米国 CISA USCG 脅威ハンティングを通して見えてきた米国の重要インフラ組織のサイバーハイジーンの改善ポイント (2025.07.31)

こんにちは、丸山満彦です。

CISAと米国沿岸警備隊（USCG）が共同で、重要インフラ組織のサイバー衛生の改善を支援することを目的としたサイバーセキュリティに関する共同勧告を発表しています...

IT環境だけでなく、OT環境でも同様に配慮することが重要という感じですかね...（環境に依存する部分がありますが...）

 

● CISA

・2025.07.31 CISA and USCG Identify Areas for Cyber Hygiene Improvement After Conducting Proactive Threat Hunt at US Critical Infrastructure Organization

CISA and USCG Issue Joint Advisory to Strengthen Cyber Hygiene in Critical Infrastructure	CISA と USCG、重要インフラのサイバー衛生強化に関する共同勧告を発表
CISA, in partnership with the U.S. Coast Guard (USCG), released a joint Cybersecurity Advisory aimed at helping critical infrastructure organizations improve their cyber hygiene. This follows a proactive threat hunt engagement conducted at a U.S. critical infrastructure facility.	CISA は、米国沿岸警備隊（USCG）と共同で、重要インフラ組織のサイバー衛生の改善を支援することを目的としたサイバーセキュリティに関する共同勧告を発表した。これは、米国の重要インフラ施設で実施された積極的な脅威の追跡活動を受けてのものである。
During this engagement, CISA and USCG did not find evidence of malicious cyber activity or actor presence on the organization’s network but did identify several cybersecurity risks. CISA and USCG are sharing their findings and associated mitigations to assist other critical infrastructure organizations identify potential similar issues and take proactive measures to improve their cybersecurity posture. The mitigations include best practices such as not storing passwords or credentials in plaintext, avoiding sharing local administrator account credentials, and implementing comprehensive logging.	この取り組みの中で、CISA と USCG は、この組織のネットワーク上で悪意のあるサイバー活動や攻撃者の存在を示す証拠は発見しなかったが、いくつかのサイバーセキュリティリスクを識別した。CISA と USCG は、他の重要インフラ組織が同様の問題の可能性を識別し、サイバーセキュリティ体制の改善に向けた積極的な対策を講じることを支援するため、調査結果と関連する緩和策を共有している。緩和策には、パスワードや認証情報を平文で保存しない、ローカル管理者アカウントの認証情報を共有しない、包括的なログ記録を実施するなど、ベストプラクティスが含まれている。
For more detailed mitigations addressing the identified cybersecurity risks, review joint Cybersecurity Advisory: CISA and USCG Identify Areas for Cyber Hygiene Improvement After Conducting Proactive Threat Hunt at US Critical Infrastructure Organization.	特定されたサイバーセキュリティリスクに対処するためのより詳細な緩和策については、共同サイバーセキュリティアドバイザリ「CISA と USCG、米国の重要インフラ組織で予防的な脅威ハンティングを実施し、サイバー衛生の改善領域を特定」を参照のこと。

 

 

・2025.07.31 CISA and USCG Identify Areas for Cyber Hygiene Improvement After Conducting Proactive Threat Hunt at US Critical Infrastructure Organization

CISA and USCG Identify Areas for Cyber Hygiene Improvement After Conducting Proactive Threat Hunt at US Critical Infrastructure Organization	CISA と USCG、米国の重要インフラ組織で予防的な脅威ハンティングを実施し、サイバー衛生の改善領域を特定
Summary	概要
The Cybersecurity and Infrastructure Security Agency (CISA) and U.S. Coast Guard (USCG) are issuing this Cybersecurity Advisory to present findings from a recent CISA and USCG hunt engagement. The purpose of this advisory is to highlight identified cybersecurity issues, thereby informing security defenders in other organizations of potential similar issues and encouraging them to take proactive measures to enhance their cybersecurity posture. This advisory has been coordinated with the organization involved in the hunt engagement.	サイバーセキュリティ・インフラセキュリティ庁（CISA）および米国沿岸警備隊（USCG）は、CISA および USCG が最近実施したハンティング活動の結果を発表するため、このサイバーセキュリティアドバイザリを発行している。このアドバイザリの目的は、特定されたサイバーセキュリティの問題を強調し、他の組織のセキュリティ防御担当者に同様の問題の可能性を知らせ、サイバーセキュリティ体制の強化に向けた積極的な対策を取るよう促すことである。このアドバイザリは、ハンティング活動に関与した組織と調整して作成されている。
CISA led a proactive hunt engagement at a U.S. critical infrastructure organization with the support of USCG analysts. During hunts, CISA proactively searches for evidence of malicious activity or malicious cyber actor presence on customer networks. The organization invited CISA to conduct a proactive hunt to determine if an actor had been present in the organization’s environment. (Note: Henceforth, unless otherwise defined, “CISA” is used in this advisory to refer to the hunt team as an umbrella for both CISA and USCG analysts).	CISAは、USCGのアナリストの支援を受けて、米国の重要インフラ組織においてプロアクティブなハンティング活動を実施した。ハンティング活動中、CISAは顧客のネットワーク上で悪意のある活動や悪意のあるサイバーアクターの存在を示す証拠を積極的に検索する。当該組織は、組織の環境内にアクターが存在したかどうかを判断するため、CISAにプロアクティブなハンティングを実施するよう依頼した。（注：以降、特に定義されていない限り、「CISA」はこのアドバイザリーにおいて、CISAとUSCGのアナリストを包括するハンティングチームを指す）
During this engagement, CISA did not identify evidence of malicious cyber activity or actor presence on the organization’s network, but did identify cybersecurity risks, including:	この取り組みの中で、CISA は、組織のネットワーク上で悪意のあるサイバー活動やアクターの存在を示す証拠は確認しなかったが、次のようなサイバーセキュリティのリスクを特定した。
・Insufficient logging;	・不十分なログ記録
・Insecurely stored credentials;	・安全でない認証情報の保存
・Shared local administrator (admin) credentials across many workstations;	・多くのワークステーションで共有されているローカル管理者 (admin) 認証情報
・Unrestricted remote access for local admin accounts;	・ローカル管理者アカウントの無制限のリモートアクセス
・Insufficient network segmentation configuration between IT and operational technology (OT) assets; and	・IT 資産と運用技術 (OT) 資産間のネットワーク分割設定の不備
・Several device misconfigurations.	・複数のデバイスの設定ミス
In coordination with the organization where the hunt was conducted, CISA and USCG are sharing cybersecurity risk findings and associated mitigations to assist other critical infrastructure organizations with improving their cybersecurity posture. Recommendations are listed for each of CISA’s findings, as well as general practices to strengthen cybersecurity for OT environments. These mitigations align with CISA and the National Institute for Standards and Technology’s (NIST) Cross-Sector Cybersecurity Performance Goals (CPGs), and with mitigations provided in the USCG Cyber Command’s (CGCYBER) 2024 Cyber Trends and Insights in the Marine Environment (CTIME) Report.	CISA と USCG は、調査を実施した組織と協力し、サイバーセキュリティリスクの調査結果と関連する緩和策を共有して、他の重要インフラ組織がサイバーセキュリティ体制の改善を支援している。CISA の調査結果ごとに、OT 環境のサイバーセキュリティを強化するための推奨事項と一般的な実践方法が記載されている。これらの緩和策は、CISA および国立標準技術研究所（NIST）の「セクター横断サイバーセキュリティパフォーマンス目標（CPG）」、および USCG サイバーコマンド（CGCYBER）の「2024 年海洋環境におけるサイバートレンドと洞察（CTIME）報告書」で提示されている緩和策と整合している。
Although no malicious activity was identified during this engagement, critical infrastructure organizations are advised to review and implement the mitigations listed in this advisory to prevent potential compromises and better protect our national infrastructure. These mitigations include the following (listed in order of importance):	今回の調査では悪意のある活動は確認されなかったが、重要なインフラストラクチャ組織は、潜在的な侵害を防止し、米国のインフラストラクチャをより確実に防御するために、このアドバイザリに記載されている緩和策を確認し、実施することを推奨する。これらの緩和策には、以下のものが含まれる（重要度の高い順に記載）。
・Do not store passwords or credentials in plaintext. Instead, use secure password and credential management solutions such as encrypted password vaults, managed service accounts, or built-in secure features of deployment tools.	・パスワードや認証情報を平文で保存しない。代わりに、暗号化されたパスワード保管庫、マネージドサービスアカウント、または展開ツールの組み込みのセキュリティ機能など、安全なパスワードおよび認証情報管理ソリューションを使用する。
・・Ensure that all credentials are encrypted both at rest and in transit. Implement strict access controls and regular audits to securely manage scripts or tools accessing credentials.	・・すべての認証情報は、保存時および転送時に暗号化されていることを確認する。厳格なアクセス管理と定期的な監査を実施し、認証情報にアクセスするスクリプトやツールを安全に管理する。
・・Use code reviews and automated scanning tools to detect and eliminate any instances of plaintext credentials on hosts or workstations.	・・コードレビューや自動スキャンツールを使用して、ホストやワークステーション上の平文の認証情報を検出して排除する。
・・Enforce the principle of least privilege, only granting users and processes the access necessary to perform their functions.	・・最小権限の原則を適用し、ユーザーやプロセスにはその機能の実行に必要なアクセス権のみ付与する。
・Avoid sharing local administrator account credentials. Instead, provision unique, complex passwords for each account using tools like Microsoft’s Local Administrator Password Solution (LAPS) that automate password management and rotation.	・ローカル管理者アカウントの認証情報の共有は避ける。代わりに、パスワードの管理と更新を自動化する Microsoft の Local Administrator Password Solution (LAPS) などのツールを使用して、各アカウントに固有の複雑なパスワードを設定する。
・Enforce multifactor authentication (MFA) for all administrative access, including local and domain accounts, and for remote access methods such as Remote Desktop Protocol (RDP) and virtual private network (VPN) connections.	・ローカルアカウントやドメインアカウントを含むすべての管理者アクセス、およびリモートであるクトッププロトコル (RDP) や仮想プライベートネットワーク (VPN) 接続などのリモートアクセス方法には、多要素認証 (MFA) を適用する。
・Implement and enforce strict policies to only use hardened bastion hosts isolated from IT networks equipped with phishing-resistant MFA to access industrial control systems (ICS)/OT networks, and ensure regular workstations (i.e., workstations used for accessing IT networks and applications) cannot be used to access ICS/OT networks.	・産業用制御システム (ICS)/OT ネットワークへのアクセスには、フィッシング対策 MFA を備えた IT ネットワークから隔離された、強化されたバスティオンホストのみを使用するという厳格なポリシーを実施および徹底し、通常のワークステーション (IT ネットワークおよびアプリケーションへのアクセスに使用されるワークステーション) が ICS/OT ネットワークへのアクセスに使用できないようにする。
・Implement comprehensive (i.e., large coverage) and detailed logging across all systems, including workstations, servers, network devices, and security appliances.	・ワークステーション、サーバー、ネットワークデバイス、セキュリティ機器など、すべてのシステムに包括的（つまり、広範囲をカバーする）かつ詳細なロギングを実施する。
・・Ensure logs capture information such as authentication attempts, command-line executions with arguments, and network connections.	・・ログには、認証の試行、引数付きコマンドラインの実行、ネットワーク接続などの情報が確実に記録されるようにする。
・・Retain logs for an appropriate period to enable thorough historical analysis (adhering to organizational policies and compliance requirements) and aggregate logs in an out-of-band, centralized location, such as a security information event management (SIEM) tool, to protect them from tampering and facilitate efficient analysis.	・・組織の方針およびコンプライアンス要件に従って、徹底的な履歴分析を可能にするために、ログを適切な期間保存し、セキュリティ情報イベント管理（SIEM）ツールなどの帯域外の一元化された場所にログを収集して、改ざんから保護し、効率的な分析を容易にする。
For more detailed mitigations addressing the identified cybersecurity risks, see the Mitigations section of this advisory.	特定されたサイバーセキュリティリスクに対処するためのより詳細な緩和策については、本アドバイザリ「緩和策」セクションを参照のこと。

 

・[PDF]