米国 カナダ オーストラリア イランのサイバー犯罪集団による重要インフラに対する攻撃についての警告 (2024.10.16)

こんにちは、丸山満彦です。

米国(FBI, CISA, NSA)、カナダ(CSE)、オーストラリア (AFP, ACSC) がイランのサイバー犯罪集団による重要インフラに対する攻撃について、警告をだしていますね...

● NSA

・2024.10.16 Iranian Cyber Actors Access Critical Infrastructure Networks

Iranian Cyber Actors Access Critical Infrastructure Networks	イランのサイバー犯罪者が重要なインフラネットワークにアクセス
FORT MEADE, Md. – The National Security Agency (NSA) is joining the Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and others in releasing a Cybersecurity Advisory (CSA), “Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations,” to warn network defenders of malicious activity that can enable persistent access in sensitive systems.	メリーランド州フォート・ミード発 – 国家安全保障局（NSA）は、連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）などと協力し、機密システムへの持続的なアクセスを可能にする悪意のある活動についてネットワークの防御者に警告するサイバーセキュリティ勧告（CSA）「イランのサイバー犯罪者によるブルートフォース攻撃と認証情報へのアクセス活動が重要なインフラ組織を危険にさらす」を発表した。
Since October 2023, Iranian cyber actors have used a technique known as brute force to compromise user accounts and obtain access to organizations to modify MFA registrations, enabling persistent access.	2023年10月以降、イランのサイバー犯罪者はブルートフォース攻撃として知られる手法を用いてユーザーアカウントを侵害し、組織へのアクセス権を取得して多要素認証（MFA）の登録を変更し、持続的なアクセスを可能にしている。
“Our agencies are sharing detailed insight into this malicious cyber activity and what organizations can do to shore up their defenses,” said Dave Luber, NSA Cybersecurity Director. “We explain the tactics, techniques, and procedures used by the Iranian actors, as well as indicators of compromise.”	「NSAのサイバーセキュリティ担当ディレクターであるデイブ・ルーバー氏は、「我々の機関は、この悪意あるサイバー活動の詳細な洞察と、組織が防御を強化するためにできることについて共有している」と述べた。「我々は、イランの犯罪者集団が使用する戦術、技術、手順、および侵害の兆候について説明している」と述べた。
Once they have access, the Iranian actors obtain additional credentials and sell the information to users on cybercriminal forums who conduct further malicious activities. The Iranian actors have targeted multiple critical infrastructure sectors, including healthcare, government, information technology, engineering, and energy.	いったんアクセスを許すと、イランの攻撃者は追加の認証情報を入手し、その情報をサイバー犯罪者フォーラムのユーザーに販売し、さらに悪質な活動を行う。イランの攻撃者は、医療、政府、IT、エンジニアリング、エネルギーなど、複数の重要なインフラセクターを標的にしている。
To detect brute force activity such as password spraying, the report’s authors recommend reviewing authentication logs for system and application login failures of valid accounts and looking for multiple, failed authentication attempts across all the accounts.  To mitigate against this activity, the CSA recommends measures such as implementing phishing-resistant multi factor authentication (MFA), continuously reviewing MFA settings, providing cybersecurity training to users, and ensuring password policies meet minimum password strength guidelines.	パスワードスプレー攻撃などの総当たり攻撃を検知するために、レポートの著者は、有効なアカウントのシステムおよびアプリケーションへのログイン失敗の認証ログを確認し、すべてのアカウントで認証の試行が複数回失敗していないかを確認することを推奨している。 この活動を低減するために、CSAは、フィッシング対策のマルチファクタ認証（MFA）の導入、MFA設定の継続的な見直し、ユーザーへのサイバーセキュリティトレーニングの提供、パスワードポリシーが最低限のパスワード強度ガイドラインを満たしていることの確認などの対策を推奨している。
The other authoring agencies are the Communications Security Establishment Canada (CSE), the Australian Federal Police (AFP), and the Australian Signals Directorate Australian Cyber Security Centre (ASD ACSC).	他の作成機関は、カナダ通信安全保障局（CSE）、オーストラリア連邦警察（AFP）、オーストラリアサイバーセキュリティセンター（ASD ACSC）である。

 

● ICS3

・2024.10.16 [PDF] Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations

 

Iranian Cyber Actors’ Brute Force and Credential Access Activity Compromises Critical Infrastructure Organizations	イランのサイバー犯罪者によるブルートフォース攻撃と認証情報へのアクセス活動により、重要なインフラストラクチャ組織が危険にさらされる
Summary	要約
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Communications Security Establishment Canada (CSE), the Australian Federal Police (AFP), and Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) are releasing this joint Cybersecurity Advisory to warn network defenders of Iranian cyber actors’ use of brute force and other techniques to compromise organizations across multiple critical infrastructure sectors, including the healthcare and public health (HPH), government, information technology, engineering, and energy sectors. The actors likely aim to obtain credentials and information describing the victim’s network that can then be sold to enable access to cybercriminals.	連邦捜査局（FBI）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）、カナダ通信安全保障局（CSE）、オーストラリア連邦警察（AFP）、およびオーストラリア信号局オーストラリアサイバーセキュリティセンター（ASDのACSC）は、 この共同サイバーセキュリティ勧告は、イランのサイバー犯罪者集団が、医療および公衆衛生（HPH）、政府、情報技術、エンジニアリング、エネルギーなどの複数の重要インフラセクターにわたる組織を侵害するためにブルートフォース攻撃やその他のテクニックを使用していることをネットワークの防御者に警告するために発表される。 犯罪者集団は、おそらく認証情報や被害者のネットワークを記述した情報を入手し、それを販売することでサイバー犯罪者へのアクセスを可能にしようとしている。
Since October 2023, Iranian actors have used brute force, such as password spraying, and multi-factor authentication (MFA) ‘push bombing’ to compromise user accounts and obtain access to organizations. The actors frequently modified MFA registrations, enabling persistent access. The actors performed discovery on the compromised networks to obtain additional credentials and identify other information that could be used to gain additional points of access. The authoring agencies assess the Iranian actors sell this information on cybercriminal forums to actors who may use the information to conduct additional malicious activity.	2023年10月以降、イランの攻撃者は、パスワードスプレー攻撃などのブルートフォース攻撃や多要素認証（MFA）の「プッシュ爆撃」を使用して、ユーザーアカウントを侵害し、組織へのアクセス権を取得していた。攻撃者は頻繁にMFA登録を変更し、持続的なアクセスを可能にしていた。攻撃者は、侵害したネットワーク上で探索を実行し、追加の認証情報を取得し、さらなるアクセスポイントを獲得するために使用できるその他の情報を識別した。作成機関は、イランの攻撃者がこの情報をサイバー犯罪者フォーラムで販売し、その情報を悪用してさらなる悪質な行為を行う可能性のある攻撃者に販売しているとアセスメントしている。
This advisory provides the actors’ tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs). The information is derived from FBI engagements with entities impacted by this malicious activity.	作成機関は、重要インフラ組織が「低減策」のセクションで提供されている指針に従うことを推奨している。最低限、組織はすべてのアカウントに強力なパスワードを使用させ、2つ目の認証方法を登録すべきである。

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.18 米国 CISA 米国の民主的機関を弱体化させるイラン支援のサイバー活動を警告と対処法 (2024.10.08)

・2024.09.30 米国 英国 イラン国家のために活動するサイバー行為者について警告をし、大統領選を妨害しようとするイラン政権に関係する活動家を起訴+財産の封鎖

・2024.09.24 米国 国家情報長官室(ODNI)、FBI、CISA イランによの選挙介入に関する共同声明 (2024.09.18)

・2024.08.30 米国 CISA FBI DC3 米国組織へのランサムウェア攻撃を可能にするイランベースのサイバー行為者に関する勧告

・2024.08.22 米国 ODNI FBI CISA イランによる選挙への影響工作に関する共同声明 (2024.08.19)

・2024.03.14 米国 インテリジェンス・コミュニティによる2024年の脅威評価 

・2023.11.16 英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告

・2023.09.19 米国 国防総省サイバー戦略 2023（要約）(2023.09.12)

・2023.09.15 IISS サイバー対応能力と国家力 2回目の評価は10カ国

・2023.08.28 BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も...

・2023.08.11 米国 国家情報戦略 2023

・2023.04.09 米国 インテリジェンスコミュニティーによる2023年脅威評価 (2023.02.06)

・2023.04.04 米国 ファクトシート：「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.04.03 米国 米サイバー軍がアルバニアでイランからのサイバー攻撃に対する防衛的ハント作戦を実施 (2023.03.23)

・2023.03.13 サイバー軍 ポール・M・ナカソネ将軍の姿勢表明

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書（2021年7月から2022年6月）

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.30 米国 国防総省：サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

・2022.10.13 米国 White House ファクトシート: バイデン-ハリス政権が米国のサイバーセキュリティの強化に貢献

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない？

・2021.06.06 米国 インテリジェンスコミュニティーによる2021年脅威評価 by ODNI at 2021.04.09

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2020.11.01 米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。