欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表: まるちゃんの情報セキュリティ気まぐれ日記

October 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

2023.02.17

欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表

こんにちは、丸山満彦です。

ENISAとCERT-EUが共同で、「Sustained Activity by Threat Actors（脅威アクターによる持続的な活動）」を公表していますね。。。

予防、検知、対応合わせて30くらいの推奨事項が記載されています。。。

また、脅威アクターとしては、APT27、APT31、Ke3chang、GALLIUM、Mustang Pandaが取り上げられていますね。。。

● ENISA

・2023.02.15 Sustained Activity by Threat Actors

Sustained Activity by Threat Actors	脅威アクターによる持続的な活動
The European Union Agency for Cybersecurity (ENISA) and the CERT of the EU institutions, bodies and agencies (CERT-EU) jointly published a report to alert on sustained activity by particular threat actors. The malicious cyber activities of the presented threat actors pose a significant and ongoing threat to the European Union.	欧州連合サイバーセキュリティ機関（ENISA）とEU機関・団体・機関のCERT（CERT-EU）は共同で、特定の脅威アクターによる持続的な活動について警告する報告書を発表した。今回紹介された脅威アクターの悪質なサイバー活動は、欧州連合（EU）に対して重大かつ継続的な脅威を与えている。
Recent operations pursued by these actors focused mainly on information theft, primarily via establishing persistent footholds within the network infrastructure of organisations of strategic relevance.	これらの脅威アクターが最近行った活動は、主に戦略的関連性を持つ組織のネットワークインフラ内に持続的な足場を築くことによる情報の窃取に重点を置いている。
Decision makers and cybersecurity officers are the primary audiences of this joint publication.	意思決定者とサイバーセキュリティ担当者が、この共同出版物の主な読者である。
ENISA and CERT-EU strongly encourage all public and private sector organisations in the EU to apply the recommendations listed in the current joint publication “Sustained Activity by specific Threat Actors.”	ENISAとCERT-EUは、EUのすべての公共および民間組織が、今回の共同出版物 "脅威アクターによる持続的な活動" に記載されている推奨事項を適用することを強く薦める。
By applying these recommendations in a consistent and systematic manner, ENISA and CERT-EU remain confident that organisations will reduce the risk of being compromised by the mentioned Advanced Persistent Threats, APTs, as well as substantially improve their cybersecurity posture and enhance the overall resilience against cyberattacks.	ENISAとCERT-EUは、これらの推奨事項を一貫した体系的な方法で適用することにより、組織が前述の高度持続的脅威（APT）に感染するリスクを低減し、サイバーセキュリティ体制を大幅に改善し、サイバー攻撃に対する全体的な耐性を強化することができると確信している。
Background	背景
In 2021, the EU Agency for Cybersecurity and CERT-EU signed an agreement on a structured cooperation to work together on capacity building, operational cooperation and knowledge and information sharing. The provision for a structured cooperation was included in the Cybersecurity Act of 2019. ENISA and CERT-EU meet regularly to agree on joint activities to implement the Annual Cooperation Plans.	2021年、EUサイバーセキュリティ機関とCERT-EUは、能力構築、運用協力、知識・情報共有について協力するための構造的協力に関する協定に調印した。構造的協力の規定は、2019年のサイバーセキュリティ法に盛り込まれた。ENISAとCERT-EUは定期的に会合を開き、年次協力計画を実施するための共同活動について合意している。

・2023.02.15 Sustained Activity by Threat Actors- Joint Publication

Sustained Activity by Threat Actors- Joint Publication

脅威アクターによる持続的な活動-共同出版物

ENISA, the EU Agency for Cybersecurity, and CERT-EU, the Computer Emergency Response Team of all the EU institutions, bodies and agencies (EUIBAs), have issued a joint publication to alert on sustained activity by particular threat actors. Malicious cyber activities of the presented threat actors pose a significant and ongoing threat to the European Union. ENISA and CERT-EU strongly encourage all public and private sector organisations in the EU to apply the recommendations listed.

EUのサイバーセキュリティ機関であるENISAと、EUのすべての機関・団体・機関（EUIBAs）のコンピュータ緊急対応チームであるCERT-EUは、特定の脅威アクターによる持続的な活動について注意を促すための共同出版物を発表した。提示された脅威アクターの悪質なサイバー活動は、EUに重大かつ継続的な脅威を与えている。ENISAとCERT-EUは、EUのすべての公共および民間組織に対し、記載されている推奨事項を適用することを強く薦める。

・[PDF]

JP-23-01 - Sustained activity by specific threat actors	JP-23-01 ・特定の脅威アクターによる持続的な活動
Summary	概要
The EU Cybersecurity Agency (ENISA) and the CERT for the EU institutions, bodies and agencies (CERT-EU) would like to draw the attention of their respective audiences on particular Advanced Persistent Threats (APTs), known as APT27, APT30, APT31, Ke3chang, GALLIUM and Mustang Panda. These threat actors have been recently conducting malicious cyber activities against business and governments in the Union.	EUサイバーセキュリティ機関（ENISA）およびEU機関・団体・機関のためのCERT（CERT-EU）は、APT27、APT30、APT31、Ke3chang、GALLIUM、Mustang Pandaとして知られる特定の高度持続的脅威（APT）にそれぞれの視聴者の注意を喚起したいと思いる。これらの脅威アクターは、最近、EU内の企業や政府に対して悪意のあるサイバー活動を行っている。
On 19 July 2021, the EU has urged Chinese authorities to take actions against malicious cyber activities undertaken from their territory, and linked to APT31 [1]. These malicious cyber activities, which had significant effects, targeted government institutions and political organisations in the EU and Member States, as well as key European industries.	2021年7月19日、EUは中国当局に対し、自国の領土から行われたAPT31に関連する悪質なサイバー活動に対して行動を起こすよう要請した[1]。大きな影響を及ぼしたこれらの悪質なサイバー活動は、EUおよび加盟国の政府機関や政治組織、欧州の主要産業を標的としていた。
On 18 July 2022, Belgium has also urged Chinese authorities to take action against malicious cyber activities undertaken by Chinese actors. These activities can be linked to the hacker groups known as APT 27, APT 30, APT 31, and GALLIUM [2]. Moreover, commercial firms indicated that Ke3chang and Mustang Panda are likely operating from the territory of China [3][4][5].	2022年7月18日、ベルギーも中国当局に対し、中国のアクターによって行われた悪意のあるサイバー活動に対して対策を講じるよう求めている。これらの活動は、APT 27、APT 30、APT 31、GALLIUMとして知られるハッカー集団に関連する可能性がある[2]。さらに、Ke3changとMustang Pandaは、中国の領土から活動している可能性が高いと、商業企業が指摘している[3][4][5]。
These threat actors present important and ongoing threats to the European Union. Recent operations pursued by these actors focused mainly on information theft, primarily via establishing persistent footholds within the network infrastructure of organisations of strategic relevance.	これらの脅威のアクターは、欧州連合に対して重要かつ継続的な脅威を示している。これらの脅威アクターが最近行った作戦は、主に戦略的関連性を持つ組織のネットワーク・インフラ内に持続的な足場を築くことによる情報の窃取に焦点を当てたものであった。
ENISA and CERT-EU call for all public and private sector organisations in the EU to apply the recommendations included in this document in a consistent and systematic manner. These recommendations aim to reduce the risk of being compromised by the mentioned APTs, as well as substantially improve the cybersecurity posture and enhance the overall resilience of these organisations against cyberattacks.	ENISAとCERT-EUは、EUのすべての公共および民間組織に対し、本書に含まれる勧告を一貫して体系的に適用することを要請する。これらの推奨事項は、言及されたAPTによって侵害されるリスクを低減するとともに、サイバーセキュリティの姿勢を大幅に改善し、サイバー攻撃に対するこれらの組織の全体的な回復力を強化することを目的としている。
Recommendations	推奨事項
All public and private sector organisations in the EU are strongly advised to follow common cyber hygiene recommendations. Our previously published best practices [24] and the corresponding security guidance [35] provide a solid basis for mitigating cyberattacks.	EUのすべての公共および民間組織は、一般的なサイバー衛生に関する推奨事項に従うことを強くお勧めする。我々が以前発表したベストプラクティス[24]とそれに対応するセキュリティガイダンス[35]は、サイバー攻撃を軽減するための確固たる基礎を提供するものである。
Following the analysis of the available information on the aforementioned threat actors (see below) and of some of their major tactics, techniques, and procedures, ENISA and CERT-EU draw a number of complementary recommendations to foster the defensive capabilities of the intended audience. Each organisation which wants to apply these recommendations is fully responsible for the implementation, according to its business needs and priorities.	前述の脅威主体に関する利用可能な情報（下記参照）と、その主要な戦術、技術、手順の分析に続いて、ENISAとCERT-EUは、意図する対象者の防御能力を育成するための補完的な勧告を多数作成している。これらの勧告を適用しようとする各組織は、そのビジネスニーズと優先順位に従って、実施に全責任を負う。
For best practices issued by the relevant CSIRTs of the EU Member States, please refer to their websites [31].	EU 加盟国の関連 CSIRT が発行するベストプラクティスについては、それぞれのウェブサイト [31]を参照すること。
Additionally, CERT-EU and ENISA emphasise the importance of participating in information sharing communities and reviewing your national/governmental CSIRT’s security guidance [25] and public resources detailing tactics, techniques and procedures associated with the threat actors [26].	さらに、CERT-EU と ENISA は、情報共有コミュニティに参加し、国家/政府 CSIRT のセキュリティガイダンス [25]、脅威要因に関連する戦術、技術、手順を詳述した公開リソース [26] をレビューすることの重要性を強調する。
Prevention	予防
To reduce your cyber risks through good cyber hygiene:	適切なサイバー衛生管理によってサイバーリスクを低減すること。
• Follow the security best practices proposed by vendors to harden their products and manage highprivileged accounts and key assets.	・ベンダーが提唱するセキュリティのベストプラクティスに従って、製品の堅牢化を図り、高権限アカウントや重要な資産を管理する。
• Strive to maintain current asset inventories. The inventories shall include both, physical (i.e. on-prem servers, endpoints, etc.) and virtual assets (i.e. instances in the Cloud, virtual machines, etc.) and installed software. This allows the timely identification of systems impacted by vulnerabilities. A patch prioritisation strategy defined in a policy should particularly cover critical assets like hardware and software directly exposed to the Internet.	・最新の資産棚卸表を維持するよう努める。資産棚卸表には、物理資産(オンプレミスサーバー、エンドポイントなど)、仮想資産(クラウド上のインスタンス、仮想マシンなど)、インストールされたソフトウェアの両方を含めること。これにより、脆弱性の影響を受けるシステムを適時に特定することができる。ポリシーで定義されたパッチの優先順位付け戦略は、特にインターネットに直接さらされるハードウェアやソフトウェアなどの重要な資産を対象とする必要がある。
• Block or severely limit egress Internet access for servers or other devices that are seldom rebooted. As they are coveted by threat actors for establishing backdoors, these systems are often used to create persistent beacons to Command and Control (C2) infrastructure.	・めったにリブートされないサーバやその他のデバイスのインターネットアクセスをブロックする、または厳しく制限する。このようなシステムは、脅威アクターがバックドアを設置するために欲しがっているため、コマンド＆コントロール（C2）インフラへの持続的なビーコンを作成するためによく使用される。
• Follow best practices for identity and access management. A robust password policy shall be enforced for all accounts and multi-factor authentication must be used where applicable. Tightly manage and monitor the lifecycle of all accounts. Promote the use of password managers throughout the organisation.	・アイデンティティとアクセス管理のベストプラクティスに従うこと。すべてのアカウントに強固なパスワードポリシーを適用し、該当する場合は多要素認証を使用する。すべてのアカウントのライフサイクルを厳重に管理・監視する。組織全体でパスワード管理ソフトの利用を推進する。
• Adopt a backup strategy and use the 3-2-1 rule approach which states that organisations should keep three complete copies of their data, two of which are locally stored on different types of media, and at least one copy is stored off-site [34].	・バックアップ戦略を採用し、組織はデータの完全なコピーを3つ保持すべきであり、そのうち2つは異なるタイプのメディアにローカルに保存し、少なくとも1つはオフサイトに保存するという3-2-1ルールのアプローチを使用する [34]。
• Ensure tight and proper access controls for end users and, most crucially, external third-party contractors with access to internal networks and systems (i.e. managed service and cloud service provider access). Consider requesting proofs for the security claims made by providers of these services.	・エンドユーザー、そして最も重要なのは、社内のネットワークやシステムにアクセスする外部の第三者契約者（マネージドサービスやクラウドサービスプロバイダーのアクセスなど）に対して、厳重かつ適切なアクセス制御を行うこと。これらのサービスのプロバイダーが主張するセキュリティについて、証明書を要求することを検討する。
• Segment the network to isolate critical systems, functions, or resources – specifically implement isolation in regards of interconnections with Internet and third parties.	・重要なシステム、機能、リソースを分離するためにネットワークをセグメント化する。特に、インターネットや第三者との相互接続に関して分離を実施する。
• Secure your cloud environments before moving critical assets there. Use the strong security controls that are available on cloud platforms and properly segment cloud system management from onpremise system management to ensure that threat actors cannot easily jump from one environment to the other.	・重要な資産をクラウド環境に移行する前に、クラウド環境のセキュリティを確保する。クラウドプラットフォームで利用可能な強力なセキュリティコントロールを使用し、クラウドシステム管理とオンプレミスシステム管理を適切に区分し、脅威アクターが一方の環境から他方の環境へ容易に移動できないようにする。
• Implement a resilient email policy that includes adequate mechanisms for filtering and scrutinising malicious content. A secure email gateway can further enhance the protection of the recipients.	・悪意のあるコンテンツをフィルタリングし、精査するための適切なメカニズムを含む、弾力性のある電子メールポリシーを導入する。安全な電子メールゲートウェイを使用することで、受信者の保護をさらに強化することができる。
• Consider preventing attacks based on the so-called Pass-the-Ticket technique on Active Directory environments [27].	・Active Directory 環境におけるいわゆる Pass-the-Ticket テクニックに基づく攻撃を防止することを検討する [27]。
• Invest in cybersecurity education. This includes encouraging your cybersecurity professionals to enrol in specialised professional training courses in their domain and performing concise awareness campaigns for end users.	・サイバーセキュリティ教育に投資する。これには、サイバーセキュリティの専門家が各自のドメインで専門的なトレーニングコースを受講することを奨励することや、エンドユーザーに対して簡潔な意識向上キャンペーンを実施することが含まれます。
Detection	検知
Detection refers to actions that will help expose malicious cyber activities in your network:	検出とは、ネットワークにおける悪意のあるサイバー活動を明らかにするための行動を指す。
• Implement robust log collection and regularly review alerts triggered by security components. You may refer to ENISA’s guidance on proactive detection (pp. 12 - 18) which comprehensively covers sources of telemetry [36]. It is specifically advisable to collect event logs linked to unauthenticated creation, modification, use, and permission changes associated with privileged accounts, and to review network connections from IP ranges associated with non-corporate VPN Tor, and similar services.	・堅牢なログ収集を実施し、セキュリティ・コンポーネントによって引き起こされるアラートを定期的に確認する。ENISA のプロアクティブな検知に関するガイダンス（12～18 ページ）には、テレメトリのソースが包括的に記載されている [36]。特に、特権アカウントに関連する認証されていない作成、変更、使用、および権限の変更に関連するイベントログを収集し、企業以外の VPN Tor や同様のサービスに関連する IP 範囲からのネットワーク接続を確認することが推奨される。
• Monitor the activities of devices in your network with appropriate tools like Endpoint Detection and Response (EDR) and User and Entity Behaviour Analytics (UEBA), since a substantial part of network traffic is encrypted nowadays. This applies to both servers and endpoints. It is crucial to ensure that your EDR is set to alert mode if monitoring or reporting is disabled, or if communication is lost with a host agent for more than a reasonable amount of time.	・ネットワークトラフィックのかなりの部分が暗号化されているため、EDR（Endpoint Detection and Response）やUEBA（User and Entity Behaviour Analytics）などの適切なツールを使用してネットワーク内のデバイスの活動を監視する。これは、サーバーとエンドポイントの両方に当てはまります。監視やレポートが無効化された場合、またはホストエージェントとの通信が一定時間以上途絶えた場合、EDRがアラートモードに設定されていることを確認することが極めて重要である。
• Use carefully curated cyber threat intelligence to proactively search your logs for possible signs of compromise.	・慎重に管理されたサイバー脅威インテリジェンスを使用して、侵害の可能性がある兆候をログから積極的に検索する。
• Detect traces of compromise in your network through well-conceived, regular threat hunting based, for example, on the MITRE ATT&CK® framework [26].	・MITRE ATT&CK® フレームワーク [26] などに基づき、よく練られた定期的な脅威ハンティングを行い、ネットワーク内の侵害の痕跡を検出する。
• Use intrusion detection signatures and NetFlow to spot suspicious traffic at network boundaries and detect conditions that may indicate software exploitation or data exfiltration.	・侵入検知シグネチャと NetFlow を使用して、ネットワーク境界における疑わしいトラフィックを発見し、ソフトウェア搾取やデータ流出を示す可能性がある状況を検出する。
• Prevent and detection PowerShell based attacks [28], in order to stop attackers from gaining full control of a Windows-based infrastructure or business-related operator accounts.	・攻撃者が Windows ベースのインフラストラクチャやビジネス関連のオペレーターアカウントを完全に制御することを阻止するために、PowerShell ベースの攻撃 [28] を防止および検出する。
• Invest in detecting lateral movements which exploit NTLM and Kerberos protocols in a Windows environment [29].	・Windows 環境における NTLM と Kerberos プロトコルを悪用した横方向の動きを検知するための投資を行う [29]。
• Train your users to immediately report any suspicious activity to your local cybersecurity team.	・不審な動きがあれば、すぐに現地のサイバーセキュリティチームに報告するよう、ユーザーを教育する。
Response	対応
Incident response is composed of several phases: Preparation, Identification, Containment, Clean-up, Recovery, and Lessons learned. To successfully respond to an incident, ENISA and CERT-EU strongly advise to:	インシデント対応は、いくつかのフェーズで構成される。インシデント対応は、準備、特定、封じ込め、後始末、復旧、そして教訓の段階から構成される。ENISAとCERT-EUは、インシデントへの対応を成功させるために、次のことを強く推奨する。
• Create and maintain an incident response plan. Ensure you have documented the procedures to reach out and swiftly communicate with your national or governmental CSIRT [31], and to provide access to forensics evidence when asked by relevant parties. The security white paper "Data Acquisition Guidelines for Investigation Purposes" contains related technical guidelines [30]. At the minimum, you should have an up-to-date list of key contacts for your strategic suppliers and service providers. Prepare and verify these procedures are tested and known to all the local incident handlers.	・インシデント対応計画を作成し、維持すること。国または政府の CSIRT [31]と連絡を取り、迅速に連絡し、関係者から要請があればフォレンジック証拠へのアクセスを提供する手順を文書化しておくことを確認する。セキュリティ白書「調査目的のデータ取得ガイドライン」は、関連する技術的なガイドラインを含んでいる [30]。最低限、戦略的サプライヤーとサービスプロバイダーの重要な連絡先の最新リストを持っている必要がある。これらの手順がテストされ、現地のインシデント対応担当者全員に周知されていることを準備し、確認する。
• Be able to assess the incident severity, for example based on its scale and impact. Handling of more advanced attacks may require engaging external security service providers who may offer professional advice and personnel. A suitable service provider should have solid experience in APT handling, and expertise in memory, storage and network forensics, as well as log data collection and analysis. Operating system experts – and Active Directory log analysis experts in particular – can be of great help too.	・インシデントの規模や影響度などに基づいて、インシデントの重大性を評価できるようにしておく。より高度な攻撃への対処には、専門的な助言と人材を提供する外部のセキュリティサービスプロバイダーとの連携が必要になる場合がある。適切なサービス・プロバイダーは、APTへの対応に関する確かな経験を持ち、メモリ、ストレージ、ネットワークのフォレンジック、ログ・データの収集と分析に関する専門知識を備えている必要がある。また、OSの専門家、特にActive Directoryのログ解析の専門家も大きな助けになります。
• Avoid common mistakes in incident handling such as:	・次のようなインシデント対応における一般的な誤りを避ける：
o ignoring a security event without assessing what triggered it and the potential impact;	・・セキュリティイベントが発生した原因や潜在的な影響を評価せずに無視する
o pre-emptively blocking or probing infrastructure used by threat actors (pinging, making DNS queries, browsing, etc.);	・・脅威アクターが使用するインフラ（Ping、DNS クエリー、ブラウジングなど）を先回りしてブロックまたはプロービングする。
o mitigating the affected systems before responders can collect and/or recover evidence;	・・対応担当者が証拠を収集・回復する前に、影響を受けたシステムの機能を停止させる。
o ignoring telemetry sources, such as network, system and access logs;	・・ネットワーク、システム、アクセスログなどの遠隔測定ソースを無視する。
o fixing the symptoms, ignoring the root causes and doing partial containment and recovery;	・・根本的な原因を無視して症状を修正し、部分的な封じ込めと復旧を行う。
o forgoing keeping a detailed record of actions taken and the event timeline.	・・実施した措置やイベントのタイムラインなどの詳細な記録を取らないこと。
• Incident response requires communication among several internal stakeholders and it is strongly recommended to have clear, concise communication guidelines prepared and tested in advance.	・インシデント対応には、社内の複数の関係者間でのコミュニケーションが必要であり、事前に明確で簡潔なコミュニケーションガイドラインを作成し、テストすることが強く推奨される。
If personal data is in the scope of the incident, seek the advice of your Data Protection Officer and/or your legal team.	個人情報がインシデントの範囲に含まれる場合は、データ保護責任者及び／又は法務チームの助言を求める。