米国 国土安全保障省サイバー安全審査会 2023年夏に発生したMicrosoft Online Exchangeインシデントに関する報告書

こんにちは、丸山満彦です。

国土安全保障省サイバー安全審査会が、 2023年夏に発生したMicrosoft Online Exchangeインシデントに関する報告書を公表しています。

サイバー安全審査会としては、3番目の報告書になりますね。。。

ちなみに、第1回報告書は「Log4j」に関する報告で、第2回報告書は「Lapsus$」に関する報告...

で、勧告をだしているのですが、25項目...

事実の分析と、勧告の内容もなかなか読み応えのある内容です...

 

● U.S. Department of Homeland Sescuty

・2024.04.02 Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023

Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023	サイバー安全審査会、2023年夏に発生したMicrosoft Online Exchangeインシデントに関する報告書を発表
WASHINGTON – Today, the U.S. Department of Homeland Security (DHS) released the Cyber Safety Review Board’s (CSRB) findings and recommendations following its independent review of the Summer 2023 Microsoft Exchange Online intrusion. The review detailed operational and strategic decisions that led to the intrusion and recommended specific practices for industry and government to implement to ensure an intrusion of this magnitude does not happen again. Secretary of Homeland Security Alejandro N. Mayorkas received the CSRB report from the Board and delivered it to President Biden. This is the third review completed by the CSRB since the Board was announced in February 2022.	ワシントン発 - 本日、米国国土安全保障省（DHS）は、2023年夏に発生したマイクロソフト・エクスチェンジ・オンラインへの侵入事件に関する独立したレビューを受け、サイバー安全審査会（CSRB）の調査結果と勧告を発表した。このレビューでは、侵入に至った業務上および戦略上の意思決定について詳述し、このような大規模な侵入が二度と起こらないようにするために、産業界と政府が実施すべき具体的な実践方法を勧告した。国土安全保障省のアレハンドロ・N・マヨルカス長官は、理事会からCSRBの報告書を受け取り、バイデン大統領に手渡した。これは、2022年2月にCSRBが発表されて以来、3回目のレビューである。
“Individuals and organizations across the country rely on cloud services every day, and the security of this technology has never been more important,” said Secretary Mayorkas. “Nation-state actors continue to grow more sophisticated in their ability to compromise cloud service systems. Public-private partnerships like the CSRB are critical in our efforts to mitigate the serious cyber threat these nation-state actors pose. The Department of Homeland Security appreciates the Board’s comprehensive review and report of the Storm-0558 incident. Implementation of the Board’s recommendations will enhance our cybersecurity for years to come.”	マヨルカス長官は、以下のように述べた。「全米の個人と組織は毎日クラウドサービスに依存しており、この技術のセキュリティはかつてないほど重要になっている。国家的行為者は、クラウド・サービスのシステムを侵害する能力において、より巧妙になり続けている。CSRBのような官民パートナーシップは、このような国家的行為者がもたらす深刻なサイバー脅威を軽減するための取り組みにおいて極めて重要である。国土安全保障省は、Storm-0558インシデントに関する理事会の包括的なレビューと報告書を高く評価している。理事会の勧告を実施することで、今後何年にもわたってサイバーセキュリティが強化されるだろう。」
The CSRB provides a unique forum for leading government and industry experts to review significant cybersecurity events and provide independent, strategic, and actionable recommendations to the President, the Secretary, and the Director of the Cybersecurity and Infrastructure Security Agency (CISA) to better protect our nation. The Board is made up of cybersecurity leaders from the private sector and senior officials from DHS, CISA, the Defense Department, the National Security Agency, the Department of Justice, the Federal Bureau of Investigation, the Office of the National Cyber Director, and the Federal Chief Information Officer.	CSRBは、政府と業界の一流の専門家がサイバーセキュリティに関する重要な出来事を検討し、大統領、長官、サイバーセキュリティ・インフラセキュリティ庁（CISA）長官に対し、独立した戦略的かつ実行可能な勧告を提供するユニークなフォーラムであり、わが国をよりよく守るために設けられている。理事会は、民間部門のサイバーセキュリティリーダーと、DHS、CISA、国防総省、国家安全保障局、司法省、連邦捜査局、国家サイバー長官室、連邦最高情報責任者の高官で構成されている。
In August 2023, DHS announced that the CSRB would assess the recent Microsoft Exchange Online intrusion, initially reported in July 2023, and conduct a broader review of issues relating to cloud-based identity and authentication infrastructure affecting applicable cloud service providers (CSP) and their customers. The CSRB obtained data from and conducted interviews with 20 organizations and experts including cybersecurity companies, technology companies, law enforcement organizations, security researchers, academics, as well as several impacted organizations.	2023 年 8 月、DHS は、CSRB が 2023 年 7 月に最初に報告された最近の Microsoft Exchange Online への侵入を評価し、該当するクラウド・サービス・プロバイダ（CSP）およびその顧客に 影響を与えるクラウドベースの ID および認証インフラに関連する問題について、より広範なレ ビューを実施すると発表した。CSRBは、サイバーセキュリティ企業、テクノロジー企業、法執行機関、セキュリティ研究者、学識者、および影響を受けた複数の組織を含む20の組織および専門家からデータを入手し、インタビューを実施した。
The inclusive review process developed actionable findings and recommendations. As a result of the CSRB’s recommendations, CISA plans to convene major CSPs to develop cloud security practices aligned with the CSRB recommendations and a process for CSPs to regularly attest and demonstrate alignment.	包括的な検討プロセスにより、実用的な発見と提言がなされた。CSRBの勧告の結果、CISAは主要なCSPを招集し、CSRBの勧告に沿ったクラウドセキュリティの実践方法と、CSPが定期的に証明書を発行し、その整合性を実証するプロセスを開発する予定である。
“DHS is committed to efforts that meaningfully improve cybersecurity resilience and preparedness for our nation, and the work of the CSRB is reflective of our determination and dedication to this cause,” said CISA Director Jen Easterly. “I am confident that the findings and recommendations from the Board’s report will catalyze action to reduce risk to the critical infrastructure Americans rely on every day.”	CISAのジェン・イースタリー事務局長は、以下のように述べた。「DHSは、わが国のサイバーセキュリティのレジリエンスと準備態勢を有意義に改善する取り組みに全力で取り組んでおり、CSRBの活動は、この大義に対するわれわれの決意と献身を反映したものである。CSRBの報告書から得られた知見と提言が、米国人が毎日頼りにしている重要インフラに対するリスクを軽減するための行動を喚起すると確信している。」
The CSRB’s review found that the intrusion by Storm-0558, a hacking group assessed to be affiliated with the People’s Republic of China, was preventable. It identified a series of Microsoft operational and strategic decisions that collectively pointed to a corporate culture that deprioritized enterprise security investments and rigorous risk management, at odds with the company’s centrality in the technology ecosystem and the level of trust customers place in the company to protect their data and operations. The Board recommends that Microsoft develop and publicly share a plan with specific timelines to make fundamental, security-focused reforms across the company and its suite of products. Microsoft fully cooperated with the Board’s review.	CSRBのレビューでは、中華人民共和国系と評価されるハッキンググループStorm-0558による侵入は防止可能であったことが判明した。同審査会は、マイクロソフトの業務上および戦略上の一連の決定が、エンタープライズ・セキュリティへの投資や厳格なリスク管理を軽視する企業文化を指し示すものであり、マイクロソフトのテクノロジー・エコシステムにおける中心的存在や、顧客がデータや業務の保護に関してマイクロソフトに寄せる信頼の度合いとは相反するものであることを指摘した。審査会は、マイクロソフトに対し、同社および同社の製品群全体にわたって、セキュリティに焦点を当てた抜本的な改革を行うための具体的な期限を定めた計画を策定し、公に共有するよう勧告する。マイクロソフト社は、審査会の審査に全面的に協力した。
“Cloud computing is some of the most critical infrastructure we have, as it hosts sensitive data and powers business operations across our economy,” said DHS Under Secretary of Policy and CSRB Chair Robert Silvers. “It is imperative that cloud service providers prioritize security and build it in by design. The Board has become the authoritative organization for conducting fact-finding and issuing recommendations in the wake of major cyber incidents, receiving extensive industry and expert input in each of its three reviews to date. We appreciate Microsoft’s full cooperation in the course of the Board’s seven-month, independent review. We also appreciate the input received from 19 additional companies, government agencies, and individual experts.”	DHS政策担当次官兼CSRB議長のロバート・シルバーズ氏は以下のように述べた。「クラウド・コンピューティングは、機密データをホストし、我々の経済全体の事業運営を支える、最も重要なインフラである。クラウドサービスプロバイダがセキュリティを優先し、設計上組み込むことが不可欠だ。同委員会は、大規模なサイバーインシデントの発生後に事実調査を行い、勧告を発表する権威ある組織となっており、これまで3回開催されたレビューではいずれも、業界や専門家から広範な意見を得ている。我々は、理事会の7ヶ月にわたる独立したレビューの過程におけるマイクロソフト社の全面的な協力に感謝している。また、さらに19の企業、政府機関、個人の専門家から寄せられた意見にも感謝している。」
“The threat actor responsible for this brazen intrusion has been tracked by industry for over two decades and has been linked to 2009 Operation Aurora and 2011 RSA SecureID compromises,” said CSRB Acting Deputy Chair Dmitri Alperovitch. “This People’s Republic of China affiliated group of hackers has the capability and intent to compromise identity systems to access sensitive data, including emails of individuals of interest to the Chinese government. Cloud service providers must urgently implement these recommendations to protect their customers against this and other persistent and pernicious threats from nation-state actors.”	CSRB副議長のドミトリー・アルペロビッチ氏は以下のように述べた。「この大胆な侵入を行った脅威行為者は、20年以上にわたって業界によって追跡されており、2009年のOperation Auroraや2011年のRSA SecureIDの侵害に関連している。この中華人民共和国系のハッカー集団は、IDシステムを侵害し、中国政府が関心を持つ個人の電子メールを含む機密データにアクセスする能力と意図を持っている。クラウドサービスプロバイダは、このような国家行為者からの持続的で悪質な脅威から顧客を保護するために、これらの勧告を早急に実施しなければならない。」
The CSRB recommends specific actions to all cloud service providers and government partners to improve security and build resilience against the types of attacks conducted by Storm-0558 and associated groups. Select recommendations include:	CSRBは、Storm-0558とその関連グループによって行われたタイプの攻撃に対するセキュリティを改善し、レジリエンスを構築するために、すべてのクラウドサービスプロバイダと政府パートナーに具体的な行動を勧告している。具体的な勧告は以下の通りである：
・Cloud Service Provider Cybersecurity Practices: Cloud service providers should implement modern control mechanisms and baseline practices, informed by a rigorous threat model, across their digital identity and credential systems to substantially reduce the risk of system-level compromise.	・クラウドサービス・プロバイダのサイバーセキュリティの実践： クラウド・サービス・プロバイダのサイバーセキュリティ対策：クラウド・サービス・プロバイダは、シ ステムレベルの侵害リスクを大幅に低減するために、デジタル ID およびクレデンシャル・システム 全体に、厳密な脅威モデルに基づいて最新の制御メカニズムと基本的な対策を導入すべきである。
・Audit Logging Norms: Cloud service providers should adopt a minimum standard for default audit logging in cloud services to enable the detection, prevention, and investigation of intrusions as a baseline and routine service offering without additional charge.	・監査ログ規範： クラウド・サービス・プロバイダは、クラウド・サービスにおけるデフォルトの監査ロギ ングの最低標準を採用し、追加料金なしで侵入の検知、防止、調査を基本的かつ日常的なサービ スとして提供できるようにする。
・Digital Identity Standards and Guidance: Cloud service providers should implement emerging digital identity standards to secure cloud services against prevailing threat vectors. Relevant standards bodies should refine, update, and incorporate these standards to address digital identity risks commonly exploited in the modern threat landscape.	・デジタル IDの標準とガイダンス： クラウドサービス・プロバイダは、一般的な脅威ベクトルに対してクラウドサービスを保護す るために、新たなデジタル ID 標準を実装すべきである。関連する団体 は、現代の脅威環境で一般的に悪用されるデジタル ID リスクに対処するために、これらの標準を 改良、更新、および組み込むべきである。
・Cloud Service Provider Transparency: Cloud service providers should adopt incident and vulnerability disclosure practices to maximize transparency across and between their customers, stakeholders, and the United States government.	・クラウドサービス・プロバイダの透明性： クラウドサービス・プロバイダは、顧客、利害関係者、および米国政府間における透明性を 最大化するために、インシデントおよび脆弱性の開示慣行を採用すべきである。
・Victim Notification Processes: Cloud service providers should develop more effective victim notification and support mechanisms to drive information-sharing efforts and amplify pertinent information for investigating, remediating, and recovering from cybersecurity incidents.	・被害者通知プロセス：クラウドサービス・プロバイダは、サイバーセキュリティ・インシデントの調査、修復、回復のために、 情報共有の努力を促進し、適切な情報を増幅するため、より効果的な被害者通知と支援の仕組みを開発す べきである。
・Security Standards and Compliance Frameworks: The United States government should update the Federal Risk Authorization Management Program and supporting frameworks and establish a process for conducting discretionary special reviews of the program’s authorized Cloud Service Offerings following especially high-impact situations. The National Institute of Standards and Technology should also incorporate feedback about observed threats and incidents related to cloud provider security.	・セキュリティ標準とコンプライアンス枠組み： 米国政府は、連邦リスク認可マネジメント・プログラムとそれを支援する枠組みを更新し、特に影響 の大きい事態が発生した場合に、同プログラムの認可を受けたクラウド・サービス・オファリングの裁量的 な特別レビューを実施するプロセスを確立すべきである。また、国立標準技術研究所は、クラウドプロバイダのセキュリティに関連して観測された脅威やインシデントに関するフィードバックを取り入れるべきである。
As directed by President Biden through Executive Order 14028 Improving the Nation’s Cybersecurity, Secretary Mayorkas established the CSRB in February 2022.  The Board’s investigations are conducted independently, and its conclusions are independently reached. DHS and the CSRB are committed to transparency and will, whenever possible, release public versions of CSRB reports, consistent with applicable law and the need to protect sensitive information from disclosure.	大統領令14028「国家のサイバーセキュリティの改善」を通じてバイデン大統領の指示により、マヨルカス長官は2022年2月にCSRBを設立した。 委員会の調査は独立して行われ、その結論も独立して出される。DHSとCSRBは透明性を重視しており、適用法と機密情報保護の必要性に則り、可能な限りCSRB報告書を公開する。

 

・2024.04.02 Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023

Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023

サイバー安全審査会、2023年夏に発生したMicrosoft Online Exchangeインシデントに関する報告書を発表

The U.S. Department of Homeland Security released the Cyber Safety Review Board’s (CSRB) findings and recommendations following its independent review of the Summer 2023 Microsoft Exchange Online intrusion. The review detailed operational and strategic decisions that led to the intrusion and recommended specific practices for industry and government to implement to ensure an intrusion of this magnitude does not happen again. This is the third review completed by the CSRB since the Board was established in September 2021.

米国国土安全保障省は、2023年夏に発生したマイクロソフト・エクスチェンジ・オンライン侵入事件に関する独立したレビューに基づき、サイバー安全審査会（Cyber Safety Review Board：CSRB）の調査結果と勧告を発表した。このレビューでは、侵入に至った業務上および戦略上の意思決定について詳述し、このような大規模な侵入が二度と起こらないようにするために、産業界と政府が実施すべき具体的な実践方法を勧告した。これは、CSRBが2021年9月に設立されて以来、3回目のレビューとなる。

 

・[PDF]

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

 

---

● サイバー安全審査会

・Cyber Safety Review Board (CSRB)

 

報告書

第3回...

・2024.04.02 Cyber Safety Review Board Releases Report on Microsoft Online Exchange Incident from Summer 2023

・[PDF]

・[DOCX] 仮訳

・[PDF] 仮訳

 

 

第2回...

・2023.08.10 Cyber Safety Review Board Releases Report on Activities of Global Extortion-Focused Hacker Group Lapsus$

・[PDF]

 

第1回

・2022.07.11

・[PDF]

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.01.20 米国 上院国土安全保障・政府問題委員会 サイバー安全審査会の構造と能力を調査するための公聴会

・2023.08.12 米国 国土安全保障省サイバー安全審査会 第3回の調査はクラウドセキュリティの予定

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令