米国 英国 カナダ 親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策

こんにちは、丸山満彦です。

米国のCISA、NSA、FBI他、英国のNSCA、カナダのCCCSが、親ロシア派ハクティビストによる北米および欧州のOT機器に対する継続的な悪意あるサイバー活動に対するセキュリティ対策を公表していますね...

他と書いたが、他が重要ですよね...

 

Environmental Protection Agency (EPA)	環境保護庁（EPA）
Department of Energy (DOE)	エネルギー省（DOE）
United States Department of Agriculture (USDA)	米国農務省（USDA）
Food and Drug Administration (FDA)	食品医薬品局（FDA）
Multi-State Information Sharing and Analysis Center (MS-ISAC)	複数州情報共有分析センター（MS-ISAC）

 

推奨事項...

1. OT ネットワークへのすべてのアクセスに多要素認証を導入する

2. HMI の

(1) すべてのデフォルトパスワードと弱いパスワードを直ちに変更し、強力で一意のパスワー ドを使用する

(2) 工場出荷時のデフォルトパスワードが使用されていないことを確認する

3. VNCを利用可能な最新バージョンに更新し、すべてのシステムとソフトウェアがパッチと必要なセキュリティアップデートで最新であることを確認する

4. 認可されたデバイスIPアドレスのみを許可する許可リストを確立する。

 

 

● National Security Agency/Central Security Service

プレス...

・2024.05.01 Urgent Warning from Multiple Cybersecurity Organizations on Current Threat to OT Systems

Urgent Warning from Multiple Cybersecurity Organizations on Current Threat to OT Systems	OTシステムに対する現在の脅威に関する複数のサイバーセキュリティ組織からの緊急警告
FORT MEADE, Md. – Pro-Russia hacktivists are conducting malicious cyber activity against operational technology (OT) devices and critical infrastructure organizations are encouraged to implement mitigations, according to a Fact Sheet released today by the National Security Agency (NSA), the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Environmental Protection Agency (EPA), Department of Energy (DOE), United States Department of Agriculture (USDA), Multi-State Information Sharing and Analysis Center (MS-ISAC), the U.K. National Cyber Security Centre, and the Canadian Centre for Cyber Security.	フォートミード（マサチューセッツ州） - 親ロシア派ハクティビストは、運用技術（OT）機器に対して悪質なサイバー活動を実施しており、重要インフラ組織は、緩和策を実施することが推奨される、と国家安全保障局（NSA）、サイバーセキュリティ・インフラ・セキュリティ局（CISA）、連邦捜査局（FBI）、環境保護庁（EPA）、エネルギー省（DOE）、米国農務省（USDA）、複数州情報共有分析センター（MS-ISAC）、英国国立サイバーセキュリティセンター、カナダ・サイバーセキュリティセンターが本日発表したファクトシートが伝えている。 英国国家サイバーセキュリティセンター、カナダ・サイバーセキュリティセンターである。
According to the report, “Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity,” the hacktivists are compromising small-scale OT systems in North American and European Water and Wastewater Systems (WWS), dams, energy, and food and agriculture sectors.	報告書「進行中の親ロシア派ハクティビストの活動からOTオペレーションを守る」によると、ハクティビストは北米や欧州の上下水道システム（WWS）、ダム、エネルギー、食品・農業分野の小規模なOTシステムを侵害している。
Since 2022, the authoring organizations observed malicious activity and are releasing this joint guidance to share information and mitigations associated with the pro-Russia hacktivists’ recent cyber operations against OT.	2022年以降、作成組織は悪意ある活動を観察し、OTに対する親ロシア派ハクティビストの最近のサイバー作戦に関連する情報と緩和策を共有するために、この共同ガイダンスを発表する。
“This year we have observed pro-Russia hacktivists expand their targeting to include vulnerable North American and European industrial control systems,” said Dave Luber, NSA’s Director of Cybersecurity. “NSA highly recommends critical infrastructure organizations’ OT administrators implement the mitigations outlined in this report, especially changing any default passwords, to improve their cybersecurity posture and reduce their system’s vulnerability to this type of targeting.”	「NSAのサイバーセキュリティ担当ディレクターであるデイブ・ルーバーは、「今年、親ロシア派のハクティビストたちが、脆弱な北米や欧州の産業用制御システムに標的を拡大していることが確認された。「NSAは、重要インフラ組織のOT管理者に対し、サイバーセキュリティ態勢を改善し、この種の標的に対するシステムの脆弱性を低減するため、本報告書に概説されている緩和策、特にデフォルトパスワードの変更を実施することを強く推奨している。
The recommendations in this report include hardening human machine interfaces, limiting exposure of OT systems to the internet, using strong and unique passwords, and implementing multifactor authentication for all access to the OT network.  These recommendations are helpful to counter any actors using these techniques.	本レポートの推奨事項には、ヒューマン・マシン・インターフェースの強化、OTシステムのインターネットへの露出の制限、強固でユニークなパスワードの使用、OTネットワークへのすべてのアクセスに対する多要素認証の実装などが含まれる。 これらの勧告は、このようなテクニックを使う行為者に対抗するのに役立つ。

 

 

・2024.05.01 [PDF] Fact Sheet: Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity

Overview	概要
The Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), National Security Agency (NSA), Environmental Protection Agency (EPA), Department of Energy (DOE), United States Department of Agriculture (USDA), Food and Drug Administration (FDA), Multi-State Information Sharing and Analysis Center (MS-ISAC), Canadian Centre for Cyber Security (CCCS), and United Kingdom’s National Cyber Security Centre (NCSC-UK)—hereafter referred to as "the authoring organizations"—are disseminating this fact sheet to highlight and safeguard against the continued malicious cyber activity conducted by pro-Russia hacktivists against operational technology (OT) devices in North America and Europe.	サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、国家安全保障局（NSA）、環境保護庁（EPA）、エネルギー省（DOE）、米国農務省（USDA）、食品医薬品局（FDA）、複数州情報共有分析センター（MS-ISAC）、 カナダ・サイバー・セキュリティ・センター（CCCS）、英国国家サイバー・セキュリティ・センター（NCSC-UK）（以下、「発表機関」と呼ぶ）は、親ロシア派ハクティビストが北米および欧州の運用技術（OT）機器に対して行っている継続的な悪意あるサイバー活動に焦点を当て、それに対する安全策を講じるために、このファクトシートを配布する。
The authoring organizations are aware of pro-Russia hacktivists targeting and compromising small-scale OT systems in North American and European Water and Wastewater Systems (WWS), Dams, Energy, and Food and Agriculture Sectors. These hacktivists seek to compromise modular, internet-exposed industrial control systems (ICS) through their software components, such as human machine interfaces (HMIs), by exploiting virtual network computing (VNC) remote access software and default passwords.	発表機関は、親ロシア派ハクティビストが北米および欧州の上下水道システム（WWS）、ダム、エネルギー、食品・農業部門の小規模なOTシステムを標的とし、侵害していることを認識している。これらのハクティビストは、仮想ネットワーク・コンピューティング（VNC）リモート・アクセス・ソフトウェアやデフォルト・パスワードを悪用し、ヒューマン・マシン・インターフェース（HMI）などのソフトウェア・コンポーネントを通じて、インターネットに公開されたモジュール式の産業用制御システム（ICS）を侵害しようとしている。
The authoring organizations are releasing this fact sheet to share information and mitigations associated with this malicious activity, which has been observed since 2022 and as recently as April 2024. The authoring organizations encourage OT operators in critical infrastructure sectors—including WWS, Dams, Energy, and Food and Agriculture—to apply the recommendations listed in the Mitigations section of this fact sheet to defend against this activity. Overview of Threat Actor Activity	発表機関は、2022 年以降、そして最近では 2024 年 4 月にも観測されているこの悪意ある行為に関連する情報と低減を共有するために、このファクトシートを公開する。発表機関は、WWS、ダム、エネルギー、食品・農業を含む重要インフラ部門の OT オペレータが、この活動から防御するために、このファクトシートの低減セクションに記載された推奨事項を適用することを奨励する。脅威行為者の活動の概要
Overview of Threat Actor Activity	脅威行為者の活動の概要
Pro-Russia hacktivist activity against these sectors appears mostly limited to unsophisticated techniques that manipulate ICS equipment to create nuisance effects. However, investigations have identified that these actors are capable of techniques that pose physical threats against insecure and misconfigured OT environments. Pro-Russia hacktivists have been observed gaining remote access via a combination of exploiting publicly exposed internet-facing connections and outdated VNC software, as well as using the HMIs’ factory default passwords and weak passwords without multifactor authentication.	これらのセクターに対する親ロシア派ハクティビストの活動は、ほとんどがICS機器を操作して迷惑な効果を生み出す洗練されていない技術に限定されているように見える。しかし、調査により、これらの脅威行為者は、安全でない、誤った設定のOT環境に対して物理的な脅威をもたらす技術を有していることが確認されている。親ロシア派のハクティビストは、一般に公開されたインターネット接続と旧式のVNCソフトウェアを悪用し、HMIの工場出荷時のデフォルトパスワードや多要素認証なしの脆弱なパスワードを使用することで、リモートアクセスを獲得していることが確認されている。
Historically, these hacktivists have been known to exaggerate their capabilities and impacts to targets. Since 2022, they have claimed on social media to have conducted cyber operations—such as distributed denial of service, data leaks, and data wiping—against a variety of North American and international organizations. Based on victim incident reporting, this activity has caused limited disruption to operations.	歴史的に、これらのハクティビストは、自分たちの能力やターゲットへの影響を誇張することで知られている。2022年以降、彼らはソーシャルメディア上で、分散型サービス拒否、データ漏洩、データ消去などのサイバー作戦を、北米や国際的な様々な組織に対して行ったと主張している。被害者のインシデント報告によると、この活動は業務に限定的な混乱を引き起こしている。
2024 Year-to-Date Activity	2024年現在までの活動
In early 2024, the authoring organizations observed pro-Russia hacktivists targeting vulnerable industrial control systems in North America and Europe. CISA and the FBI have responded to several U.S.-based WWS victims who experienced limited physical disruptions from an unauthorized user remotely manipulating HMIs. Specifically, pro-Russia hacktivists manipulated HMIs, causing water pumps and blower equipment to exceed their normal operating parameters. In each case, the hacktivists maxed out set points, altered other settings, turned off alarm mechanisms, and changed administrative passwords to lock out the WWS operators. Some victims experienced minor tank overflow events; however, most victims reverted to manual controls in the immediate aftermath and quickly restored operations.	2024年初頭、認可組織は、北米と欧州の脆弱な産業制御システムを標的とする親ロシア派のハクティビストを観測した。CISA と FBI は、HMI を遠隔操作する無許可ユーザーによる限定的な物理的混乱を経験した米国を拠点とする複数の WWS 被害者に対応した。具体的には、親ロシア派のハクティビストがHMIを操作し、送水ポンプや送風機を通常の運転パラメーターを超える状態にした。いずれのケースでも、ハクティビストはセットポイントを最大にし、その他の設定を変更し、アラーム機構をオフにし、管理パスワードを変更してWWSのオペレーターを締め出した。被害者の中には、軽微なタンクオーバーフローを経験した者もいたが、ほとんどの被害者は、直後から手動制御に戻し、すぐに運転を復旧させた。
Remote Access to HMIs	HMIへのリモートアクセス
The authoring organizations have observed pro-Russia hacktivists using a variety of techniques to gain remote access to HMIs and make changes to the underlying OT. These techniques include:	認可組織は、親ロシア派ハクティビストが HMI にリモートアクセスし、基礎となる OT に変更を加えるために、様々なテクニックを使っているのを観察している。これらのテクニックには以下が含まれる：
• Using the VNC Protocol to access HMIs and make changes to the underlying OT. VNC is used for remote access to graphical user interfaces, including HMIs that control OT systems.	・VNC プロトコルを使用して HMI にアクセスし,基礎となる OT に変更を加える。VNC は,OT システムを制御する HMI を含むグラフィカルユーザインタフェースへのリモートアクセスに使用される。
• Leveraging the VNC Remote Frame Buffer Protocol to log into HMIs to control OT systems.	・VNC リモートフレームバッファプロトコルを活用して,OT システムを制御する HMI にログインする。
• Leveraging VNC over Port 5900 to access HMIs by using default credentials and weak passwords on accounts not protected by multifactor authentication.	・VNC over Port 5900 を利用して、多要素認証で保護されていないアカウントでデフォルトの本人認証と弱いパスワードを使用して HMI にアクセスする。
Note: Several HMIs compromised by these hacktivists were unsupported legacy, foreign-manufactured devices rebranded as U.S. devices.	注：これらのハクティビストによって侵害されたいくつかの HMI は、サポートされていないレガシーデバイスであり、外国製造のデバイスであった。
MITIGATIONS	低減策
The authoring organizations recommend critical infrastructure organizations implement the following mitigations to defend against this activity. These mitigations align with the Cross-Sector Cybersecurity Performance Goals (CPGs) developed by CISA and the National Institute of Standards and Technology (NIST). The CPGs provide a minimum set of practices and protections that CISA and NIST recommend all organizations implement. CISA and NIST based the CPGs on existing cybersecurity frameworks and guidance to protect against the most common and impactful threats, tactics, techniques, and procedures. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections.	認可組織は、重要インフラ組織がこの活動から防御するために以下の低減策を実施することを推奨する。これらの低減策は、CISA および国立標準技術研究所（NIST）によって策定された分野横断的なサイバーセキュリティ・パフォーマンス目標（CPGs）に沿ったものである。CPG は、CISA と NIST がすべての組織に実施を推奨する最低限のプラクティスと防御のセットを提供する。CISAとNISTは、最も一般的で影響力のある脅威、戦術、技術、手順から保護するための既存のサイバーセキュリティのフレームワークとガイダンスに基づいてCPGを作成した。追加の推奨ベースライン防御を含む CPG の詳細については、CISA の Cross-Sector Cybersecurity Performance Goals を参照。
Network Defenders	ネットワーク・ディフェンダー
Pro-Russia hacktivists have exploited cybersecurity weaknesses, including poor password security and exposure to the internet. To safeguard against this threat, the authoring organizations urge organizations to:	親ロシア派のハクティビストは、パスワード・セキュリティの不備やインターネットへのエクスポージャーなど、サイバーセキュリティの弱点を悪用している。この脅威から身を守るため、認可組織は組織に対し、以下のことを推奨する：
Harden HMI Remote Access	HMIのリモートアクセスを強化する。
• Disconnect all HMIs, such as the touchscreens used to monitor or make changes to the system, or programmable logic controllers (PLCs), from the public-facing internet. If remote access is necessary, implement a firewall and/or virtual private network (VPN) with a strong password and multifactor authentication to control device access [CPG 2.W] [CPG 2.X].	・システムの監視や変更に使用されるタッチスクリーンやプログラマブルロジックコントローラ（PLC）などのすべてのHMIを、公衆がアクセスするインターネットから切り離す。リモートアクセスが必要な場合は、デバイスアクセスを制御するために、強力なパスワードと多要素認証 [CPG 2.W][CPG2.X]を備えたファイアウォール及び／又は仮想プライベートネットワーク(VPN)を実装する。
• Implement multifactor authentication for all access to the OT network. For additional information, see CISA’s More than a Password [CPG 2.H].	・OT ネットワークへのすべてのアクセスに多要素認証を導入する。詳細については、CISA の「More than a Password」[CPG 2.H]を参照すること。
• Immediately change all default and weak passwords on HMIs and use a strong, unique password. Ensure the factory default password is not in use. Open the remote settings panel to confirm the old password is no longer shown [CPG 2.A] [CPG 2.B].	・HMI のすべてのデフォルトパスワードと弱いパスワードを直ちに変更し、強力で一意のパスワー ドを使用する。工場出荷時のデフォルトパスワードが使用されていないことを確認する。リモート設定パネルを開き、古いパスワードが表示されていないことを確認する [CPG 2.A] [CPG 2.B]。
• Keep VNC updated with the latest version available and ensure all systems and software are up to date with patches and necessary security updates.	・VNCを利用可能な最新バージョンに更新し、すべてのシステムとソフトウェアがパッチと必要なセキュリティアップデートで最新であることを確認する。
• Establish an allowlist that permits only authorized device IP addresses. The allowlist can be refined to specific times of the day to further obstruct malicious threat actor activity; organizations are encouraged to establish alerting for monitoring access attempts.	・認可されたデバイスIPアドレスのみを許可する許可リストを確立する。許可リストを特定の時間帯に絞り込むことで,悪意のある脅威行為者の活動をさらに妨害することができる。組織は,アクセス試行を監視するためのアラート機能を確立することが推奨される。
o  Note: An allowlist is not a complete security solution by itself but may increase the level of effort necessary for a threat actor to compromise a device.	o 注意：許可リストは、それ自体で完全なセキュリティソリューションではないが、 脅威行為者がデバイスを侵害するために必要な努力のレベルを高める可能性がある。
• Log remote logins to HMIs, taking note of any failed attempts and unusual times [CPG 2.T].	・HMI へのリモートログインをログに記録し、失敗した試行や異常な時間を記録する [CPG 2.T]。
Strengthen Security Posture	セキュリティ体制を強化する
• Integrate cybersecurity considerations into the conception, design, development, and operation of OT systems. For additional information, see the DOE Office of Cybersecurity, Energy Security, and Emergency Response (CESER)’s publication on Cyber-Informed Engineering.	・OT システムの構想、設計、開発、運用にサイバーセキュリティへの配慮を組み込む。追加情報については、DOE のサイバーセキュリティ・エネルギーセキュリティ・ 緊急対応局（CESER）のサイバーインフォームド・エンジニアリング（Cyber-Informed Engineering）に関する出版物を参照すること。
• Practice and maintain the ability to operate systems manually [CPG 5.A].	・システムを手動で操作する能力を実践し維持する［CPG 5.A］。
• Create backups of the engineering logic, configurations, and firmware of HMIs to enable fast recovery. Familiarize your organization with factory resets and backup deployment [CPG 2.R].	・迅速な復旧を可能にするために、HMI のエンジニアリングロジック、構成、ファームウェアのバッ クアップを作成する。工場出荷時のリセットとバックアップの展開 [CPG 2.R]を組織に周知する。
• Check the integrity of PLC ladder logic or other PLC programming languages and diagrams and check for any unauthorized modifications to ensure correct operation. Adversaries may try to maintain persistence or stealthily operate the device in an unsafe way by changing the configurations and ladder logic.	・PLC のラダーロジック,またはその他の PLC プログラミング言語とダイアグラムの完全性を チェックし,不正な変更がないことを確認して,正しい動作を確実にする。攻撃者は,コンフィグレーションやラダーロジックを変更することで,永続性を維持しようとしたり,安全でない方法でデバイスをこっそり操作しようとしたりする可能性がある。
• Update and safeguard network diagrams to reflect both the IT and OT networks [CPG 2.P]. Operators should apply the principles of least privilege and need to know for individuals’ access to network diagrams. Maintain awareness of internal and external solicitation efforts (both malicious and benign) to obtain network architectures and restrict mapping to trusted personnel. Consider using encryption, authentication, and authorization techniques to secure network diagram files and implement access control and audit logs to monitor and restrict who can view or modify your network diagrams.	・IT ネットワークと OT ネットワークの両方を反映するようにネットワーク図を更新し、保護する [CPG 2.P]。オペレータは、ネットワーク図への個人のアクセスについて、最小特権と知る必要の原則を適用する。ネットワーク・アーキテクチャを入手するための内部および外部からの勧誘活動（悪意と良性の両方）に対する認識を維持し、マッピングを信頼できる要員に制限する。暗号化、本人認証、認可技術を使用してネットワーク・ダイアグラム・ファイルを保護し、アクセス制御と監査ログを実装して、ネットワーク・ダイアグラムの閲覧者や変更者を監視・制限することを検討する。
• Be aware of cyber/physical-enabled threats. Adversaries may attempt to obtain network credentials by various physical means, including official visits, tradeshow and conference conversations, and through social media platforms.	・サイバー/物理的脅威に注意する。敵対者は,公式訪問,展示会やカンファレンスでの会話,ソーシャルメディア・プラットフォームを介するなど,さまざまな物理的手段でネットワーク認証情報の入手を試みる可能性がある。
• Take inventory and determine the end-of-life status of all HMIs [CPG 1.A]. Replace end-of-life HMIs as soon as feasible.	・すべての HMI のインベントリを取り、耐用年数の終了状況を判断する [CPG 1.A]。使用済み HMI を可能な限り早く交換する。
• Implement software and hardware limits to the manipulation of physical processes, limiting the impact of a successful compromise. This can be completed through using operational interlocks, cyber-physical safety systems, and cyber-informed engineering.	・物理的プロセスの操作にソフトウェアとハードウェアの制限を導入し,侵害が成功した場 合の影響を制限する。これは,オペレーショナルインターロック,サイバーフィジカルセーフティシステム,サイバーインフォームドエンジニアリングを使用することで完了できる。
Limit Adversarial Use of Common Vulnerabilities	一般的な脆弱性の敵対的利用を制限する。
• Reduce risk exposure. U.S. organizations can utilize a range of CISA services at no cost, including scanning and testing, to help organizations reduce exposure to threats by mitigating attack vectors. CISA Cyber Hygiene services can help provide additional review of internet-accessible assets and provide regular reports on steps to take to mitigate vulnerabilities. Email vulnerability@cisa.dhs.gov with the subject line, “Requesting Cyber Hygiene Services,” to get started. UK organizations can use NCSC’s free Early Warning service.	・リスクのエクスポージャーを減らす。米国の組織は、スキャンやテストなど、さまざまなCISAサービスを無償で利用することができ、攻撃ベクトルを低減することで脅威へのエクスポージャーを減らすことができる。CISAのサイバー衛生サービスは、インターネットにアクセス可能な資産の追加的なレビューを提供し、脆弱性を軽減するために取るべき措置に関する定期的なレポートを提供するのに役立つ。vulnerability@cisa.dhs.gov、件名を「Requesting Cyber Hygiene Services（サイバー・ハイジーン・サービスの依頼）」としてメールする。英国の組織は、NCSCの無料の早期警告サービスを利用できる。
• Assess your security posture. CISA’s regional Cybersecurity Advisors provide CPG assessments to help organizations understand their current security posture. Reach out to your regional CISA office to schedule an assessment.	・セキュリティ態勢を評価する。CISAの地域のサイバーセキュリティ・アドバイザーは,組織が現在のセキュリティ態勢を理解するのに役立つCPG評価を提供する。地域の CISA オフィスに連絡して,評価を予約する。
OT Device Manufacturers	OT デバイス製造事業者
Although critical infrastructure organizations can take steps to mitigate risks, it is ultimately the responsibility of the OT device manufacturer to build products that are secure by design and default. The authoring organizations urge device manufacturers to take ownership of the security outcomes of their customers in line with the joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software and CISA’s Secure by Design and Default webpage.	重要インフラ組織はリスクを軽減するための手段を講じることができるが、設計上およびデフォルトで安全な製品を構築することは、最終的にはOT機器製造者の責任である。作成団体は、共同ガイド「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」とCISAの「Secure by Design and Default」のウェブページに沿って、デバイス製造業者が顧客のセキュリティ成果のオーナーシップを持つことを強く求めている。
• Eliminate default and require strong passwords. The use of default credentials is a top weakness that threat actors exploit to gain access to systems. Manufacturers can eliminate this problem at scale through any of the approaches recommended in CISA’s Secure by Design Alert on this topic.	・デフォルトを排除し,強力なパスワードを要求する。デフォルトの認証情報の使用は,脅威行為者がシステムにアクセスするために悪用する最大の弱点である。製造事業者は,このトピックに関する CISA の Secure by Design Alert で推奨されているいずれかのアプローチによって,この問題を大規模に排除することができる。
• Mandate multifactor authentication for privileged users. Changes to engineering logic or configurations are safety-impacting events in critical infrastructure. Any changes should require multifactor authentication.	・特権ユーザに多要素認証を義務付ける。エンジニアリング・ロジックや設定の変更は,重要なインフラストラクチャにおいて安全に影響を与える事象である。いかなる変更にも多要素認証が必要である。
• Include logging at no additional charge. Change and access control logs allow operators to track safety-impacting events in their critical infrastructure. These logs should be free and use open standard logging formats.	・追加料金なしでロギングを含める。変更ログとアクセス制御ログにより,オペレータは,重要インフラにおける安全に影響を与えるイベントを追跡できる。これらのログは無料で,オープン標準のログ形式を使用すべきである。
• Publish Software Bills of Materials (SBOM). Vulnerabilities in underlying software libraries can affect wide swathes of devices. Without an SBOM, it is nearly impossible for a critical infrastructure system owner to measure and mitigate the impact a vulnerability has on their existing systems.	・ソフトウェア部品表（SBOM）を公開する。基礎となるソフトウェア・ライブラリの脆弱性は、広範囲のデバイスに影響を及ぼす可能性がある。SBOMがなければ、重要インフラのシステムオーナーが脆弱性が既存のシステムに与える影響を測定し、低減することはほぼ不可能である。
Additionally, see CISA’s Secure by Design Alert on how software manufacturers can shield web management interfaces from malicious cyber activity. By using secure by design tactics, software manufacturers can make their product lines secure “out of the box” without requiring customers to spend additional resources making configuration changes, purchasing tiered security software and logs, monitoring, and making routine updates.	さらに、ソフトウェア製造事業者が悪意のあるサイバー活動からウェブ管理インタフェースを保護する方法については、CISAのSecure by Design Alertを参照のこと。セキュア・バイ・デザインを利用することで、ソフトウェア製造事業者は、顧客に対して、設定の変更、階層化されたセキュリティ・ソフトウェアやログの購入、監視、定期的なアップデートの実施といった追加リソースを要求することなく、自社の製品ラインを「箱から出してすぐに」セキュアにすることができる。
RESOURCES	リソース
Entities requiring additional support for implementing any of the mitigations in this advisory should contact their regional CISA Cybersecurity Advisor and/or EPA for assistance. Five key resources organizations should reference include:	本アドバイザリーにおける低減措置の実施について追加的な支援が必要な事業体は、地域の CISA サイバーセ キュリティアドバイザーおよび／または EPA に連絡して支援を求めること。組織が参照すべき 5 つの主要リソースは以下のとおりである：
• NSA, CISA: Recommended Immediate Actions to Reduce Exposure Across all OT and Control Systems	・NSA, CISA: すべての OT および制御システムにわたるエクスポージャーを低減するための推奨され る緊急対策
• CISA, EPA: Water and Wastewater Systems Sector Toolkit	・CISA,EPA: 上下水道システム部門ツールキット
• CISA, EPA, FBI: Top Cyber Actions for Securing Water Systems	・CISA,EPA,FBI：水システムの安全性を確保するためのトップサイバーアクション
• Food and Agriculture Information Sharing & Analysis Center (Food and Ag-ISAC): Cybersecurity Guide for Small and Medium Enterprises	・食品・農業情報共有分析センター(Food and Ag-ISAC): 中小企業のためのサイバーセキュリティガイド
• DOE, National Association of Regulatory Utility Commissioners (NARUC): Cybersecurity Baselines for Electric Distribution Systems and Distributed Energy Resources	・DOE,全米公益事業規制委員協会(NARUC): 配電システムおよび分散型エネルギー資源のサイバーセキュリティ・ベースライン
Additional resources referenced throughout this fact sheet include:	本ファクトシートを通じて参照されるその他のリソースは以下の通りである：
• EPA: Cybersecurity for the Water Sector	・EPA：水部門のサイバーセキュリティ
• CISA: Cross-Sector Cybersecurity Performance Goals	・CISA：分野横断的サイバーセキュリティ性能目標
• CISA: More than a Password	・CISA：パスワード以上のもの
• DOE: Cyber-Informed Engineering	・DOE：サイバー情報工学
• CISA: Cyber Hygiene Services	・CISA：サイバー衛生サービス
• CISA: Shifting the Balance of Cybersecurity Risk - Principles and Approaches for Secure by Design Software •  CISA: Secure by Design and Default	・CISA：サイバーセキュリティリスクのバランスを変える ・セキュアバイデザインソフトウェアの原則とアプローチ ・CISA: セキュアバイデザインとデフォルト設定
• CISA: Secure by Design Alert - How Manufacturers Can Protect Customers by Eliminating Default Passwords	・CISA：Secure by Design Alert（セキュアバイデザイン・アラート） ・製造事業者がデフォルトのパスワードを排除して顧客を保護する方法
• CISA: Secure by Design Alert - How Software Manufacturers Can Shield Web Management Interfaces from Malicious Cyber Activity	・CISA：Secure by Designアラート ・ソフトウェア製造事業者が悪意のあるサイバー活動からWeb管理インタフェースを保護する方法
REPORTING	報告
U.S. organizations are encouraged to report suspicious or criminal activity related to information in this fact sheet to:	米国の組織は、このファクトシートに記載されている情報に関連する疑わしい活動または犯罪的活動を以下に報告することが推奨される：
• CISA via CISA’s 24/7 Operations Center (report@cisa.gov or 888-282-0870) or your local FBI field office. When available, please include the following information regarding the incident: date, time, and location of the incident; type of activity; number of people affected; type of equipment used for the activity; the name of the submitting company or organization; and a designated point of contact.	・CISAの24時間365日オペレーション・センター（report@cisa.gov または 888-282-0870）または最寄りのFBI支部に報告すること。可能な場合は、インシデントに関する以下の情報を含めること：インシデントの発生日時、場所、活動の種類、影響を受けた人の数、活動に使用された機器の種類、提出した企業または組織の名前、指定された連絡先。
• For NSA cybersecurity guidance inquiries, contact CybersecurityReports@nsa.gov.	・NSA のサイバーセキュリティガイダンスに関する問い合わせは、CybersecurityReports@nsa.gov まで。
• Water and Wastewater Systems Sector organizations should contact the EPA Water Infrastructure and Cyber Resilience Division at watercyberta@epa.gov to voluntarily provide situational awareness.	・上下水道システム部門の組織は、EPA 水インフラ・サイバーレジリエンス部門（EPA Water Infrastructure and Cyber Resilience Division）（watercyberta@epa.gov）に連絡し、自主的に状況認識を提供すること。
• State, local, tribal, and territorial governments should report incidents to the MS-ISAC (SOC@cisecurity.org or 866-787-4722).	・州、地方、部族、および準州政府は、MS-ISAC（SOC@cisecurity.org または 866-787-4722）にインシデントを報告すること。
• The Water Information Sharing & Analysis Center (WaterISAC) encourages members to share information by emailing analyst@waterisac.org, calling 866-H2O-ISAC, or using the online incident reporting form.	・水情報共有・分析センター（WaterISAC）は、analyst@waterisac.org に電子メールを送るか、866-H2O-ISACに電話するか、オンラインのインシデント報告フォームを使用することにより、情報を共有するよう会員に奨励している。
• Entities required to report incidents to DOE-CESER should follow established reporting requirements, as appropriate. For other energy sector inquiries, contact EnergySRMA@hq.doe.gov. DOE also encourages energy entities to report information to their relevant energy ISACs:	・DOE-CESERにインシデントを報告する必要がある事業体は、適宜、確立された報告要件に従 うべきである。その他のエネルギー部門に関する問い合わせは、EnergySRMA@hq.doe.gov。DOE はまた、エネルギー事業体が関連するエネルギー ISAC に情報を報告することを奨励する：
o  Downstream Natural Gas (DNG-ISAC): analyst@dngisac.com	o 天然ガス下流部門（DNG-ISAC）：analyst@dngisac.com
o  Electricity (E-ISAC): operations@eisac.com	o 電力部門（E-ISAC）：operations@eisac.com
o  Oil & Natural Gas (ONG-ISAC): soc@ongisac.org	o 石油・天然ガス部門（ONG-ISAC）：soc@ongisac.org
ACKNOWLEDGEMENTS	謝辞
The DNG-ISAC and WaterISAC contributed to this fact sheet.	DNG-ISAC および WaterISAC は本ファクトシートに貢献した。
DISCLAIMER	免責事項
The information in this report is being provided “as is” for informational purposes only. The authoring organizations do not endorse any commercial entity, product, company, or service, including any entities, products, or services linked within this document. Any reference to specific commercial entities, products, processes, or services by service mark, trademark, manufacturer, or otherwise, does not constitute or imply endorsement, recommendation, or favoring by the authoring organizations.	本報告書の情報は、情報提供のみを目的として「現状のまま」プロバイダとして提供されている。発表機関は、本文書内でリンクされている事業体、製品、サービスを含め、いかなる営利事業体、製品、企業、サービスも保証しない。サービスマーク、商標、製造事業者、その他による特定の事業体、製品、プロセス、サービスへの言及は、執筆団体による承認、推奨、好意を意味するものではない。
VERSION HISTORY	改訂履歴
May 1, 2024: Initial version.	2024年5月1日：初版。