Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

こんにちは、丸山満彦です。

Five Eyesのサイバーセキュリティ機関（オーストラリアACSC、カナダCCCS、ニュージーランドNCSC、英国NCSC、米国CISA）等が、共同で、中華人民共和国の支援を受けたサイバーアクター (Volt Typhoon) が米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断し、警告と対策を公表していますね。。。

このブログでも紹介しましたが、2024.01.31 に米国司法省が、民間と協力してVolt Typhoonのボットネットを破壊したと公表していましたが（このブログ）、その関係ですかね。。。昨年2023.05.24にVolt TyphoonについてのアラートをFive Eyesで公表していますね（このブログ）。。。米国はVolt Typhoonの動きは相当気にしているようですね...

‘living off the land; LOTL’ という用語がキーワードなんですが、訳語が難しいですね。。。私は「現地調達」としたのですが、「自給自足」、「環境寄生型」と訳しているケースもありますね。。。自給自足が近いですかね。。。

 

まずは、米国から...その後はアルファベット順に...

● CISA

・2024.02.07 CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance	CISAとパートナーは、中国が支援するボルト台風の活動に関する勧告と現地調達手法の識別と低減のためのガイドラインの補足を発表した。
Today, CISA, the National Security Agency (NSA), and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure alongside supplemental Joint Guidance: Identifying and Mitigating Living off the Land Techniques.	本日、CISA、国家安全保障局（NSA）、連邦捜査局（FBI）は、共同サイバーセキュリティ・アドバイザリ（CSA）「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」を、補足的な共同ガイダンスとともに発表した： 現地調達手法の識別と低減」と併せて発表した。
The following federal agencies and international organizations are additional co-authors on the joint advisory and guidance:	以下の連邦政府機関および国際機関は、共同勧告およびガイダンスの追加共著者である：
・U.S. Department of Energy (DOE)	・米国エネルギー省（DOE）
・U.S. Environmental Protection Agency (EPA)	・米国環境保護庁（EPA）
・U.S. Transportation Security Administration (TSA)	・米国運輸保安局（TSA）
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC)	・オーストラリア信号総局（ASD）のオーストラリア・サイバー・セキュリティ・センター（ACSC）
・Canadian Centre for Cyber Security (CCCS) a part of the Communications Security Establishment (CSE)	・カナダ・サイバーセキュリティセンター（CCCS）（コミュニケーション・セキュリティ・エスタブリッシュメント（CSE）の一部
・United Kingdom National Cyber Security Centre (NCSC-UK)	・英国国家サイバーセキュリティセンター（NCSC-UK）
・New Zealand National Cyber Security Centre (NCSC-NZ)	・ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
Volt Typhoon actors are seeking to pre-position themselves—using living off the land (LOTL) techniques—on IT networks for disruptive or destructive cyber activity against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. The advisory provides actionable information from U.S. incident response activity that can help all organizations:	ボルト・タイフーンの行動主体は、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー活動のために、現地調達（LOTL）技術を用いてITネットワーク上に事前に配置しようとしている。この勧告は、米国のインシデント対応活動から、すべての組織に役立つ実用的な情報を提供する：
1. Recognize Volt Typhoon techniques,	1. ボルト・タイフーンのテクニックを認識する、
2. Assess whether Volt Typhoon techniques have compromised your organization,	2. ボルト・タイフーンのテクニックがあなたの組織を危険にさらしているかどうかを評価する、
3. Secure your networks from these adversarial techniques by implementing recommended mitigations.	3. 推奨される低減策を実施することにより、これらの敵対的手法からネットワークを保護する。
To supplement the advisory, the Joint Guidance provides threat detection information and mitigations applicable to LOTL activity, regardless of threat actor. Additionally, CISA has published Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers, which provides technology manufactures guidance on protecting their products from Volt Typhoon compromises .	この勧告を補足するために、共同ガイダンスは、脅威行為者に関係なく、LOTL の活動に適用可能な脅威検知情報と低減策を提供している。さらに、CISA は「Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers（設計による安全確保：SOHO 機器製造者のためのセキュリティ設計改善）」を発表し、Volt Typhoon による侵害から自社製品を保護するための技術製造者向けガイダンスを提供している。
CISA and its partners strongly urge critical infrastructure organizations and technology manufacturers to read the joint advisory and guidance to defend against this threat. For more information on People’s Republic of China (PRC) state-sponsored actors, visit People's Republic of China Cyber Threat. To learn more about secure by design principles and practices, visit Secure by Design.	CISAとそのパートナーは、重要インフラ組織と技術製造者がこの脅威から身を守るために共同勧告とガイダンスを読むよう強く求めている。中華人民共和国（PRC）の国家支援行為者の詳細については、中華人民共和国のサイバー脅威を参照のこと。セキュア・バイ・デザインの原則と実践の詳細については、セキュア・バイ・デザインを参照のこと。

 

アドバイザリー...

・2024.02.07 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

AA24-038A

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure	中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する
ACTIONS TO TAKE TODAY TO MITIGATE VOLT TYPHOON ACTIVITY:	台風の活動を軽減するために、今すぐ取るべき行動
1. Apply patches for internet-facing systems. Prioritize patching critical vulnerabilities in appliances known to be frequently exploited by Volt Typhoon.	1. インターネットに接続するシステムにパッチを適用する。ボルト・タイフーンに頻繁に悪用されることが知られているアプライアンスの重要な脆弱性に優先的にパッチを適用する。
2. Implement phishing-resistant MFA.	2. フィッシングに強いMFAを導入する。
3. Ensure logging is turned on for application, access, and security logs and store logs in a central system.	3. アプリケーション・ログ、アクセス・ログ、セキュリティ・ログを確実に記録し、中央システムに保存する。
SUMMARY	概要
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) assess that People’s Republic of China (PRC) state-sponsored cyber actors are seeking to pre-position themselves on IT networks for disruptive or destructive cyberattacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States.	サイバーセキュリティ・インフラ・セキュリティ庁（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）は、中華人民共和国（PRC）の国家に支援されたサイバー・アクターが、米国との間で重大な危機や紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のために、ITネットワーク上に事前に配置しようとしていると評価している。
CISA, NSA, FBI and the following partners are releasing this advisory to warn critical infrastructure organizations about this assessment, which is based on observations from the U.S. authoring agencies’ incident response activities at critical infrastructure organizations compromised by the PRC state-sponsored cyber group known as Volt Typhoon (also known as Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite, and Insidious Taurus):	CISA、NSA、FBI、および以下のパートナーは、ボルト・タイフーン（別名Vanguard Panda、BRONZE SILHOUETTE、Dev-0391、UNC3236、Voltzite、およびInsidious Taurus）として知られるPRC国家支援サイバー・グループによって侵害された重要インフラ組織における米国認可機関のインシデント対応活動からの観察に基づくこの評価について、重要インフラ組織に警告するためにこの勧告を発表する：
・U.S. Department of Energy (DOE)	・米国エネルギー省（DOE）
・U.S. Environmental Protection Agency (EPA)	・米国環境保護庁（EPA）
・U.S. Transportation Security Administration (TSA)	・米国運輸保安局（TSA）
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC)	・オーストラリア信号総局（ASD）のオーストラリア・サイバー・セキュリティ・センター（ACSC）
・Canadian Centre for Cyber Security (CCCS), a part of the Communications Security Establishment (CSE)	・コミュニケーション・セキュリティ・エスタブリッシュメント（CSE）の一部であるカナダ・サイバーセキュリティセンター（CCCS）
・United Kingdom National Cyber Security Centre (NCSC-UK)	・英国国家サイバーセキュリティセンター（NCSC-UK）
・New Zealand National Cyber Security Centre (NCSC-NZ)	・ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
The U.S. authoring agencies have confirmed that Volt Typhoon has compromised the IT environments of multiple critical infrastructure organizations—primarily in Communications, Energy, Transportation Systems, and Water and Wastewater Systems Sectors—in the continental and non-continental United States and its territories, including Guam. Volt Typhoon’s choice of targets and pattern of behavior is not consistent with traditional cyber espionage or intelligence gathering operations, and the U.S. authoring agencies assess with high confidence that Volt Typhoon actors are pre-positioning themselves on IT networks to enable lateral movement to OT assets to disrupt functions. The U.S. authoring agencies are concerned about the potential for these actors to use their network access for disruptive effects in the event of potential geopolitical tensions and/or military conflicts. CCCS assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. ASD’s ACSC and NCSC-NZ assess Australian and New Zealand critical infrastructure, respectively, could be vulnerable to similar activity from PRC state-sponsored actors.	米国の認可機関は、ボルト・タイフーンが米国本土および非大陸、グアムを含むその領土にある、主にコミュニケーション、エネルギー、輸送システム、上下水道システム部門の複数の重要インフラ組織のIT環境を侵害したことを確認した。ヴォルト・タイフーンの標的の選択と行動パターンは、伝統的なサイバースパイ活動や情報収集活動とは一致せず、米国の認可機関は、ボルト・タイフーンの行為者は、機能を混乱させるためにOT資産への横方向の移動を可能にするために、ITネットワーク上にあらかじめ配置されていると高い確信をもって評価している。米国の認可機関は、潜在的な地政学的緊張や軍事衝突が発生した場合に、これらの行為者がネットワークアクセスを破壊的効果のために利用する可能性を懸念している。CCCSは、カナダの重要インフラに対するPRCの国家支援行為者の直接的脅威は、米国のインフラに対する脅威より低い可能性が高いが、米国のインフラが中断された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。ASDのACSCとNCSC-NZは、それぞれオーストラリアとニュージーランドの重要インフラを評価しているが、PRCの国家支援者による同様の活動に対して脆弱性を持つ可能性がある。
As the authoring agencies have previously highlighted, the use of living off the land (LOTL) techniques is a hallmark of Volt Typhoon actors’ malicious cyber activity when targeting critical infrastructure. The group also relies on valid accounts and leverage strong operational security, which combined, allows for long-term undiscovered persistence. In fact, the U.S. authoring agencies have recently observed indications of Volt Typhoon actors maintaining access and footholds within some victim IT environments for at least five years. Volt Typhoon actors conduct extensive pre-exploitation reconnaissance to learn about the target organization and its environment; tailor their tactics, techniques, and procedures (TTPs) to the victim’s environment; and dedicate ongoing resources to maintaining persistence and understanding the target environment over time, even after initial compromise.	認可機関が以前に強調したように、現地調達（LOTL）テクニックの使用は、重要インフラを標的にしたときのVolt Typhoon行為者の悪意あるサイバー活動の特徴である。このグループはまた、有効なアカウントに依存し、強力な運用セキュリティを活用することで、発見されずに長期的に存続することを可能にしている。実際、米国の認可機関は最近、ヴォルト・タイフーン活動家が少なくとも5年間は被害者のIT環境にアクセスし、その足場を維持している兆候を観察している。Volt Typhoonの行為者は、標的の組織とその環境について知るために、大規模な事前偵察を行い、被害者の環境に合わせて戦術、技術、手順（TTP）を調整し、最初の侵害後でさえ、長期にわたって標的の環境を理解し、持続性を維持するために継続的なリソースを費やしている。
The authoring agencies urge critical infrastructure organizations to apply the mitigations in this advisory and to hunt for similar malicious activity using the guidance herein provided, along with the recommendations found in joint guide Identifying and Mitigating Living Off the Land Techniques. These mitigations are primarily intended for IT and OT administrators in critical infrastructure organizations. Following the mitigations for prevention of or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities.	認可機関は、重要インフラ組織が本勧告の軽減策を適用し、共同ガイド「現地調達手法の特定と軽減」に記載されている推奨事項とともに、本指針に記載されているガイダンスを使用して同様の悪意ある活動を狩ることを強く推奨する。これらの低減は、主に重要インフラ組織の IT および OT 管理者を対象としている。インシデントの発生を防止するため、あるいはインシデントに対応するための低減策に従うことは、ボルト・タイフーン のアクセスを妨害し、重要インフラ事業体への脅威を低減するのに役立つ。
If activity is identified, the authoring agencies strongly recommend that critical infrastructure organizations apply the incident response recommendations in this advisory and report the incident to the relevant agency (see Contact Information section).	活動が確認された場合、重要インフラ組織は、本勧告のインシデント対応に関する推奨事項を適用し、関連機関（「連絡先情報」セクションを参照）にインシデントを報告することを強く推奨する。
For additional information, see joint advisory People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection and U.S. Department of Justice (DOJ) press release U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage.	追加情報については、共同勧告「中華人民共和国が現地調達して検知を逃れるサイバー行為者」および米国司法省（DOJ）のプレスリリース「米国政府、重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊」を参照のこと。中華人民共和国が国家をスポンサーとする悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照のこと。

 

・[PDF] 

 

ボルト・タイフーンの活動例

 

 

・2023.02.07 MAR-10448362-1.v1 Volt Typhoon

MAR-10448362-1.v1 Volt Typhoon	MAR-10448362-1.v1 ボルト・タイフーン
Summary	概要
Description	説明
CISA received three files for analysis obtained from a critical infrastructure compromised by the People’s Republic of China (PRC) state-sponsored cyber group known as Volt Typhoon.	CISAは、ボルト・タイフーンとして知られる中華人民共和国（PRC）国家支援サイバー・グループによって侵害された重要インフラから入手した3つの分析用ファイルを受け取った。
The submitted files enable discovery and command-and-control (C2): (1) An open source Fast Reverse Proxy Client (FRPC) tool used to open a reverse proxy between the compromised system and a Volt Typhoon C2 server; (2) a Fast Reverse Proxy (FRP) that can be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT); and (3) a publicly available port scanner called ScanLine.	(1)侵害されたシステムとボルト・タイフーンのC2サーバーとの間にリバース・プロキシを開くために使用されるオープン・ソースのFast Reverse Proxy Client (FRPC)ツール、(2)ネットワーク・ファイアウォールの背後にある、またはネットワーク・アドレス変換(NAT)によって隠されているサーバーを明らかにするために使用できるFast Reverse Proxy (FRP)、(3)ScanLineと呼ばれる一般に入手可能なポート・スキャナー。
For more information on Volt Typhoon see, joint Cybersecurity Advisory PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories, webpage.	ボルト・タイフーンの詳細については、共同サイバーセキュリティ・アドバイザリー「PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure」を参照のこと。中国国家が支援する悪質なサイバー活動の詳細については、CISAの「中国サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF]

 

---

 

オーストラリア

● Australian Signal Directorete - Cyber Security Centre

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

Identifying and Mitigating Living Off the Land Techniques	現地調達手法の識別と低減
Summary	概要
Introduction	序文
Living off the Land	現地調達
Network Defense Weaknesses	ネットワーク防御の弱点
Best Practice Recommendations	ベストプラクティスの推奨
Detection and Hunting Recommendations	検知とハンティングのすすめ
Remediation	修復
Secure by Design: Recommendations for Software Manufacturers	セキュア・バイ・デザイン ソフトウェア製造事業者への提言
Resources	リソース
References	参考文献
Disclaimer	免責事項
Acknowledgements	謝辞
Appendix A: LOTL in WIndows, Linux, MacOS, and Hybrid Environments	附属書 A: Windows、Linux、MacOS、およびハイブリッド環境における LOTL
Appendix B: Third-Party Tools for LOTL	附属書 B: LOTL 用サードパーティ製ツール
Appendix C: Known Lolbins Used Maliciously	附属書C：悪意を持って使用されている既知のLolbins
Summary	概要
This Guide, authored by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and the following agencies (hereafter referred to as the authoring agencies), provides information on common living off the land (LOTL) techniques and common gaps in cyber defense capabilities.	本ガイドは、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）、連邦捜査 局（FBI）、及び以下の機関（以下、認可機関と呼ぶ）によって作成され、現地調達（LOTL）の一般的な手 法及びサイバー防御能力における一般的なギャップに関する情報を提供する。
・U.S. Department of Energy (DOE)	・米国エネルギー省（DOE）
・U.S. Environmental Protection Agency (EPA)	・米国環境保護庁（EPA）
・U.S. Transportation Security Agency (TSA)	・米国運輸保安庁（TSA）
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC)	・オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター（ASD's ACSC）
・Canadian Centre for Cyber Security (CCCS)	・カナダ・サイバーセキュリティセンター（CCCS）
・United Kingdom National Cyber Security Centre (NCSC-UK)	・英国国家サイバーセキュリティセンター（NCSC-UK）
・New Zealand National Cyber Security Centre (NCSC-NZ)	・ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
The joint guide for network defenders focuses on how to mitigate identified gaps and to detect and hunt for LOTL activity. The information in this joint guide is derived from a previously published joint advisory; incident response engagements undertaken by several of the authoring agencies; red team assessments by several of the authoring agencies using LOTL for undetected, persistent access; and collaborative efforts with industry.	ネットワーク防衛者のための共同ガイドは、識別されたギャップを軽減し、LOTL の活動を検知し、ハントする方法に重点を置いている。この共同ガイドの情報は、以前に発表された共同アドバイザリ、認可機関のいくつかによって実施されたインシデント対応業務、未検出の持続的アクセスに LOTL を使用する認可機関のいくつかによるレッドチーム評価、および産業界との共同作業から得られたものである。
The authoring agencies have observed cyber threat actors, including the People’s Republic of China (PRC) [1],[2] and Russian Federation [3] state-sponsored actors, leveraging LOTL techniques to compromise and maintain persistent access to critical infrastructure organizations. The authoring agencies are releasing this joint guide for network defenders (including threat hunters) as the malicious use of LOTL techniques is increasingly emerging in the broader cyber threat environment.	認可機関は、中華人民共和国（PRC）[1]、[2]、ロシア連邦[3]などの国家に支援されたサイバー脅威行為者が、LOTL 技術を活用し て重要インフラ組織を侵害し、持続的なアクセスを維持していることを確認している。認可機関は、ネットワーク防御者（脅威ハンターを含む）のために、LOTL 手法の悪意ある利用が広範なサイ バー脅威環境においてますます顕在化していることから、この共同ガイドを公開する。
Cyber threat actors leveraging LOTL abuse native tools and processes on systems, often using “living off the land binaries” (LOLBins). They use LOTL in multiple IT environments, including on-premises, cloud, hybrid, Windows, Linux, and macOS environments. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behavior, potentially circumventing basic endpoint security capabilities.	LOTL を活用するサイバー脅威行為者は、システム上のネイティブなツールやプロセスを悪用し、多くの場合「現地調達バイナリ」（LOLBin）を使用する。彼らは、オンプレミス、クラウド、ハイブリッド、Windows、Linux、macOS 環境など、複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避できる可能性がある。
LOTL is particularly effective because:	LOTL が特に効果的な理由は以下の通りである：
・Many organizations lack effective security and network management practices (such as established baselines) that support detection of malicious LOTL activity—this makes it difficult for network defenders to discern legitimate behavior from malicious behavior and conduct behavioral analytics, anomaly detection, and proactive hunting.	・多くの組織では、悪意のある LOTL アクティビティの検知をサポートする効果的なセキュリティおよびネットワーク管理の実践（確立されたベースラインなど）が欠如しているため、ネットワーク防御者が正当な挙動と悪意のある挙動を識別し、行動分析、異常検知、プロアクティブ・ハンティングを実施することが困難である。
・There is a general lack of conventional indicators of compromise (IOCs) associated with the activity, complicating network defenders’ efforts to identify, track, and categorize malicious behavior.	・一般的に、この活動に関連する従来の侵害指標（IOC）が欠如しているため、悪意のある行動を識別、追跡、分類するネットワーク防御者の取り組みが複雑になっている。
・It enables cyber threat actors to avoid investing in developing and deploying custom tools.	・これにより、サイバー脅威行為者はカスタムツールの開発・導入への投資を避けることができる。
Even for organizations adopting best practices, distinguishing malicious LOTL activity from legitimate behavior is challenging because network defenders often:	ベスト・プラクティスを採用している組織であっても、悪意のある LOTL アクティビティと正当なアクティビティを区別することは困難である：
・Operate in silos separate from IT teams and their operational workflows;	・IT チームやその運用ワークフローから切り離されたサイロの中で運用されている；
・Rely predominantly on untuned endpoint detection and response (EDR) systems, which may not alert to LOTL activity, and discrete IOCs that attackers can alter or obfuscate to avoid detection;	・LOTL アクティビティに警告を発しない可能性のある、チューニングされていないエンドポイント検知・対 応（EDR）システムや、攻撃者が検知を回避するために変更または難読化できる個別の IOC に主に依存している；
・Maintain default logging configurations, which do not comprehensively log indicators of LOTL techniques or sufficiently detailed information to differentiate malicious activity from legitimate IT administrative activity; and	・LOTL 手法の指標や、悪意のある活動と正当な IT 管理活動を区別するための十分詳細な情報を包括的に記録しない、デフォルトのロギング設定を維持している。
・Have difficulty in identifying a relatively small volume of malicious activity within large volumes of log data.	・大量のログデータの中から比較的少量の悪意のある活動を識別することが困難である。
The authoring agencies strongly urge critical infrastructure organizations to apply the following prioritized best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. There is no foolproof solution to fully prevent or detect LOTL activity, but by applying these best practices organizations can best position themselves for more effective detection and mitigation.	認可機関は、重要なインフラストラクチャ組織に対し、以下の優先順位の高いベストプラクティスと検 出ガイダンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの推奨事項は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。LOTL 活動を完全に防止または検知するための確実な解決策は存在しないが、これらのベストプラクティスを適用することで、組織はより効果的な検知と低減のための最適なポジションを確保することができる。
Detection Best Practices:	検知のベストプラクティス：
1. Implement detailed logging and aggregate logs in an out-of-band, centralized location that is write-once, read-many to avoid the risk of attackers modifying or erasing logs.	1. 攻撃者がログを変更または消去するリスクを回避するため、詳細なロギングを実施し、ログを帯域外の一元化された場所に集約する。
2. Establish and continuously maintain baselines of network, user, administrative, and application activity and least privilege restrictions.	2. ネットワーク、ユーザー、管理者、アプリケーションのアクティビティと最小権限制限のベースラインを確立し、継続的に維持する。
3. Build or acquire automation (such as machine learning models) to continually review all logs to compare current activities against established behavioral baselines and alert on specified anomalies.	3. 機械学習モデルなどの）自動化を構築または導入し、すべてのログを継続的にレビューして、確立された行動ベースラインと現在のアクティビティを比較し、指定された異常についてアラートを発する。
4. Reduce alert noise by fine-tuning via priority (urgency and severity) and continuously review detections based on trending activity.	4. 優先度（緊急度と重要度）を微調整してアラートのノイズを減らし、傾向のあるアクティビティに基づいて検知を継続的にレビューする。
5. Leverage user and entity behavior analytics (UEBA).	5. ユーザーと事業体の行動分析（UEBA）を活用する。
Hardening Best Practices:	ハードニングのベストプラクティス
1. Apply and consult vendor-recommended guidance for security hardening.	1. ベンダが推奨するセキュリティ堅牢化ガイダンスを適用し、参照する。
2. Implement application allowlisting and monitor use of common LOLBins.	2. アプリケーションの許可リストを実装し、一般的な LOLBIN の使用を監視する。
3. Enhance IT and OT network segmentation and monitoring.	3. IT および OT ネットワークのセグメンテーションと監視を強化する。
4. Implement authentication and authorization controls for all human-to-software and software-to-software interactions regardless of network location.	4. ネットワークの場所に関係なく、本人からソフトウエア、ソフトウエアからソフトウエアへのすべてのインタラクションに対して認証と認可の管理を実施する。
For details and additional recommendations, see the Best Practice Recommendations and Detection and Hunting Recommendations sections. If LOTL activity is identified, defenders should report the activity to the relevant agencies, as applicable, and apply the remediation guidance in this guide.	詳細とその他の推奨事項については、「ベスト・プラクティスの推奨事項」と「検知とハンティングの 推奨事項」のセクションを参照のこと。LOTL の活動が確認された場合、識別は、該当する場合、その活動を関連機関に報告し、本ガイドの修正ガイダンスを適用する。
Additionally, this guide provides recommendations for software manufacturers to reduce the prevalence of exploitable flaws in software that enable LOTL. In many cases, software defects or unsecure default configurations allow cyber threat actors to carry out malicious cyber activity using LOTL techniques. The authoring agencies strongly encourage software manufacturers to take ownership of their customers’ security outcomes by applying the secure by design recommendations in this guide and in CISA’s joint secure by design guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software.	さらに、本ガイドは、LOTL を可能にするソフトウェアの悪用可能な欠陥の蔓延を減少させるために、ソフ トウェア製造事業者に対する勧告を提供する。多くの場合、ソフトウェアの欠陥や安全でない初期設定により、サイバー脅威行為者は LOTL の技法を用いて悪意あるサイバー活動を行うことができる。認可機関は、ソフトウェア製造事業者に対し、本ガイド及び CISA の共同セキュア・バイ・デザイン・ガイド「サイバーセキュリティ・リスクのバランスをシフトする：セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のセキュア・バイ・デザインの推奨事項を適用することで、顧客のセキュリティ成果にオーナーシップを持つことを強く推奨する。
Technology manufacturers can reduce the effectiveness of LOTL techniques by producing products that are secure by design, including by:	技術製造事業者は、以下のようなセキュア・バイ・デザインの製品を製造することで、LOTL 手法の有効性を低減することができる：
・Disabling or removing unnecessary protocols by default.	・不要なプロトコルをデフォルトで無効化または削除する。
・Limiting network reachability to the extent feasible.	・実現可能な範囲でネットワークへの到達性を制限する。
・Limiting processes and programs running with elevated privileges.	・昇格した権限で実行されるプロセスやプログラムを制限する。
・Enabling phishing-resistant MFA as a default feature.	・フィッシングに強いMFAをデフォルトの機能として有効にする。
・Providing high-quality secure logging at no additional charge beyond processing and storage costs.	・高品質で安全なロギングを、処理コストや保管コスト以上の追加料金なしでプロバイダが提供する。
・Eliminating default passwords and credentials when installing software.	・ソフトウェアをインストールする際のデフォルトのパスワードや認証情報をなくす。
・Limiting or removing dynamic code execution.	・動的なコード実行を制限または削除する。

 

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

 

・2024.02.08 PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure

 

 

---

 

カナダ...

・2024.02.07 Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land

Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land	米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告、および現地調達の特定と低減に関する共同ガイダンス
The Canadian Centre for Cyber Security  (the Cyber Centre) has joined the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the following international partners in releasing a cyber security advisory on PRC state-sponsored actors malicious cyber activity targeting critical infrastructure  using living off the land (LOTL) techniques:	カナダ・サイバーセキュリティセンター（以下、サイバーセンター）は、サイバーセキュリティ・インフラセキュリティ庁（以下、CISA）、国家安全保障局（以下、NSA）、および以下の国際的パートナーとともに、LOTL（Living Off the Land：現地調達）技術を使用して重要インフラを標的とするPRC国家支援行為者の悪質なサイバー活動に関するサイバーセキュリティ勧告を発表した：
・Australian Cyber Security Centre (ACSC)	・オーストラリア・サイバーセキュリティセンター（ACSC）
・New Zealand National Cyber Security Centre (NCSC-NZ)	・ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK)	・英国（UK）国家サイバーセキュリティセンター（NCSC-UK）
This joint cyber security advisory, PRC State-Sponsored Actors Compromise  and Maintain Persistent Access to U.S. Critical Infrastructure, warns that PRC state-sponsored cyber actors are seeking to pre-position for disruptive or destructive cyber attacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. CISA and the Cyber Centre have released this guidance alongside the ASCS and the NCSC-UK.	この共同サイバーセキュリティ勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、PRCの国家支援を受けているサイバー・アクターが、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のための事前準備を行おうとしていることを警告している。CISAとサイバーセンターは、ASCSとNCSC-UKとともにこのガイダンスを発表した。
The Cyber Centre assesses that the direct threat to Canada's critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration.	サイバーセンターは、中国の国家支援行為者がカナダの重要インフラに与える直接的脅威は、米国のインフラに与える脅威よりも低い可能性が高いが、米国のインフラが破壊された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。
Accompanying guidance has also been released by CISA, NSA, ACSC, and NCSC-UK. Identifying and Mitigating Living Off the Land provides insight into techniques and common gaps in network defence capabilities.	CISA、NSA、ACSC、NCSC-UKからも付随するガイダンスが発表されている。現地調達手法の識別と低減」は、ネットワーク防御能力におけるテクニックと一般的なギャップについての洞察を提供する。
Cyber threat  actors leveraging LOTL abuse native tools and processes on systems. They use LOTL in multiple IT environments, including on-premises, cloud and hybrid. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behaviour, potentially circumventing basic endpoint security capabilities.	LOTL を活用するサイバー脅威行為者は、システム上のネイティブ・ツールやプロセスを悪用する。彼らは、オンプレミス、クラウド、ハイブリッドを含む複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避する可能性がある。
We are releasing this joint guidance for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organizations.	中華人民共和国（PRC）やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、我々はネットワーク防御者（脅威ハンターを含む）向けにこの共同ガイダンスを発表する。
Read the joint guidance and advisory:	共同ガイダンスと勧告を読む：
・Identifying and Mitigating Living Off the Land	・現地調達手法の識別と低減」を読む。
・PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure	・中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する

 

 

---

 

ニュージーランド...

● National Cyber Security Centre; NCSC

・2024.02.08  Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

 

Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance	共同勧告 PRCが支援するボルト台風の活動と現地調達手法の識別と低減のためのガイドラインの補足
Today, the National Cyber Security Centre (NCSC) has joined international partners in publishing joint guidance titled, ‘Identifying and Mitigating Living Off the Land' and a cyber security advisory titled, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’.	本日、米国サイバーセキュリティセンター（NCSC）は、国際的なパートナーとともに、「現地調達手法の識別と低減」と題する共同ガイダンスと、「PRC国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」と題するサイバーセキュリティ勧告を発表した。
The joint guidance, ‘Identifying and Mitigating Living Off the Land’ (LOTL) provides information on common LOTL techniques and gaps in cyber defense capabilities. It also provides guidance for network defenders to mitigate identified gaps and to detect and hunt for LOTL activity. The authoring agencies are releasing this joint advisory for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organisations. The authoring agencies strongly urge critical infrastructure organisations to apply the prioritised security best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis.	共同ガイダンスの「現地調達（LOTL）手法の識別と低減」は、一般的なLOTLテクニックとサイバー防衛能力のギャップに関する情報を提供している。また、識別されたギャップを軽減し、LOTL 活動を検知し、狩猟するためのネットワーク防衛者向けのガイダンスも提供している。認可機関は、中華人民共和国（PRC）やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、ネットワーク防御者（脅威ハンターを含む）向けにこの共同勧告を発表する。認可機関は、重要インフラ組織に対し、優先順位の高いセキュリティのベストプラクティスと検知ガイダ ンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの勧告は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。
The joint advisory, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’ urges critical infrastructure organisations to apply the mitigations and hunt for similar malicious activity using the guidance within this advisory in parallel to the Identifying and Mitigating Living Off the Land guidance. These mitigations are intended for IT and OT administrators in critical infrastructure organisations to reduce risk and impact of future compromise or detect and mitigate if malicious activity is discovered. Following the mitigations for prevention or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities.	共同勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、重要インフラ組織に対し、現地調達手法の識別と低減のためのガイドラインと並行して、本勧告内のガイダンスを使用して、低減策を適用し、同様の悪意ある活動を探すよう促している。これらの低減策は、重要インフラ組織のITおよびOT管理者が、将来の侵害のリスクと影響を低減すること、または悪意のある活動が発見された場合にそれを検知し低減することを目的としている。予防のため、あるいはインシデントに対応するために、これらの軽減策に従うことで、ボルト・タイフーンのアクセスを妨害し、重要インフラ事業体への脅威を軽減することができる。
If activity is identified, we strongly recommend that critical infrastructure organisations apply the incident response recommendations in this advisory and report the incident to [mail]	活動が確認された場合、重要インフラ組織はこの勧告にあるインシデント対応の推奨事項を適用し、インシデントを [mail] に報告することを強く推奨する。

 

---

 

最後はUK...

● National Cyber Security Centre

・2024.02.07 NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks

 

NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks	NCSCとパートナーは、重要インフラネットワークに潜伏する国家支援のサイバー攻撃者について警告を発している。
GCHQ’s National Cyber Security Centre and partners share details of how threat actors are using built-in tools to camouflage themselves on victims’ systems.	GCHQのナショナル・サイバー・セキュリティ・センターとパートナーは、脅威行為者が被害者のシステム上でカモフラージュするために内蔵ツールを使用している方法の詳細を共有する。
・New joint advisory and guidance reveal state-sponsored actors are among attackers using ‘living off the land’ techniques to persist on critical infrastructure networks	・新たな共同勧告とガイダンスにより、重要インフラ・ネットワークに潜伏する「現地調達」テクニックを使用する攻撃者の中に、国家の支援を受けた行為者が含まれていることが明らかになった。
・UK critical infrastructure operators urged to follow advice to help detect and mitigate malicious activity	・英国の重要インフラ事業者は、悪意のある活動を検知・軽減するための助言に従うよう要請された。
The UK and allies have issued a fresh warning to critical infrastructure operators today (Wednesday) about the threat from cyber attackers using sophisticated techniques to camouflage their activity on victims’ networks.	英国と同盟国は本日（水曜日）、重要インフラ事業者に対し、被害者のネットワーク上での活動をカモフラージュする高度なテクニックを使用するサイバー攻撃者の脅威について、新たな警告を発した。
The National Cyber Security Centre – a part of GCHQ – and agencies in the US, Australia, Canada and New Zealand have detailed how threat actors have been exploiting native tools and processes built into computer systems to gain persistent access and avoid detection.	GCHQの一部である国家サイバーセキュリティセンターと米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、脅威行為者がコンピュータシステムに組み込まれたネイティブツールやプロセスを悪用して、持続的なアクセスを獲得し、検知を回避していることを詳述した。
This kind of tradecraft, known as ‘living off the land’, allows attackers to operate discreetly, with malicious activity blending in with legitimate system and network behaviour making it difficult to differentiate – even by organisations with more mature security postures.	このような手口は「現地調達」と呼ばれ、攻撃者が目立たないように活動することを可能にし、悪意のある活動が正当なシステムやネットワークの動作に紛れ込むことで、より成熟したセキュリティ体制を持つ組織であっても区別が難しくなる。
The NCSC assesses it is likely this type of activity poses a threat to UK critical national infrastructure and so all providers are urged to follow the recommended actions to help detect compromises and mitigate vulnerabilities.	NCSCは、この種の活動が英国の重要な国家インフラに脅威を与えている可能性が高いと評価しており、すべてのプロバイダに対して、侵害を検知し脆弱性を軽減するために推奨されるアクションに従うよう求めている。
The new ‘Identifying and Mitigating Living Off The Land’ guidance warns that China state-sponsored and Russia state-sponsored actors are among the attackers that have been observed living off the land on compromised critical infrastructure networks .	新しい「現地調達手法の識別と低減」ガイダンスは、侵害された重要インフラ・ネットワーク上で現地調達していることが確認されている攻撃者の中には、中国国家とロシア国家に支援された行為者が含まれていると警告している。
Meanwhile, a separate advisory shares specific details about China state-sponsored actor Volt Typhoon which has been observed using living off the land techniques to compromise US critical infrastructure systems.	一方、別の勧告では、米国の重要インフラシステムを侵害するために現地調達のテクニックを使用していることが確認されている中国国家支援行為者ボルト・タイフーンについて、具体的な詳細を共有している。
The Deputy Prime Minister Oliver Dowden said:	オリバー・ダウデン副首相は次のように述べた：
“In this new dangerous and volatile world where the frontline is increasingly online, we must protect and future proof our systems.	「この危険で不安定な新しい世界では、最前線はますますオンライン化されており、我々はシステムを保護し、将来に備えなければならない。
“Earlier this week, I announced an independent review to look at cyber security as an enabler to build trust, resilience and unleash growth across the UK economy.”	「今週初め、私は、信頼とレジリエンスを構築し、英国経済全体の成長を解き放つための手段として、サイバーセキュリティを検討する独立したレビューを発表した。
By driving up the resilience of our critical infrastructure across the UK we will defend ourselves from cyber attackers that would do us harm.”	英国全体の重要インフラのレジリエンスを向上させることで、我々に危害を加えるサイバー攻撃者から身を守ることができる。
Paul Chichester, NCSC Director of Operations, said:	NCSCのディレクターであるポール・チチェスター氏は、次のように述べた：
“It is vital that operators of UK critical infrastructure heed this warning about cyber attackers using sophisticated techniques to hide on victims’ systems.	「英国の重要インフラの運営者は、被害者のシステムに隠れるために洗練されたテクニックを使うサイバー攻撃者に関するこの警告に耳を傾けることが不可欠である。
“Threat actors left to carry out their operations undetected present a persistent and potentially very serious threat to the provision of essential services.	「脅威行為者が発見されないまま作戦を遂行することは、重要なサービスの提供に対する持続的かつ潜在的に非常に深刻な脅威となる。
“Organisations should apply the protections set out in the latest guidance to help hunt down and mitigate any malicious activity found on their networks.”	「組織は、最新のガイダンスに示された防御を適用し、ネットワーク上で発見された悪意のある活動を追跡し、軽減するのに役立てるべきである。
The new advisory and joint guidance provide an update to a warning issued last May about China state-sponsored activity seen against critical infrastructure networks in the US that could be used against networks worldwide.	この新しい勧告と共同ガイダンスは、昨年5月に発表された、米国内の重要インフラ・ネットワークに対する中国の国家支援活動に関する警告を更新したもので、世界中のネットワークに対して使用される可能性がある。
They include the latest advice to help network defenders identify living off the land activity and to mitigate and remediate if a compromise is detected.	これらのガイダンスには、ネットワーク防御者が現地調達の活動を特定し、侵害が検知された場合に低減と修復を行うのに役立つ最新のアドバイスが含まれている。
While organisations should ensure they adopt a defence-in-depth approach as part of cyber security best practice, the 'Identifying and Mitigating Living Off The Land' guidance provides priority recommendations, which include:	組織は、サイバーセキュリティのベストプラクティスの一環として、徹底的な防御アプローチを確実に採用すべきであるが、「現地調達の識別と低減」ガイダンスは、以下を含む優先順位の高い推奨事項を提供している：
・Implementing logging and aggregate logs in an out-of-band, centralised location	・ロギングを実施し、帯域外の一元化された場所にログを集約する。
・Establishing a baseline of network, user and application activity and use automation to continually review all logs and compare activity	・ネットワーク、ユーザー、アプリケーションのアクティビティのベースラインを確立し、自動化を使用してすべてのログを継続的にレビューし、アクティビティを比較する。
・Reducing alert noise	・アラートノイズを減らす
・Implementing application allow listing	・アプリケーションの許可リストを実装する
・Enhancing network segmentation and monitoring	・ネットワークのセグメンテーションと監視を強化する
・Implementing authentication controls	・本人認証の導入
・Leveraging user and entity behaviour analytics (UEBA)	・ユーザーと事業体の行動分析（UEBA）の活用
Both products can be read on the CISA website:	どちらの製品もCISAのウェブサイトで読むことができる：
・Identifying and Mitigating Living Off The Land	・現地調達の識別と低減
・PRC State-Sponsored Actors Compromise and Maintain Persistent Access to US Critical Infrastructure	・中国国家支援機関が米国の重要インフラを侵害し、持続的なアクセスを維持する

 

---

 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊（だから、IoT認証が重要...）

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)