フィッシング

2021.12.07

日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

こんにちは、丸山満彦です。

PwCジャパンが日本企業のセキュリティの状況の調査をしています。。。

 

● PwC Japan

・2021.12.07 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換


日本のセキュリティリーダーを対象に実施した2021年のCyber IQ調査では、セキュリティ戦略・計画、体制、投資、サプライチェーン、脅威インテリジェンス、プライバシーなどの分野に関して、現在と3年後について実態を探りました。


という話です。。。

NTTのCISOの横浜執行役員、MS&ADの松田部長、経済産業省サイバーセキュリティ課の奥田課長等のコメントも興味深いです。。。

 


「機先を制する」ためには、テクニカル、ノンテクニカルの両方の情報をベースにし、いずれ求められることを先読みし「ready」にしておくということが求められるのではないでしょうか。レベルを一段あげるわけですから、当然投資やリソースが必要になります。経営の意思がないとできません。リーダーがどれだけ引っ張っていけるかが鍵を握るでしょう。

横浜 信一 氏NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
...

経営層は攻撃者の狙いを把握し、「自社にとっての脅威は何か」を見極め、予算の配分や対策の最終的な判断を実施しなければなりません。セキュリティ担当者は、経営層が攻撃ターゲットの違いや脅威トレンドの変化を理解し、「どこにどれだけの予算を配分するか、どのような対策を講じるか」を判断できる情報を提供する必要があると考えます。

松澤 寿典 氏MS&ADインシュアランスグループホールディングス データマネジメント部長/三井住友海上 データマネジメント部長
...

技術的な観点からサイバー脅威を解説し、どのような対策を講じるべきか注意喚起を促す情報は多く存在します。しかし、経営者が知りたいのは、サイバー攻撃の手法や技術的な詳細ではありません。経営者にとって重要なのは、サイバー脅威が自社のビジネス継続性や信用、知的財産に対してどの程度のダメージを与え、どう対応するかなのです。

奥田 修司 氏経済産業省 商務情報政策局 サイバーセキュリティ課長

 

参考になるところがあると思います。。。

・[PDF]  

20211207-173738

 

目次はこんな感じ...

はじめに

1. 日本企業のサイバーセキュリティを取り巻く変化の潮流
 デジタル化されたビジネスとITのサプライチェーンのつながり
 コロナをきっかけに加速したゼロトラスト
 「多重恐喝型のランサムウェア」の台頭
 成熟化するサイバー攻撃ビジネス
 レジリエンス志向が進むも道半ば

2. 機先を制するセキュリティへの転換
 機先を制するセキュリティの実現に向けた具体的なアクション
 先進企業インタビュー

3. 2021年 日本企業セキュリティ実態

おわりに

 


| | Comments (0)

2021.11.20

米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

こんにちは、丸山満彦です。

米下院監視改革委員会でのブライアン・A・ヴォルンドラン連邦捜査局(FBI)サイバー部門アシスタントディレクターの証言が公開されています。

ランサムウェアおよびその他のサイバーインシデントの報告義務化についても触れられています。FBIとしては歓迎の方向ですよね。。。

FBI

・2021.11.16 Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats

 

Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats Cracking Down on Ransomware: 犯罪者ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略
Statement for the Record 記録のための声明
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the invitation to provide remarks on the FBI’s role in our nation’s fight against ransomware. マロニー委員長、コマー上級委員、そして委員会のメンバーの皆様、ランサムウェアとの戦いにおけるFBIの役割について発言する機会をいただき、ありがとうございます。
Ransomware is a growing threat to the health and safety of the American people and our national and economic security, with no shortage of recent examples of ransomware’s wide-ranging effects. I am honored to lead the men and women of the FBI’s cyber program, where we are using our unique authorities to impose risk and consequences on the malicious cyber actors who are committing these crimes. But we cannot go at it alone, and as you will hear today, our strategy involves not only our partners in the federal government, but also those in the private sector and abroad. ランサムウェアは、米国民の健康と安全、そして国家と経済の安全保障に対する脅威として拡大しており、最近ではランサムウェアの広範な影響を示す例が後を絶ちません。私は、FBIのサイバープログラムを率いていることを光栄に思っています。FBIは独自の権限を駆使して、こうした犯罪を行う悪質なサイバー犯罪者にリスクと結果を与えています。しかし、FBIは単独で活動することはできません。本日ご紹介するように、FBIの戦略には、連邦政府のパートナーだけでなく、民間企業や海外のパートナーも参加しています。
The individuals who conduct cyber intrusions and ransomware campaigns, and the officials who direct or harbor them, believe they can compromise U.S. networks, steal our financial and intellectual property, and hold our critical infrastructure hostage for ransom, all without incurring risk themselves. サイバー攻撃やランサムウェアのキャンペーンを行う人物や、彼らを指示したり匿ったりする政府関係者は、米国のネットワークを危険にさらし、金融資産や知的財産を盗み、重要なインフラを人質にして身代金を要求することが、自分自身がリスクを負うことなくできると考えています。
The FBI sits at the convergence of U.S. government efforts to change this risk calculus. FBIは、このリスク計算を変えるための米国政府の取り組みの中心に位置しています。
As a member of both the law enforcement and intelligence communities, with domestic and international reach, the FBI is focusing our unique authorities, and our ability to engage with international law enforcement, domestic victims, and key technology service providers, to identify and disrupt adversaries before they compromise U.S. networks, and hold them accountable when they do. 法執行機関と情報機関の両方のコミュニティに属し、国内外で活動するFBIは、独自の権限と、国際的な法執行機関、国内の被害者、主要な技術サービスプロバイダと連携する能力を駆使して、敵対者が米国のネットワークを侵害する前に特定して混乱させ、侵害した場合にはその責任を追及しています。
Key to the FBI’s strategy is using the information and insight we develop through our investigations to support our full range of public and private sector partners. There are many countries, companies, and agencies who play roles in defending networks, sanctioning destabilizing behavior, collecting cyber threat intelligence, and conducting cyber effects operations. We seek to work with all of them, in the belief that our collective actions to combat cyber threats are most impactful when they are planned jointly and sequenced for maximum impact. FBIの戦略の鍵となるのは、捜査で得た情報や見識を活用して、官民を問わずあらゆるパートナーを支援することです。ネットワークの防御、不安定な行動への制裁、サイバー脅威情報の収集、サイバー作戦の実施などの役割を担う国、企業、機関は数多くあります。FBIは、サイバー脅威に対抗するための集団行動は、共同で計画し、最大の効果が得られるように順序立てて行うことが最も効果的であるという信念のもと、すべてのパートナーとの協力を求めています。
In coordination with our partners, the FBI has successfully disrupted numerous cybercriminal enterprises, including those deploying ransomware, but lasting impact will require joint, sequenced operations with our U.S. counterparts and foreign allies as well as a removal of the sense of impunity many of these actors currently feel. FBIは、パートナーとの連携により、ランサムウェアを配布している企業を含む数多くのサイバー犯罪企業を壊滅させることに成功していますが、その効果を持続させるためには、米国のカウンターパートや海外の同盟国との共同で順序立てた活動が必要であり、また、これらの犯罪者の多くが現在感じている免罪符の意識を取り除くことが必要です。
Just last week, we held a joint press conference with the departments of Justice, State, and Treasury to highlight our whole-of-government approach to tackling ransomware—in this case, the Sodinokibi/REvil variant responsible for thousands of ransomware attacks worldwide, including the July 2021 attack on IT management company Kaseya. Together, we announced: 先週、私たちは、司法省、国務省、財務省と共同で記者会見を開き、ランサムウェア(今回は、2021年7月にITマネジメント企業のKaseyaを狙った攻撃を含め、世界中で何千ものランサムウェア攻撃の原因となっているSodinokibi/REvil亜種)に対処するための政府全体のアプローチを強調しました。合わせて、次のことを発表しました。
1. The arrest and unsealing of charges on Ukrainian national Yaroslav Vasinskyi for deploying Sodinokibi ransomware on victims, including Kaseya’s computer systems; 1. ウクライナ国籍のヤロスラフ・ヴァシンスキーが、Kaseyaのコンピュータシステムを含む被害者にSodinokibiランサムウェアを展開した罪で逮捕され、告訴が解除されたこと。
2. The seizure of $6.1 million in funds traceable to and unsealing of charges on Yevgeniy Polyanin, a Russian national charged with conducting Sodinokibi/REvil ransomware attacks against thousands of victims; 2. 数千人の被害者に対してSodinokibi/REvilランサムウェア攻撃を行った罪で起訴されたロシア国籍のエフゲニー・ポリアニンの追跡可能な資金610万ドルを押収し、告訴状の開示を行いました。
3. OFAC sanctions against Vasinskyi and Polyanin, as well the Chatex virtual currency exchange for its part in facilitating financial transactions for ransomware actors; and 3. ランサムウェア実行者の金融取引を促進したとして、Vasinskyi、Polyanin、およびChatex仮想通貨取引所に対するOFAC制裁。
4. Two awards, totaling up to $15 million, for information leading to the identification, arrest, and/or conviction of Sodinokibi/REvil ransomware leadership or conspirators. 4. Sodinokibi/REvilランサムウェアのリーダーまたはその共謀者の特定、逮捕、有罪判決につながる情報に対して、2つの賞、合計1,500万ドルを授与。
And it is no coincidence that we announced these actions on the same day our foreign partners in Europol announced the arrest of two additional affiliates of the same group in Romania, and Eurojust made its own announcement regarding related efforts. These coordinated and sequenced operations are the culmination of close and painstaking international and federal law enforcement collaboration, across governments and with private sector companies. Yes, the cyber threat is daunting, but when we combine the right people, the right tools, and the right authorities, our adversaries are no match for what we can accomplish together. また、海外のパートナーであるユーロポールが、ルーマニアで同じグループの2つの関連会社を逮捕したことを発表したのと同じ日に、当社がこれらのアクションを発表し、ユーロジャストが関連する取り組みについて発表したのは偶然ではありません。これらの協調した一連の活動は、政府や民間企業の枠を超えた、国際的かつ連邦的な法執行機関の緊密かつ骨の折れる協力関係の集大成です。しかし、適切な人材、適切なツール、適切な権限を組み合わせれば、敵は私たちが協力して達成できることにはかないません。
What is Ransomware? ランサムウェアとは何か?
At its most basic, ransomware is a computer program created by malicious actors to 1) infect a computer or server, 2) encrypt its contents so they cannot be accessed or used, and 3) allow the malicious actors to demand that a ransom be paid in exchange for the decryption key. Victim organizations without effective backups are not able to operate until their data is restored. Ransomware can paralyze organizations, and the cost to rebuild an encrypted network can be catastrophic for small- and medium-sized businesses and municipalities. ランサムウェアとは、悪意ある者によって作成されたコンピュータプログラムで、1)コンピュータやサーバに感染し、2)コンテンツを暗号化してアクセスや使用ができないようにし、3)復号化キーと引き換えに身代金の支払いを要求できるようにするものです。有効なバックアップを持たない被害者の組織は、データが復旧するまで業務を行うことができません。ランサムウェアは組織を麻痺させ、暗号化されたネットワークを再構築するためのコストは、中小企業や自治体にとって壊滅的なものになる可能性があります。
The ransomware threat is not new, and it has been one of the FBI’s top priorities for cybercriminal investigations for some time. In 2018, for example, we eliminated the threat from a highly impactful ransomware variant called SamSam that infected victims in nearly every U.S. state, including the city of Atlanta, the Port of San Diego, and multiple major healthcare companies. Our investigation led to a November 2018 indictment of the responsible Iranian cybercriminals and sanctions against two digital currency exchanges that enabled their operations; this ransomware variant has not been seen since. ランサムウェアの脅威は目新しいものではなく、以前からFBIのサイバー犯罪捜査の最優先課題の一つとなっています。例えば2018年には、アトランタ市、サンディエゴ港、複数の大手ヘルスケア企業など、米国のほぼすべての州で被害者に感染した「SamSam」という影響力の強いランサムウェアの亜種の脅威を排除しました。私たちの調査により、2018年11月に責任者であるイランのサイバー犯罪者が起訴され、彼らの活動を可能にした2つのデジタル通貨取引所に対する制裁措置が取られ、それ以来このランサムウェアの亜種は見られなくなりました。
In a trend not unique to cybercrime, as we expand our capability to disrupt ransomware actors, criminals have adapted to increase the scale, impact, and prevalence of ransomware attacks. The increasingly sophisticated and targeted nature of ransomware campaigns has significantly increased their impacts on U.S. businesses, and ransom demands are growing larger. Simultaneously, “ransomware-as-a-service” (RaaS), in which a developer sells or leases the ransomware tools to their criminal customers, has decreased the barrier to entry and technological savvy needed to carry out and benefit from these compromises and increased the number of criminals conducting ransomware campaigns. As this has happened, the number of ransomware variants has grown; today, we have investigations into more than 100 variants, many of which have been used in multiple ransomware campaigns. Recently, we have seen “double extortion” ransomware—where actors encrypt, steal, and threaten to leak or sell victims’ data—emerge as a leading tactic for cybercriminals, raising the stakes for victims, which in turn has increased the likelihood of ransom payments being made. サイバー犯罪に特有の傾向ではありませんが、私たちがランサムウェアの行為者を破壊する能力を拡大する一方で、犯罪者はランサムウェア攻撃の規模、影響、普及率を高めるために適応しています。ランサムウェアのキャンペーンがますます洗練され、標的を絞って行われるようになったことで、米国企業への影響が大幅に増加し、身代金の要求額も大きくなっています。同時に、開発者が犯罪者の顧客にランサムウェアのツールを販売またはリースする「ランサムウェア・アズ・ア・サービス」(RaaS)により、これらの侵害を実行して利益を得るために必要な参入障壁や技術的な知識が減少し、ランサムウェアキャンペーンを行う犯罪者の数が増加しました。これに伴い、ランサムウェアの亜種の数も増加し、現在では100種類以上の亜種を調査しており、その多くが複数のランサムウェアキャンペーンで使用されています。最近では、被害者のデータを暗号化して盗み出し、それを漏洩したり販売したりすると脅す「二重恐喝」ランサムウェアがサイバー犯罪者の主要な手口として登場し、被害者の危機感を高め、その結果、身代金の支払いが行われる可能性が高くなっています。
While cybercriminals remain opportunistic, they have also become more targeted in their campaigns, purposely aiming their malware at those institutions that can least afford downtime, specifically infrastructure critical to public safety, including hospitals and emergency services. また、サイバー犯罪者は日和見的ですが、その一方で、ダウンタイムを最も回避できる機関、特に病院や救急隊などの公共の安全に関わるインフラを狙って、意図的にマルウェアを使用するようになっています。
These ransom payments are typically requested in the form of a virtual currency, like Bitcoin. Virtual currency is not governed by a central authority, and regulation of the industry is still evolving globally, which can make it difficult to find out who is behind a transaction. 身代金の支払いは、通常、ビットコインなどの仮想通貨を用いて要求されます。仮想通貨は、中央機関が管理しておらず、世界的に規制が進んでいるため、取引の背後にいる人物を突き止めることが困難な場合があります。
Cryptocurrency can be moved anywhere in the world, often more quickly than traditional currency, and these transactions frequently take place on the dark web, which presents its own set of problems. While these ransom demands often used to be just a few hundred dollars, we now see American businesses targeted with ransom demands in the millions, and in some cases tens of millions, of dollars. The statistics paint a stark picture: In 2020, the FBI’s Internet Crime Complaint Center (IC3) statistics showed a 20 percent increase in reported ransomware incidents and a 225 percent increase in reported ransom amounts. 暗号通貨は世界のどこにでも移動でき、従来の通貨よりも迅速に移動できることが多く、これらの取引はダークウェブ上で行われることが多いため、独自の問題を抱えています。このような身代金要求は、かつては数百ドル程度のものが多かったのですが、現在ではアメリカの企業が数百万ドル、場合によっては数千万ドルの身代金要求の対象となっています。統計では、このような状況が明らかになっています。2020年、FBIのInternet Crime Complaint Center(IC3)の統計によると、ランサムウェアの報告件数は20%、身代金の報告額は225%増加しています。
Unfortunately, what is reported is only a fraction of the incidents out there.1 残念ながら、報告されているのは、世の中に存在するインシデントのほんの一部に過ぎません1。
We have also seen both nation-state adversaries and cybercriminals targeting managed service providers (MSPs), whereby infecting one system, they can access the networks of hundreds of potential victims, as we saw in the Kaseya incident. But we are working to bring awareness to this method of compromise. In June, our partners at the U.S. Secret Service put together a cyber incident response simulation for companies that use MSPs, and it was my pleasure to join the Secret Service and give a unified federal message on the importance of hardening their systems and engaging with law enforcement before they are victims of an attack. また、国家レベルの敵対者とサイバー犯罪者の両方がマネージドサービスプロバイダ(MSP)を標的にしており、Kaseyaの事件で見られたように、1つのシステムに感染させることで、何百人もの潜在的な被害者のネットワークにアクセスすることができます。しかし、私たちは、このような不正アクセスの手口に対する認識を高めるために努力しています。6月には、米国シークレットサービスのパートナーが、MSPを利用している企業を対象としたサイバーインシデント対応シミュレーションを実施しました。私はシークレットサービスに参加して、攻撃の被害に遭う前にシステムを強化し、法執行機関と連携することの重要性について、連邦政府として統一的なメッセージを発信することができました。
Ransomware has become one of the most costly and destructive threats to businesses and governments. On top of this, throughout the COVID-19 pandemic, we saw callous opportunism by criminal groups who put public safety at risk by attacking health care providers during a global pandemic. These groups demonstrate no morality; they will target entities big and small, public and private, and show little care for how their actions affect vulnerable populations. ランサムウェアは、企業や政府にとって最もコストがかかり、破壊的な脅威の一つとなっています。さらに、COVID-19のパンデミックでは、世界的な大流行の際に医療機関を攻撃して公共の安全を危険にさらす犯罪グループの冷酷な日和見主義が見られました。このようなグループは、道徳心を持たず、大小、公私を問わず、自分たちの行動が弱い立場にある人々にどのような影響を与えるかをほとんど気にしません。
How the FBI’s Cyber Strategy Counters the Ransomware Threat ランサムウェアの脅威に対抗するFBIのサイバー戦略
Because this criminal activity has become more lucrative and enticing, it is our job to make it harder and more painful for hackers to do what they are doing. That is why we announced a new FBI cyber strategy last year, using our role as the lead federal agency with law enforcement and intelligence responsibilities to not only pursue our own actions, but to work seamlessly with our domestic and international partners to defend their networks, attribute malicious activity, sanction bad behavior, and take the fight to our adversaries overseas. We must impose risk and consequences on cyber adversaries and use our unique law enforcement and intelligence capabilities and authorities to do so through joint operations sequenced appropriately for maximum impact. We have to target the entire criminal ecosystem—including malware developers, money launderers, and shady infrastructure providers—and work with all relevant federal agencies like the Cybersecurity and Infrastructure Security Agency (CISA) and the Office of the National Cyber Director (ONCD), as well as victims and cybersecurity firms. All the while, we must continue to team with the Department of State to ensure our foreign partners are able and willing to cooperate in our efforts to bring the perpetrators of cybercrime to justice. このような犯罪行為は、より収益性の高い魅力的なものになっているため、ハッカーが彼らのような行為を行うことをより困難にし、より苦しめることが私たちの仕事です。昨年、FBIは新たなサイバー戦略を発表しました。法執行と諜報活動を担う連邦政府機関としての役割を活かし、自らの行動を追求するだけでなく、国内外のパートナーとシームレスに連携して、ネットワークを守り、悪意のある行為を特定し、悪質な行為に制裁を加え、海外の敵に戦いを挑んでいます。私たちは、サイバー敵対者にリスクと結果を与えなければならず、そのためには、法執行機関や情報機関の独自の能力と権限を活用し、最大の効果が得られるように適切な順序で共同作戦を行う必要があります。私たちは、マルウェア開発者、マネーロンダリングを行う者、怪しいインフラを提供する者など、犯罪のエコシステム全体を対象とし、サイバーセキュリティ・重要インフラセキュリティ庁 (CISA) 国家サイバーディレクター局 (ONCD) などの関連するすべての連邦機関や、被害者やサイバーセキュリティ企業と連携しなければなりません。その一方で、国務省と連携し、サイバー犯罪の犯人を裁くための取り組みに海外のパートナーが協力してくれるようにしなければなりません。
More specifically, and in conjunction with the Department of Justice’s recently-formed Ransomware and Digital Extortion Task Force, our strategy for countering ransomware and other complex cybercriminal schemes is focused on pursuing and disrupting 1) the actors, 2) their infrastructure, and 3) their money—all while providing help to victims and actionable intelligence to warn potential future victims. If there’s one thing the Bureau understands, it’s taking down criminal organizations, and when it comes to ransomware, we’re working with an unprecedented number of government and private sector organizations to do just that. When pursuing these actors, we work with like-minded countries to identify those responsible for damaging ransomware schemes, arrest them, and extradite them to the United States to face justice whenever possible. At the same time, taking down cybercriminals’ technical infrastructure adds to the impact, as it raises their costs, disrupts their operations, prevents new victims, and often gives us new intelligence on their operations. Lastly, since virtual currencies are so central to ransomware, we have developed our ability to trace these transactions and have been able to seize funds and shut down illicit currency exchanges in some instances. In addition to the seizure of $6.1 million from the Sodinokibi/REvil group that we announced just last week, we were also recently able to accomplish this objective in the Colonial Pipeline case, when the victim and our federal partners worked quickly and closely with us to recover a substantial portion of the cryptocurrency paid as ransom. Each of these is important, but we have the most durable impact when we do disrupt all three together. 具体的には、最近設立された司法省のランサムウェア・デジタル恐喝タスクフォースと連携して、ランサムウェアやその他の複雑なサイバー犯罪に対抗するための戦略は、1)行為者、2)インフラ、3)資金、を追求し、混乱させることに重点を置いています。ランサムウェアに関しては、これまでにない数の政府機関や民間企業と協力して、犯罪組織を壊滅させています。ランサムウェアに関しては、これまでにないほど多くの政府機関や民間企業と協力しています。また、同じ志を持つ国々と協力して、ランサムウェアの被害をもたらした犯人を特定し、逮捕し、可能な限り米国に送還して裁判にかけています。同時に、サイバー犯罪者の技術的なインフラを破壊することで、彼らのコストを上げ、業務を混乱させ、新たな被害者を出さないようにするとともに、彼らの活動に関する新たな情報を得ることができるため、影響力を高めることができます。最後に、ランサムウェアでは仮想通貨が非常に重要な役割を果たしているため、私たちはこれらの取引を追跡する能力を向上させ、場合によっては資金を差し押さえたり、不正な通貨取引所を閉鎖したりすることができました。先週発表したSodinokibi/REvilグループからの610万ドルの押収に加え、最近ではColonial Pipeline事件でも、被害者と連邦政府のパートナーが迅速かつ緊密に協力して、身代金として支払われた暗号通貨のかなりの部分を回収し、この目的を達成することができました。このように、それぞれが重要ですが、この3つを一緒に破壊することで、最も持続的なインパクトを与えることができます。
We do all this with victims at the center of our efforts. At the FBI, we aim to inform, support, and assist victims in navigating the aftermath of crime and the criminal justice process with dignity and resilience. We want to empower all victims of cyber intrusions, just as we do for victims of other crimes. In some instances, we have done this by developing or acquiring a ransomware’s decryption key to help victims recover without paying the ransom. We have also, on occasion, been able to give advance warning to vulnerable or targeted entities. While the FBI is not a remediation service, the work we do to investigate and respond to cybercrime enables us to collect information, which we share to prevent future attacks and use to assist victims if they have already been hit. 私たちは、被害者を中心に据えてこれらの活動を行っています。FBIでは、被害者が犯罪の後遺症や刑事司法プロセスを尊厳と回復力を持って乗り越えられるように、情報を提供し、支援し、サポートすることを目指しています。私たちは、他の犯罪の被害者と同じように、サイバー侵入のすべての被害者に力を与えたいと考えています。場合によっては、ランサムウェアの解読キーを開発または入手して、被害者が身代金を支払わずに回復できるようにしています。また、被害を受けやすい企業や標的となる企業に事前に警告を与えることもあります。FBIは修復サービスを提供しているわけではありませんが、サイバー犯罪の捜査と対応を行うことで情報を収集し、今後の攻撃を防ぐために共有したり、すでに被害に遭っている場合には被害者を支援するために利用しています。
As I mentioned, we have certain distinctive investigative authorities. And we have the good fortune of another domestic agency, CISA, with very different authorities and insights. Our roles complement each other, and when we work together, we strengthen our defense of cyberspace in ways we could not do if we were in competition or isolation. 先に述べたように、当社には特徴的な調査権限があります。また、幸運なことに、国内にはCISAという、まったく異なる権限と見識を持つ機関があります。それぞれの役割はお互いに補完し合い、協力し合うことで、競争したり孤立したりしていたのではできない方法で、サイバー空間の防衛を強化することができます。
To be more precise, the FBI contributes information we uniquely collect through a combination of criminal and national security authorities that are the envy of many partners overseas, and our physical presence across the U.S. enables our close engagement with victims. That engagement can yield details that unlock the secrets of who is compromising our networks, how our adversaries are succeeding, and where they may strike next because of the technical clues they leave behind. Once revealed, that information gives CISA the opportunity to identify other networks vulnerable to the same technique; it may give us, U.S. Cyber Command, or the National Security Agency a piece of the actor’s infrastructure to disrupt or exploit; and it helps the National Security Council know where to focus all the instruments of power the government might bring to bear against those responsible. These coordinated actions lead to the U.S. government’s most impactful cyber disruptions. We have also worked especially closely with CISA to share information with critical infrastructure owners and operators via FBI reports and joint advisories. より正確に言うと、FBIは、海外の多くのパートナーが羨むような犯罪と国家安全保障に関する権限を組み合わせて独自に収集した情報を提供しています。また、全米に広がるFBIの物理的な存在感は、被害者との密接な関わりを可能にします。その結果、誰がネットワークを侵害しているのか、敵はどのようにして成功しているのか、また、敵が残した技術的な手がかりから、次にどこを攻撃するのかといった秘密を解き明かすことができます。その情報が明らかになれば、CISAは同じ手法に脆弱な他のネットワークを特定することができ、我々や米国サイバー司令部、国家安全保障局は、行為者のインフラの一部を破壊したり利用したりすることができます。このような連携した行動が、米国政府の最もインパクトのあるサイバー破壊につながっているのです。また、CISAとは特に緊密に連携し、FBIの報告書や共同勧告を通じて重要インフラの所有者や運営者と情報を共有しています。
Our strategy has enabled us to land some major blows against the threat actors behind ransomware and its delivery mechanisms. But the ransomware threat is not going away, so we must carry this strategy and its momentum forward into 2022. この戦略により、ランサムウェアの背後にいる脅威の担い手とその配信メカニズムに対して大きな打撃を与えることができました。しかし、ランサムウェアの脅威がなくなることはないので、この戦略とその勢いを2022年に向けて進めていかなければなりません。
Addressing Ransomware’s Global Footprint ランサムウェアの世界的な広がりへの対応
As I mentioned earlier, without strong foreign partnerships, our cyber strategy cannot be fully implemented, and we cannot successfully counter the ransomware threat. 先に述べたように、海外との強力なパートナーシップがなければ、当社のサイバー戦略を完全に実施することはできず、ランサムウェアの脅威にうまく対抗することもできません。
We know our most significant threats come from foreign actors using global infrastructure to compromise U.S. networks. By working with friendly foreign law enforcement agencies and intelligence partners, we make it harder for these actors to conceal their activities and their whereabouts. 最も大きな脅威は、グローバルなインフラを利用して米国のネットワークを危険にさらす外国人であることがわかっています。友好的な外国の法執行機関や情報機関と協力することで、これらの行為者が自分たちの活動や居場所を隠すことを難しくしています。
Not every foreign nation helps us in this fight. While we seek to disrupt entire cybercriminal enterprises, the most impactful consequence we can impose on a malicious cyber actor is an arrest as part of comprehensive disruption. If an actor is in a country like Russia or China, an arrest is currently not a viable option. Even when an indicted cybercriminal is in another country, Russia in particular takes actions to interfere with our extraditions. To make things more difficult, the lines between nation-states and cybercriminal actors are blurred, and even though a foreign nation may not be directing a ransomware campaign, it may still be complicit by providing a safe haven to those malicious actors who are doing harm to the United States, our citizens, and our businesses. しかし、すべての国がこの戦いに協力してくれるわけではありません。私たちはサイバー犯罪者の企業全体を壊滅させることを目指していますが、悪質なサイバー犯罪者に課すことのできる最もインパクトのある結果は、包括的な壊滅の一環としての逮捕です。行為者がロシアや中国のような国にいる場合、現在のところ逮捕は実行可能な選択肢ではありません。起訴されたサイバー犯罪者が他国にいる場合でも、特にロシアは我々の身柄引き渡しを妨害する行動をとります。さらに言えば、国家とサイバー犯罪者の境界線は曖昧であり、外国がランサムウェアのキャンペーンを指揮していなくても、米国、米国市民、米国企業に害を及ぼす悪質な行為者に安全な避難場所を提供することで、加担している可能性があります。
But our allies outnumber our foes, and in just the past few months, our work with foreign partners—supported by our legal attaches overseas—has led to impactful consequences against cybercriminals and sent a strong message that the reach of the U.S. government extends beyond its borders. しかし、米国の同盟国は敵よりも数が多く、この数ヶ月間、海外のパートナーとの協力関係は、海外の法務担当者の支援を受けて、サイバー犯罪者に影響を与える結果となり、米国政府の権限は国境を越えて及ぶという強いメッセージを発信しています。
In January 2021, the FBI and others at the Department of Justice (DOJ) partnered with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, France, Lithuania, Canada, and Ukraine, with international activity coordinated by Europol and Eurojust, to disrupt the infrastructure of a highly destructive malware known as Emotet. Among other things, Emotet could also be used as a way to spread ransomware. This was one of the longest-standing professional cybercrime tools and had enabled criminals to cause hundreds of millions of dollars in damage to government, educational, and corporate networks. In this case, we used sophisticated techniques and our unique legal authorities, but it could never have happened without our international partners. 2021年1月、FBIをはじめとする司法省は、オランダ、ドイツ、英国、フランス、リトアニア、カナダ、ウクライナの法執行機関および司法当局と連携し、EuropolとEurojustが調整する国際的な活動により、「Emotet」という極めて破壊的なマルウェアのインフラを破壊しました。とりわけ、Emotetはランサムウェアを拡散する手段としても使われていました。これは古くからあるプロのサイバー犯罪ツールの一つで、犯罪者は政府、教育機関、企業のネットワークに何億ドルもの損害を与えることができました。このケースでは、高度な技術と独自の法的権限を駆使しましたが、海外のパートナーがいなければ決して実現しなかったことです。
Also this January, we worked with international partners in Canada and Bulgaria to disrupt NetWalker, a ransomware variant that affected numerous victims, including companies, municipalities, hospitals, law enforcement, emergency services, school districts, colleges, and universities. In this case, we obtained federal charges, and a subject was arrested in Canada pending extradition proceedings. In addition, we seized more than $450,000 in cryptocurrency. また、今年の1月には、カナダとブルガリアの国際的なパートナーと協力して、企業、自治体、病院、法執行機関、救急隊、学区、大学など、多くの被害者に影響を与えたランサムウェア「NetWalker」を阻止しました。この事件では、連邦政府による起訴を獲得し、対象者はカナダで逮捕され、身柄引き渡しの手続き中です。また、45万ドル以上の暗号通貨を押収しました。
In June, through coordination with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, Canada, Sweden, Italy, Bulgaria, and Switzerland, as well as Europol and Eurojust, we seized the web domains and server infrastructure of DoubleVPN, a virtual private network that allowed ransomware actors to attack their victims and hide their tracks. Thanks to this international operation, this service, which was heavily advertised on both Russian and English-speaking cybercrime forums, is no longer available to cybercriminals. 6月には、オランダ、ドイツ、英国、カナダ、スウェーデン、イタリア、ブルガリア、スイスの法執行機関および司法当局、EuropolおよびEurojustとの連携により、ランサムウェアの実行者が被害者を攻撃し、その痕跡を隠すことを可能にしていた仮想プライベートネットワーク「DoubleVPN」のウェブドメインとサーバーインフラを押収しました。この国際的な活動のおかげで、ロシア語圏と英語圏のサイバー犯罪フォーラムで大々的に宣伝されていたこのサービスは、サイバー犯罪者が利用できなくなりました。
How Victims and Potential Victims Can Help Themselves and Others 被害者および被害に遭う可能性のある人が自分自身や他人を助ける方法
We have the strategy to take action against our cyber adversaries. But the strategy will fail if we do not know about suspicious activity or that a compromise has occurred. And because of the nature of U.S. laws and network infrastructure, we will never know about most malicious activity if it is not reported to us by the private sector. 私たちは、サイバー敵対者に対して行動を起こすという戦略を持っています。しかし、不審な行動や侵害の発生を知らなければ、この戦略は失敗に終わります。米国の法律やネットワークインフラの性質上、民間企業からの報告がなければ、ほとんどの悪質な活動を知ることはできません。
We know ransomware victims, particularly large enterprises, risk negative publicity if they disclose being impacted by ransomware. As a result, ransomware incidents are often addressed by the victim directly and are never reported to the public or law enforcement. ランサムウェアの被害者、特に大企業は、ランサムウェアの影響を受けたことを公表すると、ネガティブなイメージを持たれるリスクがあることを知っています。そのため、ランサムウェアのインシデントは、被害者が直接対処することが多く、一般市民や法執行機関に報告されることはありません。
Ransomware incidents targeting public entities, such as state or local municipalities, often receive high levels of publicity. In addition to the losses reported to the IC3 that I mentioned earlier, these groups face costs associated with business disruption and remediation, which can eclipse the ransom demand itself. For example, these costs were $17 million and $18.2 million, respectively, in ransomware campaigns against Atlanta and Baltimore. 国や地方自治体などの公的機関を対象としたランサムウェアの被害は、しばしば高い評価を受けます。これらの団体は、先に述べたIC3に報告された損失に加えて、事業の中断と修復に関連するコストに直面し、身代金の要求そのものを凌駕することもあります。例えば、アトランタとボルチモアに対するランサムウェアのキャンペーンでは、これらのコストはそれぞれ1,700万ドルと1,820万ドルでした。
I would like to spend a moment on the decision of whether or not to make a ransom payment. The FBI discourages ransomware victims from paying ransom for a variety of reasons. Even if a ransom is paid, there is no guarantee the business or individual will regain access to their data. On top of this, paying a ransom does not always keep data from ultimately being leaked. Additionally, paying a ransom incentivizes future ransomware attacks and emboldens criminal actors to continue their illicit work. However, regardless of whether or not a victim chooses to pay, the FBI strongly encourages victims to report ransomware incidents to the FBI. Our goal is to identify, pursue, and impose consequences on criminal actors, not their victims. 身代金の支払いを行うかどうかの判断について、少し触れておきたいと思います。FBIは、様々な理由から、ランサムウェアの被害者に身代金の支払いを勧めています。身代金を支払ったとしても、企業や個人がデータへのアクセスを回復できる保証はありません。また、身代金を支払っても、最終的にデータが流出しないとは限りません。また、身代金を支払うことで、今後のランサムウェアの攻撃を助長し、犯罪者が不正な活動を続けることになります。しかし、被害者が身代金を支払うかどうかにかかわらず、FBIは被害者に対して、ランサムウェアの被害をFBIに報告することを強く推奨しています。私たちの目的は、被害者ではなく、犯罪者を特定し、追及し、その結果をもたらすことです。
We are pushing important threat information to network defenders, and we are making it as easy as possible for the private sector to share information with us. For example, we are emphasizing to the private sector how we keep our presence unobtrusive in the wake of a breach, how we protect information that companies and universities share with us and commit to providing useful feedback, and how we coordinate with our government partners so we speak with one voice. A call to one federal agency is a call to all federal agencies, and I hope we are sending that message by sitting as a unified front here today. 私たちは、重要な脅威の情報をネットワーク防御者に伝え、民間企業が私たちと情報を共有することができるようにしています。例えば、セキュリティ侵害が発生した際に、どのようにして私たちの存在を目立たせないようにするか、企業や大学が私たちと共有する情報をどのように保護し、有益なフィードバックを提供することをどのように約束するか、そして、どのようにして政府のパートナーと連携し、私たちが一つの声で話すことができるようにするかを、民間企業に強調しています。ある連邦政府機関への呼びかけは、すべての連邦政府機関への呼びかけであり、今日ここで一丸となって座っていることで、そのメッセージを伝えられればと思っています。
At the same time, we need the private sector to do its part. We need to be warned—quickly—when they see malicious cyber activity. We also need companies to work with us when we warn them they are being targeted. The recent examples of significant cyber incidents—SolarWinds, Microsoft Exchange, Colonial Pipeline, JBS, and Kaseya—only emphasize what Director Wray has been saying for a long time: The government cannot protect against cyber threats on its own. We need a whole-of-society approach that matches the scope of the danger. 同時に、民間企業にもその役割を果たしてもらう必要があります。悪質なサイバー活動を発見した場合には、迅速に警告を発してもらう必要があります。また、企業が標的にされていることを警告した場合、企業に協力してもらう必要があります。最近発生した重大なサイバー事件(SolarWinds、Microsoft Exchange、Colonial Pipeline、JBS、Kaseya)は、レイ長官が以前から言っていることを強調しています。政府だけでは、サイバー犯罪の脅威から守ることはできません。政府だけでは、サイバー脅威から守ることはできません。危険の範囲に合わせて、社会全体で取り組む必要があります。
There is really no other option for defending a country where nearly all of our critical infrastructure, personal data, intellectual property, and network infrastructure sit in private hands. So what specific steps can companies take to follow our guidance, protect themselves and our nation, and help themselves if ransomware strikes? 重要インフラ、個人情報、知的財産、ネットワークインフラのほぼすべてが民間の手に委ねられているこの国を守るためには、これ以外の選択肢はありません。では、ランサムウェアの被害に遭った場合、企業はどのような具体策を講じて、自社と国家を守り、自助努力をすればよいのでしょうか。
First, the public, cybersecurity professionals and system administrators, and business leaders can use threat information shared by the FBI and the rest of the federal government to strengthen their network defenses and guard against ransomware and other malicious cyber activity. まず、一般市民、サイバーセキュリティの専門家やシステム管理者、ビジネスリーダーは、FBIをはじめとする連邦政府が共有する脅威情報を利用して、ネットワークの防御を強化し、ランサムウェアやその他の悪意のあるサイバー活動から身を守ることができます。
Our reports, which are coordinated with our federal partners, are shared directly with critical infrastructure owners and operators, and when possible, are posted to our IC3 website to warn the public about the trends we are seeing and the specific threats out there. In addition to these threat advisories, CISA’s website and the new interagency site www.StopRansomware.gov have resources on how people and businesses can protect themselves. Some of the general cybersecurity practices we encourage include creating and securing offline backups of critical data, installing patches as soon as they become available, updating anti-virus software, connecting only to secure networks, employing multi-factor authentication, and ensuring the validity of all e-mails and the links they contain before clicking them. 連邦政府のパートナーと連携して作成された報告書は、重要インフラの所有者や運営者と直接共有されるほか、可能な場合はIC3のウェブサイトにも掲載され、我々が見ている傾向や具体的な脅威について一般の人々に警告を発します。これらの脅威に関する勧告に加えて、CISAのウェブサイトや新しい省庁間のサイト(www.StopRansomware.gov)には、人々や企業が自分自身を守るための情報が掲載されています。一般的なサイバーセキュリティ対策としては、重要なデータのオフラインバックアップの作成と保護、パッチが公開されたらすぐにインストール、アンチウイルスソフトウェアの更新、安全なネットワークのみへの接続、多要素認証の採用、電子メールをクリックする前にそのリンクの有効性を確認することなどが挙げられます。
Second, if you are an organization, create an incident response plan. If you are compromised, you need to know what to do. All of your leaders and security professionals need to be on the same page, and you must be able to make decisions quickly. Having worked with victims who had incident response plans versus those who did not, the difference is stark. 第二に、組織であれば、インシデントレスポンスプランを作成します。侵入された場合、何をすべきかを知っておく必要があります。組織のリーダーやセキュリティの専門家全員が同じ見解を持ち、迅速に意思決定を行うことが必要です。インシデントレスポンスプランを持っている被害者と持っていない被害者とを比較した結果、その差は歴然としています。
Victims with incident response plans are often able to respond faster and more efficiently and can significantly limit the damage caused by a ransomware incident. インシデント対応計画を持っている被害者は、多くの場合、より迅速かつ効率的に対応することができ、ランサムウェアのインシデントによる被害を大幅に抑えることができます。
Third, organizations should build relationships with their local FBI field offices. Whether you are a small organization or a large corporation, our local offices welcome making connections before anything has gone wrong. If you see us speaking at an event in your area, show up, and talk to us after—we would be thrilled to meet your CEO, chief information security officer (CISO), general counsel, or anyone who has a role in keeping your networks secure and incident response. But it cannot stop there. Continue to share information with us after that meeting, and you have my word we will do the same back to you. 第三に、企業は地元のFBI支局との関係を築くべきである。小規模な組織でも大企業でも、FBIの現地事務所は、何か問題が起きる前に関係を築くことを歓迎しています。CEO、最高情報セキュリティ責任者(CISO)、法務担当者など、ネットワークの安全性確保やインシデント対応に関わるすべての方にお会いしたいと思っています。しかし、それだけでは終わりません。お会いした後も、私たちと情報を共有してください。
Fourth, if you are compromised, or if you think you may have been, report it to us as quickly as you can. You can report these incidents via the Internet Crime Complaint Center at www.IC3.gov or by contacting your local FBI field office, hopefully to the FBI agent you already know. We will take it from there and make sure the wheels of the entire federal government incident response team are set into motion so you can focus on remediation. 第四に、もしも情報漏洩してしまった場合、あるいはその可能性がある場合には、できるだけ早く私たちに報告してください。インターネット犯罪苦情処理センター(www.IC3.gov)、または近くのFBI支局(できればお知り合いのFBI捜査官に)に連絡ください。そこから先は、連邦政府のインシデント対応チーム全体の歯車が動き出すようにして、皆さんが修復に専念できるようにします。
If an incident occurs, it may not be too late, but time is of the essence. The difference between seeking help on day one and day five is real–it can be the difference between a company reconstituting its network or declaring bankruptcy. We will always use our full range of national security authorities and criminal legal processes to investigate ransomware incidents, but many of those techniques require probable cause and prior court authorization, so there is no substitute for quick, voluntary action by private owners of U.S. networks and infrastructure in helping us act rapidly against a threat. Swift action from the private sector is an enormous public service, and we truly appreciate private sector cooperation whenever we can get it. In the Colonial Pipeline and Kaseya incidents, for example, swift reporting and response contained the impact of what could have been significantly worse events. インシデントが発生した場合、遅すぎるということはありませんが、時間は重要です。初日に助けを求めるのと、5日目に助けを求めるのとでは、企業がネットワークを再構築するか、破産を宣言するかの違いになりかねません。私たちは、ランサムウェアの事件を捜査するために、国家安全保障上のあらゆる権限と刑事法的手続きを常に駆使していますが、これらの手法の多くは、正当な理由と裁判所の事前承認を必要とするため、脅威に対する迅速な行動を支援するためには、米国のネットワークやインフラの民間所有者による迅速かつ自発的な行動に代わるものはありません。民間企業の迅速な行動は非常に大きな公共サービスであり、民間企業の協力にはいつでも心から感謝しています。例えば、Colonial PipelineとKaseyaの事件では、迅速な報告と対応により、もっとひどい事件になっていたかもしれない影響を抑えることができました。
Mandatory Reporting of Ransomware and Other Cyber Incidents ランサムウェアおよびその他のサイバーインシデントの報告義務化
The administration is supportive of legislative proposals that would require the reporting of a wider range of cyber incidents, to include ransomware and incidents that impact critical infrastructure and federal entities and their supply chain. These proposals would grant courts the authority to enjoin a greater range of botnets and other cybercrime involving damage to 100 or more computers, explicitly criminalize the sale or renting of a botnet, bring the forfeiture provisions of the Computer Fraud and Abuse Act (CFAA) in line with other federal statutes, and update the CFAA to add penalties for the crime of conspiracy. 米国政府は、ランサムウェア、重要インフラや連邦政府機関とそのサプライチェーンに影響を与えるインシデントを含む、より広範なサイバーインシデントの報告を義務付ける法案を支持しています。これらの提案は、100台以上のコンピュータに損害を与えるボットネットやその他のサイバー犯罪をより広範囲に差し止める権限を裁判所に与え、ボットネットの販売やレンタルを明確に犯罪化し、コンピュータ詐欺・乱用法(CFAA)の没収条項を他の連邦法と一致させ、CFAAを更新して共謀罪の罰則を追加するものです。
All of these legislative proposals would enhance the FBI’s ability to combat ransomware, but I would like to focus on mandatory cyber incident reporting legislation that is being considered in Congress. We welcome and applaud congressional efforts that would require the reporting of certain cyber incidents, including ransomware attacks. However, we are troubled that all legislation being considered on mandatory cyber incident reporting does not explicitly account for the essential role that federal law enforcement, and notably the Department of Justice and the FBI, plays in receiving cyber incident reporting and actioning the information to assist victims and impose risk and consequences on cybercriminals. これらの立法案はいずれもFBIのランサムウェア対策を強化するものですが、私が注目したいのは、議会で検討されているサイバーインシデント報告義務化法案です。私たちは、ランサムウェア攻撃を含む特定のサイバーインシデントの報告を義務付ける議会の取り組みを歓迎し、賞賛します。しかし、現在検討されているサイバー事件の報告義務化に関するすべての法案が、サイバー事件の報告を受け、被害者を支援し、サイバー犯罪者にリスクと結果を負わせるために情報を行動に移すという、連邦法執行機関、特に司法省とFBIが果たす本質的な役割を明示的に考慮していないことに、私たちは困っています。
The administration’s position is that the Department of Homeland Security (DHS) and DOJ – the two lead agencies respectively responsible for federal cyber incident response mitigation and investigation efforts for significant cyber incidents—should immediately receive all information mandated to be reported with appropriate protections. Cyber incidents that would have to be reported are not only digital breaches that require remediation, but also federal crimes that need to be investigated. Cyber incident reporting is crime reporting. To streamline and simplify reporting obligations, there should be one designated reporting intake mechanism for entities that are required to report, with the reports going to both DOJ and DHS. 政権の立場としては、重大なサイバーインシデントに対する連邦政府のサイバーインシデント対応の緩和と調査を担当する国土安全保障省(DHS)と司法省が、報告が義務付けられているすべての情報を適切な保護のもとで直ちに受け取るべきだと考えています。報告が必要となるサイバーインシデントは、修復が必要なデジタル侵害だけでなく、捜査が必要な連邦犯罪でもあります。サイバーインシデントの報告は、犯罪の報告です。報告義務を合理化・簡略化するために、報告義務のある事業者には指定された報告受付機構を1つ設け、その報告を司法省とDHSの両方に行うべきです。
Our need to receive all cyber incident reports is two-fold: one, to provide victims with rapid federal incident response support, and two, to disrupt ongoing harm through our unique authorities and forward-deployed capabilities. 1つは、被害者に連邦政府の迅速な事故対応支援を提供するため、もう1つは、独自の権限と前方展開された能力により、進行中の被害を阻止するためです。
Cyber threats are global, but victims need and deserve a local response. Many victims choose to report cyber incidents to the FBI because they know their local field office has a cyber squad with technically trained special agents, computer scientists, and other digital evidence and cyber threat experts who are ready to arrive on a victim’s doorstep in hours or less nationwide. But we can only move as fast as we learn about the incident. We owe it to the American people to not create any unnecessary delays to providing them with this assistance. サイバー脅威はグローバルなものですが、被害者はローカルな対応を必要としており、それに値するものです。多くの被害者は、FBIにサイバー事件を報告することを選択しています。それは、地元の支局には、技術的な訓練を受けた特別捜査官、コンピュータ科学者、その他のデジタル証拠やサイバー脅威の専門家を擁するサイバー部隊があり、全国で数時間以内に被害者のもとに到着する準備ができていることを知っているからです。しかし、私たちが動けるのは、事件の情報を知るまでの間だけです。私たちには、米国民への支援を不必要に遅らせることのないようにする義務があります。
When the FBI responds to a cyber incident report, the Bureau is not just there to collect evidence of a crime. The FBI arrives to assist victims. Our cyber threat experts rapidly analyze information that victims provide to determine if the incident resembles others that we are investigating so we can provide victims with the technical information and hands-on support they need to limit ongoing harm and prevent additional malicious activity on their networks. With the insights that we have as a member of the USIC, we are able to meld the information victims provide with the community’s holdings to fill in visibility gaps and inform victims how they can defend against active and potential threats. FBIがサイバー事件の報告に対応するとき、FBIは犯罪の証拠を集めるためだけに存在するのではありません。FBIは被害者を支援するために到着します。FBIのサイバー脅威の専門家は、被害者から提供された情報を迅速に分析し、FBIが調査している他の事件と類似しているかどうかを判断し、被害の拡大を抑え、ネットワーク上で悪意のある行為が行われないように、被害者に必要な技術情報や実地のサポートを提供します。また、USICの一員としての見識を活かし、被害者から提供された情報とコミュニティが保有する情報を融合させることで、情報の欠落を補い、現在進行中の脅威や潜在的な脅威からの防御方法を被害者に伝えることができます。
Rapid FBI responses to cyber victims has helped thwart major ongoing cyber incidents nationwide. Examples include stopping active intrusions into critical infrastructure entities, including a major healthcare facility; helping defense contractors block sensitive information from being exfiltrated from its networks; and helping a large financial institution secure terabytes of customer records, including personally identifiable information, that had been stolen from its systems. サイバー被害者に対するFBIの迅速な対応は、全国で進行中の大規模なサイバー事件を阻止するのに役立っています。例えば、大手医療施設などの重要インフラへの積極的な侵入を阻止したり、防衛関連企業がネットワークから機密情報が流出するのを防いだり、大手金融機関がシステムから盗まれた個人識別情報を含むテラバイト単位の顧客記録を保護するのに役立ったりしています。
But our rapid incident response services do not only help individual victims; they also help others who are vulnerable to similar cyber attacks. When recently assisting a major critical infrastructure victim during an ongoing incident, we identified a zero-day exploit the attackers were using, used our investigative tools to search for other victims affected by this vulnerability, and worked with CISA to provide cybersecurity assistance to these entities while a patch for the vulnerability was being developed. しかし、私たちの迅速なインシデントレスポンスサービスは、個々の被害者を助けるだけでなく、同様のサイバー攻撃にさらされている他の人々を助けることにもなります。最近では、ある重要インフラの被害者を支援した際に、攻撃者が使用していたゼロデイ・エクスプロイトを特定し、当社の調査ツールを使用してこの脆弱性の影響を受ける他の被害者を探し出し、CISAと協力して、脆弱性のパッチが開発されるまでの間、これらの企業にサイバーセキュリティの支援を行いました。
In another incident reported to the FBI, a victim reported the malicious sever that connected to its network. We used our law enforcement and intelligence authorities to quickly monitor the malicious actor’s virtual infrastructure, dispatched agents across the country to warn targeted entities that the actor planned to compromise next, provided these entities with security advice, and intercepted and corrupted some stolen information before it could be exfiltrated. また、FBIに報告された別の事件では、被害者からネットワークに接続した悪意のあるウィルスについての報告がありました。FBIは、法執行機関としての権限と情報機関としての権限を駆使して、悪意ある行為者の仮想インフラを迅速に監視し、全国に捜査官を派遣して、悪意ある行為者が次に侵害を計画していることを対象となる企業に警告し、これらの企業にセキュリティに関するアドバイスを提供し、盗まれた情報の一部が流出する前に傍受して破壊しました。
Each response feeds into our collective efforts to link intrusions to common perpetrators and virtual infrastructure, attribute incidents, and impose risk and consequences on cybercriminals. それぞれの対応は、侵入行為を共通の犯人や仮想インフラに結びつけ、インシデントを特定し、サイバー犯罪者にリスクと結果を負わせるための総合的な取り組みにつながります。
We need to track and disrupt malicious hackers’ activity, infrastructure, and illicit proceeds in as close to real-time as possible. The FBI needs to be able to receive cyber incident reporting information as soon as it is reported to facilitate the fastest federal response possible. There is simply no time to waste, especially in cyberspace. 私たちは、悪質なハッカーの活動、インフラ、不正な収益を可能な限りリアルタイムに追跡し、破壊する必要があります。FBIは、サイバー犯罪の報告を受けたらすぐにその情報を受け取り、連邦政府としての対応を迅速に行う必要があります。特にサイバー空間では、時間を無駄にすることはできません。
The administration also holds that both DHS and DOJ should be co-equal partners in developing the rules that will be used to set incident reporting requirements. However, current incident reporting legislation being considered fails to recognize the critical expertise and role that DOJ, including the FBI, play when it comes to cyber incident reporting. また、DHSとDOJは、インシデント報告の要件を定めるための規則を策定する上で、同等のパートナーであるべきだとしています。しかし、現在検討されているインシデント報告法案は、サイバーインシデント報告に関して、FBIを含むDOJが果たす重要な専門性と役割を認識していません。
Congress has previously recognized how valuable it is to have both DHS and DOJ setting standards to address cyber threats. In the Cybersecurity Information Sharing Act of 2015, Congress established joint roles for both departments to establish policies, procedures, and guidelines related to the receipt of cyber threat indicators and defensive measures. The administration believes co-equal roles for DHS and DOJ is also the right approach for cyber incident reporting rulemaking. 議会は以前から、サイバー脅威に対処するための基準をDHSとDOJの両方が設定することの価値を認めています。2015年のサイバーセキュリティ情報共有法において、議会は、サイバー脅威の指標と防御策の受領に関連する方針、手順、ガイドラインを確立するために、両省庁の共同の役割を確立しました。政権は、DHSとDOJが共同で同等の役割を果たすことが、サイバーインシデント報告の規則制定においても正しいアプローチであると考えています。
DOJ, including the FBI, bring investigative and intelligence expertise about what information law enforcement and national security agencies need to disrupt malicious cyber actors, degrade their capabilities, and ultimately hold them accountable. DOJ also has extensive experience in navigating complex privacy and civil liberties issues that will inevitably arise from new requirements and would prove to be invaluable in helping to set standards that strike the right balance to ensure that incident report information is collected, stored, and shared appropriately. FBIを含むDOJは、法執行機関や国家安全保障機関が悪意のあるサイバー犯罪者を阻止し、その能力を低下させ、最終的に責任を負わせるために必要な情報について、捜査や情報に関する専門知識を有しています。また、DOJは、新たな要件から必然的に生じる複雑なプライバシーや市民的自由の問題を解決するための豊富な経験を有しており、インシデントレポートの情報を適切に収集、保存、共有するための適切なバランスのとれた基準を設定する上で、非常に重要な役割を果たすことになるでしょう。
The FBI also brings substantial knowledge about how to manage centralized federal cyber incident reporting mechanisms based on its experience running the IC3. Each year, IC3 receives hundreds of thousands of complaints from the public, which the FBI uses to prompt response efforts and inform other agencies about intrusions. Joint DHS and DOJ rulemaking will provide for the best outcomes for the entire federal government as well as the public. また、FBIは、IC3の運営経験に基づき、連邦政府のサイバーインシデント報告機構を一元管理する方法についても豊富な知識を持っています。IC3には、毎年、何十万件もの苦情が寄せられており、FBIはこれらの苦情をもとに、対応策を講じたり、侵入について他の機関に知らせたりしています。DHSとDOJが共同でルールメイキングを行うことで、連邦政府全体と一般市民にとって最良の結果を得ることができます。
We are delighted so many in Congress are invested in passing cyber incident reporting legislation, but we have to make sure legislation explicitly empowers the agencies at the front lines of incident response. As you will hear all the witnesses at today’s hearing emphasize, cyber is the team sport, and the Department of Justice and the FBI are key players. It is time for legislation to reflect this reality. 議会の多くの議員がサイバー事件報告法の成立に尽力していることは喜ばしいことですが、事件対応の最前線にいる機関に明確な権限を与えるような法案にしなければなりません。本日の公聴会で証人の方々が強調されているように、サイバーはチームスポーツであり、司法省とFBIは重要な役割を担っています。司法省とFBIは重要な役割を担っています。今こそ、この現実を反映した法律を制定すべきです。
The Resource Demands of Malicious Cyber Activity 悪意のあるサイバー活動に必要な資源
When we do learn of a ransomware incident, our agents are in direct contact with victims and with private industry partners to share threat indicators—such as malicious IP addresses—and gather evidence that helps us identify who is compromised and who else is vulnerable. Our technically trained incident response assets throughout the country, collectively known as our Cyber Action Team (CAT), assist affected entities. Our field offices with experience in complex national security and cyber investigations are our hubs for triaging the data we acquire through legal process, from partners, and through other lawful means. And our digital forensics and intelligence personnel exploit that information for indicators and intelligence that will help us to attribute the malicious activity to those responsible. ランサムウェアの感染が判明した場合、FBI の捜査官は、被害者や民間企業のパートナーと直接連絡を取り、悪意のある IP アドレスなどの脅威の指標を共有し、誰が感染し、誰が脆弱なのかを特定するための証拠を収集します。また、技術的な訓練を受けたインシデント対応要員が全国に配置されており、「サイバー・アクション・チーム(CAT)」と総称され、被害を受けた企業を支援しています。また、複雑な国家安全保障やサイバー捜査の経験を持つフィールドオフィスは、法的手続きやパートナーからの情報提供など、合法的な手段で入手したデータのトリアージを行う拠点となっています。また、デジタルフォレンジックとインテリジェンスの担当者は、これらの情報を利用して、悪意のある活動の責任者を特定するのに役立つ指標や情報を探します。
With the growing frequency and scale of recent significant cyber incidents—in some cases involving tens of thousands of victims—we are increasingly faced with hard choices that carry risk, include moving personnel away from long-term investigations or other significant incidents so we can surge toward the immediate need. In our SolarWinds investigation alone, a single FBI field office collected more than 170 terabytes of data, about 17 times the content of the entire Library of Congress. The FBI continues to exploit and analyze intelligence and technical data to uncover adversary tactics, share our findings, and pursue actions that will prevent those responsible from striking again. 最近の重大なサイバー事件(数万人の犠牲者を出したケースもある)の頻度と規模が大きくなるにつれ、私たちはリスクを伴う難しい選択を迫られるようになっています。例えば、長期的な調査やその他の重大な事件から人員を移動させて、緊急の必要性に急行することもあります。ソーラーウインズの調査だけでも、FBIの1つの支局が収集したデータは170テラバイトを超え、これは米国議会図書館全体の約17倍に相当します。FBIは、敵の戦術を明らかにするために、情報や技術データを利用・分析し、調査結果を共有して、犯人の再犯を防ぐための行動を継続しています。
Recent ransomware campaigns have shown us the investments in time, money, and talent cybercriminals are willing to make to compromise our networks. Accordingly, it requires a teams-based approach among various departments and agencies to understand, defend against, and counter these malicious cyber actors. Congress can help us by providing the resources requested in the President’s 2022 budget request to ensure the FBI and our partners are resourced to play our respective parts as we defend the nation together. 最近のランサムウェアのキャンペーンは、サイバー犯罪者が私たちのネットワークを侵害するために、時間、資金、人材を惜しまないことを示しています。したがって、このような悪質なサイバー犯罪者を理解し、防御し、対抗するためには、さまざまな部門や機関がチームを組んで取り組むことが必要です。議会は、2022年の大統領予算要求で要求されている資源を提供することで、FBIとパートナー企業がそれぞれの役割を果たすための資源を確保し、共に国を守ることができるようにします。
Conclusion まとめ
Even more than the other criminal violations we investigate, the FBI depends on our partners—public and private, foreign and domestic—to help us keep Americans safe from the many threats posed by ransomware. As part of our strategy, we have been putting a lot of energy and resources into cultivating these partnerships. As Director Wray has put it, cyber is the ultimate team sport, and I truly believe our partners are seeing the benefits of having FBI Cyber on their team. ランサムウェアがもたらす多くの脅威からアメリカ国民の安全を守るためには、FBIが捜査する他の犯罪行為と同様に、官民、国内外のパートナーの協力が不可欠です。FBIの戦略の一環として、私たちはこのようなパートナーシップの構築に多くのエネルギーと資源を投入しています。レイ長官が言うように、サイバーは究極のチームスポーツであり、FBIサイバー部門をチームに加えることで、パートナー企業はそのメリットを実感していると思います。
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the opportunity to testify today. I am happy to answer any questions you might have and to work together with you in the nation’s fight against ransomware so the FBI can help achieve our collective cyber mission—to give the American people safety, security, and confidence in our digitally connected world. マロニー委員長、コマー委員長、そして委員会のメンバーの皆様、本日は証言の機会をいただきありがとうございます。ご質問があれば喜んでお答えします。また、ランサムウェアとの戦いにおいて皆様と協力し、FBIのサイバーミッションの達成に貢献したいと考えています。
*** ***
1 In 2019, the IC3 received 2,047 ransomware complaints with adjusted losses of more than $8.9 million. This likely represents a small fraction of the true scope of the threat because it captures only those who individually reported to the IC3. These numbers represent a nearly 40 percent increase in ransomware complaints to the IC3 and more than double the adjusted losses reported in 2018. In 2020, the IC3 received 2,474 complaints identified as ransomware with adjusted losses of over $29.1 million. 1 2019年にIC3が受け取ったランサムウェアに関する苦情は2,047件で、調整後の損失額は890万ドルを超えています。この数字は、IC3に個別に報告した人のみを対象としているため、脅威の真の範囲のごく一部を示していると思われます。これらの数字は、IC3に寄せられたランサムウェアの苦情が約40%増加したことを示しており、2018年に報告された調整後の損失額の2倍以上となっています。2020年、IC3はランサムウェアと特定される2,474件の苦情を受け、調整後の損失額は2,910万ドルを超えました。
Resources リソース
Arrest in Ransomware Attack on Kaseya Kaseyaへのランサムウェア攻撃で逮捕

 

Doj_20210608075901

 


まるちゃんの情報セキュリティ気まぐれ日記

サイバーインシデント報告に関連する法律案(Cyber Incident Nortification Act of 2021案 と Cyber Incident Reporting Act of 2021案
)については、

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

捜査機関によるランサムウェア犯罪者に対する対応例

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.06.28 Satoriの開発者に13ヶ月の刑?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

ちょっと毛色がちがいますが...

・2006.01.26 日本初 スパイウエア作成者逮捕

・2005.06.14 フィッシングで逮捕@日本

・2005.04.25 ドコモの個人情報漏えい事件で元従業員が逮捕された件と情報窃盗罪

 

国際連携

2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

大統領令 E014028 

2021.05.13 国家のサイバーセキュリティ大統領令

 

 

 

| | Comments (0)

2021.11.08

米国 連邦取引委員会 (FTC) ランサムウェアのリスク:中小企業のための2つの予防ステップ

こんにちは、丸山満彦です。

米国の連邦取引委員会 (FTC) が中小企業のためのランサムウェアの予防についての参考になる記事を公表していますね。

Federal Trade Commission: FTC

・2021.11.05 Ransomware risk: 2 preventive steps for your small business

 

Ransomware risk: 2 preventive steps for your small business ランサムウェアのリスク:中小企業のための2つの予防策
If recent headlines about ransomware attacks on companies have you worried, your concerns are well-founded. Earlier this year, the Department of Homeland Security’s Cybersecurity & Infrastructure Security Agency – you may know them as CISA – issued a Fact Sheet on Rising Ransomware Threat to Operational Technology Assets. The computer criminals who traffic in ransomware try to exploit vulnerabilities in technology and soft spots in human nature. The FTC suggests two steps your small business can take to bolster your digital defenses on both fronts. 最近のランサムウェアによる企業への攻撃に関するニュースを見て心配になった方、その心配は杞憂に終わります。今年初め、米国国土安全保障省のサイバーセキュリティ・重要インフラセキュリティ庁(通称CISA)は、Fact Sheet on Rising Ransomware Threat to Operational Technology Assetsを発表しました。ランサムウェアを扱うコンピュータ犯罪者は、テクノロジーの脆弱性や人間の性質の弱い部分を利用しようとします。FTCは、この2つの面からデジタル・ディフェンスを強化するために、中小企業ができる2つのステップを提案しています。
Step #1. Make sure your tech team is following best practices to fend off a ransomware attack. One key protective step is to set up offline, off-site, encrypted backups of information essential to your business. Furthermore, share the CISA Fact Sheet with your IT staff. Underlineitalicize, CAPITALIZE just how important it is for them to stay current on the latest word from the leading federal agency on defending against these threats and on updates from other trustworthy public-private partnerships. CISA’s ransomware resources – including its Ransomware Guide – should be required reading. This isn’t something to save for a slow day at the office. Your IT team should immerse themselves in the latest advice from CISA and other authoritative experts. ステップ1. 技術チームがランサムウェアの攻撃を防ぐためのベスト・プラクティスに従っていることを確認する。 重要な防御策の1つは、ビジネスに不可欠な情報のオフライン、オフサイト、暗号化されたバックアップを設定することです。さらに、CISAファクトシートをITスタッフと共有してください。このような脅威からの防御に関する連邦政府機関の最新情報や、信頼できる官民パートナーシップの最新情報を入手することがいかに重要であるかを、強調して伝えてください。CISAのランサムウェアに関する資料(「ランサムウェア・ガイド」を含む)は必読です。これは、オフィスでゆっくり過ごすためのものではありません。ITチームは、CISAや他の権威ある専門家からの最新のアドバイスに没頭する必要があります。
Step #2. Schedule a security refresher for your employees.  Ransomware isn’t just an issue for IT professionals. Perps often use email to your staff as their entryway into your system. By clicking on a link or downloading an attachment, a distracted staffer could inadvertently hand a computer criminal the keys to your corporate kingdom. But as companies up their defensive game, the bad guys have responded. Some use publicly available information or stolen data about an employee to craft a more personal message. Rather than a misspelled mess that screams scam from the start, the email – or phone call, text, etc. – may appear at first glance to be legitimate business correspondence or even a message from a colleague. A small business’s best defense is a workforce trained in the tricks that cybercriminals are likely to use. Other important protections are: 1) rigorous authentication procedures; and 2) a company policy that requires passwords for employee credentials and administrative functions to be l-o-n-g and complex. In addition, educate your staff on the folly of using the same password on different platforms, and consider the many benefits of multifactor authentication. ステップ 2. 従業員のためにセキュリティの再教育を行う。 ランサムウェアは、IT担当者だけの問題ではありません。ランサムウェアは、IT担当者だけの問題ではなく、従業員への電子メールを利用してシステムに侵入することもあります。リンクをクリックしたり、添付ファイルをダウンロードしたりすることで、注意散漫になった従業員は、誤って犯罪者に企業の王国の鍵を渡してしまうことになります。しかし、企業が防御策を強化すると、悪者もそれに対応してきます。ある犯罪組織は、従業員の公開情報や盗んだデータを利用して、より個人的なメッセージを作成しています。誤字脱字の多い、最初から詐欺まがいのメッセージではなく、メールや電話、テキストなど、一見すると正当なものに見えるものです。- 一見すると、正当な業務連絡や同僚からのメッセージのように見えるかもしれません。中小企業の最大の防御策は、サイバー犯罪者が使いそうな手口を学んだ従業員です。他にも重要な防御策があります。1)厳格な認証手続き、2)従業員の認証情報や管理機能のためのパスワードは、L-o-n-Gで複雑なものでなければならないという会社の方針。さらに、同じパスワードを異なるプラットフォームで使用することの愚かさについて従業員を教育し、多要素認証の多くの利点を検討してください。
Looking for the FTC’s big picture perspective? Read Ransomware prevention: An update for businesses. The FTC also has to-the-point resources you can incorporate into your in-house security training program. Our Cybersecurity for Small Business suite – created in conjunction with NIST, the SBA, and the Department of Homeland Security – features self-contained topical modules, including one on ransomware. Mix it up with our videosfact sheets, and quizzes. FTCの大局的な視点を知りたい方は 「ランサムウェア対策:企業のための最新情報」を読んでください。また、FTCには、社内のセキュリティトレーニングプログラムに取り入れることができるポイントを押さえた資料があります。NIST、SBA、DHSと共同で作成したCybersecurity for Small Businessスイートには、ランサムウェアに関するものを含む、テーマ別のモジュールが用意されています。また、ビデオやファクトシート、クイズなども用意されていますので、活用してください。
The bottom line for business is that ransomware is a federal crime. If you think you’ve been targeted by a ransomware attack, contact your local FBI field office immediately. In the meantime, shore up your defenses through technology and training. ビジネスにとって重要なのは、ランサムウェアが連邦犯罪であるということです。ランサムウェアの攻撃を受けたと思ったら、すぐに最寄りのFBI支局に連絡してください。それまでの間は、テクノロジーとトレーニングによって防御を強化してください。

 

Fec-seal

| | Comments (0)

2021.10.13

中国 TC260 15のセキュリティ関連の標準を決定

こんにちは、丸山満彦です。

中国が15のセキュリティ関連の標準を決定しましたね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

2021.10.12 15项网络安全国家标准获批发布 サイバーセキュリティに関する15の国家標準の発行を承認

 

# 标准编号 标准名称 標準名 代替标准号
1 GB/T 17903.2-2021 信息技术 安全技术 抗抵赖 第2部分:采用对称技术的机制 情報技術 セキュリティ技術 否認への抵抗力 第2部:対称的な技術を用いたメカニズム GBT 17903.2-2008
2 GB/T 17964-2021 信息安全技术 分组密码算法的工作模式 情報セキュリティ技術 グループ化された暗号アルゴリズムの作業モード GB/T 17964-2008
3 GB/T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法 情報セキュリティ技術 ネットワーク侵入検知システムの技術的要求事項と試験・評価方法 GB/T 20275-2013
4 GB/T 29765-2021 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 情報セキュリティ技術 データバックアップ・リカバリー製品の技術的要求事項と試験・評価方法 GB/T 29765-2013
5 GB/T 29766-2021 信息安全技术 网站数据恢复产品技术要求与测试评价方法 情報セキュリティ技術 ウェブサイトのデータ復旧製品に関する技術的要求事項および試験・評価方法 GB/T 29766-2013
6 GB/T 30272-2021 信息安全技术 公钥基础设施标准符合性测评 情報セキュリティ技術 公開鍵基盤規格適合性評価 GB/T 30272-2013
7 GB/T 33133.2-2021 信息安全技术 祖冲之序列密码算法 第2部分:保密性算法 情報セキュリティ技術 Zucシーケンス暗号アルゴリズム Part 2: 機密性アルゴリズム -
8 GB/T 33133.3-2021 信息安全技术 祖冲之序列密码算法 第3部分:完整性算法 情報セキュリティ技術 Zucシーケンス暗号アルゴリズム Part 3: 完全性アルゴリズム -
9 GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求 情報セキュリティ技術 インターネット情報サービスのセキュリティに関する一般要求事項 -
10 GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块 情報セキュリティ技術 トラステッドコンピューティング仕様 トラステッドプラットフォームコントロールモジュール -
11 GB/T 40651-2021 信息安全技术 实体鉴别保障框架 情報セキュリティ技術 エンティティ識別保証フレームワーク -
12 GB/T 40652-2021 信息安全技术 恶意软件事件预防和处理指南 情報セキュリティ技術 マルウェア・インシデント防止・対応ガイド -
13 GB/T 40653-2021 信息安全技术 安全处理器技术要求 情報セキュリティ技術 セキュア・プロセッサの技術要件 -
14 GB/T 40660-2021 信息安全技术 生物特征识别信息保护基本要求 情報セキュリティ技術 バイオメトリクス情報保護の基本要件 -
15 GB/T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法 情報セキュリティ技術 産業用制御システムの安全性と保護のための技術的要求事項および試験・評価方法 -

 

 

・[PDF] 中华人民共和国 国家标准 公告 2021年第12号


この標準はいつくらいに、意見募集されたのかと気になり、

 

について、確認したところ、2018年6月13日に意見募集されていましたね。。。

2018.06.13 关于国家标准《信息安全技术 恶意软件事件预防和处理指南》征求意见稿征求意见的通知 国家標準「情報セキュリティ技術マルウェアインシデント防止・対応ガイド」案の意見募集のお知らせ

 

 


参考...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

 

 

| | Comments (0)

2021.09.29

Cloud Security Alliance ブロックチェーン攻撃、脆弱性と弱点トップ10

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がブロックチェーン攻撃、脆弱性と弱点トップ10を公表していますね。。。

CSAによると、過去5年間で、43の暗号資産取引所がハッキングされ、49以上の分散型金融プロトコルが悪用され、28億ドル(3,100億円)以上の損失が発生したとのことです。。。

暗号通貨および分散型台帳技術を標的とした攻撃ベクトル(例えば、取引所のハッキング、分散型金融(DeFi)のハッキング、51%攻撃、秘密鍵入手のためのフィッシングなど)についての概要、それぞれの攻撃方法についての例示、その結果として起こりうる結果と教訓を簡単に説明していて、防御を考える人には参考になりそうですね。。。

Cloud Security Alliance (CSA)

・2021.09.28 (press) Latest Paper from Cloud Security Alliance Examines Top 10 Blockchain Attacks, Vulnerabilities, and Weaknesses

・2021.09.28 Top 10 Blockchain Attacks, Vulnerabilities & Weaknesses

・[PDF] 簡単な質問に答えるとダウンロードできます

20210929-54626

トップ10に上がっているのは、

1. Exchange Hack 1. 取引所のハッキング
2. DeFi Hack 2. DeFiハック
3. 51% Attack 3. 51%攻撃
4. Phishing (for private keys) 4. (秘密鍵入手のための)フィッシング
5. Rug Pull/Exit Scam 5. ラグプル/出口詐欺(取り込み詐欺)
6. Ransomware 6. ランサムウェア
7. SIM Swap 7. SIMスワップ
8. Investment Scam 8. 投資詐欺
9. High Profile Doubler Scam 9. 知名度のある人を使った替え玉詐欺
10. Extortion 10. 恐喝

ブロックチェーンの脆弱性というよりも、ブロックチェーンに関連する(たとえば、暗号資産取引所等)問題を幅広く捉えたという感じですかね。。。

暗号資産については、中国の動きをみていると、エネルギー消費やロンダリングに使われやすかったりする問題のために、今後普及していくのかどうか難しい状況になっているのかもしれませんね。。。

ただ、ブロックチェーン技術は、暗号資産以外にもスマートコントラクト等の他の領域での活用もできるので、違う形で利用がひろがるのかもしれませんが、他の手段がまったくないというわけでもないような気もするので、そこそこという感じなんでしょうかね。。。

 

 

| | Comments (0)

2021.09.14

ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。

こんにちは、丸山満彦です。

ENISAが中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。EUの企業のうち99%がSMEで、約1億人(EU全体で約4.5億人)がSMEで働いているようですね。。。

2021.06.28に公開した、「中小企業のためのサイバーセキュリティの課題と推奨事項」の続編でツール編ということのようです。。。

 

ENISA

Enisa_20210914122701

 

・2021.09l.08 (news) New Tool is another step towards securing the Digital Future of SMEs

SecureSME

サイバーに関するヒントが

従業員の保護 (7)

プロセスの強化 (5)

技術的対策の強化 (7)

Covid19問題の克服 (6)

のページが用意されていてます。

全体をみるとこんな目次構成

Protect Employees (7) 従業員を守る (7)
Responsibility 社会的責任
Management Commitment マネジメント・コミットメント
Employee Buy-in 従業員の参加
Employee Awareness 従業員の意識向上
Cybersecurity Training サイバーセキュリティ・トレーニング
Cybersecurity Policies サイバーセキュリティポリシー
Third Party Management サードパーティ管理
Enhance processes (5) プロセスの強化(5)
Cybersecurity Audits サイバーセキュリティ監査
Incident Planning and Response インシデントの計画と対応
Passwords パスワード
Software Patches ソフトウェアパッチ
Data Protection データ保護
Strengthen technical measures (7) 技術的対策の強化(7)
Network Security ネットワークセキュリティ
Anti-Virus ウィルス対策
Employ Email and Web Protection Tools メール・Web保護ツールの導入
Encryption 暗号化
Security Monitoring セキュリティモニタリング
Physical Security 物理的セキュリティ
Secure Backups バックアップの確保
Overcome COVID19 issues (6) COVID19の課題を克服する (6)
Review Remote Access Facilities リモートアクセス機能の見直し
Engage with the Cloud クラウドへの取り組み
Implement Mobile Device Management モバイルデバイス管理の導入
Conduct Security Awareness Trainings セキュリティ意識向上のためのトレーニングの実施
Secure Online Sites オンラインサイトの保護
Information Sharing 情報共有

 

ビデオ (01':39'')

20210914-123054

ガイドライン

・2021.06.28 Cybersecurity for SMEs - Challenges and Recommendations

20210707-15123

 

・2021.06.28 Cybersecurity guide for SMEs - 12 steps to securing your business

20210707-21550

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.07 ENISA 中小企業のためのサイバーセキュリティの課題と推奨事項 at 2021.06.28

 

| | Comments (0)

2021.09.01

米国 シークレットサービスの戦略

こんにちは、丸山満彦です。

米国のシークレットサービス (United States Secret Service) といえば、大統領の警護にあたり、大統領の盾になるような仕事をしている(ザ・シークレット・サービス[wikipedia]という映画(Originalは"In the Line of Fire"[wikipedia])にもなりましたし...)と思っている方も多いと思います。今は国土安全保障省の一部ですし。。。

しかし、それは任務の半分で、もう一つの任務は金融犯罪等についての捜査業務です。

そもそもは1865年に偽造通貨と戦うためにできた組織(なので、2003年までは財務省の一部)です。。。今や、金融犯罪といえば、コンピュータ犯罪ですから、シークレットサービスはサイバー犯罪も扱うことになっています。。。

サイバー犯罪捜査のための人材育成も目標となっていますね。。。

ということで、Secret Serviceが捜査業務についての2021年から2027年の戦略を公表していますね。備忘録です。。。

 

The Secret Service - Investigations

Our Investigative Mission 調査業務の使命
Horizontal Rule 水平方向のルール
The U.S. Secret Service has a long and storied history of safeguarding America’s financial and payment systems from criminal exploitation. The agency was created in 1865 to combat the rise of counterfeit currency following the Civil War. As the U.S. financial system has evolved - from paper currency to plastic credit cards to, now, digital information - so too have our investigative responsibilities.  米国シークレット・サービスは、アメリカの金融・決済システムを犯罪の被害から守るという、長い歴史を持っています。シークレット・サービスは、1865年に南北戦争後の偽造通貨の増加に対処するために創設されました。紙幣からプラスチック製のクレジットカード、そして現在ではデジタル情報へと、米国の金融システムが進化するにつれ、私たちの捜査責任も大きくなってきました。
Today, Secret Service agents, professionals, and specialists work in field offices around the world to fight the 21st century’s financial crimes, which are increasingly conducted through cyberspace. These investigations continue to address counterfeit, which still undermines confidence in the U.S. dollar, but it is credit card fraud, wire and bank fraud, computer network breaches, ransomware, and other cyber-enabled financial crimes, that have become the focus of much of the Secret Service investigative work. 今日、シークレット・サービスのエージェント、専門家、スペシャリストは、世界中のフィールドオフィスで、サイバー空間で行われることが多くなった21世紀の金融犯罪に立ち向かっています。シークレット・サービスの捜査の多くは、米ドルの信頼性を損なう偽造品への対応を続けていますが、クレジットカード詐欺、電信・銀行詐欺、コンピュータ・ネットワーク侵害、ランサムウェア、その他のサイバーを利用した金融犯罪が中心となっています。

 

・[PDF] Office of Investigations Strategy FY 2021–2027

20210901-33832

Office of Investigations Strategy FY 2021–2027 調査室の戦略 FY 2021-2027
The Office of Investigations operates as a global network of multi-functional teams, conducting high-impact criminal investigations that safeguard the integrity of financial and payment systems, while fully supporting all protective requirements. 調査室は、多機能チームのグローバルネットワークとして運営されており、すべての保護要件を完全にサポートしながら、金融・決済システムの完全性を守るために、影響力の大きい犯罪捜査を行っています。
SUMMARY OF THE OFFICE OF INVESTIGATIONS STRATEGY 調査室の戦略の概要
The U.S. Secret Service’s Office of Investigations (INV)—through its global network of field offices, task forces, and partnerships—detects and arrests those that engage in crimes that undermine the integrity of U.S. financial and payment systems. INV does this while fully supporting U.S. Secret Service protection responsibilities and developing its partners, thereby continuing the Secret Service’s over 150-year legacy of safeguarding U.S. national and economic security. 米国シークレットサービスの捜査局(INV)は、現地事務所、タスクフォース、パートナーシップの世界的ネットワークを通じて、米国の金融・決済システムの完全性を損なう犯罪に関与する者を発見し、逮捕します。INVは、米国シークレット・サービスの保護責任を全面的に支援し、パートナーを育成しながらこの活動を行い、米国の国家および経済の安全を守るというシークレット・サービスの150年以上にわたる伝統を引き継いでいます。
The Office of Investigations operates as a global network of multi-functional teams, conducting high-impact criminal investigations that safeguard the integrity of financial and payment systems, while fully supporting all protective requirements. 捜査局は、多機能チームのグローバルネットワークとして運営され、すべての保護要件を完全にサポートしながら、金融・決済システムの完全性を保護する影響力の大きい犯罪捜査を行っています。
Goals & Objectives 目標と目的
Goal 1: Safeguard U.S. Financial Systems (Investigations) 目標1:米国金融システムの保護(捜査)
1.1) Detect, investigate, and arrest those committing financial crimes. 1.1) 金融犯罪を犯している者を検知、捜査、逮捕する。
1.2) Identify and seize assets to prevent illicit profit and victim financial losses. 1.2) 不正な利益や被害者の経済的損失を防ぐために、資産を特定し、押収する。
1.3) Strengthen the ability of stakeholders to prevent financial crimes. 1.3) 金融犯罪を防止するための関係者の能力を強化する。
Goal 2: Support Protective Responsibilities (Protection) 目標2:保護責任の支援(保護)
2.1) Provide skilled personnel to meet evolving protective requirements. 2.1) 進化する保護要求に応えるために、熟練した人材を提供する。
2.2) Investigate potential threats to protectees. 2.2) 保護対象者に対する潜在的脅威を調査する。
2.3) Apply investigative capabilities to support protective responsibilities. 2.3) 保護責任を支援するために捜査能力を適用する。
2.4) Develop and maintain local partnerships to support protective requirements. 2.4) 保護要件をサポートするために、地域のパートナーシップを開発・維持する。
Goal 3: Develop the Secret Service Workforce (Staffing and Training) 目標3:シークレット・サービスの人材育成(人員配置と訓練)
3.1) Develop the investigative teams for countering transnational cyber fraud. 3.1) 国境を越えたサイバー詐欺に対抗するための捜査チームを育成する。
3.2) Increase technical and analytical training for cyber fraud investigations. 3.2) サイバー詐欺捜査のための技術的・分析的訓練を強化する。
3.3) Support recruiting and hiring of new Secret Service employees. 3.3) シークレットサービスの新入社員の募集・採用を支援する。
3.4) Increase retention through improving job satisfaction and work-life balance. 3.4) 仕事への満足度とワークライフバランスの向上による定着率を向上する。
Goal 4: Develop Partnerships and Partner Capabilities (Outreach) 目標4:パートナーシップとパートナー能力の開発(アウトリーチ)
4.1) Strengthen unity of effort with law enforcement and government partners.  4.1) 法執行機関や政府のパートナーとの一体感を強化する。
4.2) Develop the capabilities of law enforcement partners. 4.2) 法執行機関のパートナーの能力を開発する。
4.3) Cultivate stakeholder relationships to prevent, detect, and investigate crimes. 4.3) 犯罪の予防、発見、調査のための関係者の関係を深める。
Goal 5: Develop Investigative Capabilities (Data Management and Technology) 目標5:捜査能力の向上(データ管理と技術)
5.1) Improve data management and analysis to more effectively investigate crimes. 5.1) より効果的な犯罪捜査のためのデータ管理・分析を向上する。
5.2) Ensure timely recovery of digital evidence. 5.2) デジタル証拠のタイムリーな回収を確保する。
5.3) Equip field offices with improved capabilities for investigating cyber crime.  5.3) サイバー犯罪の捜査能力を向上させるために、現場事務所を装備する。
5.4) Increase field office access to secure communications systems. 5.4) 現場事務所の安全な通信システムへのアクセスを向上させる。

 

サイバー犯罪調査についてのウェブページもあります。

Cyber Investigations

 

年度報告書も活動についての参考になりますね。

Annual Reports

20210901-83403

 

過去分です。。。

 

Archive

・[PDF] FY 2019 Annual Report

・[PDF] FY 2017 Annual Report

・[PDF] FY 2016 Annual Report

・[PDF] FY 2015 Annual Report

・[PDF] FY 2014 Annual Report

・[PDF] FY 2013 Annual Report

・[PDF] FY 2012 Annual Report

・[PDF] FY 2011 Annual Report

・[PDF] FY 2010 Annual Report

・[PDF] FY 2009 Annual Report

 

 

Continue reading "米国 シークレットサービスの戦略"

| | Comments (0)

2021.08.03

ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

こんにちは、丸山満彦です。

ENISAがサプライチェーン・セキュリティ攻撃の増加についてのプレス発表をしていますね。。。ENISAは、サプライチェーン攻撃が2021年は昨年と比べて4倍になると予測しているようです。。。それで緊急プレスという感じですかね。。。

● ENISA

・2021.07.29 (press) Understanding the increase in Supply Chain Security Attacks

Understanding the increase in Supply Chain Security Attacks サプライチェーン・セキュリティ攻撃の増加を理解する
The European Union Agency for Cybersecurity mapping on emerging supply chain attacks finds 66% of attacks focus on the supplier’s code. 欧州連合(EU)サイバーセキュリティ機関がサプライチェーンへの新たな攻撃についてマッピングしたところ、攻撃の66%がサプライヤーのコードに焦点を当てていることがわかりました。
Supply chain attacks have been a concern for cybersecurity experts for many years because the chain reaction triggered by one attack on a single supplier can compromise a network of providers. Malware is the attack technique that attackers resort to in 62% of attacks. サプライチェーンへの攻撃は、1社のサプライヤーへの攻撃が引き起こす連鎖反応が、複数のプロバイダーのネットワークを危険にさらす可能性があることから、長年にわたりサイバーセキュリティ専門家の関心事となっています。攻撃者が62%の攻撃で利用している攻撃手法はマルウェアです。
According to the new ENISA report - Threat Landscape for Supply Chain Attacks, which analysed 24 recent attacks, strong security protection is no longer enough for organisations when attackers have already shifted their attention to suppliers. 最近の24件の攻撃を分析したENISAの新しい報告書「Threat Landscape for Supply Chain Attacks」によると、攻撃者の関心がすでにサプライヤーに移っている場合、組織にとって強力なセキュリティ保護はもはや十分ではありません。
This is evidenced by the increasing impact of these attacks such as downtime of systems, monetary loss and reputational damage. このことは、システムのダウンタイム、金銭的損失、風評被害など、これらの攻撃の影響が増大していることからも明らかです。
Supply chain attacks are now expected to multiply by 4 in 2021 compared to last year. Such new trend stresses the need for policymakers and the cybersecurity community to act now. This is why novel protective measures to prevent and respond to potential supply chain attacks in the future while mitigating their impact need to be introduced urgently. 2021年には、サプライチェーンを狙った攻撃が、昨年に比べて4倍になると予想されています。このような新しい傾向は、政策立案者とサイバーセキュリティ・コミュニティが今すぐ行動を起こす必要性を強調しています。そのため、将来起こりうるサプライチェーン攻撃を防ぎ、その影響を軽減しながら対応するための斬新な防御策を早急に導入する必要があるのです。
Juhan Lepassaar, EU Agency for Cybersecurity Executive Director said: “Due to the cascading effect of supply chain attacks, threat actors can cause widespread damage affecting businesses and their customers all at once. With good practices and coordinated actions at EU level, Member States will be able to reach a similar level of capabilities raising the common level of cybersecurity in the EU.” EUサイバーセキュリティ庁のジュハン・レパッサール事務局長は次のように述べています。「サプライチェーン攻撃の連鎖効果により、脅威の担い手は、企業やその顧客に一斉に影響を与える広範な被害を引き起こすことができます。EUレベルでの優れた実践と調整された行動により、加盟国は同程度の能力に到達し、EUのサイバーセキュリティの共通レベルを高めることができるでしょう。」
What is a supply chain? サプライチェーンとは何ですか?
A supply chain is the combination of the ecosystem of resources needed to design, manufacture and distribute a product. In cybersecurity, a supply chain includes hardware and software, cloud or local storage and distribution mechanisms. サプライチェーンとは、製品の設計、製造、流通に必要なリソースのエコシステムの組み合わせです。サイバーセキュリティでは、サプライチェーンには、ハードウェアやソフトウェア、クラウドやローカルのストレージ、流通機構などが含まれます。
Why is a good level of cybersecurity not good enough? なぜ、適切なレベルのサイバーセキュリティでは不十分なのでしょうか?
Composed of an attack on one or more suppliers with a later attack on the final target, namely the customer, supply chain attacks may take months to succeed. In many instances, such an attack may even go undetected for a long time. Similarly to Advanced Persistence Threat (APT) attacks, supply chain attacks are usually targeted, quite complex and costly with attackers probably planning them well in advance. All such aspects reveal the degree of sophistication of the adversaries and the persistence in seeking to succeed. サプライチェーン攻撃は、1社または複数のサプライヤーへの攻撃と、その後の最終ターゲットである顧客への攻撃で構成されており、成功までに数ヶ月を要する場合があります。多くの場合、このような攻撃は長い間発見されないこともあります。APT(Advanced Persistence Threat)攻撃と同様に、サプライチェーン攻撃は通常、標的が絞られており、非常に複雑でコストがかかり、攻撃者はおそらく事前に十分な計画を立てています。このような点から、敵対者の高度な技術と、成功を目指す執念がうかがえます。
The report reveals that an organisation could be vulnerable to a supply chain attack even when its own defences are quite good. The attackers explore new potential highways to infiltrate organisations by targeting their suppliers. Moreover, with the almost limitless potential of the impact of supply chain attacks on numerous customers, these types of attacks are becoming increasingly common. 本報告書では、組織の防御力が十分であっても、サプライチェーン攻撃にさらされる可能性があることを明らかにしています。攻撃者は、サプライヤーを標的とすることで、組織に侵入するための新たな可能性を探ります。さらに、サプライチェーン攻撃が多数の顧客に与える影響の可能性はほぼ無限大であるため、この種の攻撃はますます一般的になっています。
In order to compromise the targeted customers, attackers focused on the suppliers’ code in about 66% of the reported incidents. This shows that organisations should focus their efforts on validating third-party code and software before using them to ensure these were not tampered with or manipulated. 報告されたインシデントのうち、約66%において、攻撃者は標的となる顧客を侵害するために、サプライヤーのコードに着目していました。このことから、組織は、第三者のコードやソフトウェアを使用する前に、これらが改ざんされたり操作されたりしていないことを確認するための検証に力を入れるべきであることがわかります。
For about 58% of the supply chain incidents analysed, the customer assets targeted were predominantly customer data, including Personally Identifiable Information (PII) data and intellectual property. 分析対象となったサプライチェーン事件の約58%において、標的となった顧客資産は、個人識別情報(PII)データや知的財産を含む顧客データが主なものでした。
For 66% of the supply chain attacks analysed, suppliers did not know, or failed to report on how they were compromised. However, less than 9% of the customers compromised through supply chain attacks did not know how the attacks occurred. This highlights the gap in terms of maturity in cybersecurity incident reporting between suppliers and end-users. 分析されたサプライチェーン攻撃の66%において、サプライヤーは、どのように侵害されたかを知らないか、報告していませんでした。しかし、サプライチェーン攻撃によって被害を受けた顧客のうち、攻撃の発生原因を知らなかったのは9%未満でした。このことは、サプライヤーとエンドユーザの間に、サイバーセキュリティのインシデント報告に関する成熟度のギャップがあることを示しています。
The recommendations, in a nutshell: 簡潔な提言
Apply good practices and engage in coordinated actions at EU level. グッドプラクティスを適用し、EUレベルで協調した行動をとること。
The impact of attacks on suppliers may have far reaching consequences because of the increased interdependencies and complexities of the techniques used. Beyond the damages on affected organisations and third parties, there is a deeper cause for concern when classified information is exfiltrated and national security is at stake or when consequences of a geopolitical nature could emerge as a result. サプライヤーへの攻撃は、相互依存性が高く、使用される技術が複雑であるため、その影響は広範囲に及ぶ可能性があります。被害を受けた組織や第三者への損害だけでなく、機密情報が流出して国家の安全が脅かされたり、その結果、地政学的な性質の影響が現れたりする場合には、より深い懸念が生じます。
In this complex environment for supply chains, establishing good practices and getting involved in coordinated actions at EU level are both important to support all Member States in developing similar capabilities – to reach a common level of security. このような複雑なサプライチェーンの環境においては、すべての加盟国が同様の能力を開発し、共通のセキュリティレベルに到達することを支援するために、グッドプラクティスを確立し、EUレベルで調整された行動に関与することが重要です。
The report issues an extensive number of recommendations for customers to manage the supply chain cybersecurity risk and to manage the relationship with the suppliers. 本報告書では、サプライチェーンのサイバーセキュリティ・リスクを管理し、サプライヤーとの関係を管理するために、顧客に対して幅広い提言を行っています。
Recommendations for customers include: 顧客に対する推奨事項は以下の通りです。
• identifying and documenting suppliers and service providers; ・ サプライヤーとサービスプロバイダーの特定と文書化
• defining risk criteria for different types of suppliers and services such as supplier & customer dependencies, critical software dependencies, single points of failure; ・ サプライヤーと顧客の依存関係、重要なソフトウェアの依存関係、単一障害点など、さまざまなタイプのサプライヤーやサービスのリスク基準の定義
• monitoring of supply chain risks and threats; ・ サプライチェーンのリスクと脅威の監視
• managing suppliers over the whole lifecycle of a product or service, including procedures to handle end-of-life products or components; ・ 製品やサービスのライフサイクル全体を通じたサプライヤーの管理(使用済み製品や部品の取り扱い手順を含む)
• classifying of assets and information shared with or accessible to suppliers, and defining relevant procedures for accessing and handling them. ・ サプライヤーと共有している、あるいはサプライヤーがアクセスできる資産や情報の分類、およびそれらへのアクセスと取り扱いに関する関連手順の定義
The report also suggests possible actions to ensure that the development of products and services complies with security practices. Suppliers are advised to implement good practices for vulnerability and patch management for instance. また、製品やサービスの開発がセキュリティ慣行に準拠していることを確認するために可能な措置を提案しています。サプライヤーは、例えば、脆弱性管理およびパッチ管理のためのグッドプラクティスを実施するようアドバイスされています。
Recommendations for suppliers include: サプライヤーに対する推奨事項は以下の通りです。
• ensuring that the infrastructure used to design, develop, manufacture, and deliver products, components and services follows cybersecurity practices; ・ 製品、コンポーネント、サービスの設計、開発、製造、提供に使用されるインフラが、サイバーセキュリティの慣行に従っていることの確認
• implementing a product development, maintenance and support process that is consistent with commonly accepted product development processes; ・ 一般的に認められている製品開発プロセスと整合性のある製品開発、保守、サポートのプロセスの実施
• monitoring of security vulnerabilities reported by internal and external sources that includes used third-party components; ・ 使用されているサードパーティ製コンポーネントを含む、社内外の情報源から報告されるセキュリティ脆弱性の監視
• maintaining an inventory of assets that includes patch-relevant information. ・ パッチに関連する情報を含む資産のインベントリの維持
Background 背景
The cyber threat landscape is constantly evolving. Both policy makers and practitioners need to have access to up-to-date and accurate information on the current threat landscape, supported by threat intelligence. To respond to this need, the ENISA Threat Landscape has been published on an annual basis since 2012. These reports are based on publicly available data and provides an independent view on observed threats, threat agents, threat trends and attack vectors. サイバー脅威の状況は常に変化しています。政策立案者も実務者も、脅威インテリジェンスに裏付けられた現在の脅威の状況に関する最新かつ正確な情報にアクセスする必要があります。このニーズに応えるため、ENISA Threat Landscapeは2012年から毎年発行されています。これらの報告書は、一般に公開されているデータに基づいており、観測された脅威、脅威エージェント、脅威の傾向、攻撃ベクターに関する独立した見解を提供しています。
ENISA set up an Ad-Hoc Working Group on Cyber Threat Landscapes in order to interact with a broad range of stakeholders and to receive advice in designing, updating and reviewing the methodology needed to draw cyber threat landscapes, including the annual ENISA Threat Landscape.  The Agency provides threat analysis on a range of emerging technologies and challenges including recent threat landscapes on Artificial Intelligence and 5G. ENISAは、毎年発行されるENISA Threat Landscapeを含むサイバー脅威のランドスケープを描くために必要な手法の設計、更新、見直しについて、幅広い関係者と交流し、助言を得るために、Ad-Hoc Working Group on Cyber Threat Landscapesを設立しました。 ENISAは、人工知能や5Gに関する最近の脅威のランドスケープなど、さまざまな新興技術や課題に関する脅威分析を提供しています。
On the issue of supply chain attacks, ENISA released the Supply Chain Integrity Report in 2012 (and updated in 2015) which identifies the nature of these threats and examines the possible strategies to counter them. サプライチェーンへの攻撃については、ENISAが2012年に発表した「Supply Chain Integrity Report」(2015年に更新)で、これらの脅威の性質を明らかにし、それに対抗するための可能な戦略を検討しています。

 

・2021.07.29 Threat Landscape for Supply Chain Attacks

Threat Landscape for Supply Chain Attacks サプライチェーン攻撃の脅威の状況
This report aims at mapping and studying the supply chain attacks that were discovered from January 2020 to early July 2021. Based on the trends and patterns observed, supply chain attacks increased in number and sophistication in the year 2020 and this trend is continuing in 2021, posing an increasing risk for organizations. It is estimated that there will be four times more supply chain attacks in 2021 than in 2020. With half of the attacks being attributed to Advanced Persistence Threat (APT) actors, their complexity and resources greatly exceed the more common non-targeted attacks, and, therefore, there is an increasing need for new protective methods that incorporate suppliers in order to guarantee that organizations remain secure. 本報告書は、2020年1月から2021年7月初旬までに発見されたサプライチェーン攻撃のマッピングと調査を目的としています。観察された傾向とパターンによると、サプライチェーン攻撃は2020年にその数と巧妙さを増し、この傾向は2021年も続いており、組織にとってのリスクが増大しています。2021年には、2020年の4倍のサプライチェーン攻撃が発生すると推定されています。攻撃の半分はAPT(Advanced Persistence Threat)アクターによるもので、その複雑さとリソースは、より一般的な非標的型攻撃を大きく上回っています。したがって、組織の安全性を保証するために、サプライヤーを組み込んだ新たな防御方法の必要性が高まっています。

・[PDF

20210803-35729

1. INTRODUCTION 1. イントロダクション
2. WHAT IS A SUPPLY CHAIN ATTACK? 2. サプライチェーン攻撃とは?
2.1. TAXONOMY OF SUPPLY CHAIN ATTACKS 2.1. サプライチェーン攻撃の分類法
2.2. ATTACK TECHNIQUES USED TO COMPROMISE A SUPPLY CHAIN 2.2. サプライチェーンを危険にさらすための攻撃手法
2.3. SUPPLIER ASSETS TARGETED BY A SUPPLY CHAIN ATTACK 2.3. サプライチェーン攻撃の対象となるサプライヤー資産
2.4. ATTACK TECHNIQUES USED TO COMPROMISE A CUSTOMER 2.4. 顧客を危険にさらす攻撃手法
2.5. CUSTOMER ASSETS TARGETED BY A SUPPLY CHAIN ATTACK 2.5. サプライチェーン攻撃の対象となる顧客の資産
2.6. HOW TO MAKE USE OF THE TAXONOMY 2.6. 分類法の活用方法
2.7. SUPPLY CHAIN TAXONOMY AND OTHER FRAMEWORKS 2.7. サプライチェーン・タキソノミーと他のフレームワーク
2.7.1. MITRE ATT&CK® Knowledge Base 2.7.1. MITRE ATT&CK® ナレッジベース
2.7.2. Lockheed Martin Cyber Kill Chain® Framework 2.7.2. ロッキードマーチン サイバーキルチェーン®フレームワーク
3. THE LIFECYCLE OF A SUPPLY CHAIN ATTACK 3. サプライチェーン攻撃のライフサイクル
4. PROMINENT SUPPLY CHAIN ATTACKS 4. 著名なサプライチェーン攻撃
4.1. SOLARWINDS ORION: IT MANAGEMENT AND REMOTE MONITORING 4.1. SOLARWINDS ORION : IT管理とリモートモニタリング
4.2. MIMECAST: CLOUD CYBERSECURITY SERVICES 4.2. MIMECAST: クラウド・サイバーセキュリティ・サービス
4.3. LEDGER: HARDWARE WALLET 4.3. LEDGER:ハードウェアウォレット
4.4. KASEYA: IT MANAGEMENT SERVICES COMPROMISED WITH RANSOMWARE 4.4. KASEYA:ランサムウェアに感染したITマネジメントサービス
4.5. AN EXAMPLE OF MANY UNKNOWNS: SITA PASSENGER SERVICE SYSTEM 4.5. 不明点が多い例:SITAの旅客サービスシステム
5. ANALYSIS OF SUPPLY CHAIN INCIDENTS 5. サプライチェーンにおけるインシデントの分析
5.1. TIMELINE OF SUPPLY CHAIN ATTACKS 5.1. サプライチェーン攻撃のタイムライン
5.2. UNDERSTANDING THE FLOW OF ATTACKS 5.2. 攻撃の流れの把握
5.3. GOAL ORIENTED ATTACKERS 5.3. 目的を持った攻撃者
5.4. MOST ATTACK VECTORS TO COMPROMISE SUPPLIERS REMAIN UNKNOWN 5.4. サプライヤーを危険にさらす攻撃ベクトルのほとんどは未知である
5.5. SOPHISTICATED ATTACKS ATTRIBUTED TO APT GROUPS 5.5.  APTグループによる高度な攻撃
6. NOT EVERYTHING IS A SUPPLY CHAIN ATTACK 6. 全てがサプライチェーン攻撃ではない
7. RECOMMENDATIONS 7. 推奨事項
8. CONCLUSIONS 8. 結論
ANNEX A: SUMMARY OF SUPPLY CHAIN ATTACKS 附属書A:サプライチェーン攻撃の概要

 

EXECUTIVE SUMMARY エグゼクティブ・サマリー
Supply chain attacks have been a security concern for many years, but the community seems to have been facing a greater number of more organized attacks since early 2020. It may be that, due to the more robust security protection that organizations have put in place, attackers successfully shifted towards suppliers. They managed to have significant impacts in terms of the downtime of systems, monetary losses and reputational damages, to name but a few. The importance of supply chains is attributed to the fact that successful attacks may impact a large amount number of customers who make use of the affected supplier. Therefore, the cascading effects from a single attack may have a widely propagated impact. サプライチェーンへの攻撃は、長年にわたってセキュリティ上の懸念事項となっていましたが、2020年初頭から、より組織的な攻撃が増えているようです。組織がより強固なセキュリティ保護を導入したことで、攻撃者がサプライヤーにシフトすることに成功したのかもしれません。彼らは、システムのダウンタイム、金銭的損失、風評被害などの面で大きな影響を与えることに成功しました。サプライチェーンの重要性は、攻撃が成功すると、被害を受けたサプライヤーを利用している多数の顧客に影響を与える可能性があるという事実に起因しています。したがって、単一の攻撃による連鎖的な影響は、広範囲に影響を及ぼすことになります。
This report aims at mapping and studying the supply chain attacks that were discovered from January 2020 to early July 2021. Based on the trends and patterns observed, supply chain attacks increased in number and sophistication in the year 2020 and this trend is continuing in 2021, posing an increasing risk for organizations. It is estimated that there will be four times more supply chain attacks in 2021 than in 2020. With half of the attacks being attributed to Advanced Persistence Threat (APT) actors, their complexity and resources greatly exceed the more common nontargeted attacks, and, therefore, there is an increasing need for new protective methods that incorporate suppliers in order to guarantee that organizations remain secure. 本報告書は、2020年1月から2021年7月初旬までに発見されたサプライチェーン攻撃をマッピングし、調査することを目的としています。観察された傾向とパターンによると、サプライチェーン攻撃は2020年にその数と巧妙さを増し、この傾向は2021年も続いており、組織にとってのリスクが高まっています。2021年には、2020年の4倍のサプライチェーン攻撃が発生すると推定されています。攻撃の半分はAdvanced Persistence Threat(APT)アクターによるものとされており、その複雑さとリソースは、より一般的な非標的型攻撃を大きく上回っています。したがって、組織の安全性を保証するためには、サプライヤーを組み込んだ新たな防御方法の必要性が高まっています。
This report presents the Agency’s Threat Landscape concerning supply chain attacks, produced with the support of the Ad-Hoc Working Group on Cyber Threat Landscapes. 本報告書は、Ad-Hoc Working Group on Cyber Threat Landscapesの支援を受けて作成された、サプライチェーン攻撃に関する米国政府機関の脅威の状況を示したものです。
The main highlights of the report include the following: 本報告書の主な内容は以下の通りです。
· A taxonomy to classify supply chain attacks in order to better analyse them in a systematic manner and understand the way they manifest is described. ・ サプライチェーン攻撃をより体系的に分析し、その現れ方を理解するために、サプライチェーン攻撃を分類するための分類法について説明しています。
· 24 supply chain attacks were reported from January 2020 to early July 2021, and have been studied in this report. ・ 2020年1月から2021年7月初旬までに、24件のサプライチェーン攻撃が報告され、本報告書で調査されました。
· Around 50% of the attacks were attributed to well-known APT groups by the security community. ・ 攻撃の約50%は、セキュリティコミュニティによって有名なAPTグループによるものとされています。
· Around 42% of the analysed attacks have not yet been attributed to a particular group. ・ 分析された攻撃のうち約42%は、まだ特定のグループに帰属していません。
· Around 62% of the attacks on customers took advantage of their trust in their supplier. ・ 顧客に対する攻撃の約62%は、顧客のサプライヤーに対する信頼を利用したものでした。
· In 62% of the cases, malware was the attack technique employed. ・ 62%のケースでは、マルウェアが攻撃手法として採用されています。
· When considering targeted assets, in 66% of the incidents attackers focused on the suppliers’ code in order to further compromise targeted customers. ・ 標的となった資産について考えると、攻撃者は、標的となった顧客をさらに危険にさらすために、サプライヤーのコードに焦点を当てたケースが66%ありました。
· Around 58% of the supply chain attacks aimed at gaining access to data (predominantly customer data, including personal data and intellectual property) and around 16% at gaining access to people. ・ また、サプライチェーンにおける攻撃のうち、約58%がデータ(主に個人情報や知的財産を含む顧客情報)へのアクセスを目的としており、約16%が人へのアクセスを目的としていました。
· Not all attacks should be denoted as supply chain attacks, but due to their nature many of them are potential vectors for new supply chain attacks in the future. ・ すべての攻撃がサプライチェーン攻撃と呼ばれるわけではありませんが、その性質上、これらの攻撃の多くは、将来的に新たなサプライチェーン攻撃を引き起こす可能性があります。
· Organizations need to update their cybersecurity methodology with supply chain attacks in mind and to incorporate all their suppliers in their protection and security verification. ・ 企業は、サプライチェーン攻撃を念頭に置いてサイバーセキュリティの手法を更新し、すべてのサプライヤーを保護とセキュリティの検証に組み込む必要があります。

 

 

| | Comments (0)

2021.07.25

中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

こんにちは、丸山満彦です。

中国のCNCERT / CCが2020年のインターネットセキュリティ報告書を公開していますね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.21 国家互联网应急中心(CNCERT)发布《2020年中国互联网网络安全报告》

国家互联网应急中心(CNCERT)发布《2020年中国互联网网络安全报告》 中国インターネット緊急対応センター(CNCERT)が「中国インターネットセキュリティ報告書2020」を発表
2021年07月21日 18:16来源: “国家互联网应急中心CNCERT”微信公众号 2021年7月21日 18:16 出典:「CNCERT」WeChat公開番号
2021年7月20日,国家计算机网络应急技术处理协调中心(CNCERT/CC)编写的《2020年中国互联网网络安全报告》正式发布。自2008年起,CNCERT持续编写发布中国互联网网络安全年度报告,依托CNCERT多年来从事网络安全监测、预警和应急处置等工作的实际情况,对我国互联网网络安全状况进行总体判断和趋势分析,具有重要的参考价值。该系列报告为政府部门提供监管支撑,为互联网企业提供运行管理技术支持,向社会公众普及互联网网络安全知识,对提高全社会、全民的网络安全意识发挥积极作用。 2021年7月20日、国家コンピュータ緊急対応技術・調整センター(CNCERT/CC)が作成した「2020年中国インターネットセキュリティ報告書」が正式に発表されました。 2008 年以降、CNCERT は、中国のインターネットセキュリティに関する年次報告書の編集・発行を継続しており、ネットワークセキュリティの監視、早期警告及び緊急対応における CNCERT の長年の実務経験に依拠して、中国のインターネットセキュリティの状況に関する一般的な判断及び傾向分析を行っており、重要な 参考価値を有している。 一連の報告書は、政府部門に対する規制面でのサポート、インターネット企業の運用・管理面での技術サポート、インターネットセキュリティに関する知識の一般への普及、そして社会全体、国民全体のネットワークセキュリティに対する意識向上に積極的な役割を果たしています。
《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据,具有重要的参考价值,内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中,报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析,并对 2020年的典型网络安全事件进行了专题介绍。此外,本报告还对网络安全组织发展情况和CNCERT举办的重要网络安全会议和活动等情况进行了阶段性总结,并对2021年网络安全关注方向进行预测。 中国インターネットセキュリティ報告書2020」は、CNCERTが独自に収集したネットセキュリティ・モニタリング・データと、CNCERTのネットワークセキュリティ緊急サービス支援部隊から報告されたデータをまとめ、分析したもので、中国のセキュリティ状況の分析、ネットワークセキュリティ・モニタリング・データの分析、ネットワークセキュリティ・インシデント事例の詳細分析、ネットワークセキュリティ政策や技術開発など、様々な側面を網羅した、参考価値の高いものです。 中でも、コンピュータの悪意あるプログラムの拡散・活動、モバイルインターネットの悪意あるプログラムの拡散・活動、Webサイトのセキュリティ監視、DDoS攻撃の監視、情報セキュリティ脆弱性の通知・処理、ネットワークセキュリティインシデントの受付・処理について、詳細かつ詳細な分析を行い、2020年の代表的なネットワークセキュリティインシデントを特集しています。 さらに、本レポートでは、CNCERTが主催するネットワークセキュリティ組織や重要なネットワークセキュリティ会議・イベントの発展を段階ごとにまとめ、2021年のネットワークセキュリティに関する関心事の方向性を予測しています。

報告書は中国書です。。。

・[PDF] 中国互联网 网络安全报告 2020年

20210724-232917

目次は

01 2020 年网络安全状况综述 01 2020年のネットワークセキュリティ事情の概要
1.1 2020 年我国互联网网络安全状况 1.1 2020年における中国のネットワークセキュリティの状況
1.2 2020 年我国互联网网络安全监测数据分析 1.2 2020年の中国におけるネットワークセキュリティ・モニタリング・データの分析
02 网络安全专题分析 02 サイバーセキュリティのテーマ別分析
2.1 2020 年我国境内云网络安全态势专题分析 2.1 2020年の中国におけるクラウドネットワークのセキュリティ態勢に関するテーマ別分析
2.2 2020 年我国境内联网智能设备安全态势专题分析 2.2 2020年の中国におけるコネクテッド・スマートデバイスのセキュリティ態勢に関するテーマ別分析
2.3 2020 年我国网络生物安全态势专题分析 2.3 2020年の中国のネットワークバイオセキュリティの態勢に関するテーマ別分析
2.4 SolarWinds 供应链攻击事件专题分析 2.4 SolarWindsのサプライチェーン攻撃のテーマ別分析
2.5 2020 年网络安全漏洞影响情况分析 2.5 2020年におけるネットワークセキュリティの脆弱性がもたらす影響の分析
2.6 2020 年勒索病毒专题分析 2.6 2020年におけるランサムウェアのテーマ別分析
2.7 新冠肺炎疫情相关网络攻击事件专题分析 2.7 新型冠動脈性肺炎の発生に関連するネットワーク攻撃のテーマ別分析
03 计算机恶意程序传播和活动情况 03 コンピュータ・マルウェアの配布と活動
3.1 木马或僵尸网络监测情况 3.1 トロイの木馬やボットネットの監視状況
3.2 恶意程序传播活动监测情况 3.2 悪意のあるプログラム配布活動の監視状況
3.3 支撑单位的监测情况 3.3 サポートユニットによる監視状況
04 移动互联网恶意程序传播和活动情况 04 モバイルインターネット上での悪意のあるプログラムの配布と活動
4.1 移动互联网恶意程序监测情况 4.1 モバイルインターネット上の悪意のあるプログラムの監視状況
4.2 支撑单位的监测情况 4.2 サポートユニットによる監視状況
05 网站安全监测情况 05 ウェブサイトのセキュリティ監視状況
5.1 网页篡改情况 5.1 ウェブページの改竄状況
5.2 网站后门情况 5.2 ウェブサイトのバックドアの状況
5.3 网页仿冒情况 5.3 偽サイトの状況
5.4 支撑单位的监测情况 5.4 サポートユニットによる監視の状況
06 DDoS 攻击监测情况 06 DDoS攻撃の監視状況
6.1 DDoS 攻击资源监测分析情况 6.1 DDoS攻撃リソース監視の分析状況
6.2 主流 DDoS 攻击平台和僵尸网络活动监测情况 6.2 主なDDoS攻撃プラットフォームとボットネット活動の監視状況
6.3 支撑单位的监测情况 6.3 サポートユニットによる監視状況
07 信息安全漏洞通报与处置情况 07 情報セキュリティの脆弱性の通知と対応状況
7.1 CNVD 漏洞收录情况 7.1 CNVD 脆弱性の収集状況
7.2 CNVD 行业漏洞库收录情况 7.2 CNVD業界の脆弱性データベースへの登録状況
7.3 漏洞报送和通报处置情况 7.3 脆弱性の報告と対応の通知状況
7.4 高危漏洞典型案例 7.4 リスクなの高い脆弱性の代表例
08 网络安全事件接收与处置情况 08 ネットワークセキュリティ・インシデント報告と対応
8.1 事件接收情况 8.1 インシデント報告状況
8.2 事件处置情况 8.2 インシデント対応状況
09 网络安全组织发展情况 09 ネットワークセキュリティ組織の開発状況
9.1 CNCERT/CC 应急服务支撑单位 9.1 CNCERT/CC 緊急サービス支援ユニット
9.2 CNVD 支撑单位发展情况 9.2 CNVDサポートユニットの開発状況
9.3 ANVA 成员发展情况 9.3 ANVAメンバーの開発状況
9.4 CCTGA 成员发展情况 9.4 CCTGAメンバーの育成状況
10 CNCERT/CC 举办的重要网络安全会议和活动 10 CNCERT/CCが主催する重要な ネットワークセキュリティ・カンファレンスとイベント
11 2021 年网络安全关注方向预测 11 2021年のネットワークセキュリティに関する懸念の予測
附录:网络安全术语解释 附属書:ネットワークセキュリティ用語の解説

 

 

| | Comments (0)

2021.07.21

CISA Alert (AA21-201A) 中国によるガスパイプライン侵入キャンペーン(2011年から2013年)

こんにちは、丸山満彦です。

米国のCISAが2021.07.20に「中国によるガスパイプライン侵入キャンペーン」についてのアラートをだしています。ただし、2011年から2013年に関する攻撃のようです。。。。。

 

Logo_verbose

● CISA

・2021.07.20 Alert (AA21-201A) Chinese Gas Pipeline Intrusion Campaign, 2011 to 2013

 

これは、これ単独の話ではなく。前日に公表されているAlert

中国による攻撃に関する総括的なアラート

・2021.07.19 Alert (AA21-200B) Chinese State-Sponsored Cyber Operations: Observed TTPs

APT40に攻撃に関するアラート

・2021.07.19 Alert (AA21-200A) Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department

の2つに関係しますよね。。。そして、

ICSを標的としたキャンペーンに関する発表

・2021.07.20 Significant Historical Cyber-Intrusion Campaigns Targeting ICS

とも関係していますね。。。

なお、中国に関する情報についてもまとめられています。。。

China Cyber Threat Overview and Advisories

 

このあたりの情報を公表していることについて、中国側はだからといって、中国がやったといえるわけではないと答えているように思います(参考:2021.07.20の外交部の赵立坚報道官の発言

网络空间虚拟性强,溯源难,行为体多样,在调查和定性网络事件时应有完整充分证据,将有关网络攻击与一国政府相关联,更应慎之又慎。美方发布的所谓技术细节并不能构成完整的证据链。 サイバースペースが仮想的であるという性質、発信元を追跡することの難しさ、行為者の多様性を考慮すると、サイバー事件の調査と特徴づけには完全かつ十分な証拠が必要であり、問題となっているサイバー攻撃を政府と関連付ける際にはさらに注意が必要であると考えます。 米国が発表したいわゆる技術的な詳細は、完全な証拠の連鎖を構成するものではありません。

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.21 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応(その2)

・2021.07.20 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

 

 

| | Comments (0)

より以前の記事一覧