脆弱性

2022.01.17

米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

こんにちは、丸山満彦です。

GAOがSolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応についての報告書を公開していますね。。。

● U.S. Government Accountability Office

・2022.01.13 Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents

・[PDF] Hilights

・[PDF] Full Report

20220117-132401

 

Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
Fast Facts 速報
This report describes the federal response to 2 high-profile cybersecurity incidents that affected the U.S. government. The Russian Foreign Intelligence Service hacked SolarWinds network management software, which is widely used in the U.S. government. Also, Chinese government affiliates likely exploited a vulnerability in the Microsoft Exchange Server, according to the White House. 本報告書は、米国政府に影響を与えた2つの有名なサイバーセキュリティ事件に対する連邦政府の対応について記載しています。ロシア対外情報庁は、米国政府で広く使用されているSolarWindsネットワーク管理ソフトウェアをハッキングしました。また、ホワイトハウスによると、中国政府関連会社がMicrosoft Exchange Serverの脆弱性を悪用した可能性が高いとのことです。
Federal agencies worked with each other and industry after these incidents. Agencies received emergency directives on how to respond and more. これらの事件の後、連邦政府機関は相互に協力し、産業界にも働きかけました。各機関は、対応方法などに関する緊急指令を受け取りました。
Information Security is on our High Risk List. As of Nov. 2021, about 900 of our cybersecurity recommendations remain open. 情報セキュリティは、ハイリスクリストに入っています。2021年11月現在、サイバーセキュリティに関する提言のうち約900件が未解決となっています。
Highlights ハイライト
What GAO Found GAOの調査結果
Beginning as early as January 2019, a threat actor breached the computing networks at SolarWinds—a Texas-based network management software company, according to the company's Chief Executive Officer. The federal government later confirmed the threat actor to be the Russian Foreign Intelligence Service. Since the company's software, SolarWinds Orion, was widely used in the federal government to monitor network activity and manage network devices on federal systems, this incident allowed the threat actor to breach several federal agencies' networks that used the software (see figure 1). 2019年1月から、テキサス州に本社を置くネットワーク管理ソフトウェア会社SolarWindsのコンピューティングネットワークに脅威分子が侵入していたと、同社の最高経営責任者が語っています。後に連邦政府は、この脅威主体がロシア対外情報庁であることを確認しました。同社のソフトウェア「SolarWinds Orion」は、連邦政府のシステムにおけるネットワーク活動の監視やネットワーク機器の管理に広く利用されていたため、この事件により、同ソフトウェアを利用している複数の連邦政府機関のネットワークに侵入することができました(図1参照)。
Rid15_image2_20220117140901
Figure 1: Analysis of How a Threat Actor Exploited SolarWinds Orion Software 図1:脅威行為者がSolarWinds Orionソフトウェアを悪用した方法の分析
While the response and investigation into the SolarWinds breach were still ongoing, Microsoft reported in March 2021 the exploitation or misuse of vulnerabilities used to gain access to several versions of Microsoft Exchange Server. This included versions that federal agencies hosted and used on their premises. According to a White House statement, based on a high degree of confidence, malicious cyber actors affiliated with the People's Republic of China's Ministry of State Security conducted operations utilizing these Microsoft Exchange vulnerabilities. The vulnerabilities initially allowed threat actors to make authenticated connections to Microsoft Exchange Servers from unauthorized external sources. Once the threat actor made a connection, the actor then could leverage other vulnerabilities to escalate account privileges and install web shells that enabled the actor to remotely access a Microsoft Exchange Server. This in turn allowed for persistent malicious operations even after the vulnerabilities were patched (see figure 2). SolarWinds社の侵害に対する対応と調査はまだ継続中ですが、マイクロソフト社は2021年3月に、複数のバージョンのMicrosoft Exchange Serverへのアクセスに使用された脆弱性が悪用されたことを報告しました。この中には、連邦政府機関がホストして構内で使用していたバージョンも含まれていました。ホワイトハウスの声明によると、高度な確信に基づき、中華人民共和国の国家安全部に所属する悪意のあるサイバーアクターが、これらのMicrosoft Exchangeの脆弱性を利用した操作を行ったとしています。この脆弱性を利用すると、まず、外部の不正なソースからMicrosoft Exchange Serverに認証された接続を行うことができます。接続が完了すると、他の脆弱性を利用してアカウントの権限を昇格させたり、ウェブシェルをインストールしたりして、Microsoft Exchange Serverへのリモートアクセスを可能にしていました。これにより、脆弱性にパッチが適用された後も、持続的な悪意ある操作が可能となりました(図2参照)。
Rid16_image3_20220117140901
Figure 2: Analysis of How Threat Actors Exploited Microsoft Exchange Server Vulnerabilities 図2:脅威となる行為者がMicrosoft Exchange Serverの脆弱性をどのように利用したかの分析結果
Federal agencies took several steps to coordinate and respond to the SolarWinds and Microsoft Exchange incidents including forming two Cyber Unified Coordination Groups (UCG), one for the SolarWinds incident and one for the Microsoft Exchange incident. Both UCGs consisted of the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the Office of the Director of National Intelligence (ODNI), with support from the National Security Agency (NSA). According to UCG agencies, the Microsoft Exchange UCG also integrated several private sector partners in a more robust manner than their involvement in past UCGs. 連邦政府機関は、SolarWindsとMicrosoft Exchangeの両インシデントに対応するために、SolarWindsインシデント用とMicrosoft Exchangeインシデント用の2つのサイバー統一調整グループ(UCG)を結成するなど、いくつかの措置を講じました。両UCGは、CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、ODNI(国家情報長官室)で構成され、NSA(国家安全保障庁)の支援を受けました。UCGの各機関によると、Microsoft Exchange UCGには、過去のUCGに比べてより強力な方法で複数の省庁が参加しています。
CISA issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. To aid agencies in conducting their own investigations and securing their networks, UCG agencies also provided guidance through advisories, alerts, and tools. For example, the Department of Homeland Security (DHS), including CISA, the FBI, and NSA released advisories for each incident providing information on the threat actor's cyber tools, targets, techniques, and capabilities. CISA and certain agencies affected by the incidents have taken steps and continue to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. CISAは、連邦政府機関に脆弱性を知らせ、インシデントに対応するためにどのような行動を取るべきかを説明する緊急指令を発行しました。また、各機関が独自に調査を行い、ネットワークのセキュリティを確保するのを支援するため、UCGの各機関は勧告、警告、ツールを通じてガイダンスを提供しました。例えば、CISAを含む国土安全保障省(DHS)、FBI、NSAは、インシデントごとに勧告を発表し、脅威となる人物のサイバーツール、標的、技術、能力に関する情報を提供しました。CISAと事件の影響を受けた一部の機関は、ソーラーウインズ事件への対応策を講じ、引き続き連携しています。各省庁は、Microsoft Exchange社の事件への対応を完了しました。
Agencies also identified multiple lessons from these incidents. For instance, 各省庁は、これらのインシデントから複数の教訓を得ました。例えば、以下のようなものです。
・coordinating with the private sector led to greater efficiencies in agency incident response efforts; ・民間企業との連携により、各省庁のインシデント対応をより効率的に行うことができた。
・providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; ・省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との調整が改善された。
・sharing of information among agencies was often slow, difficult, and time consuming and; ・省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
・collecting evidence was limited due to varying levels of data preservation at agencies. ・各省庁のデータ保存のレベルが異なるため、証拠の収集が制限されていた。
Effective implementation of a recent executive order could assist with efforts aimed at improving information sharing and evidence collection, among others. 最近発表された大統領令を効果的に実施することで、情報共有や証拠収集などを改善するための取り組みを支援することができる。
Why GAO Did This Study GAOがこの調査を行った理由
The risks to information technology systems supporting the federal government and the nation's critical infrastructure are increasing, including escalating and emerging threats from around the globe, the emergence of new and more destructive attacks, and insider threats from witting or unwitting employees. Information security has been on GAO's High Risk List since 1997. 連邦政府や国の重要なインフラを支える情報技術システムに対するリスクは、世界中からの脅威の増大や出現、より破壊的な新手の攻撃の出現、故意または無意識の従業員によるインサイダー脅威など、ますます高まっています。情報セキュリティは、1997年以来、GAOのハイリスクリストに入っています。
Recent incidents highlight the significant cyber threats facing the nation and the range of consequences that these attacks pose. A recent such incident, involving SolarWinds, resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and private sector. Another incident included zero-day Microsoft Exchange Server vulnerabilities that had the potential to affect email servers across the federal government and provide malicious threat actors with unauthorized remote access. According to CISA, the potential exploitation from both incidents posed an unacceptable risk to federal civilian executive branch agencies because of the likelihood of vulnerabilities being exploited and the prevalence of affected software. 最近の事件は、国家が直面している重大なサイバー脅威と、これらの攻撃がもたらす様々な結果を浮き彫りにしています。最近の事件では、SolarWinds社が関与した事件があり、連邦政府や民間企業に対して行われた最も広範で洗練されたハッキングキャンペーンの一つとなりました。また、別の事件では、Microsoft Exchange Serverのゼロデイ脆弱性が、連邦政府全体のメールサーバに影響を与え、悪意のある脅威者に不正なリモートアクセスを許す可能性がありました。CISAによると、この2つのインシデントによる潜在的な悪用は、脆弱性が悪用される可能性が高く、影響を受けるソフトウェアが普及していることから、連邦政府の文民行政府機関に受け入れがたいリスクをもたらしています。
GAO performed its work under the authority of the Comptroller General to conduct an examination of these cybersecurity incidents in light of widespread congressional interest in this area. Specifically, GAO's objectives were to (1) summarize the SolarWinds and Microsoft Exchange cybersecurity incidents, (2) determine the steps federal agencies have taken to coordinate and respond to the incidents, and (3) identify lessons federal agencies have learned from the incidents. GAOは、この分野に対する議会の関心の高さを考慮して、これらのサイバーセキュリティ事件の調査を実施するために、GAOの権限に基づいて作業を行いました。具体的には、GAOの目的は、(1)SolarWindsとMicrosoft Exchangeのサイバーセキュリティ事件を要約し、(2)連邦政府機関が事件を調整・対応するためにとった措置を特定し、(3)連邦政府機関が事件から学んだ教訓を特定することでした。
To do so, GAO reviewed documentation such as descriptions of the incidents, federal agency press releases, response plans, joint statements, and guidance issued by the agencies responsible for responding to the incidents: DHS (CISA), the Department of Justice (FBI), and ODNI with support from NSA. In addition, GAO analyzed incident reporting documentation from affected agencies and after-action reports to identify lessons learned. For all objectives, GAO interviewed agency officials to obtain additional information about the incidents, coordination and response activities, and lessons learned. そのためにGAOは、インシデントの説明、連邦機関のプレスリリース、対応計画、共同声明、インシデントへの対応を担当する省庁が発行したガイダンスなどの文書を確認しました。DHS(CISA)、司法省(FBI)、NSAの支援を受けたODNIが発行したガイダンスなどの文書を調査しました。さらにGAOは、影響を受けた省庁からのインシデント報告書類と事後報告を分析し、得られた教訓を特定した。すべての目的について、GAOはインシデント、調整と対応活動、および学んだ教訓に関する追加情報を得るために、各省庁の担当者にインタビューを行いましたた。
Recommendations 提言事項
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations had not yet been fully implemented. GAO will continue to monitor federal agencies' progress in fully implementing these recommendations, including those related to software supply chain management and cyber incident management and response. Five of six agencies provided technical comments, which we incorporated as appropriate. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月現在、これらの勧告のうち約900件はまだ完全に実施されていません。GAOは、ソフトウェアのサプライチェーン管理やサイバーインシデントの管理と対応に関連する勧告を含め、これらの勧告を完全に実施するための連邦政府機関の進捗状況を引き続き監視します。6つの省庁のうち5つの省庁から技術的なコメントをいただき、適宜反映させました。

 

 

・[PDF] Full Report

の目次...

Letter  レター 
Background  背景 
Threat Actors Exploited Vulnerabilities in SolarWinds Orion and Microsoft Exchange  SolarWinds OrionとMicrosoft Exchangeの脆弱性を悪用した脅威の発生 
Federal Agencies Have Been Taking Action in Response to Significant Cyber Incidents  連邦政府機関は重大なサイバーインシデントに対応して行動を起こしてきた 
Federal Agencies Learned Lessons from Efforts Coordinating and Responding to the SolarWinds and Microsoft Exchange Incidents  連邦政府はSolarWindsとMicrosoft Exchangeのインシデントに対する調整と対応の努力から教訓を得た。
Agency Comments  政府機関のコメント 
Appendix I Detailed Timelines of Steps Taken by Cyber Unified Coordination Group Agencies in Response to the SolarWinds and Microsoft Exchange Incidents  附属書 I SolarWinds と Microsoft Exchange のインシデントに対応して Cyber Unified Coordination Group の各機関が行った措置の詳細なタイムライン 
Appendix II GAO Contacts and Staff Acknowledgments  附属書II GAOの連絡先とスタッフの謝辞 

| | Comments (0)

2022.01.10

IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

こんにちは、丸山満彦です。

IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。

攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。

20220110-61203

Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法

で、攻撃者の例示として次のようなものをあげていますね。。。

  • 外部者
  • 内部関係者
  • 犯罪者/ハクティビスト/スクリプトキディ
  • 産業スパイのアクター
  • サイバーテロリスト
  • 国家背景のアクター

 

取り上げている事例の時系列も改めて見ると良いですね。。。

 

20220110-62800

 

IEEE - IEEE Access

Year: 2021 | Volume: 9  - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents

・[HTML]

・[PDF]

20220110-55745

概要は、

概要

Abstract 概要
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。

 

章立てです。。。

 ABSTRACT 概略
I. INTRODUCTION I.イントロダクション
II. BACKGROUND II.背景
A. ICS ARCHITECTURE A. ICSアーキテクチャ
B. ICS HARDWARE B. ICSハードウエア
C. ICS PROTOCOLS C. ICSプロトコル
D. ICS SECURITY D. ICSセキュリティ
E. CRITICAL INFRASTRUCTURES E. 重要インフラ
III. RELATED WORK III.関連研究
IV. ADVERSARIAL MODEL IV.敵対的モデル
A. FINGERPRINTING A. フィンガープリンティング
B. CAPABILITIES B. 能力
C. MOTIVES C. 動機
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS V.産業用制御システムと重要インフラのインシデント
A. STUXNET A. STUXNET
B. DUQU B. DUQU
C. SHAMOON C. SHAMOON
D. HAVEX D. HAVEX
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK
G. TRITON/TRISIS/HatMan G. TRITON/TRISIS/HatMan
H. VPNFilter H.VPNフィルタ
I. WannaCry I. WannaCry
J. NotPetya J. NotPetya
K. COLONIAL PIPELINE K. コロニアルパイプライン
L. OTHER INCIDENTS L. その他のインシデント
1) GERMAN STEEL MILL 1) ドイツの製鉄所
2) MAROOCHY WATER SERVICES 2) マルーチー・ウォーター・サービス
3) NEW YORK DAM 3) ニューヨーク・ダム
4) ‘‘KEMURI’’ WATER COMPANY 4) ''Kemuri''ウォーター・カンパニー
5) SLAMMER WORM 5) スラマーワーム
6) SoBig VIRUS 6) SoBig VIRUS
7) TEHAMA COLUSA CANAL 7) テハマ・コルサ・キャナル
8) U.S. POWER GRID INTRUSION 8)米国の電力網への侵入
M. DISCUSSION M. DISCUSSION
1) COMMON TOOLS AND APPROACHES 1) 共通のツールとアプローチ
2) VULNERABILITIES CATEGORIZATION 2) 脆弱性の分類
3) AFFECTED PURDUE LEVELS 3)影響を受けたパデュー・レベル
4) MITIGATION 4) 低減
VI. ICS PROTOCOLS VULNERABILITIES VI.ICSプロトコルの脆弱性
A. DNP3 A. DNP3
B. MODBUS B. MODBUS
C. PROFINET C. PROFINET
D. OTHER PROTOCOLS D. その他のプロトコル
VII. ICS DEVICE VULNERABILITIES VII. ICデバイスの脆弱性
A. REVERSE ENGINEERING A. リバースエンジニアリング
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS B. 制御ロジックのインジェクションと修正攻撃
C. LADDER LOGIC BASED ATTACKS C. ラダーロジックによる攻撃
D. NATIVE ICS MALWARE D. ネイティブICSマルウェア
E. UNAUTHORIZED ACCESS E. 不正アクセス
F. SIDE CHANNEL ANALYSIS F. サイドチャネル分析
VIII. CONCLUSION VIII. 結論
REFERENCES 参考文献

 

 

Continue reading "IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析"

| | Comments (0)

2021.12.30

防衛省と三菱電機が2019年に発生した不正アクセス事件についての発表をしていますね。。。

こんにちは、丸山満彦です。

三菱電機が「不正アクセスによる個人情報と企業機密の流出可能性について(第4報)」を、防衛省が「三菱電機株式会社に対する不正アクセスによる安全保障上の影響に関する調査結果について」について発表していますね。。。

 

● 防衛省

・2021.12.24 [PDF] 三菱電機株式会社に対する不正アクセスによる安全保障上の影響に関する調査結果について  [downloaded]

20211229-172010

 

● 三菱電機

20211229-174202

・2021.12.24 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第4報) [downloaded]

・2020.02.12 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第3報) [downloaded]

・2020.02.10 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第2報) [downloaded]

・2020.01.20 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について  [downloaded]



 

| | Comments (0)

2021.12.25

Five eyes国で連携してLog4jの脆弱性についてのアラート、ガイダンスページを開設

こんにちは、丸山満彦です。

世界的にLog4jの脆弱性については大きく取り上げられていますが、米国(CISAFBINSAオーストラリア(ACSC)、カナダ(CCCS)、ニュージーランド(CERT NZNZ NCSC)、英国(NCSC-UK)のセキュリティ当局が連携してアドバイザリーを発表していますね。。。

CISA

プレス

・2021.12.22 CISA, FBI, NSA AND INTERNATIONAL PARTNERS ISSUE ADVISORY TO MITIGATE APACHE LOG4J VULNERABILITIES

ガイダンスページ

Apache Log4j Vulnerability Guidance

アラート

・2021.12.22 Alert (AA21-356A) Mitigating Log4Shell and Other Log4j-Related Vulnerabilities

 

NSA

・2021.12.22 CISA, FBI, NSA, and International Partners Issue Advisory to Mitigate Apache Log4J Vulnerabilities

211222dim7421235

 


オーストラリア

ACSC

・2021.12.23 (news) ACSC and international partners encourage action to mitigate risks for Log4j vulnerability

・2021.12.23 Use of Log4j vulnerabilities in ransomware activity

・2021.12.23 Mitigating Log4Shell and Other Log4j-Related Vulnerabilities

・2021.12.22 2021-007: Log4j vulnerability – advice and mitigations

・2021.12.21 Cybercriminals scanning Australian entities for serious cyber vulnerability

・2021.12.16 JCSC virtual presentations on Log4j2 vulnerability – Friday 17 December

・2021.12.15 Australians urged to act on cyber alert

カナダ

CCCS

・2021.12.22 Joint cybersecurity advisory on mitigating Log4Shell and other Log4j-related vulnerabilities

ニュージーランド

CERT NZ

・2021.12.23 International agencies issue Log4j warning

NZ NCSC

英国

NCSC-UK  

・information Log4j vulnerability - what everyone needs to know

・news Alert: Apache Log4j vulnerabilities

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.20 米国 CISA 緊急指令22-02 Apache Log4jの脆弱性に対応せよ

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

 

| | Comments (0)

2021.12.20

米国 CISA 緊急指令22-02 Apache Log4jの脆弱性に対応せよ

こんにちは、丸山満彦です。

各国の政府もApache Log4jの脆弱性について点検と対応を呼びかけていますね。。。

米国の場合は、

(1) 現在、外部のネットワーク環境で脅威者がこれらの脆弱性を悪用している

(2) 脆弱性が悪用される可能性が高い

(3) 連邦政府の企業内で影響を受けるソフトウェアが広く使われている

(4) 政府機関の情報システムが侵害される可能性が高い

(5) 侵害が成功した場合の潜在的な影響

等を踏まえて、CISAが連邦政府機関に対して期限を切ってApache Log4jの脆弱性に対応するよう緊急指令を出していますね。。。

 

● CISA

・2021.12.17 CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO MITIGATE APACHE LOG4J VULNERABILITIES

CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO MITIGATE APACHE LOG4J VULNERABILITIES CISA、連邦政府機関にapache log4jの脆弱性を緩和するよう求める緊急指令を発行
Agency Strongly Urges All Organizations to Take Immediate Action to Protect their Networks 同庁はすべての組織に対し、自社のネットワークを保護するために直ちに行動を起こすことを強く要請
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) issued Emergency Directive (ED) 22-02 today requiring federal civilian departments and agencies to assess their internet-facing network assets for the Apache Log4j vulnerabilities and immediately patch these systems or implement other appropriate mitigation measures. This Directive will be updated to further drive additional mitigation actions.    ワシントン - Cybersecurity and Infrastructure Security Agency(CISA)は本日、緊急指令(ED)22-02を発行し、連邦の文民部門および機関に対し、インターネットに接続するネットワーク資産にApache Log4jの脆弱性がないかどうかを評価し、これらのシステムに直ちにパッチを適用するか、その他の適切な緩和策を実施するよう求めました。 この指令は、追加の緩和策をさらに推進するために更新される予定です。    
The directive is in response to the active exploitation by multiple threat actors of vulnerabilities found in the widely used Java-based logging package Log4j. Since the vulnerabilities were first discovered, CISA has been working with our partners in the public and private sectors to identity vulnerable products, raise awareness, and encourage all potentially affected organizations to take immediate action.   この指令は、広く使われているJavaベースのログ収集パッケージであるLog4jに見つかった脆弱性が、複数の脅威主体によって積極的に利用されていることを受けたものです。脆弱性が発見されて以来、CISAは官民のパートナーと協力して、脆弱性のある製品を特定し、認知度を高め、影響を受ける可能性のあるすべての組織に直ちに対策を講じるよう呼びかけてきました。  
“The log4j vulnerabilities pose an unacceptable risk to federal network security,” said CISA Director Jen Easterly. “CISA has issued this emergency directive to drive federal civilian agencies to take action now to protect their networks, focusing first on internet-facing devices that pose the greatest immediate risk. CISA also strongly urges every organization large and small to follow the federal government’s lead and take similar steps to assess their network security and adapt the mitigation measures outlined in our Emergency Directive. If you are using a vulnerable product on your network, you should consider your door wide open to any number of threats.”       CISAのディレクターであるジェン・イースタリー氏は、次のように述べています。「log4jの脆弱性は、連邦政府のネットワークセキュリティに受け入れがたいリスクをもたらします。 CISAは、連邦政府の民間機関がネットワークを保護するために今すぐ行動を起こすよう、この緊急指令を出しました。 また、CISAは、規模の大小を問わず、すべての組織が連邦政府に倣い、同様の手順でネットワークセキュリティを評価し、緊急指令に記載されている緩和策を適応することを強く求めています。 脆弱な製品をネットワーク上で使用している場合は、あらゆる脅威に対してドアが大きく開いていると考えるべきです」。     
This emergency action is based on: (1) the current exploitation of these vulnerabilities by threat actors in external network environments, (2) the likelihood of the vulnerabilities being exploited, (3) the prevalence of the affected software in the federal enterprise, (4) the high potential for a compromise of agency information systems, and (5) the potential impact of a successful compromise.       この緊急措置は、以下に基づいています。今回の緊急措置は、(1)現在、外部のネットワーク環境で脅威者がこれらの脆弱性を悪用していること、(2)脆弱性が悪用される可能性が高いこと、(3)連邦政府の企業内で影響を受けるソフトウェアが広く使われていること、(4)政府機関の情報システムが侵害される可能性が高いこと、(5)侵害が成功した場合の潜在的な影響などを考慮したものです。      
CISA has set up a dedicated webpage with Log4j mitigation guidance and resources for network defenders, as well as a community-sourced GitHub repository of affected devices and services. CISAは、Log4j緩和策のガイダンスとネットワーク防御者のためのリソースを掲載した専用ウェブページを開設し、影響を受ける機器やサービスを集めたコミュニティソースのGitHubリポジトリも用意しました。     
CISA encourages public and private sector organizations to utilize these resources and take immediate steps to mitigate against this vulnerability.  Read the full Emergency Directive (ED) 22-02 here.   CISAは、公共機関や民間企業がこれらのリソースを活用し、この脆弱性を緩和するための対策を早急に講じることを推奨しています。  緊急指令(ED)22-02の全文はこちらを参照してください。  

 

緊急指令 22-02

・2021.12.17 EMERGENCY DIRECTIVE 22-02 MITIGATE APACHE LOG4J VULNERABILITY

EMERGENCY DIRECTIVE 22-02 MITIGATE APACHE LOG4J VULNERABILITY 緊急指令22-02 Apache Log4jの脆弱性に対応せよ
Section 3553(h) of title 44, U.S. Code, authorizes the Secretary of Homeland Security, in response to a known or reasonably suspected information security threat, vulnerability, or incident that represents a substantial threat to the information security of an agency, to “issue an emergency directive to the head of an agency to take any lawful action with respect to the operation of the information system, including such systems used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information, for the purpose of protecting the information system from, or mitigating, an information security threat.” 44 U.S.C. § 3553(h)(1)–(2). Section 2205(3) of the Homeland Security Act of 2002, as amended, delegates this authority to the Director of the Cybersecurity and Infrastructure Security Agency. 6 U.S.C. § 655(3). Federal agencies are required to comply with these directives. 44 U.S.C. § 3554 (a)(1)(B)(v). These directives do not apply to statutorily defined “national security systems” nor to systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(d), (e)(2), (e)(3), (h)(1)(B). U.S.コード 第44章 第3553(h)項は、Homepage長官に権限を与えています。コードのタイトル44の3553(h)項は、国土安全保障長官が、機関の情報セキュリティに対する実質的な脅威を示す既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、または事件に対応して、「情報セキュリティ上の脅威から情報システムを保護する、または情報セキュリティ上の脅威を軽減する目的で、機関の情報を収集、処理、保存、送信、普及、またはその他の方法で維持する、機関を代表して他の事業体が使用または運営するシステムを含む情報システムの運用に関して、合法的な行動をとるために、機関の長に緊急指令を発行する」ことを許可しています(U.S.コード 第44章 第3553条(h)項(1)-(2))。改正2002年国土安全保障法第2205条(3)は、この権限をサイバーセキュリティ・インフラセキュリティ庁長官に委任しています。( U.S.コード 第6章 第655条(3))。連邦機関はこれらの指令を遵守することが求められます。(U.S.コード 第44章 第3554条 (a)(1)(B)(v))。これらの指令は、法律で定義された「国家安全保障システム」には適用されず、国防総省や情報コミュニティが運営するシステムにも適用されません(U.S.コード 第44章 第3554条 (d), (e)(2), (e)(3), (h)(1)(B))。
Background 背景
series of vulnerabilities in the popular Java-based logging library Log4j are under active exploitation by multiple threat actors. 人気の高いJavaベースのログ収集ライブラリLog4jには一連の脆弱性があり、複数の脅威関係者によって活発に利用されています。
Exploitation of one of these vulnerabilities allows an unauthenticated attacker to remotely execute code on a server. Successful exploitation can occur even if the software accepting data input is not written in Java; such software is able to pass malicious strings to other (back end) systems that are written in Java. これらの脆弱性を悪用すると、認証されていない攻撃者がリモートでサーバ上のコードを実行することができます。このようなソフトウェアは、悪意のある文字列をJavaで記述された他の(バックエンド)システムに渡すことができます。
CISA has determined that this vulnerability poses an unacceptable risk to Federal Civilian Executive Branch agencies and requires emergency action. This determination is based on the current exploitation of this vulnerability by threat actors in the wild, the likelihood of further exploitation of the vulnerability, the prevalence of the affected software in the federal enterprise, and the high potential for a compromise of agency information systems. CISAは、この脆弱性が連邦文民執行機関に許容できないリスクをもたらすものであり、緊急措置が必要であると判断しました。この判断は、現在、脅威者がこの脆弱性を悪用していること、脆弱性がさらに悪用される可能性があること、影響を受けるソフトウェアが連邦企業内で普及していること、そして機関の情報システムが危険にさらされる可能性が高いことに基づいています。
This Emergency Directive does not affect or supersede related requirements imposed by Binding Operational Directives 22-01 or 19-02 except as noted in Action 3 below. As defined by BOD 22-01, CVE-2021-44228 has been added to CISA’s catalog of known exploited vulnerabilities (KEVs). CISA will continue to add KEVs related to this vulnerability as needed. Off-the-shelf applications must be updated in accordance with BOD 22-01 requirements as updates become available for various software products. この緊急指令は、以下のアクション3に記載されている場合を除き、統合運用指令 (BOD)  22-01または19-02によって課される関連要件に影響を与えたり、これに取って代わるものではありません。BOD 22-01で定義されているように、CVE-2021-44228はCISAの既知の悪用される脆弱性(KEV)のカタログに追加されました。CISAは、必要に応じてこの脆弱性に関連するKEVを追加していきます。既製のアプリケーションは、様々なソフトウェア製品のアップデートが利用可能になった時点で、BOD 22-01の要件に従ってアップデートする必要があります。
While the current version of this emergency directive prioritizes solution stacks accepting data input from the internet, CISA strongly recommends the same actions against the entirety of agencies’ infrastructure. For the purposes of this directive, a solution stack is defined as a collection of connected IT technologies (hardware, firmware, and software) that require no other IT technologies to provide a service. As this is an evolving situation, CISA will issue supplemental direction applicable to broader agency-owned information technologies (IT) and operational technologies (OT). この緊急指令の現在のバージョンでは、インターネットからのデータ入力を受け付けるソリューションスタックを優先していますが、CISAは、機関のインフラ全体に対しても同様の対応を行うことを強く推奨します。この指令では、ソリューション・スタックとは、サービスを提供するために他のIT技術を必要としない、接続されたIT技術(ハードウェア、ファームウェア、ソフトウェア)の集合体と定義されています。これは発展途上の状況であるため、CISAは、より広範な省庁所有の情報技術(IT)および運用技術(OT)に適用される補足的な指示を発行する予定です。
Required Actions 必要なアクション
By 5 pm EST on December 23, 2021: 2021年12月23日午後5時(米国東部標準時)までに
1. Enumerate all solution stacks accepting data input from the internet. インターネットからのデータ入力を受け付けるすべてのソリューションスタックを列挙する。
2. Evaluate all software assets in identified solution stacks against the CISA-managed GitHub repository to determine whether Log4j is present in those assets and if so, whether those assets are affected by the vulnerability. 特定されたソリューションスタック内のすべてのソフトウェア資産を、CISAが管理するGitHubリポジトリと照合して評価し、それらの資産にLog4jが存在するかどうか、存在する場合はその資産が脆弱性の影響を受けるかどうかを判断する。
a. If the software product is not listed in the repository, request addition by submitting a “pull” request using the link on the GitHub page[1]. ソフトウェア製品がリポジトリに掲載されていない場合は、GitHubページ[1]のリンクから「pull」リクエストを送信して追加を依頼する。
3. For all software assets that agencies identify as affected by CVE-2021-44228: 機関がCVE-2021-44228の影響を受けると特定したすべてのソフトウェア資産について、
a. Update assets for which patches have been provided. Remediation timelines prescribed in BOD 22-01 “may be adjusted in the case of grave risk to the Federal Enterprise.” Given the criticality of CVE-2021-44228, agencies must immediately patch any vulnerable internet-facing devices for which patches are available, under an emergency change window. パッチが提供されている資産を更新する。BOD 22-01に規定されている修復スケジュールは、「連邦政府機関に重大なリスクがある場合には調整されることがある」とされている。CVE-2021-44228の重大性に鑑み、政府機関は、パッチが提供されている脆弱なインターネット接続機器に対して、緊急変更枠で直ちにパッチを適用しなければならない。
OR または
b. Mitigate the risk of vulnerability exploitation using one of mitigating measures provided at: link. リンク先の緩和策のいずれかを用いて、脆弱性の悪用のリスクを軽減する。
OR または
c. Remove affected software assets from agency networks. 影響を受けるソフトウェア資産をネットワークから削除する。
4. For all solution stacks containing software that agencies identified as affected: assume compromise, identify common post-exploit sources and activity, and persistently investigate and monitor for signs of malicious activity and anomalous traffic patterns (e.g., JDNI LDAP/RMI outbound traffic, DMZ systems initiating outbound connections). 機関が影響を受けると特定したソフトウェアを含むすべてのソリューションスタックについて、侵害を想定し、侵害後の一般的なソースと活動を特定し、悪意のある活動の兆候と異常なトラフィックパターン(JDNI LDAP/RMI送信トラフィック、送信接続を開始するDMZシステムなど)を継続的に調査・監視する。
By 5 pm EST on December 28, 2021: 2021年12月28日午後5時(米国東部標準時)までに
5. Report all affected software applications identified in (3) above using the provided template, including: 上記(3)で特定された影響を受けるすべてのソフトウェアアプリケーションを、提供されたテンプレートを使用して、以下を報告する。
 1. Vendor name ベンダー名
 2. Application name and version アプリケーション名とバージョン
 3. Action taken (e.g. updated, mitigated, removed from agency network) 実施した措置(例:更新、緩和、機関のネットワークからの削除)
6. Confirm with vulnerability@cisa.dhs.gov that your agency’s Internet-accessible IP addresses on file with CISA are up to date, as required by CISA Binding Operational Directive 19-02. CISA BOD 19-02で要求されているように、CISAに登録されている自機関のインターネット・アクセス可能なIPアドレスが最新であることをvulnerability@cisa.dhs.govで確認する。
These required actions apply to agency applications in any information system, including an information system used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information (i.e. all applications in agency ATO boundaries). これらの必要な措置は、機関の情報を収集、処理、保存、送信、配布、またはその他の方法で維持する、機関に代わって他の事業体が使用または運営する情報システムを含む、あらゆる情報システム内の機関アプリケーションに適用される(すなわち、機関のATO境界内のすべてのアプリケーション)。
For federal information systems hosted in third-party environments (such as cloud) each agency is responsible for maintaining an inventory of its information systems hosted in those environments (FedRAMP Authorized or otherwise), conducting all necessary reporting to CISA accounting for such systems, and working with service providers directly for status updates pertaining to, and to ensure compliance with, this Directive. サードパーティ環境(クラウドなど)でホストされている連邦政府の情報システムについては、各機関は、これらの環境(FedRAMP 認可またはその他)でホストされている情報システムのインベントリを維持し、当該システムの CISA 会計に必要なすべての報告を行い、本指令に関連するステータスの更新や本指令への準拠を確保するためにサービス・プロバイダーと直接連携する責任を負う。
[1] Creating a pull request - GitHub Docs, (web)  [1] Creating a pull request - GitHub Docs, (web) 
CISA Actions CISAの対応
CISA will continue to work with our partners to monitor for active exploitation associated with these vulnerabilities and will notify agencies and provide additional guidance, as appropriate. CISAは、パートナーと協力して、これらの脆弱性に関連した活発な悪用を監視し続け、必要に応じて政府機関に通知し、追加のガイダンスを提供する。
CISA will provide technical assistance to agencies who are without internal capabilities sufficient to comply with this Directive. CISAは、本指令に準拠するのに十分な内部能力を持たない機関に技術支援を提供する。
By February 15, 2022, CISA will provide a report to the Secretary of Homeland Security and the Director of the Office of Management and Budget (OMB) identifying cross-agency status and outstanding issues. 2022年2月15日までに、CISAは国土安全保障長官と行政管理予算局(OMB)長官に、省庁横断的な状況と未解決の問題を示す報告書を提出する。
Duration 期間
This Emergency Directive remains in effect until CISA determines that all agencies operating affected software have performed all required actions from this Directive or the Directive is terminated through other appropriate action. この緊急指令は、影響を受けるソフトウェアを運用するすべての機関がこの指令から必要なすべての行動を実行したとCISAが判断するか、他の適切な行動によって指令が終了するまで有効である。

 

Fig1_20210731004501


● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

| | Comments (0)

2021.12.15

ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

こんにちは、丸山満彦です。

ロシアがインドネシアと国際的な情報セキュリティの協力に関する政府間協定に署名したと発表していますね。。。インドネシアは人口では世界4位ですよね。。。今のところ。。。

Совет Безопасности Российской Федерации ロシア連邦安全保障理事会

・2021.12.14 Россия и Индонезия заключили межправительственное соглашение о сотрудничестве в области обеспечения международной информационной безопасности

 

Россия и Индонезия заключили межправительственное соглашение о сотрудничестве в области обеспечения международной информационной безопасности ロシアとインドネシア、国際的な情報セキュリティの協力に関する政府間協定に署名
От имени Правительства Российской Федерации соглашение подписал Секретарь Совета Безопасности Николай Патрушев, от имени  Правительства Республики Индонезия – Министр-координатор по вопросам политики, права и безопасности Мохаммад Махфуд. ロシア連邦政府を代表してニコライ・パトルシェフ安全保障理事会事務局長が、インドネシア共和国政府を代表してモハマッド・マフド政治・法律・安全保障問題担当調整官が署名しました。
Согласно подписанному соглашению Россия и Индонезия договорились  осуществлять сотрудничество в области обеспечения международной информационной безопасности в целях поддержания международного мира, безопасности и стабильности. 署名された協定では、インドネシアとロシアは、国際的な平和、安全、安定を維持するために、国際的な情報セキュリティの分野で協力することに合意しました。
Стороны определили направления взаимодействия, включая  определение, выработку, координацию и осуществление необходимых совместных мер в области обеспечения международной информационной безопасности.  Заявлено о важности  создания системы предотвращения, мониторинга и совместного реагирования на возникающие в этой сфере угрозы.  Страны договорились об обмене информацией о противоправном использовании информационных и коммуникационных технологий, компьютерных инцидентах, вредоносном программном обеспечении, компьютерных атаках и иных способах противоправного использования ИКТ. 両者は、国際的な情報セキュリティの分野で必要な共同施策の特定、開発、調整、実施などの協力分野を定めました。 この分野の脅威に対する予防、監視、共同対応のシステムを構築することが重要であると宣言しました。 各国は、情報通信技術の違法な使用、コンピュータ・インシデント、悪意のあるソフトウェア、コンピュータ攻撃などの手法に関する情報を交換することに合意しました。
В Соглашении отмечена необходимость взаимодействия сторон по совершенствованию действующей модели управления сетью "Интернет", в том числе обеспечению равных прав государств на участие в управлении сетью "Интернет" и повышения роли Международного союза электросвязи. この協定では、インターネットのガバナンスに参加する国家の権利を平等にすることや、国際電気通信連合の役割を高めることなど、既存のインターネットガバナンスモデルを改善するために、締約国が協力する必要性が強調されています。
Россия и Индонезия договорились о  разработке и осуществлении совместных мер доверия в области использования технологий, способствующих обеспечению международной информбезопасности, о согласованной политике по защите информации,  включая защиту персональных данных, при трансграничном информационном взаимодействии. ロシアとインドネシアは、国際的な情報セキュリティの確保に貢献する技術の使用に対する信頼性、国境を越えた情報交換における個人データ保護を含む情報保護の協調政策を共同で開発し、実施することに合意した。
Кроме того, предполагается  обмен информацией о национальном законодательстве в области обеспечения информационной безопасности. さらに、情報セキュリティの分野における各国の法律についての情報交換も期待されています。
Стороны будут совместно  расследовать, отслеживать, обнаруживать, предотвращать и  пресекать угрозы, связанные с противоправным использованием ИКТ. 締約国は、ICTの違法使用に関連する脅威を共同で調査し、追跡し、検知し、防止し、抑制します。
В целях эффективной реализации положений Соглашения и установления непосредственного взаимодействия двух стран назначены  соответствующие координирующие органы, а именно: от Российской Федерации - аппарат Совета Безопасности Российской Федерации; от Республики Индонезии - Национальное агентство по кибербезопасности и криптографии Республики Индонезии. 本協定の規定を効果的に実施し、両国間の直接的な協力関係を構築するために、関連する調整機関が任命されました。すなわち、ロシア連邦からはロシア連邦安全保障理事会装置、インドネシア共和国からはインドネシア共和国国家サイバーセキュリティ・暗号庁が任命されました。

 

Fig1_20211215155601

 

| | Comments (0)

2021.12.13

Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

こんにちは、丸山満彦です。

2021年11月24日にAlibabaのクラウドセキュリティチームによってApacheに開示され、2021年12月9日に公開されたApache Log4j 2 の脆弱性の問題は、影響が大きいですよね。。。多くのソフトウェアで使われている可能性があるので、棚卸から始めなければならないでしょうね。。。で、見つかったら修正していく。。。できる範囲で。。。

利用されているソフトウェアの内容の理解というのは重要になってくるだろうなと改めて感じました。SBOMが重要なのかもしれません。。。

また、このような脆弱性情報が特定の人、組織のみに握られている状況というのも非常に良くないでしょうね。。。もちろん、攻撃の機会を与えるという意見もあるでしょうが、これから本当におそれることは、強い実行力をもった攻撃組織がその脆弱性情報を独占している状況なのかもしれません。。。

 

情報について

Logging Apache

Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0

Logo_20211213065101

 


米国

CISA

・2021.12.11 STATEMENT FROM CISA DIRECTOR EASTERLY ON “LOG4J” VULNERABILITY

NIST - ITL - NATIONAL VULNERABILITY DATABASE

・2021.12.10 CVE-2021-44228 Detail

● MITRE - CVE

CVE-2021-44228

 

中国

国家计算机网络应急技术处理协调中心 CNCERT/CC

・2021.12.10 关于Apache Log4j2存在远程代码执行漏洞的安全公告

日本

JPCERT/CC

・2021.12.11 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

Software-ISAC

・2021.12.12 Apache Log4jの任意のコード実行の脆弱性に関する緊急注意喚起 CVE-2021-44228 CVSS深刻度評価 10(最高)

(2021.12.15追記↓)

IPA

・2021.12.14 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)


 

docker Blog

・2021.12.11 Apache Log4j 2 CVE-2021-44228 by

 

piyolog

・2021.12.13 Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた



 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

| | Comments (0)

2021.12.08

自動車業界のセキュリティ PwC Japan J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

こんにちは、丸山満彦です。

このブログは、商業的と思われたくないので、営利団体の記事の紹介はあまりしてこなかったのですが、(気づいた範囲で)気になったものは紹介したいなと思いました。企業にこだわりなく。。。

ということで、、、

J-Auto-ISAC サポートセンター長 中島さんとの対談です。。。

● PwC Japan

・2021.12.07 J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

 ・日本版「Auto-ISAC」が不可欠だった理由

 ・車両サイバーセキュリティは自動車業界全体で取り組む課題

 ・MaaS事業者にもサイバーセキュリティ意識は不可欠

 ・「Bean to Bar」に学ぶトレーサビリディの重要性

 

参考になることがあればうれしいです(^^)

 

Fig1_20211208050401

 

ーーーーーー

特別対談シリーズ

・2021.08.02 慶應義塾大学土屋教授と語る「サイバー空間における国家安全保障」

・2021.05.13 経団連 梶浦氏と語る サプライチェーンセキュリティにどう取り組むか―今こそ求められるサイバーインテリジェンス

・2021.02.03 経済産業省 奥家氏が語る 「Society 5.0」時代のセキュリティリスクと対策の今【後編】

・2021.01.27 経済産業省 奥家氏が語る 「Society5.0」時代のセキュリティリスクと対策の今【前編】

・2021.01.19 電事連 大友氏に聞く、新時代の電力業界とサイバーセキュリティ【後編】

・2021.01.12 電事連 大友氏に聞く、新時代の電力業界とサイバーセキュリティ【前編】

 

カメラマンがよく、みなさんとても表情がよいですよね。。。

 

| | Comments (0)

2021.11.25

NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(暫定ドラフト)

こんにちは、丸山満彦です。

サイバーサプライチェーン (C-SCRM) ですね。。。

経済安全保障なのか、半導体分野での競争力強化なのか、コンピュータ分野における安全保障なのかよくわかりませんが、中国製品を使うな的なことを聞くことが増えてきました。しかし、中国生産の部品が使われているコンピュータの利用が安全保障的に不安というのであれば、使うなというよりも、安全に使えるようにするための基準やガイドの作成をするほうが重要な気がします。今の日本ではつくること難しいとは思いますが、米国が作成中なので、参考にしたらよいのでしょうね。。。日本製品版を作らないと日本製品はないので、米国製品使う前提となりますが、、、

すでに、1800-34A, 1800-34Bは3月、9月に初期ドラフトが公表されていますので、これで全体の初期ドラフトが揃ったことになります。。。

ちなみに、暫定ドラフト[PDF]は以下のとおりです。。。

NIST SP 1800-34A Executive Summary  エグゼクティブサマリー 
NIST SP 1800-34B Approach, Architecture, and Security Characteristics – what we built and why アプローチ、アーキテクチャ、セキュリティの特徴 - 何を作ったのか、なぜ作ったのか
NIST SP 1800-34C How-To Guides – instructions for building the example solution 利用ガイド - サンプルソリューションを構築するための手順

 

NIST - ITL

・2021.11.22 SP 1800-34 (Draft) Validating the Integrity of Computing Devices (Preliminary Draft)

Ensuring the Integrity of the Cyber Supply Chain サイバーサプライチェーンの完全性の確保
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This practice guide can benefit organizations who want to verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing and distribution process. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互に接続されたサプライチェーンのエコシステムに依存しています。組織は、意図的か否かにかかわらず、サイバー・サプライ・チェーンの危殆化のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。この実践ガイドは、コンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを確認したい企業にとって有益です。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で予期せず変更されていないことを検証する方法を示します。

 

・[PDF] SP 1800-34C (Prelim. Draft)

20211125-52654

 

1 Introduction 1 はじめに
1.1 How to Use This Guide 1.1 本ガイドの使用方法
1.1.1 Supplemental Material 1.1.1 補足資料
1.2 Build Overview 1.2 ビルドの概要
1.3 Typographic Conventions 1.3 表記規則
1.4 Logical Architecture Summary 1.4 論理的なアーキテクチャの概要
2 Product Installation Guides 2 製品インストールガイド
2.1 Supporting Systems and Infrastructure 2.1 サポートシステムとインフラ
2.1.1 Network Boot Services 2.1.1 ネットワークブートサービス
2.1.2 Platform Manifest Correlation System (PMCS) 2.1.2 プラットフォーム・マニフェスト相関図作成システム (PMCS)
2.2 Dell 2.2 デル
2.3 Eclypsium 2.3 Eclypsium
2.3.1 Download Eclypsium Agent 2.3.1 Eclypsiumエージェントのダウンロード
2.3.2 Install Eclypsium Agent for Windows 2.3.2 Windows版Eclypsiumエージェントのインストール
2.4 Host Integrity at Runtime and Start-Up (HIRS) Attestation Certificate Authority (ACA) 2.4 ランタイムおよびスタートアップ時のホスト・インテグリティ(HIRS)認証認証局(ACA)について
2.4.1 Installing the HIRS-ACA 2.4.1 HIRS-ACA のインストール
2.5 HP Inc. 2.5 株式会社HP
2.6 Hewlett Packard Enterprise (HPE) 2.6 ヒューレット・パッカード・エンタープライズ (HPE)
2.7 Intel 2.7 インテル
2.8 RSA Archer 2.8 RSAアーチャー
2.8.1 Prerequisites 2.8.1 前提条件
2.8.2 RSA Archer Installation 2.8.2 RSA Archerのインストール
2.9 Seagate 2.9 シーゲイト
2.10  Integrations 2.10 インテグレーション
2.10.1  Microsoft Endpoint Configuration Manager and Intel TSC Tooling 2.10.1 Microsoft Endpoint Configuration ManagerとIntel TSC Tooling
2.10.2  RSA Archer DataFeed Integrations 2.10.2 RSA Archer DataFeedインテグレーション
3 Operational Considerations 3 運用上の検討事項
3.1 Scenario 2: Verification of Components During Acceptance Testing 3.1 シナリオ2: 受入テストにおけるコンポーネントの検証
3.1.1 Technology Configurations 3.1.1 テクノロジーのコンフィグレーション
3.1.2 Asset Inventory and Discovery 3.1.2 資産台帳と発見
3.2 Scenario 3: Verification of Components During Use 3.2 シナリオ3:使用時のコンポーネントの検証
3.2.1 Technology Configurations 3.2.1 テクノロジーのコンフィグレーション
3.2.2 Dashboards 3.2.2 ダッシュボード
Appendix A: List of Acronyms 附属書A:頭字語リスト

 

参考

Supplemental Material:

Project homepage

・[PDF] SP 1800-34B (Prelim. Draft)

・[PDF] SP 1800-34A (Prelim. Draft)

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

 

| | Comments (0)

2021.11.19

SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

こんにちは、丸山満彦です。

NISTがパッチ管理についての2つのドラフトを公開し、意見募集をしています。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。

NIST - ITL

・2021.11.17 SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released two draft publications on enterprise patch management for public comment. Patching is a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. However, keeping software up-to-date with patches remains a problem for most organizations. National Cybersecurity Center of Excellence(NCCoE)は、組織全体のパッチ管理に関する2つのドラフト本文書を意見募集用に公開しました。パッチ適用は、コンピュータ技術の予防的保守の重要な要素であり、ビジネスを行う上でのコストであり、組織がそのミッションを達成するために必要なことです。しかし、多くの組織全体では、ソフトウェアを最新のパッチで維持することが課題となっています。
Draft NIST Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology, discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Draft SP 800-40 Revision 4 will replace SP 800-40 Revision 3, Guide to Enterprise Patch Management Technologies. ドラフト版NIST Special Publication (SP) 800-40 第4版 「組織全体のパッチ管理計画のためのガイド:技術についての予防的保守」では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を向上させるための組織全体戦略の策定を推奨しています。SP 800-40 第4版草案は、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」に代わるものです。
Draft NIST Special Publication (SP) 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways, builds upon the work in SP 800-40 Revisions 3 and 4. SP 1800-31 describes an example solution that demonstrates how tools can be used to implement the inventory and patching capabilities organizations need for routine and emergency patching situations, as well as implementing workarounds and other alternatives to patching.  NIST Special Publication (SP) 1800-31「既存ツール活用とより良い方法によるプロセスの実行」 は、SP 800-40 第3版および第4版 の作業を基に作成されています。SP 1800-31では、インベントリとパッチ機能を実装するためにツールをどのように使用できるかを示すソリューション例を紹介しています。
Abstract 概要
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance on technology, but there is often a divide between business/mission owners and security/technology management about the value of patching. This publication frames patching as a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. This publication discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Preventive maintenance through enterprise patch management helps prevent compromises, data breaches, operational disruptions, and other adverse events. 組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、およびインストールの検証を行うプロセスです。技術への依存度が高まっていることから、パッチ適用の重要性はかつてないほど高まっていますが、パッチ適用の価値については、ビジネス/ミッションオーナーとセキュリティ/技術管理者の間で意見が分かれることがよくあります。本文書では、パッチ適用を、コンピュータ技術の予防的保守の重要な要素、すなわちビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことの一部であると位置づけています。本文書では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を図るための組織全体戦略の策定を推奨しています。組織全体のパッチ管理による予防的な保守は、情報漏洩、データの流出、業務の中断、その他の有害な出来事を防ぐのに役立ちます。

・[PDF] SP 800-40 Rev. 4 (Draft) (DOI)

20211119-53112

 

Executive Summary  エグゼクティブサマリー 
Software used for computing technologies must be maintained because there are many in the world who continuously search for and exploit flaws in software. Software maintenance includes patching, which is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization.   世の中には、ソフトウェアの欠陥を探し出して悪用する輩が数多く存在するため、コンピュータ技術に使用されているソフトウェアには保守が必要です。ソフトウェアの保守には、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされているソフトウェアに対して、セキュリティや機能の問題を修正したり、新しい機能を追加したりするための変更を加える行為である「パッチ」が含まれます。組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、検証のプロセスです。 
In past perimeter-based security architectures, most software was operated on internal networks protected by several layers of network security controls. While patching was generally considered important for reducing the likelihood of compromise and was a common compliance requirement, patching was not always considered a priority. In today’s environments, patching has become more important, often rising to the level of mission criticality. As part of a zero trust approach to security, it is now recognized that the perimeter largely does not exist anymore, and most technologies are directly exposed to the internet, putting systems at significantly greater risk of compromise. This dynamic applies across all computing technologies, whether they are information technology (IT), operational technology (OT), Internet of Things (IoT), mobile, cloud, virtual machine, container, or other types of assets. Zero trust architectures emphasize business asset-specific security over just protecting a network with assets on it, so patching is vital for reducing risk to those individual assets and determining the assets’ trust status.  これまでの境界ベースのセキュリティアーキテクチャでは、ほとんどのソフトウェアは、何層ものネットワークセキュリティコントロールで保護された内部ネットワーク上で運用されていました。侵害の可能性を低減するためにはパッチの適用が重要であると一般的に考えられており、一般的なコンプライアンス要件でもありましたが、パッチの適用は必ずしも優先事項とはみなされていませんでした。今日の環境では、パッチ適用の重要性が増し、しばしばミッションクリティカルなレベルにまで達しています。セキュリティに対するゼロトラストアプローチの一環として、境界線はもはやほとんど存在せず、ほとんどの技術がインターネットに直接さらされているため、システムが危険にさらされるリスクが大幅に高まっていることが認識されています。このような状況は、IT、OT、IoT、モバイル、クラウド、仮想マシン、コンテナ、その他のタイプの資産など、あらゆるコンピューティング技術に当てはまります。ゼロトラストアーキテクチャーでは、資産が置かれたネットワークを保護するだけではなく、ビジネス資産に特化したセキュリティを重視しているため、それらの個別資産のリスクを低減し、資産の信頼状態を判断するためには、パッチの適用が不可欠です。
There is often a divide between business/mission owners and security/technology management. Business/mission owners may believe that patching negatively affects productivity, since it requires scheduled downtime for maintenance and introduces the risk of additional downtime if something goes wrong and disrupts operations. Leadership and business/mission owners should reconsider the priority of enterprise patch management in light of today’s risks. Patching should be considered a standard cost of doing business and should be rigorously followed and tracked. Just as preventive maintenance on corporate fleet vehicles can help avoid costly breakdowns, patching should be viewed as a normal and necessary part of reliably achieving the organization’s missions. If an organization needs a particular technology to support its mission, it also needs to maintain that technology throughout its life cycle – and that includes patching.  ビジネス/ミッションオーナーとセキュリティ/技術管理者の間には、しばしば溝があります。ビジネス/ミッションのオーナーは、パッチ適用は、保守のために予定されたダウンタイムを必要とし、何か問題が発生して業務に支障をきたした場合、さらにダウンタイムが発生するリスクがあるため、生産性に悪影響を与えると考えるかもしれません。リーダーシップとビジネス/ミッションのオーナーは、今日のリスクに照らし合わせて、組織全体のパッチ管理の優先順位を再考する必要があります。パッチの適用は、ビジネスを行う上での標準的なコストと考えるべきであり、厳密にフォローし、追跡する必要があります。組織全体の車両の予防的な保守がコストのかかる故障を回避するのに役立つように、パッチ適用は、組織のミッションを確実に達成するために通常必要とされるものと考えるべきです。組織がそのミッションをサポートするために特定の技術を必要とする場合、その技術のライフサイクルを通じて保守を行う必要があり、それにはパッチ適用も含まれます。
Leadership, business/mission owners, and security/technology management teams should jointly create an enterprise patch management strategy that simplifies and operationalizes patching while also improving its reduction of risk. This will strengthen organizational resiliency to active threats and minimize business and mission impacts. This publication provides recommendations for enterprise patch management planning.  リーダーシップ、ビジネス/ミッションオーナー、およびセキュリティ/技術管理チームは、パッチ適用を単純化して運用するとともに、リスクの低減を向上させる組織全体のパッチ管理戦略を共同で策定する必要があります。これにより、活発な脅威に対する組織の回復力が強化され、ビジネスやミッションへの影響が最小限に抑えられます。本文書は、組織全体のパッチ管理計画に関する推奨事項を示したものです。

 

目次

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Changes from Previous Versions 1.2 旧版からの変更点
1.3 Publication Structure 1.3 本文書の構成
2 Risk Response Approaches for Software Vulnerabilities 2 ソフトウェアの脆弱性に対するリスク対応手法
2.1 Risk Responses 2.1 リスク対応策
2.2 Software Vulnerability Management Lifecycle 2.2 ソフトウェア脆弱性管理のライフサイクル
2.3 Risk Response Execution 2.3 リスク対応の実行
2.3.1 Prepare to Deploy the Patch 2.3.1 パッチを展開するための準備
2.3.2 Deploy the Patch 2.3.2 パッチの展開
2.3.3 Verify Deployment 2.3.3 パッチの展開を確認する
2.3.4 Monitor the Deployed Patches 2.3.4 展開されたパッチの監視
3 Recommendations for Enterprise Patch Management Planning 3 組織全体のパッチ管理計画に関する推奨事項
3.1 Reduce Patching-Related Disruptions 3.1 パッチに関連した混乱の軽減
3.2 Inventory Your Software and Assets 3.2 ソフトウェアと資産の棚卸し
3.3 Define Risk Response Scenarios 3.3 リスク対応シナリオの策定
3.4 Assign Each Asset to a Maintenance Group 3.4 各資産を保守グループに割り当てる
3.5 Define Maintenance Plans for Each Maintenance Group 3.5 各保守グループの保守計画の策定
3.5.1 Maintenance Plans for Scenario 1, Routine Patching 3.5.1 シナリオ1、定期的なパッチ適用のための保守計画
3.5.2 Maintenance Plans for Scenario 2, Emergency Patching 3.5.2 シナリオ2、緊急時のパッチ適用のための保守計画
3.5.3 Maintenance Plans for Scenario 3, Emergency Workarounds 3.5.3 シナリオ3、緊急回避のための保守プラン
3.5.4 Maintenance Plans for Scenario 4, Unpatchable Assets 3.5.4 シナリオ4の保守計画(パッチ不可能な資産の場合
3.6 Choose Actionable Enterprise-Level Patching Metrics 3.6 実用的な組織全体レベルのパッチ適用指標の選択
3.7 Consider Software Maintenance in Procurement 3.7 ソフトウェア保守の調達を考慮する
References 参考文献
  Mappings to NIST Guidance and Frameworks   NISTガイダンス及びフレームワークへのマッピング
  Acronyms   頭字語

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

| | Comments (0)

より以前の記事一覧