米国 CISA ブログ ランサムウェア脆弱性警告パイロットの更新: ランサムウェアに関連する既知の悪用される脆弱性と設定ミスのワンストップリソースのリリース (2023.10.12)
こんにちは、丸山満彦です。
CISAでは、2023年1月からランサムウェア脆弱性警告パイロット(Ransomware Vulnerability Warning Pilot; RVWP)を始めていますが、既知の悪用される脆弱性(KEV)カタログが、ランサムウェアのキャンペーンに関連する脆弱性に特定できるようになったようですね。。。
● CISA - News & Events
Ransomware Vulnerability Warning Pilot updates: Now a One-stop Resource for Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware | ランサムウェア脆弱性警告パイロットの更新: ランサムウェアに関連する既知の悪用される脆弱性と設定ミスのワンストップリソースが登場 |
Known exploited vulnerabilities (KEV) catalog now identifies vulnerabilities linked to ransomware campaigns | 既知の悪用される脆弱性(KEV)カタログが、ランサムウェアのキャンペーンに関連する脆弱性を特定するようになった |
Ransomware has disrupted critical services, businesses, and communities worldwide and many of these incidents are perpetrated by ransomware actors using known common vulnerabilities and exposures (CVE) (i.e., vulnerabilities). However, many organizations may be unaware that a vulnerability used by ransomware threat actors is present on their network. To help organizations overcome this potential blind spot, the Cybersecurity and Infrastructure Security Agency (CISA) established the Ransomware Vulnerability Warning Pilot (RVWP) in January 2023, as required by the Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA) of 2022. | ランサムウェアは、世界中の重要なサービス、ビジネス、コミュニティを混乱させており、これらのインシデントの多くは、既知の共通脆弱性公開(CVE)(すなわち、脆弱性)を利用したランサムウェアの行為者によって実行されている。しかし、多くの組織は、ランサムウェアの脅威者が使用する脆弱性がネットワーク上に存在することに気づいていない可能性がある。組織がこの潜在的な盲点を克服するのを支援するため、サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、2022年の重要インフラ向けサイバーインシデント報告法(CIRCIA)で義務付けられているランサムウェア脆弱性警告パイロット(RVWP)を2023年1月に設立した。 |
Today, we are pleased to announce some new resources added to the RVWP. Through the RVWP, CISA determines vulnerabilities that are commonly associated with known ransomware exploitation and warns critical infrastructure entities with those vulnerabilities, helping to enable mitigation before a ransomware incident occurs. Now, all organizations have access to this information in our known exploited vulnerabilities (KEV) catalog as we added a column titled, “known to be used in ransomware campaigns.” For present vulnerabilities and all future to be added to the catalog, this column indicates whether CISA is aware that a vulnerability has been associated with ransomware. | 本日、RVWPに追加されたいくつかの新しいリソースを発表する。CISAはRVWPを通じて、既知のランサムウェアの悪用によく関連する脆弱性を特定し、重要インフラ・エンティティにそれらの脆弱性を警告することで、ランサムウェア・インシデントが発生する前に脆弱性を緩和できるようにしている。現在では、"ランサムウェア・キャンペーンで使用されることが知られている "というタイトルの列が追加されたため、すべての組織が既知の悪用される脆弱性(KEV)カタログでこの情報にアクセスできるようになった。現在の脆弱性と今後カタログに追加されるすべての脆弱性について、この列は、脆弱性がランサムウェアに関連していることをCISAが認識しているかどうかを示している。 |
Furthermore, CISA has developed a second new RVWP resource that serves as a companion list of misconfigurations and weaknesses known to be used in ransomware campaigns. This list will guide organizations to quickly identify services known to be used by ransomware threat actors so they can implement mitigations or compensating controls. | さらにCISAは、ランサムウェア・キャンペーンで使用されることが知られている設定ミスや脆弱性の関連リストとして機能する2つ目の新しいRVWPリソースを開発した。このリストは、ランサムウェアの脅威行為者によって使用されることが知られているサービスを迅速に特定し、緩和策や補償策を実施できるようにするための指針となる。 |
Since it was established last year, CISA’s RVWP has initiated notifications for over 800 vulnerable systems identified having internet-accessible vulnerabilities commonly associated with known ransomware campaigns. To identify these systems, we use existing services, data sources, technologies, and authorities, including our free cyber hygiene vulnerability scanning service. All critical infrastructure sectors have benefited from the RVWP to include Energy, Healthcare and Public Health, Water and Wastewater Systems sectors, and Education Facilities subsector specifically. | 昨年の設立以来、CISAのRVWPは、既知のランサムウェア・キャンペーンによく関連するインターネットにアクセス可能な脆弱性を持つことが確認された800以上の脆弱なシステムに対して通知を開始している。これらのシステムを特定するために、無料のサイバー衛生脆弱性スキャン・サービスなど、既存のサービス、データソース、技術、当局を利用している。すべての重要インフラ部門はRVWPの恩恵を受けており、特にエネルギー、医療・公衆衛生、上下水道システム部門、教育施設サブセクターが含まれる。 |
Organizations enrolled in our vulnerability scanning service are able to receive faster and more targeted notifications – and it’s free for any organization in the United States. For more information, visit vulnerability scanning webpage or email [mail]. | 我々の脆弱性スキャン・サービスに登録した組織は、より迅速で的を絞った通知を受け取ることができる。米国組織であれば、どのような組織でも登録できる。詳細については、脆弱性スキャンのウェブページを参照するか、Eメールで確認できる。 |
While we encourage all organizations to take action today to reduce their risk to ransomware by reviewing the revised KEV catalog and list of misconfigurations and weaknesses, CISA continues work to shift the responsibility of secure software from the customer to software manufacturers and make products Secure by Design. Taking ownership to improve the security outcomes of customers by designing and developing products that are safer out of the box helps all of us to Secure Our World. | 我は、すべての組織が、改訂されたKEVカタログと誤設定と弱点のリストを確認することにより、ランサムウェアに対するリスクを低減するために、今日行動を起こすことを奨励する一方、 CISAは、安全なソフトウェアの責任を顧客からソフトウェア製造業者に移し、製品をセキュア・バイ・デザインにするための活動を続けている。箱から出してすぐに、より安全な製品を設計・開発することで、顧客のセキュリティ成果を向上させるオーナーシップを持つことは、私たち全員が「セキュア・アワ・ワールド」を実現することにつながる。 |
関連リンク
● CISA
RVWP関連
・Ransomware Vulnerability Warning Pilot (RVWP)
プレス...
・2023.03.13 CISA Establishes Ransomware Vulnerability Warning Pilot Program
その他...
既知の脆弱性のリスト
・Known Exploited Vulnerabilities Catalog
・Misconfigurations and Weaknesses Known to be Used in Ransomware Campaigns
● まるちゃんの情報セキュリティ気まぐれ日記
ランサムウェア脆弱性警告パイロット(Ransomware Vulnerability Warning Pilot; RVWP)関連...
・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」
・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...
・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決
« 中国 第3回「一帯一路」サミット国際協力フォーラム(2023.10.17から) | Main | 世界経済フォーラム (WEF) デジタルトラストの測定:信頼できるテクノロジーの意思決定を支援する (2023.10.03) »
Comments