米国 司法省 マイクロソフトが協力し、合わせて100以上のドメインを差し押さえた
こんにちは、丸山満彦です。
米国司法省とマイクロソフトが協力して、ロシア情報機関の工作員やその代理人が米国内で不正行為を働くために利用していた、ドメインをそれぞれ41、66(合計107)特定し、差し押さえたとようですね...
国家背景の脅威者であれば、また時間と予算を使って目的を達成するための別の手段を用意してくるでしょうが、一定の成果はあるような気がします。にしても、やはり自国にBig Techをもっている国はこういうことがしやすいというのはあるでしょうね...
まずは、司法省から...
・2024.10.03 Justice Department Disrupts Russian Intelligence Spear-Phishing Efforts
Justice Department Disrupts Russian Intelligence Spear-Phishing Efforts | 司法省、ロシア情報機関によるスピアフィッシングの試みを阻止 |
Department’s Actions Were Coordinated with Concurrent Actions by Microsoft | 司法省の措置は、マイクロソフト社による同時措置と調整された |
The Justice Department announced today the unsealing of a warrant authorizing the seizure of 41 internet domains used by Russian intelligence agents and their proxies to commit computer fraud and abuse in the United States. As an example of the Department’s commitment to public-private operational collaboration to disrupt such adversaries’ malicious cyber activities, as set forth in the National Cybersecurity Strategy, the Department acted concurrently with a Microsoft civil action to restrain 66 internet domains used by the same actors. | 司法省は本日、ロシア情報機関の工作員および代理人が米国でコンピューター詐欺および不正行為を行うために使用していた41のインターネットドメインの差し押さえを認める令状の封印を解いたことを発表した。国家サイバーセキュリティ戦略に定められているような、敵対者の悪意あるサイバー活動を阻止するための官民連携活動への司法省の取り組みの一例として、司法省は、同じ行為者によって使用されていた66のインターネットドメインの差し止めを求めるマイクロソフト社による民事訴訟と並行して行動した。 |
“Today’s seizure of 41 internet domains reflects the Justice Department’s cyber strategy in action – using all tools to disrupt and deter malicious, state-sponsored cyber actors,” said Deputy Attorney General Lisa Monaco. “The Russian government ran this scheme to steal Americans’ sensitive information, using seemingly legitimate email accounts to trick victims into revealing account credentials. With the continued support of our private sector partners, we will be relentless in exposing Russian actors and cybercriminals and depriving them of the tools of their illicit trade.” | リサ・モナコ副司法長官は次のように述べた。「本日、41のインターネットドメインが差し押さえられたことは、司法省のサイバー戦略が実行に移されたことを意味する。悪意のある国家支援のサイバー犯罪者を混乱させ、抑止するためにあらゆる手段を講じるという戦略でだる。ロシア政府は、一見合法的な電子メールアカウントを使用して被害者をだまし、アカウントの認証情報を明らかにさせることで、米国人の機密情報を盗むというこの計画を実行しました。民間部門のパートナーの継続的な支援を受け、ロシアの諜報員やサイバー犯罪者を摘発し、彼らの不正取引の手段を奪うために、私たちは容赦なく取り組んでいく」。 |
“This disruption exemplifies our ongoing efforts to expel Russian intelligence agents from the online infrastructure they have used to target individuals, businesses, and governments around the world,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “Working closely with private-sector partners such as Microsoft, the National Security Division uses the full reach of our authorities to confront the cyber-enabled threats of tomorrow from Russia and other adversaries.” | 司法省国家安全保障局のマシュー・G・オルセン副長官は次のように述べた。「この妨害は、世界中の個人、企業、政府を標的にするために使用されてきたオンラインインフラからロシアの諜報員を排除するという、私たちの継続的な取り組みを象徴するものである。マイクロソフトのような民間部門のパートナーと緊密に協力しながら、国家安全保障局は、ロシアやその他の敵対者によるサイバー攻撃の脅威に立ち向かうために、当局の権限を最大限に活用している」。 |
"Working in close collaboration with public and private sector partners—in this case through the execution of domain seizures — we remain in prime position to counter and defeat a broad range of cyber threats posed by adversaries,” said FBI Deputy Director Paul Abbate. “Our efforts to prevent the theft of information by state-sponsored criminal actors are relentless, and we will continue our work in this arena with partners who share our common goals.” | FBI副長官のポール・アバテ氏は次のように述べた。「このケースではドメインの差し押さえの実行を通じて、公共部門および民間部門のパートナーと緊密に協力しながら、敵対者による広範なサイバー脅威に対抗し、打ち負かすための最善の立場を維持している。国家支援を受けた犯罪者による情報盗難を防ぐための我々の努力は絶え間なく続けられており、我々の共通の目標を共有するパートナーと共に、この分野での活動を継続していく」。 |
“This seizure is part of a coordinated response with our private sector partners to dismantle the infrastructure that cyber espionage actors use to attack U.S. and international targets,” said U.S. Attorney Ismail J. Ramsey for the Northern District of California. “We thank all of our private-sector partners for their diligence in analyzing, publicizing, and combating the threat posed by these illicit state-coordinated actions in the Northern District of California, across the United States, and around the world.” | カリフォルニア州北部地区のイスマイル・J・ラムゼイ連邦検事は次のように述べた。「この差し押さえは、米国および国際的な標的を攻撃するためにサイバースパイが使用するインフラを解体するための、民間部門のパートナーとの協調的な対応の一部である。私たちは、カリフォルニア州北部地区、米国全土、そして世界中で、これらの違法な国家協調行動による脅威を分析、公表、および対抗するにあたり、民間部門のパートナーの皆様の尽力に感謝する。」 |
According to the partially unsealed affidavit filed in support of the government’s seizure warrant, the seized domains were used by hackers belonging to, or criminal proxies working for, the “Callisto Group,” an operational unit within Center 18 of the Russian Federal Security Service (the FSB), to commit violations of unauthorized access to a computer to obtain information from a department or agency of the United States, unauthorized access to a computer to obtain information from a protected computer, and causing damage to a protected computer. Callisto Group hackers used the seized domains in an ongoing and sophisticated spear-phishing campaign with the goal of gaining unauthorized access to, and steal valuable information from, the computers and email accounts of U.S. government and other victims. | 政府による押収令状の根拠として提出された一部非公開の宣誓供述書によると、差し押さえられたドメインは、ロシア連邦保安庁(FSB)のセンター18内の作戦部隊である「カリスト・グループ」に所属するハッカー、または同グループのために働く犯罪組織の代理人が、 米国の省庁や機関から情報を取得するためのコンピューターへの不正アクセス、防御されたコンピューターから情報を取得するためのコンピューターへの不正アクセス、防御されたコンピューターへの損害を引き起こす行為などの違反行為を犯すために使用されていた。カリストグループのハッカーは、差し押さえられたドメインを、米国政府やその他の被害者のコンピュータやメールアカウントへの不正アクセスと、そこからの貴重な情報の盗難を目的とした、現在進行中の高度なスピアフィッシングキャンペーンで使用した。 |
In conjunction, Microsoft announced the filing of a civil action to seize 66 internet domains also used by Callisto Group actors. Microsoft Threat Intelligence tracks this group as “Star Blizzard” (formerly SEABORGIUM, also known as COLDRIVER). Between January 2023 and August 2024, Microsoft observed Star Blizzard target over 30 civil society entities and organizations – journalists, think tanks, and nongovernmental organizations (NGOs) – by deploying spear-phishing campaigns to exfiltrate sensitive information and interfere in their activities. | これに関連して、マイクロソフトは、カリスト・グループの関係者によって使用されている66のインターネットドメインを差し押さえるための民事訴訟の提起を発表した。マイクロソフトの脅威インテリジェンスでは、このグループを「Star Blizzard」(旧称SEABORGIUM、別名COLDRIVER)として追跡している。2023年1月から2024年8月の間、マイクロソフトはStar Blizzardが標的型フィッシングキャンペーンを展開し、ジャーナリスト、シンクタンク、非政府組織(NGO)など30以上の市民社会事業体や組織を標的にし、機密情報を窃取し、その活動に干渉していることを確認した。 |
The government’s affidavit alleges the Callisto Group actors targeted, among others, U.S.-based companies, former employees of the U.S. Intelligence Community, former and current Department of Defense and Department of State employees, U.S. military defense contractors, and staff at the Department of Energy. In December 2023, the Department announced charges against two Callisto-affiliated actors, Ruslan Aleksandrovich Peretyatko (Перетятько Руслан Александрович), an officer in FSB Center 18, and Andrey Stanislavovich Korinets (Коринец Андрей Станиславович). The indictment charged the defendants with a campaign to hack into computer networks in the United States, the United Kingdom, other North Atlantic Treaty Organization member countries, and Ukraine, all on behalf of the Russian government. | 政府の宣誓供述書によると、カリスト・グループの関係者は、米国を拠点とする企業、米国インテリジェンス・コミュニティの元職員、国防総省および国務省の元職員および現職職員、米国の軍事請負業者、エネルギー省の職員などを標的にしたと主張している。2023年12月、同省は、FSB第18センターの職員であるルスラン・アレクサンドロヴィチ・ペレタトコ(Перетятько Руслан Александрович)とアンドレイ・スタニスラヴォヴィチ・コリネツ(Коринец Андрей Станиславович)という、カリストに関連する2人の人物を起訴した。起訴状では、被告らはロシア政府の代理として、米国、英国、その他の北大西洋条約機構(NATO)加盟国、ウクライナのコンピューターネットワークへのハッキングキャンペーンを行ったとされている。 |
The FBI San Francisco Field Office is investigating the case. | この事件は、FBIサンフランシスコ支局が捜査している。 |
The U.S. Attorney’s Office for the Northern District of California and the Justice Department’s National Security Cyber Section of the National Security Division are prosecuting the case. | カリフォルニア州北部地区連邦検事局および司法省国家安全保障局サイバーセキュリティ課が起訴している。 |
The case is docketed at Application by the United States for a Seizure Warrant for 41 Domain Names For Investigation of 18 U.S.C. § 1956(a)(2)(A) and Other Offenses, No. 4-24-71375 (N.D. Cal. Sept. 16, 2024). | この訴訟は、18 U.S.C. § 1956(a)(2)(A)およびその他の犯罪の捜査のための41のドメイン名の差押え令状に関する米国による申請、事件番号4-24-71375(2024年9月16日、カリフォルニア北部地区)として記録されている。 |
An affidavit in support of a seizure warrant and an indictment are merely allegations. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. | 差押令状および起訴状を裏付ける宣誓供述書は単なる申し立てにすぎない。すべての被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは無罪と推定される。 |
マイクロソフトの発表...
● Microsoft
・2024.10.03 Protecting Democratic Institutions from Cyber Threats
Protecting Democratic Institutions from Cyber Threats | サイバー脅威から民主的機構を防御 |
Microsoft’s Digital Crimes Unit (DCU) is disrupting the technical infrastructure used by a persistent Russian nation-state actor Microsoft Threat Intelligence tracks as Star Blizzard. Today, the United States District Court for the District of Columbia unsealed a civil action brought by Microsoft’s DCU, including its order authorizing Microsoft to seize 66 unique domains used by Star Blizzard in cyberattacks targeting Microsoft customers globally, including throughout the United States. Between January 2023 and August 2024, Microsoft observed Star Blizzard target over 30 civil society organizations – journalists, think tanks, and non-governmental organizations (NGOs) core to ensuring democracy can thrive – by deploying spear-phishing campaigns to exfiltrate sensitive information and interfere in their activities. | マイクロソフトのデジタル犯罪ユニット(DCU)は、マイクロソフトの脅威インテリジェンスが「Star Blizzard」として追跡している、ロシアの国家による継続的な行為者による使用されている技術的インフラを破壊した。本日、コロンビア特別区連邦地方裁判所は、米国を含む世界中のマイクロソフトの顧客を標的としたサイバー攻撃で「Star Blizzard」が使用した66の固有のドメインをマイクロソフトが差し押さえることを認可する命令を含む、マイクロソフトのDCUが起こした民事訴訟の封印を解いた。2023年1月から2024年8月にかけて、マイクロソフトは、スピアフィッシング・キャンペーンを展開して機密情報を盗み出し、彼らの活動を妨害することで、ジャーナリスト、シンクタンク、民主主義の繁栄に不可欠な非政府組織(NGO)など、30以上の市民社会組織を標的とするスターブリザードの動きを観測した。 |
We are filing this lawsuit with the NGO Information Sharing and Analysis Center (NGO-ISAC) and have coordinated with the Department of Justice (DOJ), which simultaneously seized 41 additional domains attributed to the same actor. Together, we have seized more than 100 websites. Rebuilding infrastructure takes time, absorbs resources, and costs money. By collaborating with DOJ, we have been able to expand the scope of disruption and seize more infrastructure, enabling us to deliver greater impact against Star Blizzard. | この訴訟は、NGO情報共有・分析センター(NGO-ISAC)と共同で起こしており、司法省(DOJ)とも連携している。司法省は同時に、同じ攻撃者によるものとされる41の追加ドメインを差し押さえた。 これまでに、100以上のウェブサイトを差し押さえている。 インフラの再構築には時間がかかり、リソースを消費し、費用もかかる。DOJと協力することで、混乱の範囲を拡大し、より多くのインフラを差し押さえることが可能になり、Star Blizzardに対するより大きな影響力を発揮できるようになった。 |
While we expect Star Blizzard to always be establishing new infrastructure, today’s action impacts their operations at a critical point in time when foreign interference in U.S. democratic processes is of utmost concern. It will also enable us to quickly disrupt any new infrastructure we identify through an existing court proceeding. Furthermore, through this civil action and discovery, Microsoft’s DCU and Microsoft Threat Intelligence will gather additional valuable intelligence about this actor and the scope of its activities, which we can use to improve the security of our products, share with cross-sector partners to aid them in their own investigations and identify and assist victims with remediation efforts. | Star Blizzardが常に新たなインフラを構築していると予想される中、今日の措置は、米国の民主的プロセスへの外国からの干渉が最も懸念される重要な局面において、彼らの業務に影響を与えるものです。また、既存の裁判手続きを通じて識別した新たなインフラを迅速に混乱させることも可能になります。さらに、この民事訴訟と証拠開示を通じて、MicrosoftのDCUとMicrosoft Threat Intelligenceは、この行為者と活動範囲に関するさらなる貴重な情報を収集し、それらを当社製品のセキュリティ改善に活用し、さまざまな分野のパートナーと共有して、各社の調査を支援し、被害者の特定と修復作業の支援に役立てることができる。 |
Star Blizzard’s operations are relentless, exploiting the trust, privacy, and familiarity of everyday digital interactions. | Star Blizzardの活動は容赦なく、日常的なデジタルインタラクションの信頼、プライバシー、および使いやすさを悪用している。 |
Star Blizzard (also known as COLDRIVER and Callisto Group) has actively engaged in various forms of cyberattacks and activity since at least 2017. Since 2022, Star Blizzard has improved their detection evasion capabilities while remaining focused on email credential theft against the same targets. Our actions today will impact those capabilities. Most recently, Star Blizzard targets NGOs and think tanks that support government employees and military and intelligence officials, especially those providing support to Ukraine and in NATO countries such as the United States and the United Kingdom, as well as in the Baltics, Nordics, and Eastern Europe. They have been particularly aggressive in targeting former intelligence officials, Russian affairs experts, and Russian citizens residing in the U.S. In 2023, the British government and its allies attributed Star Blizzard to the Russian Federal Security Service (FSB) and exposed the actor’s attempted interference in UK politics through the targeting of elected officials, think tanks, journalists and the public sector. | Star Blizzard(別名 COLDRIVER および Callisto Group)は、少なくとも2017年からさまざまなサイバー攻撃や活動に積極的に関与している。2022年以降、Star Blizzardは検知回避能力を改善しながら、同じ標的に対する電子メール認証情報の窃取に引き続き重点的に取り組んでいる。本日、私たちが講じた措置は、こうした能力に影響を与えることになるだろう。最近では、スターブリザードは、政府職員や軍・情報当局者を支援するNGOやシンクタンク、特にウクライナや米国、英国などのNATO諸国、バルト三国、北欧、東欧諸国を支援するプロバイダを標的にしている。彼らは特に、元情報機関職員、ロシア問題専門家、米国在住のロシア国民を標的にするのに積極的である。2023年、英国政府とその同盟国は、スターブリザードをロシア連邦保安庁(FSB)の犯行と断定し、選出された政府関係者、シンクタンク、ジャーナリスト、公共部門を標的にしたこの攻撃者の英国政治への干渉未遂を暴露した。 |
Star Blizzard is persistent. They meticulously study their targets and pose as trusted contacts to achieve their goals. Since January 2023, Microsoft has identified 82 customers targeted by this group, at a rate of approximately one attack per week. This frequency underscores the group’s diligence in identifying high-value targets, crafting personalized phishing emails, and developing the necessary infrastructure for credential theft. Their victims, often unaware of the malicious intent, unknowingly engage with these messages leading to the compromise of their credentials. These attacks strain resources, hamper operations and stoke fearin victims — all hindering democratic participation. |
スターブリザードは執拗である。彼らは標的を入念に調査し、信頼できる人物を装って目的を達成しようとする。2023年1月以来、マイクロソフトは、このグループが標的とした82社の顧客を識別しており、その攻撃頻度は週に約1件である。この頻度は、このグループが価値の高い標的を識別し、個人向けフィッシングメールを作成し、認証情報の窃取に必要なインフラを開発することに熱心に取り組んでいることを示している。被害者は悪意に気づかず、知らず知らずのうちにこうしたメッセージに反応し、認証情報が侵害されることになる。こうした攻撃はリソースを圧迫し、業務を妨害し、被害者に恐怖心を抱かせ、すべてが民主的な参加を妨げることになる。 |
Examples of phishing emails from Star Blizzard. | スターブリザードによるフィッシングメールの例。 |
Star Blizzard’s ability to adapt and obfuscate its identity presents a continuing challenge for cybersecurity professionals. Once their active infrastructure is exposed, they swiftly transition to new domains to continue their operations. For example, on August 14, 2024, The Citizen Lab of the University of Toronto’s Munk School and digital rights group Access Now, itself a non-profit member of NGO-ISAC, which filed a declaration in support of this civil action, published a comprehensive research paper highlighting the persistent threat posed by this actor. Since publishing this report, Access Now and The Citizen Lab have been investigating several additional cases and believe at least one of these cases is associated with Star Blizzard. This shows that Star Blizzard remains active and is not deterred despite governments, companies, and civil society exposing their malicious activities. | スターブリザードは、その身元を適応させ、わかりにくくする能力により、サイバーセキュリティの専門家たちに継続的な課題を突きつけている。彼らの活動的なインフラが一度露見すると、彼らは素早く新しいドメインに移行して活動を継続する。例えば、2024年8月14日、この民事訴訟を支持する声明を提出したNGO-ISACの非営利会員であるデジタル権利団体Access Nowと、トロント大学Munk SchoolのThe Citizen Labは、この行為者による持続的な脅威を強調する包括的な研究論文を発表した。この報告書の発表以来、アクセス・ナウとシチズン・ラボはさらにいくつかの事例を調査しており、少なくともそのうちの1件はスター・ブリザードに関連していると考えている。これは、政府、企業、市民社会がその悪質な活動を暴露しているにもかかわらず、スター・ブリザードが依然として活発に活動しており、その活動を阻止できていないことを示している。 |
Star Blizzard’s activities underscore the importance of upholding international norms to govern responsible state behavior online. | スターブリザードの活動は、オンライン上での責任ある国家行動を管理するための国際的な規範を維持することの重要性を強調している。 |
Today’s action is an example of the impact we can have against cybercrime when we work together. We applaud DOJ for their collaboration in this and other significant matters and encourage governments globally to engage and embrace industry partners, such as Microsoft, in a shared mission of combatting increasingly sophisticated threats operating in cyberspace. Microsoft’s DCU will continue our efforts to proactively disrupt cybercriminal infrastructure and collaborate with others across the private sector and with civil society, government agencies and law enforcement to fight back against those who seek to cause harm. DCU likewise will continue to innovate and develop new and creative ways to detect, disrupt, and deter the techniques and tactics of sophisticated cybercriminals to protect individuals online. | 今日の措置は、私たちが協力し合うことでサイバー犯罪に対して及ぼすことのできる影響の一例である。私たちは、この件およびその他の重要な案件における司法省との連携を称賛するとともに、世界中の政府に対し、サイバー空間でますます巧妙化する脅威に対抗するという共通の使命において、マイクロソフトのような業界パートナーと協力し、受け入れることを奨励する。マイクロソフトの DCU は、サイバー犯罪者のインフラを積極的に破壊する努力を継続し、民間セクター全体および市民社会、政府機関、法執行機関と協力して、被害をもたらそうとする者たちに反撃していく。DCU は同様に、高度なサイバー犯罪者のテクニックや戦術を検知、破壊、阻止し、オンライン上の個人を防御するための、新しい創造的な方法を開発し、革新し続けていく。 |
As a best practice, we encourage all civil society groups to harden their cybersecurity protections, use strong multi-factor authentication like passkeys on both personal and professional accounts, and enroll in Microsoft’s AccountGuard program for an additional layer of monitoring and protection from nation-state cyber-attacks. | ベストプラクティスとして、私たちはすべての市民社会グループに対して、サイバーセキュリティ保護の強化、個人および業務用アカウントの両方でパスキーのような強力な多要素認証の使用、国家によるサイバー攻撃に対する監視と防御の追加レイヤーとしてマイクロソフト社のAccountGuardプログラムへの登録を推奨する。 |
However, these efforts and commitments must be coupled with an application of international norms to limit cyberattacks associated with nation–states that purposely target the parts of society that enable democracy to thrive. Star Blizzard’s observed activity violates the UN Framework for Responsible State Behavior Online, a clear set of norms agreed upon by all UN member states to prevent their territories from being used for malicious online activity. By taking action against Star Blizzard, Microsoft and its partners are reinforcing the importance of these internationally agreed norms and demonstrating a commitment to their enforcement, aiming to protect civil society and uphold the rule of law in cyberspace. | しかし、民主主義の繁栄を可能にする社会の一部を意図的に標的にする国家に関連するサイバー攻撃を制限するためには、こうした取り組みや取り組みへのコミットメントと併せて、国際的な規範を適用する必要がある。Star Blizzardの観測された活動は、自国の領土が悪意のあるオンライン活動に利用されることを防ぐために、すべての国連加盟国が合意した明確な規範である「国連の責任ある国家のオンライン行動枠組み」に違反している。スターブリザードに対する措置により、マイクロソフトとそのパートナーは、国際的に合意された規範の重要性を強化し、その施行への取り組みを実証し、市民社会を防御し、サイバー空間における法の支配を維持することを目指している。 |
« CSA-JC AI ワーキンググループ AIレジリエンス:AIの安全性に関する革命的なベンチマークモデル (2024.09.20) +過去分も... | Main | 10月は世界的なサイバーセキュリティ月間(日本は2月だけど) »
Comments