米国 CISA NSA FBI MS-ISAC フィッシング・ガイダンス:攻撃サイクルを第一段階で阻止する
こんにちは、丸山満彦です。
CISA、NSA、FBI、MS-ISACが共同で、フィッシング対策ガイダンスを公表していますね。。。多くの攻撃の入り口がフィッシングからということでこのガイダンスの発表ということなのでしょうね。。。
フィッシングを、
・ユーザー認証情報を得ようとするもの
・マルウェアを入れ込むためのもの
と2つにわけて説明していますね。。。
根性論だけでなんとかしようとしていたものを、改善できると良いですよね。。。
あっ、ちなみに、日本もフィッシング対策協議会でいろいろと活動をして、ガイドラインも出していますので、参考まで。。。
● フィッシング対策協議会 - ガイドライン
・2023.06.01 資料公開: フィッシング対策ガイドラインの改定について
・[PDF] フィッシング対策ガイドライン 2023 年度版
● CISA
プレス
・2023.10.18 CISA, NSA, FBI, MS-ISAC Publish Guide on Preventing Phishing Intrusions
| CISA, NSA, FBI, MS-ISAC Publish Guide on Preventing Phishing Intrusions | CISA、NSA、FBI、MS-ISACがフィッシング侵入の防止に関するガイドを発表した。 |
| Guide helps organizations understand what malicious actors are doing so defenders can adopt appropriate mitigations to phishing | このガイドは、悪意ある行為者の行動を理解することで、防御者がフィッシングに対して適切な緩和策を採用できるようにするものである。 |
| WASHINGTON - The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI) and Multi-State Information Sharing and Analysis Center (MS-ISAC) today published “Phishing Guidance, Stopping the Attack Cycle at Phase One” to help organizations reduce likelihood and impact of successful phishing attacks. It provides detailed insight into malicious actor techniques, as well as technical mitigations and best practices to help prevent successful phishing attempts. | ワシントン - サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、および複数州情報共有分析センター(MS-ISAC)は本日、組織がフィッシング攻撃を成功させる可能性とその影響を軽減するのに役立つ「フィッシング・ガイダンス、第一段階で攻撃サイクルを阻止する」を発表した。このガイダンスでは、フィッシングの成功を防ぐための技術的な対策やベストプラクティスだけでなく、悪意のある行為者のテクニックに関する詳細な洞察を提供している。 |
| A form of social engineering, malicious actors commonly use phishing with the intent to get their targeted victims to visit an illegitimate website or to download malware. To help organizations better understand this activity, this guide categorizes phishing into two common tactics: phishing to obtain login credentials and phishing to deploy malware. It expands upon the two tactics by detailing the techniques frequently used by these actors, such as impersonating supervisors/trusted colleagues, using voice over internet protocol to spoof caller identification, and using publicly available tools to facilitate spear phishing campaigns. | ソーシャルエンジニアリングの一形態であるフィッシングは、悪意のある行為者が一般的に使用する手口であり、ターゲットとなる被害者に不正なウェブサイトを閲覧させたり、マルウェアをダウンロードさせたりすることを目的としている。組織がこの活動をよりよく理解できるように、このガイドではフィッシングを2つの一般的な手口に分類している。また、この2つの手口について、上司や信頼できる同僚になりすます、ボイス・オーバー・インターネット・プロトコルを使用して発信者識別情報を詐称する、公開されているツールを使用してスピアフィッシング・キャンペーンを促進するなど、これらの行為者が頻繁に使用するテクニックを詳しく説明している。 |
| “For too long, the prevailing guidance to prevent phishing attacks has been for users to avoid clicking on malicious emails. We know that this advice is not sufficient. Organizations must implement necessary controls to reduce the likelihood of a damaging intrusion if a user interacts with a phishing campaign – which we know many users do, in every organization,” said Sandy Radesky, Associate Director for Vulnerability Management, CISA. “With our NSA, FBI, and MS-ISAC partners, this guide provides practical, actionable steps to reduce the effectiveness of phishing as an initial access vector. We also know that many of the controls described in this guide can be implemented by technology vendors, reducing burden and increasing security at scale. We strongly encourage all organizations and software manufacturers to review this guide and implement recommendations to prevent successful phishing attempts – by design wherever possible.” | CISAの脆弱性管理担当アソシエイト・ディレクターであるサンディ・ラデスキーは、次のように述べている。「あまりにも長い間、フィッシング攻撃を防ぐための一般的なガイダンスは、ユーザーが悪意のあるメールをクリックしないようにすることであった。我々は、このアドバイスが十分でないことを知っている。組織は、ユーザーがフィッシング・キャンペーンに接触した場合、被害をもたらす侵入の可能性を減らすために必要な管理を実施しなければならない。NSA、FBI、MS-ISACのパートナーとともに、このガイドは、最初のアクセス手段としてのフィッシングの有効性を減らすための実践的で実行可能なステップを提供している。また、本ガイドに記載されている管理策の多くは、テクノロジーベンダーが実装することが可能であり、負担を軽減し、規模に応じてセキュリティを向上させることができる。我々は、すべての組織とソフトウェアメーカーがこのガイドを検討し、可能な限り設計によってフィッシングの試みを成功させないための推奨事項を実装することを強く推奨する。」 |
| “Knowing how to navigate phishing danger is essential because anyone can fall victim to these attacks,” said Eric Chudow, NSA’s Cybersecurity System Threats & Vulnerability Analysis Subject Matter Expert. “Cyber threat actors are constantly evolving their techniques and harnessing new technologies to their advantage, including artificial intelligence. They are also finding it easier to deceive people who have transitioned to hybrid work environments and have fewer face-to-face-interactions.” | NSAのサイバーセキュリティ・システム脅威&脆弱性分析サブジェクト・マター・エキスパートであるエリック・チュドウ氏は、次のように述べている。「フィッシングの危険性を回避する方法を知ることは、誰もがこれらの攻撃の犠牲になる可能性があるため、不可欠である。サイバー脅威者は常にテクニックを進化させ、人工知能を含む新しいテクノロジーを活用している。彼らはまた、ハイブリッドな職場環境に移行し、対面でのやり取りが少なくなった人々を欺くことが容易になっている。 」 |
| “Our goal in putting out this product is to provide organizations with the necessary knowledge to prevent them from falling victim to phishing,” said Bryan Vorndran, Assistant Director of the FBI’s Cyber Division. “Cyber is a team sport, which is why we strive to arm our partners with the necessary tools needed in combatting malicious actors that use this intrusion technique.” | FBIサイバー課のブライアン・ボーンドラン課長補佐は、次のように述べている。「この製品を世に送り出した我々の目標は、フィッシングの被害に遭わないために必要な知識を組織に提供することだ。サイバーはチームスポーツであり、だからこそ我々は、この侵入テクニックを使用する悪意ある行為者と戦うために必要なツールをパートナーに提供するよう努めている。」 |
| “Phishing continues to be the most successful method for gaining unauthorized access to state and local government networks,” said John Gilligan, CIS Chief Executive Officer. “Organizations and their employees must understand the risks posed by this attack vector and how to successfully identify and avoid phishing threats. This joint guide is a great reference for state and local organizations.” | CISの最高経営責任者(CEO)であるジョン・ギリガン氏は、次のように述べている。「フィッシングは、州政府および地方自治体のネットワークに不正にアクセスするための最も成功した手法であり続けている。「組織とその職員は、この攻撃経路がもたらすリスクと、フィッシングの脅威をうまく識別し回避する方法を理解しなければならない。この共同ガイドは州および地方組織にとって素晴らしい参考資料となる。」 |
| This joint phishing guide is intended to be a one-stop resource to help all organizations protect their systems from phishing threats. All organizations, from small- and medium-sized businesses to software manufacturers, are encouraged to review this joint guide to better understand evolving phishing techniques and implement tailored cybersecurity controls and best practices to reduce the risk of compromise. | この共同フィッシング・ガイドは、すべての組織がフィッシングの脅威からシステムを守るためのワンストップ・リソースとなることを目的としている。中小企業からソフトウェアメーカーに至るまで、すべての組織がこの共同ガイドを確認し、進化するフィッシングのテクニックをよりよく理解し、侵害のリスクを軽減するためにサイバーセキュリティ対策やベストプラクティスを実施することが推奨される。 |
ブログ...
・2023.10.18 Phishing: What’s in a Name?
| Phishing: What’s in a Name? | フィッシング:名前には何が含まれているのか? |
| Recent news is filled with stories of companies being compromised, a pattern that goes back years, if not decades. The compromises might lead to attackers deploying ransomware, or other types of malicious activity like the theft of intellectual property and customer data. Stories of these compromises often start the same way, namely through a tactic called phishing. | 最近のニュースでは、企業が情報漏洩に陥ったという話で埋め尽くされている。このような侵害は、攻撃者がランサムウェアを展開することにつながる場合もあれば、知的財産や顧客データの窃盗といった他の種類の悪意のある行為につながる場合もある。このような侵害のストーリーは、フィッシングと呼ばれる手口から始まることが多い。 |
| But what exactly is phishing? Looking at different sources, it’s easy to get confused since the term is overloaded with very different meanings. It’s doubly confusing when we see other offshoot terms like spear phishing, whaling, smishing, and vishing. It seems hopelessly complicated and it’s not clear what defenders can do to reduce the chance of compromise. And all too often they end up blaming users “who clicked on a link” (whatever that is supposed to mean) rather than building a system that accounts for inevitable human error. | しかし、フィッシングとは一体何なのだろうか?さまざまな情報源を見ていると、この用語が非常に異なる意味で溢れているため、混乱しやすい。スピアフィッシング、ホエーリング、スミッシング、ビッシングといった他の派生語を見ると、二重に混乱する。それは絶望的に複雑に見え、防御者が侵害の可能性を減らすために何ができるかは明確ではない。そして、避けられないヒューマンエラーを考慮したシステムを構築するのではなく、「リンクをクリックしたユーザー」(それが何を意味するかは別として)を非難することに終始することがあまりにも多い。 |
| Today, CISA announced the release of a joint guide that attempts to separate the two main tactics that we lump into the generic term “phishing”. Doing so helps create a clear mental model about what the attackers are doing so defenders can adopt appropriate mitigations. | 本日、CISAは、私たちが「フィッシング」という総称でひとくくりにしている2つの主な手口を分離しようとする共同ガイドのリリースを発表した。こうすることで、攻撃者が何をしているのかについて明確なメンタル・モデルを作り、防御者が適切な緩和策を採用できるようになる。 |
| The first tactic is phishing to obtain login credentials. The attacker sends to the potential victim an email with a link to an imposter site that convinces them to enter their username and password. In some attacks, the imposter site also asks for MFA codes (called “MFA bypass”). Note that scanning emails for this type of attack will not catch phishing messages sent via SMS or messaging apps like Telegram, Signal, Slack, Facebook, Twitter, Teams, iMessage, and Google Chat, and others. | 最初の手口は、ログイン認証情報を得るためのフィッシングである。攻撃者は潜在的な被害者に、ユーザー名とパスワードを入力するよう説得する偽サイトへのリンクを含む電子メールを送る。一部の攻撃では、偽サイトはMFAコードも要求する(「MFAバイパス」と呼ばれる)。この種の攻撃に対してEメールをスキャンしても、SMSやTelegram、Signal、Slack、Facebook、Twitter、Teams、iMessage、Google Chatなどのメッセージング・アプリ経由で送信されたフィッシング・メッセージは捕捉されないことに注意しよう。 |
| The primary mitigation for this class of attack is to enable MFA, especially phishing-resistant MFA like FIDO authentication. See CISA’s guides on those topics here: MFA portal, blog post, phishing-resistant MFA whitepaper. | この種の攻撃に対する主な緩和策は、MFA、特にFIDO認証のようなフィッシングに強いMFAを有効にすることである。これらのトピックに関するCISAのガイドはこちら: MFAポータル、ブログ記事、フィッシング耐性MFAホワイトペーパーを参照のこと。 |
| The second tactic is malware phishing. The attacker sends an email with a malicious attachment that the user can be tricked into launching. | 第2の手口はマルウェア・フィッシングである。攻撃者は、ユーザを騙して起動させることができる悪意のある添付ファイル付きの電子メールを送信する。 |
| There are a range of mitigations to prevent malicious code from running, including application allow listing or running an endpoint detection and response (EDR) agent. | 悪意のあるコードの実行を防ぐには、アプリケーションの許可リストやエンドポイント検出応答(EDR)エージェントの実行など、さまざまな緩和策がある。 |
| I’d be remiss if I didn’t also mention that defenders need to do more than just protect against the two main types of phishing. They need to implement, with their senior leadership teams, a comprehensive information security program. A great place to start that journey is by implementing the CISA Cyber Performance Goals (CPGs). | また、防御者は2つの主要なタイプのフィッシングから身を守るだけでは不十分である。シニア・リーダーシップ・チームとともに、包括的な情報セキュリティ・プログラムを実施する必要がある。CISAのサイバー・パフォーマンス・ゴール(CPG)を実施することが、その第一歩となる。 |
| Some astute readers will by now wonder about this framing and why the focus of the guide is on login credentials and malware rather than on other areas, like scanning emails for malicious content. Email scanning can be an important tool for defenders, but as noted above, it cannot catch malicious content delivered via some other mechanism like SMS. However, by focusing on the method of intrusion rather than the method of delivery, defenders can take more granular steps to improve their security posture and deny adversaries an easy path into the network. | 賢明な読者の中には、このフレームワークについて、また、なぜこのガイドの焦点が、悪意のあるコンテンツの電子メール・スキャンのような他の分野ではなく、ログイン認証情報やマルウェアに当てられているのか、不思議に思う人もいるだろう。電子メールのスキャンは防御者にとって重要なツールになり得るが、前述のように、SMSのような他のメカニズムで配信される悪意のあるコンテンツを捕まえることはできない。しかし、配信方法ではなく、侵入方法に焦点を当てることで、防御者は、セキュリティ態勢を向上させ、敵がネットワークに容易に侵入できないようにするため、よりきめ細かい対策を講じることができる。 |
| In addition to providing guidance to defenders, we want to address the safety of the software that organizations of all sizes rely on. When we see news of compromises that stem from phishing, it’s all too easy to blame the victim organization for not having implemented all the mitigations that would have stopped the attack. With the benefit of 20/20 hindsight it’s easy to see what went wrong. But the ease of compromises cannot be solely blamed on the defenders. We need to have a more robust industry-wide conversation about the products that are delivered to customers in a state that not only makes these attacks possible, but in many cases, inevitable. | 防御者にガイダンスを提供するだけでなく、あらゆる規模の組織が依存しているソフトウェアの安全性にも取り組みたい。フィッシングに起因する情報漏えいのニュースを目にすると、攻撃を阻止するための緩和策をすべて導入していなかったとして、被害組織を非難するのはあまりにも簡単だ。20/20の後知恵があれば、何が間違っていたかを見抜くのは簡単だ。しかし、侵害の容易さを防御側だけの責任にすることはできない。このような攻撃を可能にするだけでなく、多くの場合、避けられないような状態で顧客に提供されている製品について、業界全体でもっとしっかりと話し合う必要がある。 |
| That’s why CISA’s Secure by Design whitepaper calls on software manufacturers whose products are abused in the commission of login credential phishing and malware phishing attacks to update their software development practices and default settings to raise the cost of attack for the attackers. Secure by design software development would move the burden of staying cyber safe from the customer to the manufacturers. Doing so will be no small effort, and yet the impact of safer products would dramatically reduce the risk for customers and the nation. | CISAの「セキュア・バイ・デザイン」ホワイトペーパーが、ログイン認証フィッシングやマルウェア・フィッシング攻撃で製品が悪用されているソフトウェアメーカーに対し、攻撃者の攻撃コストを引き上げるよう、ソフトウェア開発の慣行やデフォルト設定を更新するよう求めているのはそのためだ。セキュア・バイ・デザインのソフトウェア開発は、サイバーセーフを維持する負担を顧客からメーカーに移すことになる。そのための努力は決して小さなものではないが、より安全な製品がもたらすインパクトは、顧客と国家にとってのリスクを劇的に軽減するだろう。 |
| Phishing is going to continue to be a popular attack vector because it works so well. Until the software we depend on makes both login credential theft and malware deployment more expensive for the attackers, defenders are going to need to take aggressive action. And one of the right ways to do that is to start building defenses with the right mental models. | フィッシングは非常にうまく機能するため、今後も人気のある攻撃手段であり続けるだろう。私たちが依存しているソフトウェアが、ログイン認証情報の窃盗とマルウェアの展開の両方を攻撃者にとってより高価なものにするまでは、防御者は積極的な行動を取る必要があるだろう。そして、そのための正しい方法の1つは、正しいメンタル・モデルで防御を構築し始めることである。 |
・2023.10.18 Phishing Guidance: Stopping the Attack Cycle at Phase One
| Phishing Guidance: Stopping the Attack Cycle at Phase One | フィッシング・ガイダンス 攻撃サイクルを第一段階で止める |
| This guide was created by the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Multi-State Information Sharing and Analysis Center (MS-ISAC) to outline phishing techniques malicious actors commonly use and to provide guidance for both network defenders and software manufacturers. Phishing Guidance: Stopping the Attack Cycle at Phase One contains guidance for network defenders, applicable to all organizations, and for software manufacturers that focuses on secure-by-design and -default tactics and techniques. Additionally, the guide contains a section tailored for small and medium-sized businesses to aid in protecting their cyber resources from evolving phishing threats. | このガイドは、サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、および複数州情報共有分析センター(MS-ISAC)によって作成され、悪意のある行為者が一般的に使用するフィッシングのテクニックを概説し、ネットワーク防御者とソフトウェア製造者の両方にガイダンスを提供する。フィッシング・ガイダンス フィッシング・ガイダンス:第一段階で攻撃サイクルを止める」には、すべての組織に適用可能なネットワーク防御者向けのガイダンスと、セキュア・バイ・デザインおよびデフォルトの戦術とテクニックに焦点を当てたソフトウェア製造者向けのガイダンスが含まれている。さらに、このガイドには、進化するフィッシングの脅威からサイバーリソースを保護するために、中小企業向けに調整されたセクションも含まれている。 |
| Resource Materials | リソース資料 |
| Phishing Guidance - Stopping the Attack Cycle at Phase One_508c.pdf | フィッシング・ガイダンス - 第一段階で攻撃サイクルを止める |
・[PDF]
目次...
| TABLE OF CONTENTS | 目次 |
| OVERVIEW | 概要 |
| PHISHING TO OBTAIN LOGIN CREDENTIALS | ログイン認証情報を取得するフィッシング |
| MALWARE-BASED PHISHING | マルウェアベースのフィッシング |
| MITIGATIONS | 対策 |
| INCIDENT RESPONSE | インシデント対応 |
| REPORTING | 報告 |
| CISA SERVICES | CISAサービス |
| RESOURCES | リソース |
| ACKNOWLEDGEMENTS | 謝辞 |
| DISCLAIMER | 免責事項 |
| REFERENCES | 参考文献 |
概要...
| OVERVIEW | 概要 |
| Social engineering is the attempt to trick someone into revealing information (e.g., a password) or taking an action that can be used to compromise systems or networks. Phishing is a form of social engineering where malicious actors lure victims (typically via email) to visit a malicious site or deceive them into providing login credentials. Malicious actors primarily leverage phishing for: | ソーシャル・エンジニアリングとは、誰かを騙して情報(パスワードなど)を明かさせたり、システムやネットワークを侵害するために利用できる行動を取らせようとする試みである。フィッシングはソーシャルエンジニアリングの一形態であり、悪意のある行為者が被害者を(通常は電子メールを介して)誘い出し、悪意のあるサイトにアクセスさせたり、ログイン認証情報を提供させたりする。悪意のある行為者は主に以下の目的でフィッシングを利用する: |
| • Obtaining login credentials. Malicious actors conduct phishing campaigns to steal login credentials for initial network access. | ・ログイン認証情報を取得する。悪意のある行為者は,最初のネットワークアクセスのためのログイン認証情報を盗むためにフィッシングキャンペーンを行う。 |
| • Malware deployment. Malicious actors commonly conduct phishing campaigns to deploy malware for follow-on activity, such as interrupting or damaging systems, escalating user privileges, and maintaining persistence on compromised systems. | ・マルウェアの展開。悪意のある行為者は,一般的に,システムの中断や損傷,ユーザー権限の昇格,侵害されたシステムでの永続性の維持など,その後の活動のためにマルウェアを展開するためにフィッシングキャンペーンを行う。 |
| The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and Multi-State Information Sharing and Analysis Center (MS-ISAC) are releasing this joint guide to outline phishing techniques malicious actors commonly use and to provide guidance for both network defenders and software manufacturers. This will help to reduce the impact of phishing attacks in obtaining credentials and deploying malware. | サイバーセキュリティ・インフラストラクチャ安全保障局(CISA)、 国家安全保障局(NSA)、連邦捜査局(FBI)、およびMulti-State Information Sharing and Analysis Center (MS-ISAC)は、悪意のある行為者が一般的に使用するフィッシングのテクニックを概説し、ネットワーク防御者とソフトウェア製造者の両方にガイダンスを提供するために、この共同ガイドを発表する。これにより、認証情報の取得やマルウェアの展開におけるフィッシング攻撃の影響を軽減することができる。 |
| The guidance for network defenders is applicable to all organizations but may not be feasible for organizations with limited resources. Therefore, this guide includes a section of tailored recommendations for small- and medium-sized businesses that may not have the resources to hire IT staff dedicated to a constant defense against phishing threats. | ネットワーク防御者向けのガイダンスはすべての組織に適用可能であるが、リソースが限られている組織にとっては実行不可能かもしれない。そのため、本ガイドには、フィッシングの脅威に対する常時防御に専念するITスタッフを雇用するリソースがない中小企業向けにカスタマイズされた推奨事項のセクションが含まれている。 |
| The guidance for software manufacturers focuses on secure-bydesign and -default tactics and techniques. Manufacturers should develop and supply software that is secure against the most prevalent phishing threats, thereby increasing the cybersecurity posture of their customers. | ソフトウェア製造者向けの手引きでは、セキュアな設計とデフォルトの戦術とテクニックに焦点を当てている。製造業者は、最も一般的なフィッシングの脅威に対して安全なソフトウェアを開発し、提供することで、顧客のサイバーセキュリティ態勢を強化すべきである。 |
続き... ↓ ↓ ↓ ↓ ↓
| PHISHING TO OBTAIN LOGIN CREDENTIALS | ログイン認証情報を得るためのフィッシング |
| DEFINITION | 定義 |
| In phishing attacks used to obtain login credentials, Malicious actors pose as trustworthy sources (e.g., colleagues, acquaintances, or organizations) to lure victims into providing their login credentials. Malicious actors can use the compromised credentials (e.g., usernames and passwords) to gain access to enterprise networks or protected resources, such as email accounts. | ログイン認証情報を取得するために使用されるフィッシング攻撃では、悪意のある行為者が信頼できる情報源(同僚、知人、組織など)を装って被害者を誘い、ログイン認証情報を提供させる。悪意のある行為者は、漏洩した認証情報(ユーザ名やパスワードなど)を使用して、企業ネットワークや電子メールアカウントなどの保護されたリソースにアクセスすることができる。 |
| EXAMPLE TECHNIQUES | テクニックの例 |
| To obtain login credentials, malicious actors commonly: | ログイン認証情報を入手するために、悪意のある行為者は一般的に以下のことを行う: |
| • Impersonate supervisors, trusted colleagues, or IT personnel to send targeted emails to deceive employees into providing their login credentials. | ・上司,信頼できる同僚,またはIT担当者になりすまして標的型メールを送信し,従業員を欺いてログイン認証情報を提供させる。 |
| • Use smartphones or tablets, along with short message system (SMS), to send text messages or chats in platforms such as Slack, Teams, Signal, WhatsApp, or Facebook Messenger to lure users into divulging their login credentials. | ・スマートフォンやタブレット端末とショートメッセージシステム(SMS)を使用して、Slack、Teams、Signal、WhatsApp、Facebook Messengerなどのプラットフォームでテキストメッセージやチャットを送信し、ユーザーをおびき寄せてログイン認証情報を漏えいさせる。 |
| o Note: Organizations operating in hybrid environments have fewer face-to-face interactions and frequent virtual exchanges; thus, users in these environments are more likely to be deceived by social engineering techniques tailored towards platforms they frequently use. | o 注意:ハイブリッド環境で活動する組織は、対面でのやり取りが少なく、バーチャルなやり取りが頻繁に行われるため、このような環境のユーザーは、頻繁に使用するプラットフォームに合わせたソーシャルエンジニアリングのテクニックに騙される可能性が高くなる。 |
| • Use voice over internet protocol (VoIP) to easily spoof caller identification (ID) which takes advantage of public trust in the security of phone services, especially landline phones. | ・ボイス・オーバー・インターネット・プロトコル(VoIP)を使用して、発信者識別(ID) を簡単に詐称し、電話サービス(特に固定電話)のセキュリティに対する社会的信用を利用する。 |
| Multi-factor authentication (MFA) can reduce the ability of malicious actors using compromised credentials for initial access. Despite this, if weak forms of MFA are enabled, malicious actors can still obtain access through phishing and other techniques. Instances of weak MFA implementation include the following: | 多要素認証(MFA)は、悪意のある行為者が最初のアクセスに漏洩した認証情報を使用する能力を低下させることができる。にもかかわらず、弱い形式の MFA が有効になっていると、悪意のある行為者はフィッシングやその他の手法でアクセスを得ることができる。弱い MFA 実装の例には、次のようなものがある: |
| • Accounts using MFA without Fast Identity Online (FIDO) MFA or Public Key Infrastructure (PKI)based MFA enabled. These forms of MFA- are susceptible to malicious actors using compromised legitimate credentials to authenticate as the user in legitimate login portals. | ・Fast Identity Online(FIDO)MFAまたは公開鍵基盤(PKI)ベースのMFAが有効になっていないMFAを使用しているアカウント。これらの形式の MFA は、悪意のある行為者が侵害された正規の認証情報を使用して、正規のログインポータルでユーザとして認証する可能性がある。 |
| • Push-notification MFA without number matching. Malicious actors can send a multitude of approve or deny “push requests” until a user either accepts the request, often by accident or in frustration. Thus, malicious actors may authenticate with the compromised user’s credentials, if they do not have number matching enabled | ・番号照合なしのプッシュ通知 MFA。悪意のある行為者は,ユーザが要求を受け入れるまで,多くの承認または拒否の「プッシュ要 求」を送信することができる。したがって,悪意のある行為者は,番号照合が有効になっていない場合,侵害されたユーザの認証情報を使って認証する可能性がある。 |
| • SMS or voice MFA. Malicious actors can convince cellular carrier representatives to transfer control of a user’s phone number to receive any SMS or call-based MFA codes. Malicious actors may also deceive users by sending an email containing a link to a malicious website that mimics a company’s legitimate login portal. The user submits their username, password, and the 6-digit code MFA, which the actors then receive to authenticate as the user in the legitimate login portal. | ・SMS または音声 MFA。悪意のある行為者は,SMS または通話ベースの MFA コードを受信するために,ユーザの電話番号の管理権を譲渡するよう携帯電話キャリアの担当者を説得することができる。また,悪意のある行為者は,企業の正規のログインポータルを模倣した悪意のあるウェブサイトへのリンクを含む電子メールを送信することで,ユーザーを欺くこともできる。ユーザはユーザ名,パスワード,そして6桁のMFAコードを送信し,悪意のある行為者はそれを受け取って正規のログインポータルでユーザとして認証する。 |
| Note: For more information on weak MFA implementations, see CISA’s Fact Sheets Implementing Phishing Resistant MFA and Implementing Number Matching in MFA Applications. | 注:脆弱なMFAの実装に関する詳細は、CISAのファクト・シート「フィッシングに強いMFAの実装」および「MFAアプリケーションにおける番号照合の実装」を参照のこと。 |
| MALWARE-BASED PHISHING | マルウェア型フィッシング |
| DEFINITION | 定義 |
| In malware-based phishing attacks, Malicious actors pose as trustworthy sources (e.g., colleagues, acquaintances, or organizations) to lure a victim into interacting with a malicious hyperlink or opening an email attachment to execute malware on host systems. | マルウェアベースのフィッシング攻撃では、悪意のある行為者が信頼できる情報源(同僚、知人、組織など)を装って被害者を誘い、悪意のあるハイパーリンクにアクセスさせたり、電子メールの添付ファイルを開かせたりして、ホストシステム上でマルウェアを実行させる。 |
| EXAMPLE TECHNIQUES | テクニックの例 |
| To execute malware on host systems, malicious actors commonly: | ホストシステム上でマルウェアを実行するために、悪意のある行為者は一般的に以下のような手口を用いる: |
| • Send malicious hyperlinks or attachments that cause a user to download malware, facilitating initial access, information stealing, damage or disruption to systems or services, and/or the escalation of account privileges. | ・ユーザにマルウェアをダウンロードさせるような悪意のあるハイパーリンクや添付ファイルを送信し,初期アクセス,情報窃取,システムやサービスへの損害や混乱,および/またはアカウント権限の昇格を容易にする。 |
| o Malicious actors may use free, publicly available tools (such as GoPhish or Zphisher) to facilitate spearphishing campaigns where individual users are targeted with specific and convincing lures. | o 悪意のある行為者は、無料で一般に利用可能なツール(GoPhishやZphisherなど)を使用して、特定の説得力のある誘い文句で個々のユーザーを標的にしたスピアフィッシング・キャンペーンを促進することがある。 |
| o Malicious actors may send malicious attachments with macro scripts or messages with seemingly benign or obfuscated links that download malicious executables. | o 悪意のある行為者は、マクロスクリプトを含む悪意のある添付ファイルや、悪意のある実行可能ファイルをダウンロードする一見良性または難読化されたリンクを含むメッセージを送信する可能性がある。 |
| • Use smartphone or tablet apps, along with SMS, to send text messages or chats in collaboration platforms (i.e., Slack, Teams, Signal, WhatsApp, iMessage, and Facebook Messenger) to lure users into interacting with a malicious hyperlink or attachment that executes malware. | ・スマートフォンやタブレット端末のアプリを SMS とともに使用し、テキストメッセージやコラボレーションプラットフォーム(Slack、Teams、Signal、WhatsApp、iMessage、Facebook Messenger など)のチャットを送信して、マルウェアを実行する悪意のあるハイパーリンクや添付ファイルにユーザーを誘導する。 |
| Note: It can be difficult for a user to detect malicious uniform resource locators (URLs) on these small platforms, as they use constrained user interfaces (UI). | 注意:これらの小規模なプラットフォームでは、制約のあるユーザーインターフェース(UI)を使用しているため、ユーザーが悪意のあるユニフォームリソースロケータ(URL)を検出することが困難な場合がある。 |
| MITIGATIONS | 対策 |
| ALL ORGANIZATIONS | すべての組織 |
| The mitigations below align with Cross-Sector Cybersecurity Performance Goals (CPGs) developed for organizations by CISA and the National Institute of Standards and Technology (NIST) to help mitigate the most prevalent cyber threats to organizational networks. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections. | 以下の緩和策は、CISA と米国標準技術局(NIST)が組織向けに開発した「Cross-Sector Cybersecurity Performance Goals(CPG)」に沿ったものであり、組織のネットワークに最も一般的なサイバー脅威を緩和するのに役立つ。追加の推奨ベースライン保護を含む CPGs の詳細については、CISA の Cross-Sector Cybersecurity Performance Goals を参照のこと。 |
| PROTECTING LOGIN CREDENTIALS | ログイン認証情報の保護 |
| CISA, NSA, FBI, and MS-ISAC recommend organizations implement the following to reduce the likelihood of successful login credential phishing. | CISA、NSA、FBI、MS-ISAC は、ログイン・クレデンシャル・フィッシングの成功の可能性を低減するために、組織が以下を実施することを推奨する。 |
| • Implement user training on social engineering and phishing attacks [CPG 2.I]. Regularly educate users on identifying suspicious emails and links, not interacting with those suspicious items, and the importance of reporting instances of opening suspicious emails, links, attachments, or other potential lures. | ・ソーシャル・エンジニアリングおよびフィッシング攻撃に関するユーザ・トレーニングを実施する [CPG 2.I]。不審な電子メールやリンクを識別すること、それらの不審なアイテムと対話しないこと、不審な電子メール、リンク、添付ファイル、またはその他の潜在的な誘い文句を開いた事例を報告することの重要性について、定期的にユーザを教育する。 |
| • Enable Domain-based Message Authentication, Reporting, and Conformance (DMARC) for received emails. | ・受信した電子メールについて、Domain-based Message Authentication, Reporting, and Conformance (DMARC)を有効にする。 |
| o DMARC, along with Sender Policy Framework (SPF) and Domain Keys Identified Mail (DKIM), verify the sending server of received emails by checking published rules. If an email fails the check, it is deemed a spoofed email address, and the mail system will quarantine and report it as malicious. | o DMARCは、Sender Policy Framework (SPF)やDomain Keys Identified Mail (DKIM)と共に、公開されているルールをチェックすることで、受信したメールの送信サーバーを確認する。電子メールのチェックに失敗した場合、その電子メールはなりすましメールアドレスとみなされ、メールシステムはそれを隔離し、悪意のあるものとして報告する。 |
| o Multiple recipients can be defined for the receipt of DMARC reports. | o DMARCレポートを受信するために、複数の受信者を定義することができる。 |
| o These tools reject any incoming email that has a domain that is being spoofed when a DMARC policy of reject is enabled. | o DMARCの拒否ポリシーが有効になっている場合、これらのツールはなりすましのドメインを持つ受信メールを拒否する。 |
| • Ensure DMARC is set to “reject” for sent emails [CPG 2.M]. This provides robust protection against other users receiving emails that impersonate a domain. | ・送信メールのDMARCが「拒否」に設定されていることを確認する [CPG 2.M]。これにより、ドメインを詐称したメールを他のユーザーが受信することを防ぐことができる。 |
| o Spoofed emails are rejected at the mail server prior to delivery. | o なりすましメールは、配信前にメールサーバーで拒否される。 |
| o DMARC reports provide a mechanism for notifying the owner of a spoofed domain including the source of an apparent forger (information they would not receive otherwise.) | o DMARCレポートは、なりすまされたドメインの所有者に、明らかな偽造者(そうでなければ受け取らない情報)の出所を含めて通知する仕組みを提供する。 |
| o Enable DMARC policies to lower the chance of cyber threat actors crafting emails that appear to come from your organization’s domain(s). | o DMARCポリシーを有効にして、サイバー脅威者が組織のドメインから来たように見えるメールを作成する可能性を下げる。 |
| o See CISA Insights Enhance Email and Web Security and the Center for Internet Security’s | o CISA Insights Enhance Email and Web SecurityおよびCenter for Internet Security(CIS)のDMARCに関するページを参照のこと。 |
| (CIS’s) page on DMARC, as well as Microsoft’s Anti-Spoofing guidance for more information.[1] | (CIS)のDMARCに関するページ、およびマイクロソフトのなりすまし防止ガイダンスを参照のこと[1]。 |
| • Implement internal mail and messaging monitoring. Monitoring internal mail and messaging traffic to identify suspicious activity is essential as users may be phished from outside the targeted network or without the knowledge of the organizational security team. Establish a baseline of normal network traffic and scrutinize any deviations. | ・内部メールおよびメッセージングの監視を実施する。ユーザが標的型ネットワークの外部から,または組織のセキュリティチームが知らないうちにフィッシングされる可能性があるため,不審な活動を特定するための内部メールおよびメッセージングトラフィックの監視は不可欠である。正常なネットワーク・トラフィックのベースラインを確立し,逸脱があれば精査する。 |
| • Implement free security tools, such as OpenDNS Home, to prevent cyber threat actors from redirecting users to malicious websites to steal their credentials. For more information see, CISA’s Free Cybersecurity Services and Tools webpage. | ・OpenDNS Homeのような無料のセキュリティツールを導入し,サイバー脅威者がユーザーを悪意のあるウェブサイトにリダイレクトして認証情報を盗むのを防ぐ。詳細については,CISAの無料のサイバーセキュリティサービスとツールのウェブページを参照のこと。 |
| • Harden credentials by: | ・以下の方法でクレデンシャルを保護する: |
| o Implementing FIDO or PKI-based MFA [CPG 2.H]. These forms of MFA are phishing resistant and resilient against the threats listed in previous sections. If an organization that uses mobile push-notification based MFA is unable to implement phishing-resistant MFA, use number matching to mitigate MFA fatigue. For further information, see CISA’s fact sheets for Implementing Phishing Resistant MFA and Implementing Number Matching in MFA Applications. | o FIDO または PKI ベースの MFA [CPG 2.H]を実装する。これらの形式の MFA はフィッシングに耐性があり、前のセクションで列挙した脅威に対して回復力がある。モバイルプッシュ通知ベースの MFA を使用する組織がフィッシング耐性のある MFA を実装できない場合、番号照合を使用して MFA 疲労を軽減する。詳細については、CISAのファクトシート「フィッシングに強いMFAの実装」および「MFAアプリケーションにおける番号照合の実装」を参照のこと。 |
| o Note: Deploying PKI-based MFA requires highly mature identity access and management programs and is not widely supported by commonly used services. | o 注:PKI ベースの MFA を導入するには、高度に成熟した ID アクセスおよび管理プログラ ムが必要であり、一般的に使用されているサービスでは広くサポートされていない。 |
| o Prioritizing phishing-resistant MFA for administrator and privileged user accounts, such as those with access to e-discovery tools or broad access to customer or financial data. | o e-discoveryツールへのアクセスや、顧客データまたは財務データへの広範なアクセ スなど、管理者および特権ユーザアカウントに対して、フィッシング耐性のMFAを優先する。 |
| o Implementing centralized logins around a Single Sign On (SSO) program. SSO is a user lifecycle management mechanism that—among other benefits—can reduce the chance of users being socially engineered to give up their login credentials, especially when paired with MFA or phishing-resistant MFA. SSO provides IT professionals an audit trail to examine, either proactively or retroactively, after a suspected or confirmed security breach. | o シングルサインオン(SSO)プログラムによる集中ログインを導入する。SSOはユーザ・ライフサイクル管理のメカニズムであり、特にMFAやフィッシングに強いMFAと組み合わせることで、ユーザが社会的に操作されてログイン認証情報を提供する可能性を減らすことができる。SSOは、セキュリティ侵害が疑われる、あるいは確認された後、IT専門家に、予防的または遡及的に調査するための監査証跡を提供する。 |
| • Review MFA lockout and alert settings and track denied (or attempted) MFA logins [CPG 2.G]. | ・MFA ロックアウトとアラート設定を見直し、拒否された(または試みられた) MFA ログインを追跡する [CPG 2.G]。 |
| o Perform an account lockout when unusual activity or ongoing malicious login attempts are occurring to prevent malicious actors from bypassing MFA. | o 異常な活動や継続的な悪意のあるログイン試行が発生している場合は、悪意のある行為 者による MFA バイパスを防止するためにアカウントのロックアウトを実行する。 |
| o Minimize unnecessary disruptions. This includes prioritizing the health of organizational and consumer data, rather than the short-term productivity of a single employee. A significant network security incident would not only impact production by many employees, but also resource availability and potentially customer or partner data. | o 不必要な混乱を最小限に抑える。これには、一従業員の短期的な生産性よりも、組織や消費者データの健全性を優先することが含まれる。重大なネットワーク・セキュリティ・インシデントが発生した場合、多くの従業員の生産性だけでなく、リソースの可用性、さらには顧客やパートナーのデータにも影響が及ぶ可能性がある。 |
| o Identify and remediate successful phishing attempts. | o 成功したフィッシングの試みを特定し、修正する。 |
| o Promptly report phishing incidents (see the Reporting section). | o フィッシング・インシデントを迅速に報告する(「報告」のセクションを参照)。 |
| o Develop a documented incident response plan. For further information, see CISA’s fact sheet on Incident Response Plan Basics. | o 文書化されたインシデント対応計画を策定する。詳細については、CISAのファクトシート「インシデント対応計画の基本」を参照のこと。 |
| PREVENTING MALWARE EXECUTION | マルウェアの実行を防ぐ |
| CISA, NSA, FBI, and MS-ISAC recommend organizations implement the following to reduce the likelihood of successful malware execution following phishing attacks. | CISA、NSA、FBI、およびMS-ISACは、フィッシング攻撃後にマルウェアが実行される可能性を低減するために、組織が以下を実施することを推奨する。 |
| • Incorporate denylists at the email gateway and enable firewall rules to prevent successful malware deployment. | ・メールゲートウェイに拒否リストを組み込み,ファイアウォールルールを有効にしてマルウェアの感染を防ぐ。 |
| • Use denylists to block known malicious domains, URLs, and IP addresses as well as file extensions such as .scr, .exe, .pif, and .cpl and mislabeled file extensions (e.g., a .exe file that is labeled as a .doc file.) o State local tribal and territory (SLTT) entities should enable malicious domain blocking and reporting (MDBR), which is a cloud-based solution with recursive domain name system (DNS) technology that works to prevent users from connecting to malicious | ・拒否リストを使用して、既知の悪意のあるドメイン、URL、IPアドレス、および.scr、.exe、.pif、.cplなどのファイル拡張子、および誤ったラベルのファイル拡張子(例えば、.docファイルとラベル付けされた.exeファイル)をブロックする。 |
| domains. For more information, visit CIS’s webpage on Malicious Domain Blocking and Reporting (MDBR). | を有効にすべきである。詳細については、CISの悪意のあるドメインのブロックと報告(MDBR)に関するウェブページを参照のこと。 |
| o For more information on protective phishing filters, refer to Microsoft, MacOS, or Google’s guidance on phishing and malware protection.[2],[3],[4],[5] CISA, NSA, FBI, and MS-ISAC recommend reaching out to vendors or service providers to learn about what phishing filters and malware protections are available. | o 保護フィッシング・フィルターの詳細については、Microsoft、MacOS、またはGoogleのフィッシングおよびマルウェア保護に関するガイダンス[2]、[3]、[4]、[5] CISA、NSA、FBI、およびMS-ISACは、どのようなフィッシング・フィルターおよびマルウェア保護が利用可能かについて、ベンダーまたはサービス・プロバイダーに問い合わせることを推奨する。 |
| • Restrict MacOS and Windows users from having administrative rights [CPG 2.E]. | ・MacOS や Windows ユーザの管理者権限を制限する [CPG 2.E]。 |
| • Implement the principle of least privilege (PoLP) when administering user accounts, and only allow designated administrator accounts to be used for administrative purposes. | ・ユーザ・アカウントを管理する際には最小特権の原則(PoLP)を実施し、指定された管理者アカウントのみが管理目的で使用できるようにする。 |
| • Implement application allowlists [CPG 2.Q], which are security controls that enumerate application components authorized to be present within a network based on a defined baseline. For more information, see NIST’s Application Allowlisting. | ・アプリケーション許可リスト[CPG 2.Q]を実装する。これは、定義された基本基 準に基づいて、ネットワーク内に存在することを許可されたアプリケーション・コンポーネントを列挙 するセキュリティ管理である。詳細については、NIST の Application Allowlisting を参照のこと。 |
| • Block macros by default [CPG 2.N]. | ・マクロをデフォルトでブロックする [CPG 2.N]。 |
| • Implement remote browser isolation (RBI) solutions that prevent malware propagation through quarantining the malware sample upon user execution. RBI solutions run applications that quarantine malware when a user interacts with a malicious link or binary to prevent further spread into the environment. Configure RBI solutions in remote workstations so that any malware is contained within an isolation boundary and cannot access an organization’s resources. | ・リモートブラウザ隔離(RBI)ソリューションを実装し、ユーザ実行時にマルウェアのサンプルを隔離することで、マルウェアの伝播を防止する。RBIソリューションは、ユーザが悪意のあるリンクやバイナリと対話したときにマルウェアを隔離するアプリケーションを実行し、環境へのさらなる拡散を防止する。リモート・ワークステーションに RBI ソリューションを構成し、マルウェアが隔離境界内に封じ込められ、組織のリソースにアクセスできないようにする。 |
| • Implement free security tools like Quad9 or Google Safe Browsing to identify and stop malware upon user execution. For more information see, CISA’s Free Cybersecurity Services and Tools webpage. | ・Quad9やGoogleセーフ・ブラウジングのような無料のセキュリティ・ツールを導入し,ユーザーの実行時にマルウェアを特定し,阻止する。詳細については,CISAの無料のサイバーセキュリティ・サービスとツールのウェブページを参照のこと。 |
| • Set up a self-serve app store where customers can install approved apps and block apps and executables from other sources. | ・顧客が承認されたアプリをインストールし,他のソースからのアプリや実行可能ファイルをブロックできるセルフサービスのアプリストアを設定する。 |
| • Implement a free protective DNS resolver to prevent malicious actors from redirecting users to malicious websites to steal their credentials. Several services provide free security tools ranging from personal to professional use cases, such as OpenDNS Home or Cloudflare Zero Trust Services. For more information see, CISA’s Free Cybersecurity Services and Tools webpage. Federal organizations should see CISA’s fact sheet Protective Domain Name System (DNS) Resolver Service for information. | ・無料の保護DNSリゾルバを導入し,悪意のある行為者がユーザーを悪意のあるウェブサイトにリダイレクトして認証情報を盗むのを防ぐ。OpenDNS HomeやCloudflare Zero Trust Servicesなど,個人的な使用例からプロフェッショナルな使用例まで,いくつかのサービスが無料のセキュリティツールを提供している。詳細については,CISAの無料のサイバーセキュリティ・サービスとツールのウェブページを参照のこと。連邦政府組織は,CISAのファクトシート「Protective Domain Name System (DNS) Resolver Service」を参照のこと。 |
| SMALL- AND MEDIUM-SIZED BUSINESSES (SMBs) OR ORGANIZATIONS | 中小企業(SMB)または組織 |
| CISA, NSA, FBI, and MS-ISAC recommend that small- and medium-sized organizations with limited resources prioritize the following best practices to protect network resources from prevalent phishing threats: | CISA、NSA、FBI、およびMS-ISACは、リソースが限られている中小規模の組織が、蔓延するフィッシングの脅威からネットワークリソースを保護するために、以下のベストプラクティスを優先的に実施することを推奨する: |
| • User phishing awareness training: Implement a standard anti-phishing training program and require employees to review phishing training material annually. Additionally, conclude the program evolution with a training check that certifies that the employee has retained all the information outlined in the training program. | ・ユーザーのフィッシングに対する意識向上トレーニングを行う: 標準的なアンチフィッシング・トレーニング・プログラムを実施し、従業員には毎年フィッシング・トレーニングの資料を見直すことを義務づける。さらに、トレーニング・プログラムの最後に、従業員がトレーニング・プログラムに概説された情報をすべて保持していることを証明するトレーニング・チェックを実施する。 |
| o Small businesses are encouraged to implement commercial phishing awareness training programs to employees. Additionally, NIST offers free anti-phishing training resources for small businesses on their Small Business Cybersecurity Corner: Phishing webpage. | o 中小企業は従業員に対して商業的なフィッシング認識トレーニングプログラムを実施することが推奨される。さらに、NISTはSmall Business Cybersecurity Cornerで中小企業向けに無料のフィッシング対策トレーニングリソースを提供している: フィッシングのウェブページ |
| o The Department of Justice (DOJ) offers Anti-Phishing Training Program Support to federal organizations. | o 司法省(DOJ)は連邦政府組織に対してフィッシング対策トレーニングプログラムのサポートを提供している。 |
| o The Federal Trade Commission (FTC) offers guidance to protect small businesses from phishing threats on their Cybersecurity for Small Businesses: Phishing webpage. | o 連邦取引委員会(FTC)は中小企業をフィッシングの脅威から守るためのガイダンスを中小企業のためのサイバーセキュリティで提供している: フィッシングのウェブページ |
| • Identify network phishing vulnerabilities: Federal organizations are encouraged to participate in CISA’s Phishing Vulnerability Scanning assessment service. | ・ネットワーク・フィッシングの脆弱性を特定する: 連邦政府組織はCISAのフィッシング脆弱性スキャン評価サービスに参加することが推奨される。 |
| • Enable MFA: Activating a strong MFA is the best way that small businesses can protect their internet facing business accounts from phishing related threats. | ・MFAを有効にする:強力なMFAを有効にすることは,中小企業がインターネットに面したビジネスアカウントをフィッシング関連の脅威から守る最善の方法である。 |
| o Learn more about why MFA is important for small business to enable by visiting CISA’s More than a Password MFA webpage. The webpage includes an MFA hierarchy, which helps users identify the strongest form of MFA, and ensures users can select the best form of MFA based on their operational needs. | o CISAのMore than a Password MFAのウェブページで、なぜMFAを有効にすることが中小企業にとって重要なのかについて詳しく知ることができる。このウェブページにはMFA階層があり、ユーザが最強のMFAを特定するのに役立ち、ユーザが運用上のニーズに基づいて最適なMFAを選択できるようになっている。 |
| Additionally, CISA, NSA, FBI, and MS-ISAC recommend SMBs implement the technical solutions below to prevent phishing related compromises: | さらに、CISA、NSA、FBI、およびMS-ISACは、フィッシングに関連する侵害を防止するために、中小企業が以下の技術的ソリューションを導入することを推奨している: |
| • Implement strong password policies to authenticate users. These passwords must adhere to a password strength policy which requires minimum character length, numbers, special characters, and case sensitivity, along with prohibiting users from recycling previously used passwords. | ・ユーザーを認証するために強固なパスワードポリシーを導入する。これらのパスワードは,最低文字数,数字,特殊文字,大文字小文字の区別を要求するパスワード強度ポリシーを遵守する必要があり,また,ユーザーが以前に使用したパスワードを再利用することを禁止する。 |
| • Implement DNS filtering or firewall denylists to block known malicious sites. | ・DNSフィルタリングやファイアウォールの拒否リストを導入し,既知の悪意のあるサイトをブロックする。 |
| • Implement anti-virus solutions to mitigate malware and to stop malware from executing if a malicious hyperlink or attachment from an email is opened. | ・マルウェアを軽減し,悪意のあるハイパーリンクや電子メールの添付ファイルを開いた場合にマルウェアの実行を阻止するために,アンチウィルス・ソリューションを導入する。 |
| • Implement file restriction policies that prevent malicious high risk file extensions e.g., .exe or .scr from being downloaded and executed. These types of files are unnecessary for daily operations and should be heavily restricted on standard business accounts. | ・.exeや.scrなど、悪意のある高リスクのファイル拡張子がダウンロードされ実行されるのを防ぐファイル制限ポリシーを導入する。これらの種類のファイルは日常業務には不要であり、標準的なビジネスアカウントでは厳重に制限する。 |
| • Ensure that software applications are set to automatically update so that network software is always upgraded to the latest version. This helps to prevent malicious actors from exploiting vulnerabilities within an organization’s network software. | ・ネットワーク・ソフトウェアが常に最新バージョンにアップグレードされるように,ソフトウェア・アプリケーションが自動的にアップデートされるように設定されていることを確認する。これにより,悪意ある行為者が組織のネットワーク・ソフトウェア内の脆弱性を悪用することを防ぐことができる。 |
| • Enable safe web browsing policies so that employees can only access websites that are needed for daily business operations. These policies also prevent users from visiting malicious websites that often contain malware that can either harvest user credentials or deploy additional malware to damage organizational systems. | ・従業員が日常業務に必要なウェブサイトにのみアクセスできるよう,安全なウェブ閲覧ポリシーを有効にする。これらのポリシーは,ユーザー認証情報を取得したり,組織のシステムに損害を与える追加的なマルウェアを展開したりするマルウェアを含むことが多い悪意のあるウェブサイトをユーザーが閲覧することも防ぐ。 |
| • Implement a secure virtual private network (VPN) with MFA enabled. | ・MFAを有効にした安全な仮想プライベート・ネットワーク(VPN)を導入する。 |
| • Reference the Federal Communications Commission’s (FCC) Cybersecurity Planning Guide. The guide includes information on ways small businesses can improve their overall cybersecurity posture. | ・連邦通信委員会(FCC)のサイバーセキュリティ計画ガイドを参照する。このガイドには、中小企業が全体的なサイバーセキュリティ態勢を改善する方法に関する情報が含まれている。 |
| • Consider migrating to managed cloud-based email services from reputable third-party vendors. CISA, NSA, and MS-ISAC encourage small businesses with limited resources to seek managed cloud email services from trusted third-party vendors. | ・信頼できるサードパーティ・ベンダーのマネージド・クラウドベースのEメールサービスへの移行を検討する。CISA,NSA,MS-ISACは,リソースが限られている中小企業に対し,信頼できるサードパーティ・ベンダーのマネージド・クラウド・メール・サービスを求めることを推奨している。 |
| o Migrating from on-premises mail systems to trusted third-party cloud-based mail providers is beneficial for customers because providers regularly patch and update their systems. Providers also commonly perform robust email traffic monitoring and antiphishing malware services. | o オンプレミスのメールシステムから信頼できるサードパーティのクラウドベースのメールプロバイダに移行することは、プロバイダが定期的にパッチやアップデートを行うため、顧客にとって有益である。また、プロバイダーは一般的に、強固なメールトラフィックの監視とマルウェア対策サービスを実施している。 |
| o For more information on cloud services, see CISA’s Secure Cloud Business Applications (SCuBA) project. Although tailored to federal organizations, the SCuBA project provides guidance and capabilities applicable to all organizations with cloud business application environments. | o クラウドサービスの詳細については、CISAのセキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクトを参照のこと。連邦政府組織向けではあるが、SCuBAプロジェクトは、クラウド・ビジネス・アプリケーション環境を持つすべての組織に適用可能なガイダンスと機能を提供している。 |
| SOFTWARE MANUFACTURERS | ソフトウェア・メーカー |
| CISA, NSA, FBI, and MS-ISAC recommend software manufacturers incorporate secure-by-design and default principles and tactics into their software development practices, reducing the susceptibility of their customers to phishing attacks. For more information on secure by design, see CISA’s secure by design webpage and joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default. | CISA、NSA、FBI、およびMS-ISACは、ソフトウェア・メーカーがセキュア・バイ・デザインおよびデフォルトの原則と戦術をソフトウェア開発手法に組み込み、顧客がフィッシング攻撃を受けにくくすることを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインのウェブページおよび共同ガイド「サイバーセキュリティ・リスクのバランスをシフトする:セキュア・バイ・デザインおよびデフォルトのための原則とアプローチ」を参照のこと。 |
| To mitigate the success of phishing emails reaching users and users interacting with the email, the authoring organizations recommend the following: | フィッシング・メールがユーザーに到達すること、およびユーザーがそのメールとやりとりすることを軽減するために、作成団体は以下のことを推奨している: |
| • Perform field testing of email software. Implement threat modeling to test the email software against various deployment scenarios while considering use-cases for organizations ranging from small to large and configure the software with secure defaults based on the test findings. | ・電子メールソフトウェアのフィールドテストを実施する。脅威モデリングを実施し,小規模から大規模までの組織のユースケースを考慮しながら,様々な展開シナリオに対してメールソフトウェアをテストし,テスト結果に基づいて安全なデフォルトを設定する。 |
| • Provide email software with DMARC enabled for received emails by default. | ・デフォルトで受信メールのDMARCを有効にしたメールソフトを提供する。 |
| • Provide email software with DMARC configured to “reject” for sent emails by default. | ・デフォルトで送信メールのDMARCを「拒否」に設定したメールソフトを提供する。 |
| • Provide email products with internal mail and messaging monitoring mechanisms enabled by default. Email software manufacturers are encouraged to include automatic email traffic monitoring mechanisms by default that automatically scan email traffic for the presence of malicious attachments or URLs within email messages. | ・内部メールおよびメッセージングの監視メカニズムをデフォルトで有効にしたメール製品を提供する。電子メールソフトメーカーは,電子メールメッセージ内に悪意のある添付ファイルやURLが存在しないか,電子メールトラフィックを自動的にスキャンする自動電子メールトラフィック監視メカニズムをデフォルトで含めることが推奨される。 |
| • Mandate MFA for privileged users. Frequently, malicious actors focus their infiltration techniques on administrator accounts. Administrator accounts have elevated privileges and should be protected by strong MFA by default. | ・特権ユーザーのMFAを義務付ける。多くの場合,悪意のある行為者は管理者アカウントに侵入テクニックを集中させる。管理者アカウントは高い権限を持つため,デフォルトで強力なMFAで保護する。 |
| o Make MFA an opt-out feature rather than opt-in; have the system regularly prompt the administrator to enroll in MFA until they have successfully enabled it on their account. | o MFAをオプトインではなくオプトアウト機能にする。管理者が自分のアカウントでMFAを正常に有効にするまで、システムが定期的にMFAへの登録を促すようにする。 |
| • Implement SSO for applications via modern open standards. Examples include Security Assertion Markup Language (SAML) or OpenID Connect (OIDC.) Make this capability available by default at no additional cost. | ・最新のオープンスタンダードを使って、アプリケーションにSSOを実装する。例えば、SAML(Security Assertion Markup Language)やOIDC(OpenID Connect)などがある。 |
| • Consider implementing security notifications for the customer when non-secure configurations are used in email software products. For example, if administrators are not enrolled in MFA, send repeated security notifications warning the organization of the present security risks so that they know to mitigate the risk. | ・電子メールソフトウェア製品で非セキュアな設定が使用されている場合,顧客に 対するセキュリティ通知の実装を検討する。例えば,管理者がMFAに登録していない場合,組織に対して現在のセキュリティリスクを警告するセキュリティ通知を繰り返し送信し,リスクを軽減できるようにする。 |
| To mitigate successful malware execution following phishing attacks: | フィッシング攻撃に続いてマルウェアが実行されるのを防ぐ: |
| • Ensure phishing filtering and blocking mechanisms are packaged with email software by default to prevent successful malware deployment. | ・フィッシングのフィルタリングとブロックの仕組みを電子メールソフトにデフォルトで組み込む。 |
| • Provide email software with limited administrative rights by default. Only allow designated administrator accounts to be used for administrative purposes. | ・デフォルトで管理者権限を制限したメールソフトを提供する。指定された管理者アカウントのみが管理目的に使用できるようにする。 |
| • Provide email software with application allowlists by default. | ・デフォルトでアプリケーションの許可リストをメールソフトに組み込む。 |
| • Provide a self-serve application store where customers can install approved applications. Block applications and executables from external, unapproved sources that are not permitted via organizational policy. | ・顧客が承認されたアプリケーションをインストールできるセルフサービスのアプリケーションストアを提供する。組織のポリシーで許可されていない外部ソースからのアプリケーションや実行可能ファイルをブロックする。 |
| • Include mechanisms that block macros by default with email products. | ・マクロをブロックする仕組みをメール製品にデフォルトで組み込む。 |
| • Include RBI solutions by default. | ・RBI ソリューションをデフォルトで含める。 |
| INCIDENT RESPONSE | インシデント対応 |
| If an organization identifies compromised credentials and/or successful malware from phishing activity, remediate the activity by: | 組織がフィッシング行為によって漏えいした認証情報および/または成功したマルウェアを識別した場合、以下の方法でその行為を修復する: |
| 1. Re-provisioning suspected or confirmed compromised user accounts to prevent malicious actors from maintaining continued access to the environment. | 1. 漏洩が疑われる、または確認されたユーザーアカウントを再プロビジョニングし、悪意ある行為者が環境への継続的なアクセスを維持することを防止する。 |
| 2. Auditing account access following a confirmed phishing incident to ensure malicious actors no longer have access to the initially impacted account. | 2. フィッシングが確認された後、アカウントへのアクセスを監査し、悪意のある行為者が最初に影響を受けたアカウントにアクセスできなくなったことを確認する。 |
| 3. Isolating the affected workstation after the detection of a phishing attack. This helps stop the executed malware from spreading further into the organization’s network. | 3. フィッシング攻撃の検出後、影響を受けたワークステーションを隔離する。これにより、実行されたマルウェアが組織のネットワークにさらに広がることを阻止する。 |
| 4. Analyzing the malware. After isolating the affected workstation(s), have the malware analyzed by a team that specializes in malware analysis. | 4. マルウェアを分析する。感染したワークステーションを隔離した後、マルウェア解析を専門とするチームにマルウェア解析を依頼する。 |
| Note: This step may require outsourcing to expert third-party consultants. After analysis, specialists will know how to safely handle the malware. Learn more by visiting CISA’s malware analysis services and resources webpage. | 注:このステップでは、第三者の専門コンサルタントにアウトソーシングする必要があるかもしれない。分析後、専門家はマルウェアを安全に処理する方法を知ることができる。詳細については、CISAのマルウェア解析サービスとリソースのウェブページを参照のこと。 |
| 5. Eradicating the malware. Eradicate the malware from the network so other workstations within the organization’s networks can no longer be negatively impacted by the executed malware. | 5. マルウェアを駆除する。実行されたマルウェアによって組織のネットワーク内の他のワークステーションが悪影響を受けないように、マルウェアをネットワークから駆除する。 |
| 6. Restore systems to normal operations and confirm they are functioning properly. The main challenges at this phase are confirming that remediation has been successful, rebuilding systems, reconnecting networks, as well as correcting misconfigurations. | 6. システムを通常運用に戻し、正常に機能していることを確認する。この段階での主な課題は、修復が成功したことの確認、システムの再構築、ネットワークの再接続、および誤った設定の修正である。 |
| For more guidance on how to respond to malicious cyber incidents, see CISA’s incident response playbook and Federal Government Cybersecurity Incident and Vulnerability Response Playbook. Although tailored to federal organizations, these playbooks provide operational procedures for planning and conducting cybersecurity incident and vulnerability response activities and detail steps for both incident and vulnerability response. | 悪意のあるサイバーインシデントに対応する方法に関する詳しいガイダンスについては、CISAのインシデント対応プレイブックおよび連邦政府サイバーセキュリティインシデントおよび脆弱性対応プレイブックを参照のこと。これらのプレイブックは、連邦政府組織に合わせて作成されているが、サイバーセキュリティ・インシデントおよび脆弱性対応活動を計画し、実施するための運用手順を提供し、インシデント対応と脆弱性対応の両方の手順を詳述している。 |
| REPORTING | 報告 |
| Organizations are encouraged to use reporting features that are built into Microsoft Outlook and other cloud email platforms, as well as report spam directly to Microsoft, Apple, and Google, as applicable. Reporting suspicious phishing activity is one of the most efficient methods for protecting organizations as it helps email service providers identify new or trending phishing attacks. | 組織は、Microsoft Outlookやその他のクラウド・メール・プラットフォームに組み込まれた報告機能を利用することが推奨される。また、該当する場合は、Microsoft、Apple、Googleに直接スパムを報告することも推奨される。疑わしいフィッシング・アクティビティを報告することは、メール・サービス・プロバイダーが新しいフィッシング攻撃やトレンドのフィッシング攻撃を特定するのに役立つため、組織を保護するための最も効率的な方法の1つである。 |
| • CISA urges organizations to promptly report phishing incidents to CISA at report@cisa.gov or call the 24/7 response line at (888) 282-0870. | ・CISAは組織に対し、フィッシング・インシデントを速やかにCISA(report@cisa.gov)に報告するか、24時間年中無休のレスポンス・ライン((888) 282-0870)に電話するよう促している。 |
| • To report spoofing or phishing attempts (or to report that you've been a victim), file a complaint with the FBI’s Internet Crime Complaint Center (IC3), or contact your local FBI Field Office to report an incident. | ・なりすましやフィッシングの被害を報告する(または被害にあったことを報告する)には、FBIのインターネット犯罪苦情センター(IC3)に苦情を申し立てる、または最寄りのFBI支部に連絡して事件を報告する。 |
| • State, local, tribal, and territorial (SLTT) government entities can report to the Multi-State Information Sharing and Analysis Center (MS-ISAC) by emailing SOC@cisecurity.org or calling (866) 787-4722. | ・州、地方、部族、準州(SLTT)政府機関は、SOC@cisecurity.org に電子メールを送るか、(866) 787-4722 に電話することにより、Multi-State Information Sharing and Analysis Center (MS-ISAC) に報告することができる。 |
| CISA SERVICES | CISAサービス |
| • Cyber Hygiene | ・サイバー衛生 |
| • Malware Analysis | ・マルウェア分析 |
| • Phishing Vulnerability Scanning | ・フィッシング脆弱性スキャン |
| • Free Cybersecurity Services and Tools | ・無料のサイバーセキュリティ・サービスとツール |
| MS-ISAC/CIS Services | MS-ISAC/CISサービス |
| • MS-ISAC Membership and Benefits | ・MS-ISACメンバーシップと特典 |
| • CIS Critical Security Controls | ・CISクリティカル・セキュリティ・コントロール |
| • Malicious Domain Blocking and Reporting | ・悪意のあるドメインのブロックとレポート |
| • Albert Network Monitoring and Management | ・アルバート・ネットワークの監視と管理 |
| • CIS Endpoint Security Services | ・CISエンドポイントセキュリティサービス |
| RESOURCES | リソース |
| CISA | CISA |
| • Cross-Sector Cybersecurity Performance Goals | ・クロスセクター・サイバーセキュリティのパフォーマンス目標 |
| • Secure by Design | CISA | ・セキュア・バイ・デザイン|CISA |
| • More than a Password | CISA | ・パスワード以上のもの|CISA |
| • Counter-Phishing Recommendations for Federal Agencies | ・連邦政府機関のためのフィッシング対策推奨事項 |
| • Zero Trust Maturity Model | ・ゼロ・トラスト成熟度モデル |
| • Incident Response Playbook | ・インシデント・レスポンス・プレイブック |
| • Enhance Email and Web Security | ・電子メールとウェブのセキュリティを強化する |
| • Reducing Spam | ・スパムを減らす |
| • Cyber Smart Phishing Guidance | ・サイバースマート・フィッシング・ガイダンス |
| • Phishing Security Postcard | ・フィッシング・セキュリティ・ポストカード |
| • Phishing Infographic | ・フィッシング・インフォグラフィック |
| • Anti-Phishing Training Program Support | CISA | ・フィッシング対策トレーニングプログラム支援|CISA |
| NSA | NSA |
| • Stop the Snowball: Protect Yourself from Phishing Scams | ・雪だるま式を止めろ: フィッシング詐欺から身を守ろう |
| FBI | FBI |
| • Spoofing and Phishing | ・なりすましとフィッシング |
| CENTER FOR INTERNET SECURITY | インターネットセキュリティセンター |
| • How DMARC Advances Email Security | ・DMARCはどのように電子メールのセキュリティを向上させるか |
| • A Short Guide for Spotting Phishing Attempts | ・フィッシング詐欺を見破るためのショートガイド |
| • CIS Blueprint of a Phishing Attack | ・フィッシング攻撃のCISブループリント |
« NIST IR 8473 電気自動車の超高速充電インフラ向けサイバーセキュリティフレームワークプロファイル | Main | 経済産業省 「インド太平洋地域向け日米EU産業制御システムサイバーセキュリティウィーク」を実施 (2023.10.16) »
Comments