米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)
こんにちは、丸山満彦です。
GAOがブログで、ソフトウェアアップデートによるサイバー上の脆弱性について言及していますね...
意図的なかったとしても、多くの企業で利用されているソフトウェアにバグがあり、それがOS等に影響を及ぼし、バックドアが生じてしまったり、システムが正常に起動できなくなってしまうことは、社会的にも大きなリスクですよね...
かなり気にしているような気がします...
● U.S. Government Accountability Office; GAO
・2024.07.30 CrowdStrike Chaos Highlights Key Cyber Vulnerabilities with Software Updates
CrowdStrike Chaos Highlights Key Cyber Vulnerabilities with Software Updates | CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする |
Earlier this month, a software update from the cybersecurity firm CrowdStrike caused Microsoft Windows operating systems to crash—resulting in potentially the largest IT outage in history. | 今月初め、サイバーセキュリティ企業CrowdStrikeのソフトウェア・アップデートにより、マイクロソフト社のウィンドウズOSがクラッシュし、史上最大規模のIT障害が発生した。 |
Disruptions were widespread. Around the world, businesses and services were unable to operate as computers crashed, and some critical infrastructure sectors (like transportation, healthcare, and finance) were disrupted. For example, commercial flights were grounded, critical hospital care was interrupted, and financial institutions were unable to service clients. | 混乱は広範囲に及んだ。世界中で、コンピューターがクラッシュしたため、ビジネスやサービスが運営できなくなり、重要なインフラ部門(交通、医療、金融など)も混乱した。例えば、民間航空便は欠航し、重要な病院医療は中断され、金融機関は顧客へのサービスができなくなった。 |
Here at GAO, we have long highlighted concerns for Congress about IT vulnerabilities, a lack of security awareness, poor cyber hygiene, and a need for more cyber preventative measures to combat disruptions like the CrowdStrike outage. In our prior work, we have identified risks to the nation’s critical infrastructure sectors and in the supply chain of software supporting IT systems. | ここGAOでは、ITの脆弱性、セキュリティ意識の欠如、サイバー衛生の不備、そしてクラウドストライクのような障害に対抗するためのサイバー予防策の必要性について、以前から議会に対して懸念を表明してきた。また、CrowStrikeのような障害に対抗するため、より多くのサイバー予防策が必要である。私たちは、これまでの調査で、国の重要インフラ部門やITシステムを支えるソフトウェアのサプライチェーンにおけるリスクを指摘してきた。 |
Today’s WatchBlog post looks at this work, including our June update to the High Risk List. | 本日のWatchBlogでは、6月に更新したハイリスクリストを含め、この作業について紹介する。 |
CrowdStrike crash caused by supply chain vulnerability similar to SolarWinds attack | CrowdStrikeのクラッシュは、SolarWindsの攻撃と同様のサプライチェーンの脆弱性が原因だった |
So far, what we know about the CrowdStrike crash is that it was caused by human error and not a cyberattack or malicious intent. But the crash highlights the same vulnerabilities we saw during the SolarWinds attack in 2019. Instead of attacking systems directly, malicious actors targeted the software used to support them. | 今のところ、CrowdStrikeのクラッシュについてわかっていることは、サイバー攻撃や悪意ではなく、人為的なミスによるものだということだ。しかし、この事故は、2019年のSolarWinds攻撃で見られたのと同じ脆弱性を浮き彫りにしている。悪意ある行為者はシステムを直接攻撃するのではなく、システムをサポートするためのソフトウェアを標的にしたのだ。 |
SolarWinds attack. Beginning in September 2019, the Russian Foreign Intelligence Service led a campaign of cyberattacks, breaking into the computing networks of SolarWinds—a Texas-based network management software company. The software was widely used by the federal government to monitor activities and manage devices on federal networks. | SolarWinds攻撃:2019年9月から、ロシア対外情報庁はサイバー攻撃のキャンペーンを主導し、テキサス州に拠点を置くネットワーク管理ソフトウェア会社、SolarWindsのコンピューティング・ネットワークに侵入した。このソフトウェアは連邦政府が連邦ネットワーク上の活動を監視し、デバイスを管理するために広く使用されていた。 |
Hackers injected trojanized (hidden) code into verified SolarWinds software updates. When SolarWinds released the software updates to its customers, the threat actor gained a “backdoor,” or remote access, to customers’ networks and systems. The attack was discovered more than a year later in November 2020. | ハッカーたちは、検証済みのSolarWindsのソフトウェア・アップデートにトロイの木馬化した(隠された)コードを注入した。SolarWindsがそのソフトウェア・アップデートを顧客にリリースすると、脅威者は顧客のネットワークとシステムへの「バックドア」、つまりリモート・アクセスを獲得した。この攻撃は1年以上後の2020年11月に発見された。 |
We provide a timeline of these attacks and the response in our April 2021 blog post. | これらの攻撃とその対応については、2021年4月のブログ記事で時系列で紹介している。 |
Protecting the software supply chain. As we saw with CrowdStrike and SolarWinds, faulty or manipulated software updates can have cascading, widespread impacts on IT systems. | ソフトウェアのサプライチェーンを守る CrowdStrikeやSolarWindsで見られたように、欠陥のある、あるいは操作されたソフトウェアのアップデートは、ITシステムに連鎖的かつ広範囲に影響を及ぼす可能性がある。 |
In our prior work, we’ve identified 7 practices to manage and protect federal IT against these risks. But when we looked at how agencies (23 of them) implemented these practices, we found that few had. Learn more by listening to our podcast with GAO’s Carol Harris about supply chain risks. | 私たちはこれまでの研究で、連邦政府のITをこうしたリスクから管理・保護するための7つの手法を明らかにしてきた。しかし、これらのプラクティスを連邦政府機関(23機関)がどのように実施しているかを調べたところ、実施している機関はほとんどなかった。詳しくは、GAOのキャロル・ハリスによるサプライチェーンリスクに関するポッドキャストを聞いてほしい。 |
Many manufacturers of IT products and services are located overseas, which also creates vulnerabilities for the United States. The federal government needs to take action to better monitor the global supply chain against emerging threats. These threats include those against the Department of Defense, which we reported on in May 2023. | IT製品やサービスの製造業者の多くは海外にあり、米国にも脆弱性がある。連邦政府は、新たな脅威に対してグローバル・サプライチェーンをよりよく監視するための行動をとる必要がある。こうした脅威には、2023年5月に報告した国防総省に対するものも含まれる。 |
Cybersecurity issues like these are High Risk. Here’s what needs to happen | このようなサイバーセキュリティ問題はハイリスクである。必要なことは以下の通りである。 |
Malicious cyberattacks on the federal government and the nation’s critical infrastructures—like that on SolarWinds, and others—are growing in number, impact, and sophistication. This issue is so significant that in June, we updated our High Risk designation for cybersecurity. This update includes descriptions of the major challenges facing the federal government in its efforts to protect against attacks. Some of these challenges are related to the vulnerabilities seen during the CrowdStrike and SolarWinds software updates and responses. | SolarWinds社やその他の企業に対するサイバー攻撃のように、連邦政府や国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。この問題は非常に重大であるため、6月にサイバーセキュリティのハイリスク指定を更新した。この更新には、連邦政府が攻撃から保護するために直面している主な課題の説明が含まれている。これらの課題のいくつかは、CrowdStrikeとSolarWindsのソフトウェアのアップデートと対応で見られた脆弱性に関連している。 |
National Cybersecurity Strategy. Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But when we looked at the strategy, we found it needed outcome-oriented performance measures for its various initiatives. | 国家サイバーセキュリティ戦略。昨年、ホワイトハウスは「国家サイバーセキュリティ戦略」を発表し、国が直面するサイバーセキュリティの長年の課題に対処するために政府が取るべき措置を概説した。しかし、この戦略を検証したところ、さまざまな取り組みに対して成果志向のパフォーマンス指標が必要であることがわかった。 |
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risks associated with emerging technologies—such as artificial intelligence. | さらに連邦政府は、グローバルなサプライチェーンを確実に監視し、必要とされる高度なスキルを持つサイバー人材を確保し、人工知能などの新たな技術に関連するリスクに対処するための措置を講じる必要がある。 |
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. | 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の提言のうち170件が実施されていない。 |
Critical infrastructure sectors remain vulnerable. Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. For example, a February attack on Change Healthcare (a health payment processor) resulted in nearly $874 million in financial loses and widespread disruptions for providers and patient care. Healthcare is just one of the 16 critical infrastructure sectors that are vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate. |
重要インフラ部門は依然として脆弱である。重要インフラ部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。例えば、2月のチェンジ・ヘルスケア(医療費支払い処理会社)への攻撃は、約8億7400万ドルの金銭的損失をもたらし、医療提供者と患者ケアに広範な混乱をもたらした。ヘルスケアは、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらの部門はすべて、ITシステムに大きく依存している。 |
Many manufacturers of IT products and services are located overseas, which also creates vulnerabilities for the United States. The federal government needs to take action to better monitor the global supply chain against emerging threats. These threats include those against the Department of Defense, which we reported on in May 2023. | IT製品やサービスの製造業者の多くは海外にあり、米国にも脆弱性がある。連邦政府は、新たな脅威に対してグローバル・サプライチェーンをよりよく監視するための行動をとる必要がある。こうした脅威には、2023年5月に報告した国防総省に対するものも含まれる。 |
Cybersecurity issues like these are High Risk. Here’s what needs to happen | このようなサイバーセキュリティ問題はハイリスクである。必要なことは以下の通りである。 |
Malicious cyberattacks on the federal government and the nation’s critical infrastructures—like that on SolarWinds, and others—are growing in number, impact, and sophistication. This issue is so significant that in June, we updated our High Risk designation for cybersecurity. This update includes descriptions of the major challenges facing the federal government in its efforts to protect against attacks. Some of these challenges are related to the vulnerabilities seen during the CrowdStrike and SolarWinds software updates and responses. | SolarWinds社やその他の企業に対するサイバー攻撃のように、連邦政府や国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。この問題は非常に重大であるため、6月にサイバーセキュリティのハイリスク指定を更新した。この更新には、連邦政府が攻撃から保護するために直面している主な課題の説明が含まれている。これらの課題のいくつかは、CrowdStrikeとSolarWindsのソフトウェアのアップデートと対応で見られた脆弱性に関連している。 |
National Cybersecurity Strategy. Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But when we looked at the strategy, we found it needed outcome-oriented performance measures for its various initiatives. | 国家サイバーセキュリティ戦略。昨年、ホワイトハウスは「国家サイバーセキュリティ戦略」を発表し、国が直面するサイバーセキュリティの長年の課題に対処するために政府が取るべき措置を概説した。しかし、この戦略を検証したところ、さまざまな取り組みに対して成果志向のパフォーマンス指標が必要であることがわかった。 |
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risks associated with emerging technologies—such as artificial intelligence. | さらに連邦政府は、グローバルなサプライチェーンを確実に監視し、必要とされる高度なスキルを持つサイバー人材を確保し、人工知能などの新たな技術に関連するリスクに対処するための措置を講じる必要がある。 |
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. | 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の提言のうち170件が実施されていない。 |
Critical infrastructure sectors remain vulnerable. Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. For example, a February attack on Change Healthcare (a health payment processor) resulted in nearly $874 million in financial loses and widespread disruptions for providers and patient care. Healthcare is just one of the 16 critical infrastructure sectors that are vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate. | 重要インフラ部門は依然として脆弱である。重要インフラ部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。例えば、2月のチェンジ・ヘルスケア(医療費支払い処理会社)への攻撃は、約8億7400万ドルの金銭的損失をもたらし、医療提供者と患者ケアに広範な混乱をもたらした。ヘルスケアは、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらの部門はすべて、ITシステムに大きく依存している。 |
The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. | 連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、我々はこれらの取り組みには持続的な欠点があると見ている。我々は、重要インフラのサイバーセキュリティをより良く保護するために126の勧告を行った。そのうちの64件については、まだ対策が必要である。 |
Learn more about our work on federal cybersecurity and critical infrastructure protection by reading our June High Risk update report. | 連邦政府のサイバーセキュリティと重要インフラ保護に関する我々の取り組みの詳細については、6月のハイリスク最新報告書を参照されたい。 |
GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. | GAOの事実に基づいた超党派の情報は、議会や連邦政府機関の政府改善に役立っている。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで私たちの投稿をもっとチェックしよう。 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2024.06.25 米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)
Comments