Federal Emergency Management Agency, Commerce's National Institute for Standards and Technology, and the Department of the Treasury. GAOは、州、地方、部族、準州政府がランサムウェアの脅威に対処するための取り組みを確認するため、8つの連邦機関の文書を調査した。レビューした文書には、機関のサービスカタログ、ランサムウェアのガイダンス、および機関のウェブサイトが含まれている。GAOは、CISA、FBI、シークレットサービス、司法省、連邦緊急事態管理庁、商務省標準技術局、財務省の職員へのインタビューにより、これらのレビューを補足した。
GAO also interviewed officials from government organizations receiving federal ransomware assistance who volunteered to share their perspectives. These officials represented governments from four states, eight localities, and one tribal nation. In addition, GAO interviewed officials from six national organizations. These groups included the National Governors Association; National League of Cities; National Association of State Chief Information Officers; and the National Association of State Auditors, Comptrollers, and Treasurers. To analyze responses from these interviews, GAO coded the qualitative data to enable identification of common trends across the interviews. The interview results from these interviews are not generalizable, but provide insight into perspectives on federal assistance in addressing ransomware. GAOはまた、連邦政府のランサムウェア支援を受ける政府機関の関係者にもインタビューを行い、その見解を共有することをお願いした。これらの職員は、4つの州、8つの地方自治体、1つの部族国家の政府を代表していた。さらにGAOは、6つの国家機関の関係者にもインタビューを行った。これらの団体には、全米知事協会、全米都市連合、全米州最高情報責任者協会、全米州監査役・会計監査人・会計監査人協会が含まれる。これらのインタビューからの回答を分析するため、GAOはインタビューに共通する傾向を特定できるよう、質的データをコード化した。これらのインタビュー結果は一般化できるものではないが、ランサムウェアへの対処における連邦政府の支援に関する見解が示されている。
GAO identified three federal agencies that provide direct ransomware assistance—CISA, FBI, and Secret Service—and assessed their efforts against key practices for interagency collaboration. To support its assessment, GAO reviewed agency documentation on collaborative mechanisms and efforts to coordinate assistance, such as joint alerts and guidance, incident coordination procedures, and interagency agreements. GAO also interviewed officials from the three agencies to clarify information about their collaborative efforts. GAOは、ランサムウェアの直接的な支援を行う3つの連邦機関(CISA、FBI、シークレットサービス)を特定し、機関間協力のための主要な実践に照らしてその取り組みを評価した。この評価を裏付けるため、GAOは、共同警告やガイダンス、インシデント調整手順、省庁間協定など、支援の調整の仕組みや努力に関する省庁の文書を調査した。GAOはまた、3つの機関の職員にインタビューを行い、協力的な取り組みに関する情報を明らかにした。
Recommendations 提言
GAO is making three recommendations to the Department of Homeland Security (CISA and Secret Service) and Department of Justice (FBI) to address identified challenges and incorporate key collaboration practices in delivering services to state, local, tribal, and territorial governments. The agencies concurred with GAO's recommendations. GAOは国土安全保障省(CISAとシークレットサービス)と司法省(FBI)に対し、州・地方・部族・準州政府 (SLTT) へのサービス提供において、特定された課題に取り組み、重要な協力の実践を取り入れるための3つの推奨事項を行っている。同省はGAOの推奨事項に同意した。
Recommendations for Executive Action 行政措置に関する提言
Department of Homeland Security 国土安全保障省
The Secretary of Homeland Security should direct the Director of CISA to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders taking into account its leadership of the new joint ransomware task force and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 1) 国土安全保障省長官はCISA長官に、(1)新しいランサムウェア合同タスクフォースの指導を考慮し、州・地方・部族・準州政府 が提起した懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2) 州・地方・部族・準州政府へのランサムウェア支援に関する省庁間の調整を改善すべきである。(推奨事項1)
The Secretary of Homeland Security should direct the Director of Secret Service to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 2) 国土安全保障長官は、シークレットサービス長官に対し、(1)州・地方・部族・準州政府が提起した懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2)州・地方・部族・準州政府へのランサムウェア支援に関する省庁間の調整を改善するよう指示すること。(推奨事項2)
Department of Justice 司法省
The Attorney General should direct the Director of FBI to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 3) 司法長官はFBI長官に対し、(1)州・地方・部族・準州政府が提起する懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2)州・地方・部族・準州政府へのランサムウェア支援に関する省庁間調整を改善するよう指示すること。(推奨事項3)

 

・[PDF] Full Report

20221009-63957

 

 

・[PDF] Highlights Pages

20221009-63857

 


 

まるちゃんの情報セキュリティ気まぐれ日記

シークレットサービス関連

・2021.09.01 米国 シークレットサービスの戦略

 

ISACs関連

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

ランサムウェア関連

・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

・2022.08.21 英国 情報コミッショナーオフィスと国家サイバーセキュリティセンターが事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼 (2022.07.07)

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.06.16 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

・2022.04.01 小島プレス工業 システム停止事案調査報告書(第1報)

・2022.02.27 NISC ホワイトペーパー:サイバーセキュリティリスクマネジメントを始めるために:ランサムウェア

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

・2022.01.28 IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2021.11.27 NPO デジタルフォレンジック研究会 「医療機関向けランサムウェア対応検討ガイダンス」の公開

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.08 米国 連邦取引委員会 (FTC) ランサムウェアのリスク:中小企業のための2つの予防ステップ

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

 

 

 

|

« 欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと | Main | 中国 習近平総書記が中国のサイバーセキュリティ活動を指導 (2022.09.28) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと | Main | 中国 習近平総書記が中国のサイバーセキュリティ活動を指導 (2022.09.28) »