米国 FBI サイバーアクションチームの紹介 (2024.07.23)

こんにちは、丸山満彦です。

FBIが、サイバーアクションチーム (CAT) についての説明をしていますね...

サイバーアクションチーム (CAT)は、約65名からなるチームで、特別捜査官、コンピュータ科学者、情報分析官、FBIの各支部と本部の情報技術専門家を活用した捜査を迅速に進めるためのフライ・チーム。

重要なサービスに対する大規模なサイバー脅威や攻撃に対応するため、数時間以内に世界中に展開することができるということのようです。

層が厚いですよね...それでも、日本でも参考になる部分があると思います...

 

● Federal Breau of Investigation; FBI

・2024.07.23 Meet the Cyber Action Team - Rapid response fly team can deploy across the globe within hours to respond to major cyber threats

 

Meet the Cyber Action Team	サイバーアクションチームの紹介
Rapid response fly team can deploy across the globe within hours to respond to major cyber threats	大規模なサイバー脅威に対応するため、数時間以内に世界中に展開できる迅速な対応フライチーム
Across the globe, malicious cyber activity threatens public safety and national and economic security. Criminals target organizations such as schools, hospitals, power and utility companies, and other critical infrastructure entities that serve communities.	世界中で、悪質なサイバー活動が公共の安全と国家・経済の安全を脅かしている。犯罪者は、学校、病院、電力会社、公益事業会社など、地域社会に貢献する重要なインフラ事業体を標的としている。
As the lead federal agency for investigating cyberattacks and intrusions, the FBI developed a specialty group—the Cyber Action Team, or CAT—that can deploy across the globe within hours to respond to major cyber threats and attacks against these critical services.	サイバー攻撃や侵入を捜査する連邦政府の主要機関として、FBIはサイバーアクションチーム（CAT）という専門グループを開発した。CATは、これらの重要なサービスに対する大規模なサイバー脅威や攻撃に対応するため、数時間以内に世界中に展開することができる。
Composed of about 65 members, CAT is an investigative rapid response fly team that leverages special agents, computer scientists, intelligence analysts, and information technology specialists from across FBI field offices and Headquarters.	約65人のメンバーで構成されるCATは、特別捜査官、コンピュータ科学者、情報分析官、FBIの各支部と本部の情報技術専門家を活用した捜査迅速対応フライチームである。
"We respond onsite to victims who may include national government entities, private companies, or even sometimes foreign partner networks that have been compromised by an adversary," said Scott Ledford, head of the Cyber Action Team and the Advanced Digital Forensics Team. "Our job is to help conduct the investigation—we collect digital evidence and locate, identify, and reverse engineer malware. We also help the victim understand when they were compromised and how, writing a timeline and a narrative of that intrusion with the ultimate goal of identifying who is responsible, attributing that attack.	「サイバー・アクション・チームとアドバンスド・デジタル・フォレンジック・チームの責任者であるスコットレドフォードは、次のように述べた。「私たちは、敵対者によって侵害された国家事業体や民間企業、時には外国のパートナー・ネットワークなどの被害者に現場で対応する。「私たちの仕事は、デジタル証拠を収集し、マルウェアの場所を特定し、識別し、リバースエンジニアリングすることである。私たちはまた、被害者がいつ、どのように侵入されたかを理解する手助けをし、その侵入のタイムラインと物語を書く。」
CAT was established in 2005 in response to an increase in the number and complexity of computer intrusion investigations in FBI field offices. At the time, not all field offices had personnel with the cyber expertise necessary to properly respond to and investigate sophisticated computer intrusions.	CATは2005年、FBI支局におけるコンピュータ侵入捜査の増加と複雑化に対応して設立された。当時、すべての支局に、高度なコンピュータ侵入に適切に対応し、捜査するのに必要なサイバー専門知識を持つ職員がいたわけではなかった。
"There was this transition that was taking place between what investigations the FBI was responsible for and the types of crimes that we were starting to see," explained Ledford. "Cyber was such a growing threat at the time, and so it became necessary that some field offices would reach out and say, ‘Hey, do you know of any cyber experts who can help me work through an investigation?"	レドフォードは次のように説明した。「FBIが担当する捜査と、私たちが目にし始めた犯罪の種類との間に、このような移行が起こっていた。当時、サイバーは脅威を増していたため、いくつかの支局が、"捜査に協力してくれるサイバー専門家を知らないか？"と連絡を取ることが必要になった。」
As the team formalized its processes and expanded, in 2016, the Presidential Policy Directive 41, "United States Cyber Incident Coordination" was signed, setting forth principles for the federal government’s response to cyber incidents involving government or private sector entities. The FBI was appointed the lead federal agency for cyber threat response activities.	チームがそのプロセスを正式化し、拡大するにつれて、2016年には大統領政策指令41号「合衆国サイバーインシデント・コーディネーション」が署名され、政府機関や民間企業が関与するサイバー事件に対する連邦政府の対応原則が示された。FBIは、サイバー脅威への対応活動を主導する連邦機関に任命された。
"From an investigative standpoint, the FBI is unique. We're one of the few agencies in the U.S. government that has both law enforcement and counterintelligence authorities," said Ledford. "And those authorities, and the American people's trust in us, help us to deliver a unique blend of national security and criminal investigative skills, expertise, and resources to implement that blended response and help facilitate an investigation, regardless of whether it leads us overseas or to a courtroom here in the U.S."	レドフォードは次のように述べた。「捜査の観点から見ると、FBIはユニークだ。我々は、法執行と防諜の両権限を持つ、米国政府でも数少ない機関のひとつだ。そして、これらの権限と米国民の信頼が、国家安全保障と犯罪捜査のスキル、専門知識、リソースを独自に融合させ、海外であろうと米国内の法廷であろうと、その融合した対応を実施し、捜査の円滑化を支援するのに役立っている」。
The bulk of CAT’s cases usually involve the FBI identifying an organization with a particular intrusion that’s either so complex or large-scale that the local field office requests additional assistance.	CATが担当するケースの大半は、FBIが、現地支局が追加支援を要請するほど複雑または大規模な、特定の侵入を行った組織を特定することにある。
In one case, CAT deployed to a health care company that a separate intrusion investigation had identified as compromised. CAT’s response helped lead to the identification of several compromised systems and accounts on their network. While working alongside the company, CAT disrupted the threat—and prevented further exploitation across their network.	あるケースでは、CATは、別の侵入調査によって侵害が確認された医療関連企業に派遣された。CATの対応により、同社のネットワーク上で侵害された複数のシステムとアカウントが特定された。CATは、同社と協力しながら、脅威を阻止し、同社のネットワーク全体でさらなる悪用を防止した。
CAT also receives requests from FBI legal attachés, the State Department, the National Security Council, and the White House to assist other countries when they face cyberattacks.	CATはまた、FBIの法務担当官、国務省、国家安全保障会議、ホワイトハウスからも、他国がサイバー攻撃に直面した際の支援要請を受けている。
"It could be a country that doesn't have the resources or the expertise that the U.S. government has, and they've reached out and asked for help," said Ledford. “There can be a NATO or a non-NATO ally country that says, 'We've been hit hard by this adversary, and we don't have the localized personnel, we don't have the resources, we don't have the expertise to respond to this. Can you help us with it?"	レドフォードは次のように述べた。「米国政府が持っているような資源や専門知識を持たない国が、手を差し伸べて助けを求めているのだ。NATOやNATO以外の同盟国が、我々はこの敵対勢力から大きな打撃を受けており、これに対応するための現地要員も資源も専門知識もないと言うこともある。私たちを助けてくれないか？」
In another case, CAT deployed overseas to provide incident response support to a NATO ally that had been targeted by a destructive cyberattack. CAT responded and worked together with U.S. partners to determine the initial intrusion vector, identify other networks that were impacted, collect and analyze digital evidence, and ultimately attribute the intrusion to a foreign government. The NATO ally severed diplomatic ties with the foreign government, closed the foreign government’s in-country embassy, and evicted them from the country.	別のケースでは、CATが海外に派遣され、破壊的なサイバー攻撃の標的となったNATOの同盟国にインシデント対応支援を提供した。CATはこれに対応し、米国のパートナーと協力して、最初の侵入経路の特定、影響を受けた他のネットワークの特定、デジタル証拠の収集と分析を行い、最終的に侵入を外国政府に帰属させた。NATOの同盟国は外国政府との外交関係を断絶し、外国政府の国内大使館を閉鎖し、外国政府を国内から追い出した。
"We have some talented people, and they work hard every single day," said Ledford. "It's an honor to sit alongside them."	レドフォードは、「優秀なスタッフがいて、彼らは毎日懸命に働いている。「彼らと一緒に仕事ができるのは光栄なことだ」と、述べた。
Key Tactic: Strong Communication Skills	重要な戦術：強力なコミュニケーション能力
In addition to excellent technical skills, CAT members are closely vetted for strong communication skills. Ledford explained that part of the CAT applicant selection process entails a multi-day live technical exercise that's designed and curated by CAT:	優れた技術スキルに加えて、CATのメンバーは、強力なコミュニケーション・スキルについても綿密に審査される。レドフォードは、CATの応募者選考プロセスの一環として、CATが設計・監修する数日間のライブ技術演習が行われると説明した：
"We design a network environment. We may mimic an industry, for example, an electric utility. And then we compromise that environment, and we litter it with artifacts, digital evidence, and malware. Then we task applicants to investigate this cyber incident and present their findings.	「私たちはネットワーク環境を設計する。私たちはネットワーク環境を設計する。例えば、電力会社など、ある業界を模倣することもある。そして、その環境を侵害し、人工物、デジタル証拠、マルウェアを散乱させる。そして、応募者にこのサイバー事件を調査し、調査結果を発表するよう課す。
At the end of the five days, applicants present their findings, and we identify who has the technical capability and expertise to find digital evidence of a crime hidden within this mountain of data that we've thrown at them.	5日間が終了した時点で、申請者は調査結果を発表し、私たちが投げかけたデータの山の中に隠された犯罪のデジタル証拠を見つける技術的能力と専門知識を持つ者を特定する。
If the applicant passes that phase of that selection exercise, we invite them to participate in a panel presentation. Our CAT members will play the roles of the victims we’re trying to help and their own resource teams, for example, a company CEO, a U.S. attorney, a third-party legal counsel, or IT administrator.	その選考を通過した申請者には、パネル・プレゼンテーションに参加してもらう。CATのメンバーは、私たちが助けようとしている被害者役と、それぞれのリソース・チーム役、たとえば会社のCEO、米国弁護士、第三者の法律顧問、IT管理者などを演じる。
You're essentially giving us the narrative of the cyber intrusion. You're telling us a story about what happened. While some of the panel questions will be very technical in nature, some will be more basic questions—the applicant will need to be able to explain to a CEO, for example, who might not have technical expertise, what the problem was and how to fix it. We're looking to see whether you can take something that's exceptionally technically complex and explain it in such a way that everyone in the room understands it.	あなたは本質的に、サイバー侵入の物語を我々に伝えることになる。何が起こったかについてのストーリーを語っているのだ。パネルの質問の中には、本質的に非常に技術的なものもあるが、より基本的な質問もある。申請者は、例えば技術的な専門知識を持たないCEOに対して、何が問題で、どのように解決するかを説明できる必要がある。技術的に非常に複雑なことを、その場にいる全員が理解できるように説明できるかどうかを見ているのだ。
We're also looking for interpersonal ability. For example, in the case of a company CEO, at that moment during a cyberattack, they may be going through one of the most stressful times of their company's existence—there may be data leaked that can make or break that company's future and their profits, as well as their ability to employ people and their ability to deliver services to their customers. You need the communications skills to interact with them during a difficult time and gain trust."	また、対人能力も見ている。例えば、企業のCEOの場合、サイバー攻撃を受けているその瞬間は、会社の存続に関わる最もストレスの多い時かもしれない。会社の将来や利益を左右しかねないデータが流出し、従業員を雇用する能力や顧客にサービスを提供する能力も失われるかもしれない。困難な時期に彼らと対話し、信頼を得るためのコミュニケーション・スキルが必要なのだ。"
Advanced Digital Forensics Team	アドバンスト・デジタル・フォレンジック・チーム
The Advanced Digital Forensics (ADF) Team is a specialized team of malware reverse engineers and intrusion analysts that works with CAT. The ADF Team assists field offices when the level of malware or intrusion analysis required during an investigation exceeds the field office’s existing capabilities.	アドバンスト・デジタル・フォレンジック（ADF）チームは、マルウェア・リバース・エンジニアと侵入アナリストの専門チームで、CATと連携している。ADF チームは、調査中に必要とされるマルウェアや侵入の分析レベルが、現場事務所の既存の能力を超える場合に、現場事務所を支援する。
"When CAT deploys onsite, we don’t want to overwhelm the victims with FBI personnel," said Ledford. "But there's so many more people involved in the response during that investigation than the folks represented onsite. Our ADF Team is often working on the case remotely in real-time. They're seeing the data we collected in real-time. We're pulling that into our deployment cluster. We're ingesting that data and making it available. And then everyone is jumping in and looking at the data and trying to answer those investigative questions and figure out what happened and connecting the dots."	レドフォードは次のように述べた。「CATが現場に配備される際、FBIの人員で被害者を圧倒したくない。しかし、捜査中の対応には、現場の代表者よりも多くの人々が関わっている。私たちのADFチームは、多くの場合、リアルタイムでリモートで事件に取り組んでいる。彼らは我々が収集したデータをリアルタイムで見ている。我々はそのデータをデプロイメント・クラスターに取り込んでいる。そのデータを取り込み、利用可能にする。そして、誰もが飛び込んでデータを見て、捜査上の疑問に答え、何が起こったのかを突き止め、点と点を結ぼうとしている」。
The ADF Team also assists in analyzing data from ongoing cases. Though these situations may not always be in tandem with a CAT deployment, the field offices and others rely on the ADF Team’s expertise to thoroughly analyze data or break down malware to help the field office understand what the data consists of, what it means, and how they can potentially turn it into an investigative lead to help advance a case.	ADFチームは、現在進行中の事件のデータ分析も支援している。このような状況は、必ずしもCATの展開と連動しているとは限らないが、現場事務所などがデータを徹底的に分析したり、マルウェアを分解したりして、現場事務所がデータの構成や意味を理解し、それを捜査の手がかりに変えて事件を進展させる可能性を理解できるようにするために、ADFチームの専門知識を頼りにしている。
Ledford explained, "ADF operates in the shadow sometimes, but they're as much a part of the FBI's ability and the FBI Cyber Division's ability to respond to cyber adversaries and provide services to victims of computer intrusions, even though they're not always right there onsite with the victim."	レドフォードは、次のように説明した。「ADFは、時には影で活動することもあるが、サイバー敵対者に対応し、コンピュータ侵入の被害者にサービスを提供するFBIの能力、FBIサイバー課の能力の一部である。」