ウイルス

2022.11.19

会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07)

こんにちは、丸山満彦です。

会計検査院が令和3年検査報告を岸田内閣総理大臣にしましたね。検査院長は、私の前職入社時の上司の森田さんです。。。

検査に重点を置く施策

  1. 社会保障
  2. 教育及び科学技術
  3. 公共事業
  4. 防衛
  5. 農林水産業
  6. 環境及びエネルギー
  7. 経済協力
  8. 中小企業
  9. 情報通信(IT)

これからは、もっとテクノロジー目線の検査(森田さんはISACA大阪支部の初期の会員ですからね)とか、サイバーセキュリティの検査も増えるとよいなと思います。。。

検査に重点を置く施策は、昨年度と同じですね。。。

 

会計検査院

・2022.11.07 最新の検査報告

  1. 令和3年度決算検査報告の概要

  2. 令和3年度決算検査報告の本文

  3. 令和3年度決算検査報告の特徴的な案件
  4. [PDF] 会計検査院長談話
  5. [YouTube] 森田会計検査院長が令和3年度決算検査報告について紹介する動画

 


1. 令和3年度決算検査報告の概要

指摘事項は、310件、455億2351万円で、うち不当事項は、265件、104億円3136万円ということのようです。。。

・[PDF] 一括ダウンロード

20221119-05523

 

  1. [PDF] 検査結果の大要

  2. [PDF] 検査の概況

  3. [PDF] 決算の確認

  4. 検査の結果
  5. [PDF] 国の財政等の状況等

 

2. 令和3年度決算検査報告の本文

[PDF] 目次

第1章 検査の概要

 第1節 [PDF] 検査活動の概況
 第2節 [PDF] 検査結果の大要

第2章 [PDF] 決算の確認

第3章 個別の検査結果

 第1節 省庁別の検査結果
 第2節 団体別の検査結果
 第3節 不当事項に係る是正措置等の検査の結果

第4章 国会及び内閣に対する報告並びに国会からの検査要請事項に関する報告等

 第1節 国会及び内閣に対する報告
 第2節 国会からの検査要請事項に関する報告
 第3節 特定検査対象に関する検査状況
 第4節 [PDF] 国民の関心の高い事項等に関する検査状況
 第5節 [PDF] 特別会計財務書類の検査

第5章 [PDF] 会計事務職員に対する検定

第6章 歳入歳出決算その他検査対象の概要

 第1節 [PDF] 検査対象別の概要
 第2節 [PDF] 国の財政等の状況

 


 

3. 令和3年度決算検査報告の特徴的な案件

 

Ⅰ 新型コロナウイルス感染症対策関係経費等に関するもの

 1 新型コロナウイルス感染症対策に関連する各種施策に係る予算の執行状況等
 2 モバイルWi-Fiルータ等の使用状況
 3 新型コロナウイルス感染症対応地方創生臨時交付金による事業の実施
 4 雇用調整助成金等及び休業支援金等の事後確認
 5 Go To トラベル事業における取消料対応費用等の支払
 6 雇用調整助成金の支給額の算定方法
 7 病床確保事業における交付金の過大交付
 8 Go To Eat キャンペーンに係る委託費の算定

Ⅱ 社会保障に関するもの

 9 障害児通所支援事業所における児童指導員等加配加算の算定

Ⅲ 国民生活の安全性の確保に関するもの

 10 社会福祉施設等に整備する非常用設備等の耐震性
 11 防雪柵の設計が適切でなかったもの

Ⅳ 情報通信(IT)に関するもの

 12 生活保護業務における情報提供ネットワークシステムを通じた情報照会の実施状況
 13 DRシステムの活用

Ⅴ 制度・事業の効果等に関するもの

 14 農林水産分野におけるTPP等関連政策大綱に基づく施策の実施状況等

Ⅵ 予算の適正な執行、会計経理の適正な処理等に関するもの

 15 子どもの健康と環境に関する全国調査(エコチル調査)における生化学検査等の業務に係る契約

Ⅶ 資産、基金等のストックに関するもの

16 特定地域中小企業特別資金事業に係る貸付金の規模

Ⅷ その他

17 大口の個人株主等の配当所得に係る確定申告の審理


 

● まるちゃんの情報セキュリティ気まぐれ日記

会計検査院, GAO, NAO等に関する記事...

・2022.11.01 英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.23 オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.17 英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

 

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.28 会計検査院 「政府情報システムに関する会計検査の結果について」

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

↑ 米国連邦政府の内部監査部門の一覧があります。

 

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

↑ 監査計画を立案する際のリスク評価に関係するのでしょうが、参考になるでしょうね。。。

 

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネットワークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

↑ CDMの話ですね。。。

 

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.30 US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

↑ 米国連邦政府の内部統制を理解する上で参考になりますね。。。

 

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

↑ GAOと会計検査院の比較表あります

 

・2011.02.20 会計検査院の権限

・2010.12.31 内部監査部門がない政府機関はマネジメントできているのか?

・2010.12.28 会計検査院 都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について

・2010.11.06 会計検査院報告 平成21年度検査報告

・2009.11.28 会計検査院報告 平成20年度検査報告

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.04.27 総務省 地方公共団体における内部統制のあり方に関する研究会最終報告書

・2008.11.22 会計検査院 平成19年度決算検査報告

・2008.04.14 総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表

・2007.11.13 会計検査院 平成18年度決算検査報告の概要

・2007.09.01 会計検査院の是正効果は1000億円以上

・2007.08.04 省庁サイバーテロ対策不十分?

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.05.29 会計検査報告書 H17 政府出資法人における内部監査等の状況について

・2007.05.28 会計検査報告書 H17 各府省等におけるコンピュータシステムに関する会計検査の結果について

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2006.09.23 日本銀行 米・英政府の内部統制

・2006.06.23 パブリックセクターの内部統制

・2006.05.16 有効性を評価し、監査するとは・・・

・2005.11.09 会計検査院 検査結果を首相に提出

・2005.08.04 参議院 会計検査院法改正案可決

・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.06.07 参議院 会計検査院にITシステムの運用に関して重点検査要請

・2005.06.01 米国会計検査院 証券取引委員会の監査結果

・2005.05.31 米国会計検査院 プライバシーに対する配慮不足とRFID使用に警告

・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

・2005.03.29 会計検査院のウェブページ

 

 

| | Comments (0)

2022.11.05

英国 ウクライナのサイバー防衛に635万ポンド(約10億円)を支援している (2022.11.01)

こんにちは、丸山満彦です。

ロシアのウクライナ侵攻に関して、サイバーディフェンスに関する英国の支援についての内容が少し公表されていますね。。。初期パッケージとして、635万ポンド(約10億円)を支援したとのことですね。。。

 

U.K. Government

・2022.11.01 UK boosts Ukraine's cyber defences with £6 million support package

UK boosts Ukraine's cyber defences with £6 million support package 英国が600万ポンドの支援策でウクライナのサイバー防衛を強化
The UK Ukraine Cyber Programme uses world-leading expertise to protect Ukraine’s critical national infrastructure and vital public services from cyber attacks. 英国ウクライナ・サイバー・プログラムは、世界有数の専門知識を活用して、ウクライナの重要な国家インフラと重要な公共サービスをサイバー攻撃から保護することを目的としている。
From: Foreign, Commonwealth & Development Office and The Rt Hon James Cleverly MP 英国外務・連邦・開発省およびジェームズ・クレバリー国会議員より
・UK’s Ukraine Cyber Programme is protecting the Ukrainian government and its critical national infrastructure from malicious cyber attacks ・英国のウクライナ・サイバー・プログラムは、ウクライナ政府とその重要な国家インフラを悪意のあるサイバー攻撃から保護している。
・partnership with industry is preventing Russian malign actors from accessing vital networks and providing forensic capabilities to the Ukrainian authorities ・産業界とのパートナーシップにより、ロシアの悪意ある行為者による重要なネットワークへのアクセスを防止し、ウクライナ当局にフォレンジック能力を提供している。
・an initial £6.35 million package was mobilised in response to an increasing tempo of Russian cyber activity in the days following the invasion of Ukraine ・ウクライナ侵攻後、ロシアのサイバー攻撃のテンポが速くなったことを受け、635万ポンドの初期パッケージを投入。
A £6.35 million support package from the UK government is protecting Ukraine’s critical national infrastructure and vital public services from cyber attacks, Foreign Secretary James Cleverly has revealed. ジェームズ・クレバリー外務大臣は、英国政府による635万ポンドの支援策が、ウクライナの重要な国家インフラと重要な公共サービスをサイバー攻撃から守っていることを明らかにした。
The UK’s Ukraine Cyber Programme was mobilised shortly after Putin’s invasion in February to protect against increased Russian cyber attacks. The programme has not been made public until now to protect its operational security. 英国のウクライナ・サイバー・プログラムは、2月のプーチン大統領の侵攻後すぐに、増加するロシアのサイバー攻撃から守るために動員された。同プログラムは、運用上の安全性を守るため、これまで公表されていなかった。
Utilising the expertise of world-leading cyber security providers, the UK’s Ukraine Cyber Programme has to date: 世界有数のサイバーセキュリティプロバイダーの専門知識を活用し、英国のウクライナ・サイバー・プログラムは現在までに次のような成果を上げている。
1. Provided incident response support to Government of Ukraine entities, protecting them against destructive cyber attacks, including malware such as Industroyer2. This is preventing malicious actors from accessing vital information relevant to the war effort. 1. ウクライナ政府機関にインシデントレスポンス支援を提供し、Industroyer2などのマルウェアを含む破壊的なサイバー攻撃から保護. これにより、悪意ある者が戦争に関連する重要な情報にアクセスするのを防いでいる。
2. Limited attacker access to vital networks and supported Ukraine to harden their critical infrastructure against future attacks. 2. 攻撃者による重要なネットワークへのアクセスを制限し、ウクライナの重要なインフラを将来の攻撃から守るための強化を支援した。
3. Delivered frontline cyber security hardware and software including: 3. 最前線のサイバーセキュリティハードウェアとソフトウェアを提供した。
・firewalls to prevent attacks taking hold ・攻撃の定着を防止するファイアウォール
・DDoS protection to ensure Ukrainian citizens can continue to access vital information, and ・ウクライナ国民が重要な情報にアクセスできるようにするためのDDoS保護機能
・forensic capabilities to enable Ukrainian analysts to fully understand system compromises ・ウクライナのアナリストがシステム侵害を完全に理解できるようにするためのフォレンジック機能
Foreign Secretary James Cleverly said: ジェームズ・クレバリー外務大臣は次のように述べている。
"Russia’s attack on Ukraine is not limited to its horrific land invasion. It has also persistently attempted to invade Ukraine’s cyberspace, threatening critical information, services and infrastructure. 「ロシアのウクライナへの攻撃は、恐ろしい陸地への侵攻にとどまりません。また、ウクライナのサイバースペースへの侵入を執拗に試み、重要な情報、サービス、インフラを脅かしている。」
"The UK’s support to Ukraine is not limited to military aid – we are drawing on Britain’s world-leading expertise to support Ukraine’s cyber defences. Together, we will ensure that the Kremlin is defeated in every sphere: on land, in the air and in cyber space. 「英国のウクライナへの支援は軍事支援にとどまらず、英国の世界有数の専門知識を活用して、ウクライナのサイバー防衛を支援している。我々は、陸、空、サイバー空間のあらゆる領域でクレムリンの敗北を確実にするために協力する。」
Lindy Cameron, Chief Executive Officer of the National Cyber Security Centre (NCSC), said: ナショナル・サイバー・セキュリティ・センター(NCSC)の最高経営責任者であるリンディ・キャメロンは、次のように述べている。
"The NCSC is proud to have played a part in supporting Ukraine’s cyber defenders. They have mounted an impressive defence against Russian aggression in cyberspace, just as they have done on the physical battlefield. 「NCSCは、ウクライナのサイバー防衛隊を支援する一翼を担えたことを誇りに思いる。彼らは、物理的な戦場で行ったように、サイバースペースでもロシアの侵略に対して素晴らしい防衛を行った。」
"The threat remains real and the UK’s support package is undoubtedly bolstering Ukraine’s defences further. 「脅威は依然として現実であり、英国の支援策がウクライナの防衛をさらに強化することは間違いない。」
Russian actors have a long history of hostile and destabilising activity against Ukraine, including: ロシアの関係者は、ウクライナに対して敵対的で不安定な活動を長く続けてきた。
・shutting off part of Ukraine’s electricity grid in December 2015, leaving 230,000 people without power for up to 6 hours ・2015年12月にウクライナの電力網の一部を遮断し、23万人が最大6時間にわたって停電に見舞われた。
・destructive cyber attacks in 2017 targeting Ukraine’s finance and energy sectors and government services, leading to knock-on effects on other European partners ・2017年、ウクライナの金融、エネルギー部門および政府サービスを標的とした破壊的なサイバー攻撃により、他の欧州パートナーに打撃を与えた。
・Kyiv metro and Odessa airport disrupted by ransomware that encrypted hard drives ・ハードディスクを暗号化するランサムウェアにより、キエフの地下鉄やオデッサの空港が機能不全に陥った。
・distributed Denial of Service (DDoS) attacks on 15 to 16 February 2022, which the UK’s National Cyber Security Centre (NCSC) judge were the work of Russia’s GRU military intelligence agency ・2022年2月15日から16日にかけて発生した分散型サービス妨害(DDoS)攻撃は、英国の国家サイバーセキュリティセンター(NCSC)がロシアの軍事情報機関GRUの仕業と判断した。
・a series of cyber attacks since the invasion, including against commercial operators such as Viasat in March which had a serious impact on access to internet and other services across both Ukraine and other parts of Europe ・侵攻後、3月にViasatなどの民間事業者を狙った一連のサイバー攻撃が発生し、ウクライナおよび欧州全域のインターネットやその他のサービスへのアクセスに深刻な影響を及ぼした。
The tempo of Russian cyber attacks against Ukraine increased significantly following its illegal invasion in February 2022, seeking to undermine Ukraine’s sovereignty and strategic advantage in the war. 2022年2月の不法侵攻後、ロシアのウクライナに対するサイバー攻撃のテンポは著しく上がり、ウクライナの主権と戦争における戦略的優位性を損なおうとするものであった。
The UK’s support is strengthening Ukraine’s cyber defences and improving collective long-term cyber resilience. 英国の支援は、ウクライナのサイバー防御を強化し、集団的な長期的サイバー弾力性を向上させている。

 

Fig1_20221105064801

 

 

| | Comments (0)

2022.10.31

ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が2022年版「ドイツにおける ITセキュリティの現状」を公表していますね。。。

分野ごとの脅威Top3

社会 経済 国家と行政
個人情報保護 ランサムウェア ランサムウェア
セキストラクション 脆弱性、オープン又は設定ミスのあるオンラインサーバー APT
インターネット上の偽店 ITサプライチェーン:依存関係とセキュリティ 脆弱性、オープン又は設定ミスのあるオンラインサーバー

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.25 BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie

BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie BSI状況報告書2022:サイバー空間における脅威の状況はかつてないほど高まっている
Im Berichtszeitraum von Juni 2021 bis Mai 2022 hat sich die bereits zuvor angespannte Lage weiter zugespitzt. 2021年6月から2022年5月までの報告期間において、すでに緊迫した状況はさらに深刻化している。
Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. 脅威が高い状況の理由は、継続的なサイバー犯罪活動、ロシアのウクライナ攻撃を背景としたサイバー攻撃、さらに多くの場合、ITおよびソフトウェア製品の品質が不十分であることである。
Bundesinnenministerin Nancy Faeser: „Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cyber-Sicherheit. Die Cyber-Sicherheitsagenda des BMI bildet die für uns wesentlichen Ziele und Maßnahmen ab. Hier wollen wir als BMI noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben. Die Modernisierung unserer Cyber-Sicherheitsarchitektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Netzen und IT-Systemen der Verwaltung, die Stärkung der Sicherheitsbehörden zur Verfolgung von Cyber-Crime sowie die Verbesserung der Abwehrfähigkeiten gegen Cyber-Angriffe sind wichtige und notwendige Schritte für eine eng verzahnte föderale Cyber-Abwehr und eine effektive und effiziente Aufstellung im Cyber-Raum.“ ナンシー・フェーザー連邦内務大臣:「ロシアのウクライナ侵略戦争以来、持続的に高まっているサイバー脅威の状況は、戦略的な再配置とサイバーセキュリティへの大規模な投資を必要としている。連邦内務省のサイバーセキュリティアジェンダは、私たちにとって必要不可欠な目標と対策の概要を示している。連邦内務省として、この立法期間中にこの分野で大きな進展を遂げ、サイバーセキュリティを新たなレベルに引き上げたいと考えている。BSIの中央オフィスへの拡張、行政のネットワークとITシステムのさらなる拡張と更新、サイバー犯罪の訴追のためのセキュリティ当局の強化、サイバー攻撃に対する防衛能力の向上など、サイバーセキュリティ・アーキテクチャの近代化は、緊密に連携した連邦サイバー防衛とサイバー空間における効果的かつ効率的な位置付けのために重要かつ必要な措置である。」
Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Im Jahr 2021 wurden über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr. ソフトウェアやハードウェア製品に存在するあらゆる脆弱性は、攻撃者にとっての潜在的な入り口であり、行政、経済、社会における情報セキュリティを脅かすものである。2021年には、ソフトウェア製品に2万件以上の脆弱性が登録された。これは、前年度比10%の増加に相当する。
Vizepräsident des BSI, Dr. Gerhard Schabhüser: „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.“ BSI副会長 ゲルハルト・シャブヒューザー博士:「サイバー空間における脅威の状況は、緊迫し、ダイナミックで多様であるため、これまでになく高まっている。デジタル化された世界では、国民の幸福度は、ITセキュリティインシデントに対する備えがどれだけできているかに、これまで以上に左右されることになる。ハッキングされないコンピュータシステム、中断されないデジタルサービス、これらはすべてデジタルネットワーク社会が機能するための基本的な貢献である。適切な対策を講じることで、脅威の状況に対抗することができるのである。サイバーセキュリティの問題には一歩も手を緩めてはいけない。」
Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen. ランサムウェア攻撃とは、身代金の強奪を目的とした企業や大学、当局に対するサイバー攻撃で、現在サイバーセクターにおける最大の脅威と考えられている。報告期間中、ドイツの自治体が攻撃を受けたランサムウェア事件が数件発生した。ドイツ史上初めて、サイバー攻撃によって被害を受けた自治体から災害宣言が出されたのである。
Cyber-Sicherheit ist ein wesentlicher Aspekt der Daseinsvorsorge und dient unmittelbar dem Schutz von Bürgerinnen und Bürger. サイバーセキュリティは、一般消費者向けのサービスには欠かせないものであり、市民の保護に直接役立つものである。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor. In diesem Jahr bewertet der Bericht auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. ドイツ連邦情報セキュリティ局(BSI)は、連邦政府のサイバーセキュリティ当局として、毎年、ドイツのITセキュリティの現状に関する報告書を発表し、サイバー空間における脅威の包括的な概要を示している。今年は、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況も評価している。
IT-Sicherheitslage spitzt sich zu ITセキュリティの状況は頭打ちになる
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。さらに、ロシアのウクライナ侵略戦争に関連して、さまざまな脅迫があった。
Russischer Angriffskrieg gegen die Ukraine ロシアによるウクライナへの侵略戦争
Bislang gab es in Deutschland in Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen. Beispiele hierfür waren der Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation und ein Hacktivismus-Angriff auf deutsche Mineralölhändler mit russischem Mutterkonzern. Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch . これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズム・キャンペーンが積み重ねられてきました。例えば、衛星通信会社が攻撃されてドイツの風力発電機の遠隔保守ができなくなったり、ロシアを親会社とするドイツの石油商社がハクティビズム攻撃を受けたりした。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫したケースもあり、危機的な状況であった。
Cyber-Erpressung bleibt eine der größten Bedrohungen サイバー恐喝は依然として最大の脅威の一つである
Ransomware blieb die Hauptbedrohung besonders für Unternehmen. Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Das nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない。前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。ランサムウェアの攻撃対象が企業だけではないことは、ザクセン=アンハルト州の行政機関が深刻な攻撃を受け、初めてサイバー攻撃による災害事態が宣言されたことからも印象的に示されている。207日間、市民に身近なサービスが利用できなかったり、限られた範囲でしか利用できなかったりした。
Zahl der Schwachstellen steigt weiter 増加し続ける脆弱性の数
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年には、ソフトウェア製品の脆弱性が前年より10%多く知られるようになった。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。13%の脆弱性が「重要」と評価された。Log4jの脆弱性もその一つで、自由に利用できるソフトウェア部品に多く見受けられたからである。 そのため、ITセキュリティ管理者は、通常、使用しているソフトウェアに脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
DDoS-Angriffe und Advanced Persistent Threats (APT) nehmen zu DDoS攻撃とAPT(Advanced Persistent Threat)が増加中
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können. 今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Auch die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigationsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 einen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. また、各ミティゲーション・サービス・プロバイダーからの報告によると、分散型サービス拒否攻撃(DDoS攻撃)の件数も増加し続けているとのことである。例えば、ドイツのサービスプロバイダーであるLink11は、2021年に前年比約41%のDDoS攻撃の増加を記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較してDDoS攻撃の件数が2倍に増加した。
Zeitenwende für "Cyber-Sicherheit made in Germany" 「ドイツにおけるサイバーセキュリティ」の転換点
Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. 国際的に事業展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての市民が毎日利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速しており、「メイド・イン・ジャーマニー」のサイバーセキュリティにも転換が必要となっている。
Denn das vergangene Jahr hat gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können und Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland haben können. All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der Cyber-Sicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. この1年で、不測の事態が脅威の状況を新たなレベルに引き上げ、近隣諸国のサイバー攻撃の巻き添えがドイツにも直接影響を及ぼすことが明らかになった。これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。ハッキングされないコンピュータシステム、中断されないITベースのサービスは、デジタルネットワーク社会が機能するための初歩的な貢献である。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央機関への拡大は、緊密に連動した連邦サイバー防衛にとって重要なステップとなる。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 beschreibt und analysiert die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet stellen wir die Angebote und Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland vor. 2022年ドイツのITセキュリティの現状について、具体的な事例やインシデントも踏まえて解説・分析したレポートである。そこから導き出された、ドイツにおけるITセキュリティ向上のためのBSIの提案とソリューションへのアプローチを紹介する。

 

  ・[PDF] Die Lage der IT-Sicherheit in Deutschland 2022

20221031-02755

 

目次...

Vorwort Nancy Faeser, Bundesministerin des Innern und für Heimat 序文 Nancy Faeser(連邦内務大臣) 内務・内政担当大臣
Vorwort Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik 序文 連邦情報セキュリティ局副局長 ゲルハルト・シャブヒューザー博士
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 概要と評価
1.2 Schadprogramme 1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten 1.2.1 新しいマルウェアの亜種
1.2.2 Ransomware 1.2.2 ランサムウェア
1.2.3 Botnetze 1.2.3 ボットネット
1.2.4 Spam und Phishing 1.2.4 スパムとフィッシング
1.2.5 Social Bots 1.2.5 ソーシャルボット
1.3 Schwachstellen 1.3 脆弱性
1.3.1 Schwachstellen in Software-Produkten 1.3.1 ソフトウェア製品における脆弱性
1.3.2 Schwachstellen in Hardware-Produkten 1.3.2 ハードウェア製品における脆弱性
1.4 Advanced Persistent Threats 1.4 アドバンスドパーシステントスレット
1.5 Distributed Denial of Service 1.5 分散型サービス拒否(Denial of Service
1.6 Angriffe im Kontext Kryptografie 1.6 暗号の文脈における攻撃
1.7 Hybride Bedrohungen 1.7 ハイブリッドの脅威
1.8 Cyber-Sicherheitslage im Kontext des russischen Angriffskrieges gegen die Ukraine 1.8 ロシアのウクライナ侵略戦争を背景としたサイバーセキュリティの状況
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
2.1 Gesellschaft 2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
2.1.2 Digitaler Verbraucherschutz 2.1.2 デジタル消費者保護
2.1.3 IT-Sicherheitskennzeichen 2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern 2.1.4 消費者への情報提供と意識啓発
2.1.5 Projekt „Dialog für Cyber-Sicherheit“ 2.1.5 「サイバーセキュリティーのための対話」プロジェクト
2.1.6 Sicherheit im Internet der Dinge, im Smart Home und in Smart Cities 2.1.6 モノのインターネット、スマートホーム、スマートシティーにおけるセキュリティ
2.1.7 Sicherheit im Gesundheitswesen 2.1.7 保健分野でのセキュリティ
2.1.8 Sichere Gestaltung virtueller Versammlungen und Abstimmungen 2.1.8 バーチャル会議と投票の安全性確保
2.1.9 Sicherheit von Bezahlverfahren 2.1.9 支払手続きのセキュリティ
2.1.10 Zwei-Faktor-Authentisierung 2.1.10 二要素認証
2.1.11 Bewertung von elektronischen Identifizierungsverfahren 2.1.11 電子的な本人確認手続きの評価
2.1.12 Sichere elektronische Identitäten auf dem Smartphone 2.1.12 スマートフォンでの電子IDの保護
2.1.13 Mediale Identitäten 2.1.13 メディア・アイデンティティ
2.1.14 Moderne Messenger für sichere Kommunikation 2.1.14 安全な通信を実現するモダンメッセンジャー
2.2 Wirtschaft 2.2 経済
2.2.1 Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 経済における脅威の状況についての所見
2.2.2 Gefährdungslage Kritischer Infrastrukturen 2.2.2 重要インフラストラクチャーの脆弱性
2.2.3 UP KRITIS 2.2.3 アップクリッツ
2.2.4 Unternehmen im Fokus der europäischen und deutschen Cyber-Sicherheits-Regulierung 2.2.4 欧州とドイツのサイバーセキュリティ規制で注目される企業
2.2.5 Besondere Situation der KMU in Deutschland 2.2.5 ドイツにおける中小企業の特殊な状況
2.2.6 Cyber-Sicherheit im Automobilbereich 2.2.6 自動車産業におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit im Luftverkehr 2.2.7 航空輸送におけるサイバーセキュリティ
2.2.8 Digitalisierung der Energiewirtschaft 2.2.8 エネルギー産業のデジタル化
2.2.9 Cyber-Sicherheit in der industriellen Versorgungskette 2.2.9 産業用サプライチェーンにおけるサイバーセキュリティ
2.2.10 Moderne Telekommunikationsinfrastrukturen (5G/6G) 2.2.10 最新の通信インフラ(5G/6G)
2.2.11 Sicherheit von Cloud-Diensten 2.2.11 クラウドサービスにおけるセキュリティ
2.2.12 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme 2.2.12 電子記録システムのための技術的セキュリティ装置
2.2.13 Überführung der Produktzertifizierung in den europäischen Rechtsakt zur Cyber-Sicherheit 2.2.13 製品認証のサイバーセキュリティに関する欧州の法律行為への移行
2.2.14 IT-Grundschutz 2.2.14 IT関連サービス
2.2.15 Allianz für Cyber-Sicherheit 2.2.15 アライアンス・フォー・サイバー・セキュリティ
2.2.16 Cyber-Sicherheitsnetzwerk 2.2.16 サイバーセキュリティネットワーク
2.2.17 Sonstige Lösungen für die Wirtschaft 2.2.17 経済に関するその他の解決策
2.3 Staat und Verwaltung 2.3 国家と行政
2.3.1 Die Gefährdungslage in der Bundesverwaltung 2.3.1 連邦政府における脅威の状況
2.3.2 Computer Emergency Response Team für Bundesbehörden 2.3.2 連邦政府機関向けコンピュータ緊急対応チーム
2.3.3 Nationales Verbindungswesen 2.3.3 国内リエゾン体制
2.3.4 Zusammenarbeit mit Ländern und Kommunen 2.3.4 州・自治体との連携
2.3.5 Cyber-Sicherheit von Landtagswahlen 2.3.5 国政選挙のサイバーセキュリティ
2.3.6 Informationssicherheitsberatung 2.3.6 情報セキュリティコンサルティング
2.3.7 Geheimschutzberatung zu VS-IT 2.3.7 VS-ITに関する秘密のセキュリティアドバイス
2.3.8 Smart Borders und hoheitliches Identitätsmanagement 2.3.8 スマートボーダーと主権者ID管理
2.3.9 Technologieverifikation in sogenannten Technologie Labs 2.3.9 いわゆる技術研究所での技術検証
2.3.10 App-Testing für mobile Lösungen 2.3.10 モバイルソリューションのアプリテスト
2.3.11 Onlinezugangsgesetz: die IT-Sicherheitsverordnung Portalverbund 2.3.11 オンラインアクセス法:ITセキュリティ規制ポータルネットワーク
2.4 Internationales 2.4 国際
2.4.1 Engagement des BSI im EU-Rahmen 2.4.1 BSI の EU 枠組みへの関与
2.4.2 Engagement des BSI in der NATO 2.4.2 BSIのNATOへの関与
2.4.3 Multilaterales und bilaterales Engagement des BSI 2.4.3 BSIの多国間および二国間エンゲージメント
2.4.4 Aufbau der National Cybersecurity Certification Authority 2.4.4 国家サイバーセキュリティ認証機関の設立
2.4.5 Nationales Koordinierungszentrum für Cyber-Sicherheit 2.4.5 ナショナル・サイバー・セキュリティ・コーディネーション・センター
2.4.6 eID: Novellierung der eIDAS-Verordnung 2.4.6 eID:eIDAS規制の改正について
2.4.7 Mindestanforderungen für die IT- und Cyber-Sicherheit von Satelliten 2.4.7 人工衛星のIT・サイバーセキュリティに関する最低要件
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit 2.5 ITセキュリティの最新動向と展開
2.5.1 Künstliche Intelligenz 2.5.1 人工知能
2.5.2 Kryptografie 2.5.2 暗号技術
2.5.3 Quantum Key Distribution 2.5.3 量子鍵配布
2.5.4 Self-Sovereign Identities und Blockchain-Technologie 2.5.4 自己主権型アイデンティティとブロックチェーン技術
3 Fazit 3 結論
Glossar 用語集
Quellenverzeichnis
出典元一覧

 

本文よりぬき...

1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus des BSI stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen. Der vorliegende Bericht zieht eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022 (Berichtszeitraum). Damit greift der Bericht aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Er bewertet auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine.  連邦情報セキュリティ局(BSI)は、サイバーセキュリティの国家機関として、ドイツのITセキュリティの脅威の状況を継続的に監視している。BSIは、企業、国家・公共機関、個人に対するサイバー攻撃だけでなく、こうした事態を防止し、対抗するための対策にも重点を置いている。本報告書は、2021 年 6 月 1 日から 2022 年 5 月 31 日までの期間(報告期間)の状況を把握したものである。このように、この報告書では、現在進行中の、そして特定の状況下では継続的なサイバー脅威を扱っている。また、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況についても評価している。
Anhand zahlreicher konkreter Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um zugleich aufzuzeigen, wie sich Menschen und Organisationen schützen können. Die Übersicht beginnt mit einer Zusammenfassung der allgemeinen Gefährdungslage und aktueller Cyber-Bedrohungen. Angriffe wirken sich nicht nur unmittelbar auf die betroffenen Menschen und Organisationen aus, sondern beeinträchtigen das Leben aller in einer digitalisierten Gesellschaft. Umso wichtiger ist es, jeden einzelnen Bereich mit seinen spezifischen Bedrohungen zu beleuchten und im weiteren Verlauf die Gegenmaßnahmen zielgruppenspezifisch darzustellen. 本報告書では、さまざまな分野の具体的な事例を数多く取り上げ、攻撃者の手口や典型的な手法を追うと同時に、人々や組織がどのようにして自らを守ることができるかを示している。概要は、まず一般的な脅威の状況や現在のサイバー脅威の概要について説明する。攻撃は、被害を受けた人や組織に直接的な影響を与えるだけでなく、デジタル化された社会に生きるすべての人の生活に影響を与えます。そのため、各領域の脅威を明確にし、さらにターゲットグループに応じた対策を提示することがより重要である。
1.1 —  Zusammenfassung und Bewertung 1.1 - 概要と評価
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Ransomware blieb die Hauptbedrohung (siehe Kapitel Ransomware, S. 13), besonders für Unternehmen. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine, zum Beispiel durch Hacktivismus, insbesondere mittels Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen), und Kollateralschäden bei Cyber-Sabotage-Angriffen  im Rahmen des Krieges. Sowohl durch Cybercrime als auch durch Cyber-Aktivitäten im Rahmen des Kriegs in der Ukraine hat es darüber hinaus im Berichtszeitraum Störungen von IT-Lieferketten gegeben. Eine Erhöhung der Resilienz gegenüber Cyber-Angriffen und technischen Störungen ist daher eine Hauptaufgabe für alle beteiligten Akteure in Staat, Wirtschaft und Gesellschaft. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない(13ページのランサムウェアの章を参照)。また、ロシアのウクライナ侵略戦争に関連して、特に分散型サービス妨害(DDoS)攻撃によるハクティビズムや、戦争に伴うサイバー妨害攻撃での巻き添えなど、さまざまな脅威があった。また、報告期間中、ウクライナ戦争を背景としたサイバー犯罪とサイバー活動の両方により、ITサプライチェーンに混乱が生じた。したがって、サイバー攻撃や技術的混乱に対するレジリエンスを高めることは、国家、経済、社会に関わるすべてのアクターにとって重要な課題である。
Russischer Angriffskrieg gegen die Ukraine: ロシアのウクライナへの侵略戦争:
Bislang gab es in Deutschland im Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und HacktivismusKampagnen (vgl. zum Beispiel Vorfall Kollateralschäden nach Angriff auf ein Unternehmen der Satellitenkommunikation, Seite 49 und Vorfall Cyber-Angriff auf deutschen Mineralölhändler, Seite 50). Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch.  これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズムキャンペーンが蓄積されてきた(例えば、衛星通信会社に対する攻撃後の巻き添え事件49ページ、ドイツ鉱油取引業者に対するサイバー攻撃事件50ページ参照)。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫し、危機的状況に陥ったケースもあった。
Erpressungsmethoden im Cyber-Raum: サイバー空間における恐喝の手口:
Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und SchweigegeldZahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Zudem kam es im aktuellen Berichtszeitraum auch immer wieder zu Erpressungen mit erbeuteten Identitätsdaten.  前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。また、今回の報告期間では、取り込んだIDデータを使った恐喝事件が繰り返された。
Es ließen sich auch wieder mehrere, teils ungewöhnlich ausgeprägte Sextortion-Kampagnen beobachten. In diesen Spam-Mails behaupten Angreifer, über kompromittierende, intime Geheimnisse des Opfers zu verfügen und drohen, diese zu veröffentlichen. Um die Veröffent lichung der vermeintlich vorhandenen kompromittierenden Informationen zu verhindern, solle das Opfer einen bestimmten Betrag in einer Kryptowährung (z. B. Bitcoin) überweisen.  また、いくつかの異常に顕著なセクストーションキャンペーンも再び観測された。これらのスパムメールの中で、攻撃者は被害者の危険な親密な秘密を持っていると主張し、それを公表すると脅す。漏洩したとされる情報の公開を防ぐために、被害者は暗号通貨(ビットコインなど)で一定額を送金することになっている。
Schwachstellen: 脆弱性:
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als besonders kritisch war die Schwachstelle in Log4j zu bewerten, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年は、前年より10%多く脆弱性が開示された。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。特にLog4jの脆弱性は、自由に利用できるソフトウェア・コンポーネントの多くで発見されたため、非常に重大な問題だった。そのため、ITセキュリティ担当者は、通常、使用しているソフトウェアにその脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
Advanced Persistent Threats (APT): 高度な持続的な脅威 (APT):
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router, zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind PerimeterSysteme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.  今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Distributed Denial of Service (DDoS): DDoS(Distributed Denial of Service):
Nach Berichten verschiedener Mitigationsdienstleister hat die Zahl der DDoS-Angriffe weiter zugenommen. So verzeichnete etwa der deutsche Mitigationsdienstleister Link11 für das Jahr 2021 einen Anstieg der DDoSAngriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche OnlineshoppingEvent Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. 各種ミティゲーション・サービス・プロバイダーからの報告によると、DDoS攻撃は増加の一途をたどっているとのことである。例えば、ドイツのミティゲーションサービスプロバイダーであるLink11は、2021年のDDoS攻撃が前年比で約41%増加したことを記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較して、DDoS攻撃の件数が倍増している。
... ...
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und gestaltet die sichere Digitalisierung in Deutschland – gemeinsam mit den Bürgerinnen und Bürgern, der Wirtschaft sowie mit Staat und Verwaltung und internationalen Gremien. Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen, unter anderem mit der Verankerung des digitalen Verbraucherschutzes im BSI. Damit unterstützt das BSI Verbraucherinnen und Verbraucher in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten. BSIは連邦政府のサイバーセキュリティ当局であり、市民、ビジネスコミュニティ、さらには国や行政、国際機関とともに、ドイツにおける安全なデジタル化を形成している。ITセキュリティ法2.0の発効により、BSIの任務は、デジタル消費者保護をBSIに定着させるなど、デジタル化の進展に伴う課題に対応するために拡大された。このように、BSIは、技術、製品、サービス、メディアのリスク評価において消費者をサポートしている。
2.1 — Gesellschaft  2.1 - 社会 
Die Digitalisierung spielt heutzutage in eine Vielzahl von Bereichen unserer Gesellschaft mit hinein – von der Nutzung verschiedenster Online-Dienste über das Gesundheitswesen bis hin zu Abstimmungen und Wahlen. Informationssicherheit ist für all das eine notwendige Voraussetzung. Das BSI arbeitet kontinuierlich daran, die Informationssicherheit in allen Bereichen unseres Lebens zu verbessern, damit die Bürgerinnen und Bürger ihre persönlichen Daten gut aufgehoben sehen, IT sicher anwenden und sich vertrauensvoll in der vernetzten Welt bewegen können. Dafür bündelt das BSI sein umfangreiches Know-how in den Bereichen Prävention, Detektion und Reaktion und leitet daraus konkrete Informationsangebote für gesellschaftliche Gruppen, aber auch für die einzelnen Bürgerinnen und Bürger ab. Im Berichtszeitraum hat sich das BSI dafür unter anderem mit Fragen rund um die Sicherheit vernetzter medizinischer Produkte, elektronischer Identitätsverfahren und den Möglichkeiten virtueller Versammlungen und Abstimmungen auseinandergesetzt. 現在、デジタル化は、多種多様なオンラインサービスの利用、ヘルスケア、投票や選挙など、社会の多くの分野で役割を担っている。そのためには、情報セキュリティが必須条件となる。BSIは、市民が個人情報を安心して預けられ、ITを安全に利用し、ネットワーク社会で自信を持って行動できるよう、生活のあらゆる場面で情報セキュリティを向上させるための活動を続けている。この目的のために、BSIは予防、検出、対応の分野における幅広いノウハウを蓄積し、そこから社会グループだけでなく、個々の市民に対しても具体的な情報を提供している。報告期間中、BSIは、ネットワークに接続された医療製品のセキュリティ、電子ID手続き、仮想会議と投票の可能性などの問題に取り組んだ。
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
Das BSI und das Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) kooperieren, um Verbraucherinnen und Verbraucher umfassend über Schutzmöglichkeiten und die Risiken im Internet aufzuklären. Grundlage dieser Arbeit ist das Digitalbarometer, eine gemeinsame, repräsentative und seit 2019 jährlich durchgeführte Online-Befragung. Es wird erhoben, welche Bedeutung Sicherheit im Internet für Verbraucherinnen und Verbraucher hat, inwiefern sie sich vor den Gefahren der digitalen Welt schützen und wie sie sich über Schwachstellen, Risiken und Schutzmaßnahmen informieren. BSIと連邦州警察の犯罪防止プログラム(ProPK)が協力し、インターネットにおける保護の可能性とリスクについて消費者を総合的に教育している。その根拠となるのが、2019年から毎年実施している代表的なオンライン共同調査「デジタルバロメーター」である。消費者にとってのインターネット上のセキュリティの重要性、デジタル世界の危険からどの程度身を守っているか、脆弱性、リスク、防御策についてどのように情報を提供しているかなどを調査している。
Kriminalität im Internet leicht gestiegen – mehr als jeder Vierte ist Opfer インターネット上の犯罪がやや増加 - 4人に1人以上が被害者に
Die generelle Betroffenheit von Verbraucherinnen und Verbrauchern ist im Vergleich zu den vergangenen drei Jahren zuletzt leicht angestiegen: 29 Prozent der Befragten gaben an, bereits Opfer von Kriminalität im Internet gewesen zu sein. In den vergangenen Jahren waren es noch 25 Prozent. Dabei ist jeweils einem Viertel der Befragten vor allem Betrug beim Onlineshopping (25 %), ein Fremdzugriff auf ein Online-Konto (25 %) und/oder eine Infektion mit Schadsoftware (24 %) widerfahren. Im Gegensatz zum Betrug beim Onlineshopping (2021: 19 %) sind die Zahlen zur Betroffenheit vom Fremdzugriff auf ein Online-Konto (2021: 31 %) oder einer Infektion mit Schadsoftware (2021: 29 %) im Vergleich zum Vorjahr rückläufig. Von Phishing waren nur noch 19 Prozent der Befragten betroffen – im Vorjahr galt das noch für ein Viertel (25 %). 消費者の一般的な懸念は、最近、過去3年間と比較してわずかに増加している。調査対象者の29%が、すでにインターネット上で犯罪の被害に遭ったと回答している。過去数年間は、まだ25%だった。いずれの場合も、回答者の4分の1が、オンラインショッピングでの詐欺(25%)、オンラインアカウントへの第三者によるアクセス(25%)、マルウェアへの感染(24%)を経験していることがわかった。オンラインショッピング詐欺(2021年:19%)とは対照的に、オンラインアカウントへの第三者によるアクセス(2021年:31%)やマルウェアへの感染(2021年:29%)の被害を受けたという数値は前年より減少している。フィッシングの被害に遭った回答者はわずか19%だった。前年度も4分の1(25%)の回答者がそうだった。
Die Anwendung von Schutzmaßnahmen durch Verbraucherinnen und Verbraucher bleibt weiterhin ausbaufähig. Die Nutzung von Antivirenprogrammen (53 %), sicheren Passwörtern (52 %) und einer aktuellen Firewall (44 %) ist in der Bevölkerung verbreitet. Lediglich ein Drittel (34 %) der Befragten gab an, automatische Updates zu nutzen. Die Aktivierung einer 2FA nutzten nur 38 Prozent der Befragten. 消費者による保護手段の利用は、依然として拡大可能である。ウイルス対策ソフト(53%)、安全なパスワード(52%)、最新のファイアウォール(44%)の使用は、国民の間に広く浸透している。自動更新を利用していると回答したのは3分の1(34%)に過ぎない。2FAの有効化は、38%の回答者しか利用していない。
Umgang mit Sicherheitsempfehlungen セキュリティ勧告への対応
Zwei von fünf Befragten kennen Sicherheitsempfehlungen zum Schutz vor Kriminalität im Internet (45 %). Von diesen gab wiederum über die Hälfte (58 %) an, diese Empfehlungen zum Teil umzusetzen. 22 Prozent setzen sie vollständig um, nur vier Prozent gar nicht. Über die Hälfte der Befragten (51 %) informiert sich über Internetsicherheit, gut ein Fünftel (23 %) nie. Besonders wichtig ist den Befragten die Sicherheit beim Onlinebanking (83 %), beim Installieren von Software (70 %) und beim Onlineshopping (62 %). 回答者の5人に2人は、インターネット上の犯罪から身を守るためのセキュリティに関する推奨事項を知っている(45%)。このうち、半数以上(58%)が、これらの提言を部分的に実施していると回答している。完全に実施しているのは22%、全く実施していないのはわずか4%である。半数以上(51%)の回答者がインターネットの安全性について自分自身に知らせているが、5分の1(23%)は全くしていない。オンラインバンキング(83%)、ソフトウェアのインストール(70%)、オンラインショッピング(62%)の際に、セキュリティは回答者にとって特に重要な要素となっている。
Wunsch nach Orientierung für den Notfall 緊急時の案内を希望する
Die Opfer von Kriminalität im Internet gaben meist an, sich selbst geholfen zu haben. Das entspricht ihrem Bedarf nach Informationen: Die meisten wünschen sich eine Checkliste für den Notfall als Hilfestellung, gefolgt von einer Webseite mit Erklärvideos und einem Berater oder einer Beraterin bei der Polizei. Insgesamt wünschte sich über die Hälfte mehr Informationen zu Themen rund um Sicherheit im Internet, insbesondere Hinweise, wie sich Kriminalität im Internet erkennen lässt, und Informationen, wie sich Online-Konten schützen lassen. インターネット上の犯罪被害者は、ほとんどが「自分が助かった」と答えている。これは、情報に対するニーズと一致する。緊急時のチェックリストに続いて、説明ビデオを掲載したウェブサイト、警察署でのアドバイザーやカウンセラーの配置を希望する人が多いようである。全体として、半数以上がインターネット上の安全に関するトピック、特にインターネット上の犯罪を見分ける方法やオンラインアカウントを保護する方法に関する情報をもっと知りたいと考えているようである。
... ...
2.2 — Wirtschaft 2.2 - 経済
Die Erfolge bei der Digitalisierung entscheiden im hohen Maße über die Zukunft des Wirtschaftsstandortes Deutschland. Eine funktionierende und sichere IT schafft dafür die wesentlichen Voraussetzungen – sei es für das Betreiben Kritischer Infrastrukturen (KRITIS) oder die erfolgreiche Transformation der Geschäftsmodelle von kleinen und mittleren Unternehmen (KMU). Daher unterstützt das BSI mit zahlreichen Angeboten die Resilienz des Cyber-Standortes Deutschland sowie KRITIS-Betreiber bei der Umsetzung von Präventionsmaßnahmen gegen Cyber-Attacken. KMU profitieren vom fachlichen Austausch sowie von praxisorientierten IT-Sicherheitsempfehlungen. Mit der Allianz für CyberSicherheit wiederum stärkt das BSI die Widerstandsfähigkeit des Standorts Deutschland. Für mehr Informationssicherheit neuer Technologien gestaltet das BSI u. a. praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen. Auch als zentrale Zertifizierungs- und Standardisierungsstelle übernimmt das BSI Verantwortung und leistet obendrein einen wesentlichen Beitrag zum Gelingen großer Digitalisierungsprojekte. デジタル化の成功は、ビジネス拠点としてのドイツの将来にとって極めて重要である。重要なインフラの運用や、中小企業のビジネスモデルの転換を成功させるためにも、機能的で安全なITは必要不可欠な条件となるのであり、重要インフラ(KRITIS)の運用や、中小企業のビジネスモデルの転換を成功させるためである。このため、BSIは、サイバー攻撃への予防策を実施するKRITISオペレーターと同様に、サイバー拠点としてのドイツの強靭性を多くのオファーでサポートしている。中小企業にとっては、専門家同士の交流や実践に即したITセキュリティの提言が得られるというメリットがある。BSIは、サイバーセキュリティのためのアライアンスとともに、ビジネス拠点としてのドイツのレジリエンスを強化している。BSIは、新技術の情報セキュリティのために、特に実践的なセキュリティ要件、基準、行動勧告を設計している。BSIは、中央の認証・標準化機関としての責任も担っており、その上で、大規模なデジタル化プロジェクトの成功に大きく寄与しているのである。
2.2.1 — Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 - 経済における脅威の状況についての所見
Die Wirtschaft war auch in diesem Berichtszeitraum erneut einer großen Anzahl von Cyber-Angriffen ausgesetzt, von denen der Großteil wiederum durch Ransomware geprägt war (vgl. Kapitel Ransomware, Seite 13). この報告期間中、経済は再び多くのサイバー攻撃にさらされ、その大半は再びランサムウェアによって特徴づけられた(13ページの「ランサムウェア」の章を参照)。
Zentrale Herausforderung für die Unternehmen in Deutschland ist die Steigerung der Cyber-Resilienz, d. h. die Kombination aus guter Präventionsarbeit mit der Möglichkeit, auf Cyber-Angriffe zu reagieren mit dem Ziel, den Betrieb des Unternehmens aufrechtzuerhalten und zu sichern. Das BSI beobachtet eine starke Zunahme der Nachfrage nach den Unterstützungsangeboten – von den Standards zur Cyber-Sicherheit bis hin zu Austausch- und Unterstützungsformaten wie der Allianz für Cyber-Sicherheit. Für die CyberSicherheitslage in Deutschland ist die Verfassung der IT-Sicherheit in der Wirtschaft essenziell, sodass eine Intensivierung der Bemühungen der Unternehmen in diesem Bereich für die Verbesserung der CyberSicherheit von großer Bedeutung ist. ドイツにおける企業の中心的な課題は、サイバー耐性を高めること、すなわち、企業活動の維持と安全を目的として、優れた予防業務とサイバー攻撃への対応能力を組み合わせることである。BSIは、サイバーセキュリティの標準から、サイバーセキュリティのためのアライアンスなどの交流・支援形式に至るまで、支援サービスに対する強い需要の増加を確認している。ドイツのサイバーセキュリティの状況には、企業部門のITセキュリティの状況が不可欠であり、この分野での企業の取り組みを強化することは、サイバーセキュリティの向上にとって非常に重要なことである。
... ...
2.3 — Staat und Verwaltung  2.3 - 国家と行政 
Eine Kernaufgabe des BSI ist die Abwehr von CyberAngriffen auf Regierungsnetze und die Bundesverwaltung. Für Behörden bei Bund, Ländern und Kommunen stellt das BSI ein breites Angebot zur Erhöhung der Informationssicherheit zur Verfügung: Die Basis bilden die Informationssicherheitsberatung, IT-Grundschutz und Mindeststandards sowie Zertifizierung und Zulassung. Bei IT-Sicherheitsvorfällen unterstützen CERT-Bund, mobile Einsatzteams (MIRT) oder das Nationale Cyber-Abwehrzentrum betroffene Behörden. Zentraler Ansprechpartner für Länder und Kommunen ist das nationale Verbindungswesen des BSI. Verbindungsstellen befinden sich in Hamburg, Berlin, Bonn, Wiesbaden und Stuttgart. BSIの中核的な任務のひとつは、政府ネットワークや連邦行政に対するサイバー攻撃から身を守ることである。BSIは、連邦、州、地方当局の情報セキュリティを高めるために幅広いサービスを提供している。情報セキュリティコンサルティング、IT-Grundschutz、最低基準、認証・認定がその基盤となっている。ITセキュリティ事件が発生した場合、CERT-Bund、モバイル事件対応チーム(MIRT)、国家サイバー防衛センターが影響を受ける当局を支援する。BSIの国内リエゾンオフィスは、レンダーや自治体との連絡の中心的な役割を担っている。リエゾンオフィスは、ハンブルク、ベルリン、ボン、ヴィースバーデン、シュトゥットガルトにある。
2.3.1 — Die Gefährdungslage in der Bundesverwaltung  2.3.1 - 連邦政府における脅威の状況 
Die Regierungsnetze sind tagtäglich Angriffen aus dem Internet ausgesetzt. Neben überwiegend ungezielten Massenangriffen finden sich hierbei auch gezielte Angriffe auf die Bundesverwaltung. Das BSI setzt verschiedene, sich gegenseitig ergänzende Maßnahmen zum Schutz der Regierungsnetze vor diesen Angriffen ein. 政府機関のネットワークは、日常的にインターネットからの攻撃にさらされている。標的を絞らない集団攻撃が主であることに加え、連邦政府を標的とした攻撃もある。BSIは、これらの攻撃から政府ネットワークを保護するために、相互に補完し合うさまざまな手段を用いている。
Eine präventive Komponente stellen Webfilter dar, die den Zugriff auf Webseiten oder die Verbindung zu Webservern blockieren, die mit Schadprogrammen im Zusammenhang stehen. Dadurch wird zum Beispiel der Zugriff auf hinter Download-Links versteckte Schadprogramme, die im Rahmen von Social-EngineeringAngriffen über E-Mail, Social-Media oder Webseiten verbreitet werden, verhindert. Auch die Kommunikation von Schadsoftware mit den entsprechenden Webservern, zum Beispiel zum Nachladen von weiteren Komponenten oder Befehlen, wird unterbunden. Im aktuellen Berichtszeitraum mussten rund 78.000 maliziöse Webseiten zusätzlich gesperrt werden. Während die Anzahl der monatlich gesperrten Webseiten von Juni 2021 bis Februar 2022 relativ stabil blieb, hat sich die Bedrohungseinschätzung im März 2022 vor dem Hintergrund des russischen Angriffskrieges gegen die Ukraine deutlich verändert, sodass spürbar mehr maliziöse Webseiten für den Zugriff aus der Bundesverwaltung gesperrt werden mussten. Der Index sprang binnen Monatsfrist um 158 Prozent auf 353 Punkte (vgl. Abbildung 28) – der höchste Wert seit Beginn der Aufzeichnungen. 予防的な要素としては、マルウェアに関連するウェブサイトへのアクセスやウェブサーバーへの接続をブロックするウェブフィルタがある。これにより、例えば、ソーシャルエンジニアリング攻撃の一環として電子メール、ソーシャルメディア、Webサイトを通じて拡散されるダウンロードリンクの背後に隠されたマルウェアへのアクセスを防止することができる。また、マルウェアが対応するウェブサーバーと通信し、さらなるコンポーネントやコマンドを再ロードすることも防いでいる。今回の報告では、約78,000の悪質なウェブサイトを追加でブロックする必要があった。2021年6月から2022年2月まで、毎月ブロックされるウェブサイトの数は比較的安定していたが、2022年3月にロシアのウクライナ侵略戦争を背景に脅威評価が大きく変化し、連邦政府からのアクセスをブロックしなければならない悪質なウェブサイトが顕著に増えた。この指数は1ヶ月で158%も上昇し353ポイントとなり(図28参照)、記録開始以来最も高い値となった。
Direkt in E-Mail-Anhängen versendete Schadprogramme werden mittels automatisierter AntivirusSchutzmaßnahmen erkannt und die Zustellung zum Empfänger gestoppt. Dies betraf im Berichtszeitraum durchschnittlich 34.000 E-Mails pro Monat. Nach einer sehr starken Angriffswelle im vorangegangenen Berichtszeitraum und der Abschaltung der EmotetInfrastruktur Ende Januar 2021 zeigt der „Index über Schadprogramm-Angriffe auf die Bundesverwaltung“ zunächst eine Normalisierung des Niveaus. Im März 2022 markiert sodann ein deutlicher Ausschlag des Indikators den sprunghaften Anstieg von Emotet-Spam (vgl. Abbildung 29). In dem Botnetz waren bereits seit Herbst 2021 wieder Aktivitäten zu beobachten, die sich seit März 2022 spürbar verstärkten. メールの添付ファイルで直接送られたマルウェアは、自動的なウイルス対策手段によって検知され、受信者への配信が停止される。この結果、報告期間中、月平均34,000通の電子メールに影響があった。前報告期間に非常に強い攻撃の波があり、2021年1月末にEmotetのインフラが停止した後、「連邦行政に対するマルウェア攻撃の指標」は当初、水準の正常化を示していた。そして、2022年3月には、指標に明確なスパイクが発生し、Emotetスパムの急増を示する(図29参照)。ボットネットでの活動は、2021年秋から既に再確認されていたが、2022年3月以降、顕著に増加した。
Rund 5.200 E-Mails pro Monat wurden ausschließlich auf Basis von eigens durch das BSI erstellter AntivirusSignaturen als schädlich identifiziert. Insbesondere um gezielte Angriffe auf die Bundesverwaltung erkennen zu können, betreibt das BSI zusätzlich zu den bereits beschriebenen Maßnahmen nachgelagert ein System zur Detektion von Schadprogrammen im Datenverkehr der Regierungsnetze. Mit einer Kombination von automatisierten Testverfahren und manueller Analyse konnten die Analystinnen und Analysten des BSI durchschnittlich weitere knapp 2.500 Angriffe pro Monat identifizieren, die weder durch eine kommerzielle noch durch eine der oben genannten automatisierten Lösungen erkannt wurden. 毎月約5,200通のメールが、BSIが作成したアンチウイルスのシグネチャーに基づいて悪意あるメールと判定された。BSIでは、特に連邦政府を標的とした攻撃を検知できるよう、前述の対策に加え、下流の政府ネットワークのデータトラフィックからマルウェアを検知するシステムを運用している。BSIのアナリストは、自動テスト手順と手動分析を組み合わせることで、市販のソリューションでも上記の自動ソリューションでも検出できなかった、月平均約2,500件の攻撃を特定することに成功した。
Ergänzend wird die Sicherheit der Regierungsnetze mit einem zentralen Schutz vor Spam-E-Mails erhöht. Diese Maßnahme wirkt nicht nur gegen unerwünschte Werbe-E-Mails. Auch Cyber-Angriffe wie Phishing-EMails werden damit erkannt. また、スパムメール対策も一元化し、官公庁のネットワークの安全性を高めている。この対策は、迷惑な商用メールに対してのみ有効なわけではない。また、フィッシングメールなどのサイバー攻撃も検知することができる。
Die Spam-Quote, also der Anteil unerwünschter E-Mails an allen eingegangenen E-Mails, lag im Berichtszeitraum bei durchschnittlich 58 Prozent. Aufkommen und Entwicklung der Spam-E-Mails in den Netzen des Bundes werden durch den Spam-Mail-Index gemessen. Dieser erreichte im Berichtszeitraum durchschnittlich 111 Punkte. Im vergangenen Berichtszeitraum hatte der Indikator noch bei 114 Punkten gelegen. Dabei waren teils erhebliche Schwankungen zu verzeichnen. Während das Spam-Aufkommen im Spätsommer und Herbst 2021 auf unterdurchschnittlichem Niveau lag, sprangen die Index-Werte im Dezember 2021 und insbesondere im Februar 2022 deutlich nach oben. スパム率(受信した全メールのうち迷惑メールが占める割合)は、報告期間中平均58%だった。連邦政府のネットワークにおけるスパムメールの発生・発展状況を、スパムメール指数で測定している。この結果、当四半期の平均は 111 ポイントとなった。前回の報告期間では、この指標は114ポイントだった。かなり変動があるケースもあった。2021年晩夏から秋にかけてスパムの量が平均を下回る中、2021年12月、特に2022年2月に指数値が大きく跳ね上がった。
Im Dezember 2021 trieb eine Sextortion-Kampagne im Anschluss an die Onlineshopping-Events Black Friday und Cyber Monday die Werte nach oben (vgl. auch Kapitel Spam und Phishing, Seite 26). Die Spam-Filter der Bundesverwaltung wehren solche Spam-Wellen zuverlässig ab, sodass sie die adressierten Nutzerinnen und Nutzer nicht erreichen. 2021年12月には、オンラインショッピングのイベント「ブラックフライデー」と「サイバーマンデー」に伴うセクスチューションキャンペーンが値を押し上げた(26ページ「スパムとフィッシング」の章も参照)。連邦政府のスパムフィルターは、このようなスパムの波を確実にかわし、宛先のユーザーに届くことはない。
... ...
3 Fazit 3 まとめ
Neue Dimension bei Schwachstellen 新たな次元の脆弱性
Die Lage bei Schwachstellen war im Berichtszeitraum überdurchschnittlich bedrohlich. Das lag einerseits daran, dass mit Schwachstellen in MS Exchange und Log4j besonders kritische Schwachstellen in weitverbreiteten Produkten auftraten und nur zögerlich geschlossen werden konnten. Insbesondere bei Log4Shell herrschte eine langanhaltende Unsicherheit, wie viele IT-Produkte tatsächlich betroffen waren und wie das Problem umfänglich behoben werden konnte. Zum anderen hat aber auch die Anzahl der bekannt gewordenen Schwachstellen insgesamt weiter zugenommen. So verzeichnete das CVSS-Scoring-System im Jahr 2021 mit 20.174 Schwachstellen in Software-Produkten rund 10 Prozent mehr als im Jahr zuvor. Das spiegelt sich auch in den im Jahr 2021 vom Warn- und Informationsdienst des BSI veröffentlichten Meldungen über Schwachstellen in den 150 gängigsten Produkten. Mit 6.910 stieg die Anzahl um rund zehn Prozent im Vergleich zum Vorjahr. 報告期間中の脆弱性の状況は平均以上であった。一方では、MS ExchangeやLog4jの脆弱性など、特に重大な脆弱性が広く普及している製品で発生し、躊躇しているうちに終結してしまったことが原因である。特にLog4Shellの場合、実際にどれだけのIT製品が影響を受け、どのようにすれば問題を包括的に解決できるのか、不明な点が長く続いた。一方、判明した脆弱性の件数も、全体として増加傾向が続いている。例えば、CVSSスコアリングシステムは、2021年にソフトウェア製品に20,174件の脆弱性を記録し、前年より約10%増加した。これは、BSIのWarning and Information Serviceが2021年に発表した、最も一般的な150製品の脆弱性に関する報告書にも反映されている。6,910となり、前年度比で約10%増加した。
Im zweiten Halbjahr 2021 kam es zudem zu herausragenden Supply-Chain-Angriffen über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers, die auch in Deutschland vielfach verwendet wird und deshalb zahlreiche Kundinnen und Kunden betraf. VSA wird beispielsweise zur Fernwartung und zum Monitoring von IT-Systemen eingesetzt. Schwachstellen in VSA sind deshalb besonders kritisch, weil sich über den Verwaltungsserver von VSA auf jeden verwalteten Client zugreifen und auch Software verteilen lässt. Das BSI hat deshalb am 4. Juli 2021 eine Cyber-Sicherheitswarnung herausgegeben, die anschließend regelmäßig aktualisiert wurde. Das BSI beobachtete die Betroffenheit deutscher Organisationen intensiv, beriet Betroffene zu IT-forensischen Maßnahmen und übermittelte Erste-Hilfe-Dokumente. 2021年後半には、アメリカのソフトウェアメーカーのVSA(Virtual System Administrator)ソフトウェアを介したサプライチェーン攻撃も顕著で、このソフトウェアはドイツでも広く使われているため、多数の顧客に影響が及んだ。VSAは、ITシステムの遠隔保守・監視などに利用されている。特にVSAの脆弱性は、VSAの管理サーバーを経由して、すべての管理対象クライアントにアクセスし、ソフトウェアを配布することができるため、非常に重要である。そこでBSIは、2021年7月4日にサイバーセキュリティ警告を発し、その後、定期的に更新している。BSIは、ドイツの組織がどのような影響を受けたかを集中的に監視し、影響を受けた組織にITフォレンジック対策をアドバイスし、応急処置の文書を提供した。
Zeitenwende für Cyber-Sicherheit made in Germany ドイツ製サイバーセキュリティの転機
Schon vor dem Digitalisierungsschub, den die CoronaPandemie verstärkt hat, und vor der neuen Bedrohungslage in Folge des russischen Angriffskrieges auf die Ukraine, war Cyber-Sicherheit ein wesentlicher Erfolgsfaktor für eine zunehmend digital vernetzte Gesellschaft und Wirtschaft. Doch die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der Cyber-Sicherheit made in Germany eine Zeitenwende notwendig. コロナ・パンデミックが激化したデジタル化の波や、ロシアのウクライナ侵略戦争による新たな脅威の状況以前から、サイバーセキュリティはデジタルネットワーク化が進む社会・経済にとって必須の成功要因であった。しかし、国際的に事業を展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての国民が毎日日常的に利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速していることもあり、ドイツ製のサイバーセキュリティには転換が必要となっている。
Das Wohlergehen der Bevölkerung hängt stärker als je zuvor unmittelbar und in großem Umfang davon ab, wie erfolgreich es gelingt, die digitale Resilienz der Gesellschaft zu stärken. Und das bedeutet nicht nur Resilienz gegen Angriffe von Cyber-Kriminellen, gegen Soft- und Hardware-Ausfälle oder Konfigurationsfehler, die die Verfügbarkeit von gewohnten und alltäglichen Dienstleistungen gefährden können. Das vergangene Jahr hat auch gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können, dass Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland und Europa haben können. これまで以上に、国民の幸福度は、社会のデジタル・レジリエンスをいかに強化するかに直接かつ大きく依存している。これは、サイバー犯罪者による攻撃や、ソフトウェアやハードウェアの障害、設定ミスなど、身近なサービスの可用性を損なうことに対するレジリエンス(回復力)だけを意味するのではない。また、この1年は、不測の事態が脅威の状況を新たなレベルに引き上げること、近隣諸国におけるサイバー攻撃の巻き添えがドイツやヨーロッパにも直接影響を及ぼす可能性があることを示しめした。
All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der CyberSicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. Denn nur eine intensive, dauerhafte und fortgesetzte Zusammenarbeit zwischen Bund und Ländern ermöglicht es, den Gefahren im „grenzenlosen Cyberraum“ eine effektive Antwort entgegen zu setzen. Das BSI wird seinen Beitrag weiter und schnell erhöhen und wirkungsvolle Prävention gegen IT-Sicherheitsvorfälle vorantreiben. Denn jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央オフィスへの拡大は、緊密に連動した連邦サイバー防衛のための重要なステップとなるものである。連邦政府とレンダーが集中的、持続的に協力してこそ、「国境のないサイバースペース」の脅威に効果的に対処することができる。BSIは、ITセキュリティインシデントに対する効果的な予防策を推進し、さらに急速に貢献度を高めていく。なぜなら、ハッキングされないコンピュータシステム、中断されないITベースのサービスはすべて、デジタル・ネットワーク社会が機能するための基本的な貢献だからである。

 

| | Comments (0)

2022.10.18

英国 NCSC ガイダンス サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)

こんにちは、丸山満彦です。

英国のサイバーセキュリティセンターが、サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法というガイダンスを公表していました。。。

2020年に公開された NCSCのサプライチェーンの原則 (NCSC’s Supply Chain Principles) を補足するガイダンスという位置付けのようです。。。

National Cyber Security Centre (NCSC)

発表...

・2022.10.12 (news) NCSC issues fresh guidance following recent rise in supply chain cyber attacks

NCSC issues fresh guidance following recent rise in supply chain cyber attacks NCSC、最近のサプライチェーンにおけるサイバー攻撃の増加を受け、新たなガイダンスを発表
Guidance to help organisations assess the cyber security of their suppliers. 組織がサプライヤーのサイバーセキュリティを評価するためのガイダンス
・New cyber security guidance issued in response to growing trend in supply chain attacks ・サプライチェーンへの攻撃の増加傾向を受け、新たなサイバーセキュリティ・ガイダンスを発行
・GCHQ’s National Cyber Security Centre advises organisations to work with suppliers to identify weaknesses and boost resilience ・GCHQのナショナル・サイバー・セキュリティ・センターが、サプライヤーと協力して弱点を特定し、レジリエンスを高めるよう組織に助言
・Businesses urged to take action as just over 1 in 10 review the risks posed by immediate suppliers ・10社に1社の割合で、サプライヤーのリスクを見直すことが求められている。
CYBER security experts have issued a fresh warning over the threat of supply chain attacks following a rise in the number of incidents. サイバーセキュリティの専門家は、インシデント数の増加を受けて、サプライチェーン攻撃の脅威について新たな警告を発しました。
The National Cyber Security Centre (NCSC) – a part of GCHQ – has today (Wednesday) published new guidance to help organisations effectively assess and gain confidence in the cyber security of their supply chains. GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、本日(水曜日)、組織がサプライチェーンのサイバーセキュリティを効果的に評価し、信頼を得られるようにするための新しいガイダンスを発表しました。
It follows a significant increase in cyber attacks resulting from vulnerabilities within supply chains in recent years, including some high-profile incidents such as the SolarWinds attack. これは、近年、サプライチェーンの脆弱性に起因するサイバー攻撃が大幅に増加していることを受けたもので、SolarWinds社の攻撃のような有名な事件も含まれている。
The new guidance is designed to help medium and larger organisations effectively assess the cyber risks of working with suppliers and gain assurance that mitigations are in place. この新しいガイダンスは、中規模以上の組織が、サプライヤーとの協働によるサイバーリスクを効果的に評価し、緩和策が実施されていることを保証できるよう設計されている。
Supply chain attacks can cause far-reaching and costly disruption, yet the latest government data shows just over one in ten businesses review the risks posed by their immediate suppliers (13%), and the proportion for the wider supply chain is just 7%. サプライチェーンへの攻撃は、広範囲に及ぶコストのかかる混乱を引き起こするが、政府の最新データによると、直近のサプライヤーがもたらすリスクを検討している企業は10社に1社強(13%)、より広いサプライチェーンではわずか7%となっている。
Ian McCormack, NCSC Deputy Director for Government Cyber Resilience, said: NCSCの政府サイバーレジリエンス担当副所長であるイアン・マコーマックは、次のように述べている。
“Supply chain attacks are a major cyber threat facing organisations and incidents can have a profound, long-lasting impact on businesses and customers. 「サプライチェーンへの攻撃は、組織が直面する主要なサイバー脅威であり、事故は企業や顧客に深刻かつ長期的な影響を与える可能性がある。
“With incidents on the rise, it is vital organisations work with their suppliers to identify supply chain risks and ensure appropriate security measures are in place. 「インシデントが増加する中、組織はサプライヤーと協力してサプライチェーンのリスクを特定し、適切なセキュリティ対策が実施されていることを確認することが極めて重要である。
“Our new guidance will help organisations put this into practice so they can assess their supply chain’s security and gain confidence that they are working with suppliers securely.” 「我々の新しいガイダンスは、組織がサプライチェーンのセキュリティを評価し、サプライヤーと安全に協働しているという確信を得ることができるよう、これを実践するのに役立つ。
Cyber minister Julia Lopez, said: サイバー担当大臣のジュリア・ロペス氏は、次のように述べている。
“UK organisations of all sizes are increasingly reliant on a range of IT services to run their business, so it's vital these technologies are secure. 「英国のあらゆる規模の組織は、事業を運営するためにさまざまなITサービスにますます依存するようになっており、これらの技術が安全であることが極めて重要である。
“I urge businesses to follow this expert guidance from our world-leading National Cyber Security Centre. It will help firms protect themselves and their customers from damaging cyber attacks by strengthening cyber security right across their supply chains.” 「世界をリードするナショナル・サイバー・セキュリティ・センターの専門的なガイダンスに従うよう、企業に強く求める。本ガイダンスは、サプライチェーン全体のサイバーセキュリティを強化することで、企業が有害なサイバー攻撃から自社と顧客を守るのに役立つだろう」。
The guidance has been published in conjunction with the Cross Market Operational Resilience Group (CMORG) which supports the improvement of the operational resilience of the financial sector, though the advice is for organisations in any sector. 本ガイダンスは、金融セクターのオペレーショナル・レジリエンスの向上を支援するCross Market Operational Resilience Group(CMORG)と共同で発表されたが、どのセクターの組織も対象となるアドバイスである。
It aims to help cyber security professionals, risk managers and procurement specialists put into practice the NCSC’s 12 supply chain security principles and follows the government’s response to a call for views last year which highlighted the need for further advice. これは、サイバーセキュリティの専門家、リスクマネージャー、調達専門家が、NCSCのサプライチェーンセキュリティ12原則を実践するのを支援することを目的としており、昨年行われた意見募集に対する政府の回答で、さらなるアドバイスが必要であることが浮き彫りになったことを受けて作成された。
It describes typical supplier relationships and potential weaknesses that might expose their supply chain to attacks, defines the expected outcomes and sets out key steps that can help organisations assess their supply chain’s security. 本書では、サプライチェーンが攻撃にさらされる可能性のある典型的なサプライヤーとの関係や潜在的な弱点について説明し、期待される結果を定義し、組織がサプライチェーンのセキュリティを評価するのに役立つ主要なステップを定めている。
In addition to guidance focused on improving supply chain cyber resilience, the NCSC has published a range of advice to help organisations improve their own cyber security. NCSCは、サプライチェーンのサイバーレジリエンス向上に焦点を当てたガイダンスに加え、組織が自らのサイバーセキュリティを向上させるのに役立つ様々なアドバイスを発表している。
This includes the 10 Steps to Cyber Security guidance, aimed at larger organisations, and the Small Business Guide for smaller organisations.
これには、大規模な組織を対象とした「サイバーセキュリティへの10ステップ」ガイダンスや、小規模な組織を対象とした「小規模企業向けガイド」などがある。

 

ガイダンスの要約

・[PDF

20221018-14126

 

ガイダンス

・2022.10.12 (guidance) How to assess and gain confidence in your supply chain cyber security

序文的なもの...

How to assess and gain confidence in your supply chain cyber security サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法
Practical steps to help medium to large organisations gain assurance about the cyber security of their organisation's supply chain. 中規模から大規模の組織が、組織のサプライチェーンのサイバーセキュリティについて確信を得るのに役立つ実践的なステップ。
This guidance describes practical steps to help organisations better assess cyber security in their supply chains. It’s aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers. 本ガイダンスでは、組織がサプライチェーンのサイバーセキュリティをより適切に評価するための実践的なステップを説明している。本ガイダンスは、サプライヤとの協働に関連する脆弱性に対して緩和策が講じられていることを確信または保証する必要がある中堅・大規模組織を対象としている。
More specifically, this guidance: 具体的には、次のような内容である。
・describes typical supplier relationships, and ways that organisations are exposed to vulnerabilities and cyber attacks via the supply chain ・典型的なサプライヤーとの関係、およびサプライチェーンを通じて組織が脆弱性やサイバー攻撃にさらされる方法について説明する。
・defines expected outcomes and key steps to help you assess your supply chain’s approach to cyber security ・サプライチェーンのサイバーセキュリティへの取り組みを評価するために、期待される成果と主なステップを定義している。
・answers common questions you may encounter as you work through the guidance ・ガイダンスを読み進める中で遭遇する可能性のある一般的な質問に回答する。
supplements the NCSC’s Supply Chain Principles (published in 2020) which is referenced throughout ・NCSCのサプライチェーン原則(2020年発行)を補足するもので、全体を通して参照されている。
Note: 注意事項:
For guidance about how to implement cyber security with your own organisation, please refer to the NCSC’s 10 Steps to Cyber Security guidance. Smaller organisations should refer to our Small Business Guide to Cyber Security. 自組織でサイバーセキュリティを実施する方法については、NCSCの「サイバーセキュリティのための10ステップ」ガイダンスを参照、小規模な組織は、当社の「サイバーセキュリティに関する小規模企業向けガイド」を参照のこと。
Who is this guidance for? 本ガイダンスは誰のためのものであるか?
The guidance is aimed at procurement specialists, risk managers and cyber security professionals wanting to establish (or improve) an approach for assessing the cyber security of their organisation’s supply chain. It can be applied ‘from scratch’, or can build upon any existing risk management techniques and approaches that you may have in use. 本ガイダンスは、組織のサプライチェーンのサイバーセキュリティを評価するアプローチを確立(または改善)したいと考えている調達専門家、リスクマネジメント担当者、サイバーセキュリティ専門家を対象としている。ゼロから適用することもできるし、既存のリスクマネジメント手法やアプローチを基に構築することもできる。
・It’s suitable for medium to larger enterprises working in both commercial and public sectors. ・商業・公共セクターの中堅・大企業に適している。
・Organisations with complex supply chains requiring multi-year procurement activity will already have an established process in place to secure their supply chain. ・数年にわたる調達活動を必要とする複雑なサプライチェーンを持つ組織では、サプライチェーンを保護するための確立されたプロセスをすでに持っていることだろう。
This guidance was created in conjunction with the cross market operational resilience group (cmorg) which supports the improvement of the operational resilience of the financial sector through public-private collective action. 本ガイダンスは、官民の共同行動を通じて金融セクターの業務回復力の向上を支援するクロスマーケット業務回復力グループ(cmorg)と連携して作成されたものである。

 

目次...

How to assess and gain confidence in your supply chain cyber security サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法
Understanding the threat 脅威を理解する
Executive summary エグゼクティブサマリー
Stage 1: Before you start  ステージ1:始める前に
Step 1: Understand why your organisation should care about supply chain cyber security ステップ 1:なぜあなたの組織がサプライチェーンサイバーセキュリティに関心を持たなければならないかを理解する。
Step 2: Identify the key players in your organisation ステップ 2: 組織のキープレーヤーを特定する
Step 3: Understand how your organisation evaluates risk ステップ 3: 組織のリスク評価方法を理解する
Further reading 参考資料
Stage 2: Develop an approach to assess supply chain cyber security  ステージ2:サプライチェーンサイバーセキュリティを評価するためのアプローチを開発する
Stage 2a: Prioritise your organisation's 'crown jewels' ステージ 2a: 組織の「至宝」に優先順位を付ける
Stage 2b: Create key components for your approach ステージ 2b: アプローチに必要な主要コンポーネントを作成する
Stage 3: Apply the approach to new supplier relationships  ステージ 3: アプローチを新規サプライヤとの関係に適用する
Step 1: Educate the team ステップ 1: チームを教育する
Step 2: Embed cyber security controls throughout the contract's duration ステップ 2: 契約期間を通じてサイバーセキュリティの管理体制を整備する
Step 3: Monitor supplier security performance ステップ 3: サプライヤのセキュリティパフォーマンスを監視する
Step 4: Report progress to the board ステップ 4: 取締役会に進捗状況を報告する
Further reading 参考資料
Stage 4: Integrate the approach into existing supplier contracts  ステージ 4: 既存のサプライヤとの契約に本アプローチを組み入れる
Step 1: Identify existing contracts ステップ 1: 既存の契約を特定する
Step 2: Risk assess and prioritise your contracts ステップ 2: 契約のリスク評価と優先順位付け
Step 3: Support your suppliers ステップ 3: サプライヤーをサポートする
Step 4: Review contractual clauses ステップ 4: 契約条項の見直し
Step 5: Monitor supplier security performance ステップ 5: サプライヤのセキュリティ実績を監視する
Step 6: Report progress to the board ステップ 6: 取締役会に進捗状況を報告する
Further reading その他の資料
Stage 5: Continuously improve  ステージ 5: 継続的な改善
Step 1: Evaluate the approach and its components regularly ステップ 1: アプローチとその構成要素を定期的に評価する
Step 2: Maintain awareness of evolving threats and update practices accordingly ステップ 2:進化する脅威への認識を維持し、それに応じて実践を更新する
Step 3: Collaborate with your suppliers ステップ 3: サプライヤーとの連携

 


 

おまけ。。。

たまたま、英国のNCSCのサプライチェーン関係の情報を収集していたところ、New ZealandのNCSCが既にサプライチェーンのガイドを2021.04.30に公表していました。。。

 

National Cyber Security Centre - NZ

 ・2021.04.30 Supply Chain Cyber Security: In Safe Hands

・[PDF] Supply Chain Cyber Security 

20221018-15245

 

| | Comments (0)

2022.10.09

米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

こんにちは、丸山満彦です。

政府機関にとっては、ランサムウェアの脅威は、お金の問題というよりも、システムを停止させられ、データを喪失することにあるように思います。そのためには、バックアップが有効ではあるのですが、膨大になったデータを全てをオフラインにバックアップすることの困難さ(量、バックアップメディアの紛失等)、システムをバックアップする際にシステムにランサムウェアが混入していないことの検証の問題もあり、なかなか難しい問題ですね。。。

さて、GAOは連邦政府におけるランサムウェア対応について報告書を公表していますね。。。ランサムウェアについてのサービスを州政府等に提供している、国土安全保障省、FBI、シークレットサービスについて監査を行ったものですね。。。ほとんどの政府機関は彼らの対応について満足していると回答しているものの、若干の推奨事項を挙げ、彼らもそれに同意していますね。。。

 

● U.S. Government Accountability Office; GAO

・2022.10.04 Ransomware: Federal Agencies Provide Useful Assistance but Can Improve Collaboration

 

Ransomware:Federal Agencies Provide Useful Assistance but Can Improve Collaboration ランサムウェア:連邦政府機関は有用な支援を提供するが、協力体制を改善することができる
GAO-22-104767 GAO-22-104767
Fast Facts 基本情報
Ransomware is a malicious software that encrypts files and leaves data and systems unusable. With ransomware attacks, hackers gain entry into a system, lock out users, and demand payment to regain access. ランサムウェアは、ファイルを暗号化し、データやシステムを使用不能にする悪質なソフトウェアである。ランサムウェアの攻撃では、ハッカーがシステムに侵入し、ユーザーをロックアウトして、アクセスを回復するために支払いを要求する。
Homeland Security, FBI, and Secret Service help state, local, and other governments prevent or respond to ransomware attacks on systems like emergency services. Most government entities said they're satisfied with the agencies' prevention and response efforts. But many cited inconsistent communication during attacks as a problem. We recommended that the federal agencies address cited issues and follow key practices for better collaboration. 国土安全保障省、FBI、シークレットサービスは、州、地方、その他の政府が、緊急サービスなどのシステムに対するランサムウェア攻撃を防止したり、対応したりするのを支援している。ほとんどの政府機関は、これらの機関の予防と対応に満足していると回答している。しかし、その多くは、攻撃時の一貫性のないコミュニケーションを問題点として挙げている。我々は、連邦政府機関に対し、指摘された問題に対処し、より良い協力関係を築くための重要な慣行に従うよう提言した。
Highlights  ハイライト
What GAO Found GAOの発見事項
Ransomware is a form of malicious software designed to encrypt files on a device and render data and systems unusable. Malicious actors then demand ransom payments in exchange for restoring access to the locked data and systems. A ransomware attack is not a single event but occurs in stages (see figure). ランサムウェアは、デバイス上のファイルを暗号化し、データやシステムを使用不能にするよう設計された悪意のあるソフトウェアの一形態である。そして、悪意のある行為者は、ロックされたデータやシステムへのアクセスを回復させるのと引き換えに、身代金の支払いを要求する。ランサムウェアの攻撃は1回で終わるのではなく、段階的に発生する(図参照)。
Figure: Four Stages of a Common Ransomware Attack 図: 一般的なランサムウェア攻撃の4つのステージ
Fig1_20221009063301
The Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA), FBI, and Secret Service provide assistance in preventing and responding to ransomware attacks on state, local, tribal, and territorial government organizations. For example: 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)、FBI、シークレットサービスは、州、地方、部族、および領土の政府組織に対するランサムウェア攻撃の防止と対応について支援を行っている。例えば、以下のようなものである。
Education and awareness. CISA, in collaboration with FBI, Secret Service, and other federal partners, developed the www.stopransomware.gov website to provide a central location for ransomware guidance, alerts, advisories, and reports from federal agencies and partners. 教育および意識向上: CISAは、FBI、シークレットサービス、その他の連邦政府パートナーと協力して、ランサムウェアのガイダンス、アラート、アドバイザリー、連邦政府機関やパートナーからのレポートの一元化を行うウェブサイト(www.stopransomware.gov)を開発した。
Information sharing and analysis. CISA, FBI, and Secret Service collect and analyze security and ransomware-related information—such as threat indicators, incident alerts, and vulnerability data—and share this information by issuing alerts and advisories. For example, CISA, through a cooperative agreement with the MultiState Information Sharing and Analysis Center, provides intrusion detection sensors to nonfederal entities that reportedly analyze 1 trillion network activity reports per month. 情報の共有と分析: CISA、FBI、シークレットサービスは、脅威指標、インシデントアラート、脆弱性データなど、セキュリティおよびランサムウェア関連の情報を収集、分析し、アラートや推奨事項を発表してこの情報を共有している。例えば、CISA は マルチステートISAC (MS-ISAC) との協力協定を通じて、連邦政府以外の団体に侵入検知センサーを提供しており、毎月 1 兆件のネットワーク活動レポートを分析していると言われている。
Cybersecurity review and assessment. CISA and the Multi-State Information Sharing and Analysis Center have provided review and assessment services upon request, such as vulnerability scanning, remote penetration testing, and risk assessments. サイバーセキュリティのレビューと評価: CISA と マルチステートISAC (MS-ISAC) は、脆弱性スキャン、リモート侵入テスト、リスク評価など、リクエストに応じてレビューと評価のサービスを提供している。
Incident response. When a ransomware attack occurs, CISA, FBI, and Secret Service can provide incident response assistance to nonfederal entities upon request. CISA and the Multi-State Information Sharing and Analysis Center provide technical assistance such as forensic analysis of the attack and recommended mitigations. Additionally, FBI and Secret Service primarily collect evidence to conduct criminal investigations and attribute attacks. According to the Multi-State Information Sharing and Analysis Center, state, local, tribal, and territorial governments experienced more than 2,800 ransomware incidents from January 2017 through March 2021. インシデント対応: ランサムウェア攻撃が発生した場合、CISA、FBI、シークレットサービスは、要請に応じて、連邦政府以外の団体にインシデントレスポンス支援を提供することができる。CISAとマルチステートISAC (MS-ISAC) は、攻撃のフォレンジック分析や推奨される緩和策などの技術的支援を提供する。さらに、FBI とシークレットサービスは、主に犯罪捜査と攻撃の属性決定のために証拠を収集する。マルチステートISAC (MS-ISAC) によると、州、地方、部族、準州の政府は、2017年1月から2021年3月までに2、800件以上のランサムウェアインシデントを経験している。
Other federal agencies, such as the Federal Emergency Management Agency, National Guard Bureau, National Institute of Standards and Technology, and the Department of the Treasury have a more indirect role. These agencies provide ransomware assistance to nonfederal entities through administering cybersecurity grants, issuing guidance to manage ransomware risk, or pursuing sanctions to disrupt ransomware activity. 連邦緊急事態管理庁、国家警備局、国立標準技術研究所、財務省など、その他の連邦機関は、より間接的な役割を担っている。これらの機関は、サイバーセキュリティ助成金の管理、ランサムウェアのリスクマネジメントのためのガイダンスの発行、またはランサムウェアの活動を妨害するための制裁措置の追求を通じて、非連邦団体にランサムウェア支援を提供している。
The officials from government organizations that GAO interviewed were generally satisfied with the prevention and response assistance provided by federal agencies. They had generally positive views on ransomware guidance, detailed threat alerts, quality no-cost technical assessments, and timely incident response assistance. However, respondents identified challenges related to awareness, outreach, and communication. For example, half of the respondents who worked with the FBI cited inconsistent communication as a challenge associated with the agency's ransomware assistance. GAOがインタビューした政府機関の関係者は、連邦政府機関が提供する予防と対応の支援に概ね満足していた。彼らは、ランサムウェアのガイダンス、詳細な脅威の警告、質の高い無償の技術評価、タイムリーなインシデント対応支援について、概ね肯定的な見解を持っていた。しかし、回答者は、啓発、アウトリーチ、コミュニケーションに関連する課題を特定している。例えば、FBIと連携している回答者の半数は、同庁のランサムウェア支援に関連する課題として、一貫性のないコミュニケーションを挙げている。
CISA, FBI, and Secret Service took steps to enhance interagency coordination through existing mechanisms—such as interagency detailees and field-level staff—and demonstrated coordination on a joint ransomware website, guidance, and alerts. However, the three agencies have not addressed aspects of six of seven key practices for interagency collaboration in their ransomware assistance to state, local, tribal, and territorial governments (see table). CISA、FBI、シークレットサービスは、省庁間の抑留者や現場レベルのスタッフなど、既存の仕組みを通じて省庁間の調整を強化する措置を取り、ランサムウェアの共同ウェブサイト、ガイダンス、アラートで調整を示した。しかし、3つの機関は、州、地方、部族、および領土の政府に対するランサムウェア支援において、省庁間の協力のための7つの重要な実践のうち6つの側面には取り組んでいない(表参照)。
Table: Extent to Which Cybersecurity and Infrastructure Security Agency, Federal Bureau of Investigation, and Secret Service Addressed Key Collaboration Practices in Their Ransomware Assistance 表: サイバーセキュリティおよびインフラセキュリティ庁、連邦捜査局、シークレットサービスがランサムウェア支援において主要な協力の実践に取り組んだ度合い
Key practice : Extent addressed 主要な実践: 対応した程度
Defining outcomes and monitoring accountability : Not addressed 成果の定義とアカウンタビリティの監視 : 非対応
Bridging organizational cultures : Partially addressed 組織文化の連携 : 部分的対応
Identifying and sustaining leadership : Generally addressed リーダーシップの確立と維持: 概ね実施済み
Clarifying roles and responsibilities : Partially addressed 役割と責任の明確化:部分的対応
Including relevant participants : Partially addressed 関係者の参加:部分的対応
Identifying and leveraging resources : Partially addressed リソースの特定と活用:部分的対応
Developing and updating written guidance and agreements : Partially addressed 文書による指針及び協定の作成と更新:部分的対応
Source: GAO analysis of agency documentation. | GAO-22-104767 出典:GAOによる機関資料の分析。| GAO-22-104767|
Specifically, the agencies generally addressed the practice of identifying leadership by designating agency leads for technical- and law enforcement-related ransomware response activities. However, the agencies could improve their efforts to address the other six practices. For instance, existing interagency collaboration on ransomware assistance to state, local, tribal, and territorial governments was informal and lacked detailed procedures. 特に、技術的および法執行関連のランサムウェア対応活動のための機関の主導権を指定することによって、機関は概してリーダーシップを特定する慣行に対処している。しかし、各省庁は他の6つの慣行に対する取り組みを改善することができる。例えば、州、地方、部族、および領土の政府に対するランサムウェア支援に関する既存の省庁間協力は非公式なもので、詳細な手順を欠いていた。
Recognizing the importance of formalizing interagency coordination on ransomware, the Consolidated Appropriations Act, 2022 required CISA to establish a Joint Ransomware Task Force, in partnership with other federal agencies. Among other responsibilities, the task force is intended to facilitate coordination and collaboration among federal entities and other relevant entities to improve federal actions against ransomware threats. Addressing key practices for interagency collaboration in concert with the new ransomware task force can help ensure effective delivery of ransomware assistance to state, local, tribal, and territorial governments. ランサムウェアに関する省庁間の調整を正式に行うことの重要性を認識し、2022年の連結歳出法では、CISAに対し、他の連邦機関と連携してランサムウェア合同タスクフォースを設立するよう求めている。このタスクフォースは、他の責務の中でも、ランサムウェアの脅威に対する連邦政府の行動を改善するために、連邦政府機関および他の関連する団体間の調整と協力を促進することを目的としている。新しいランサムウェア・タスクフォースと連携して、省庁間の協力のための重要な実践に取り組むことは、州、地方、部族、および領土の政府に対するランサムウェアの支援を効果的に提供するのに役立つと思われる。
Why GAO Did This Study GAOがこの調査を行った理由
The Department of Homeland Security has reported that ransomware is a serious and growing threat to government operations at the federal, state, and local levels. In recent years, there have been numerous reported ransomware attacks on hospitals, schools, emergency services, and other industries. 国土安全保障省は、ランサムウェアが連邦、州、地方レベルの政府業務に対する深刻かつ増大する脅威であると報告している。近年では、病院、学校、救急サービス、その他の業界に対するランサムウェアの攻撃が多数報告されている。
GAO was asked to review federal efforts to provide ransomware prevention and response assistance to state, local, tribal, and territorial government organizations. Specifically, this report addresses (1) how federal agencies assist these organizations in protecting their assets against ransomware attacks and in responding to related incidents, (2) organizations' perspectives on ransomware assistance received from federal agencies, and (3) the extent to which federal agencies addressed key practices for effective collaboration when assisting these organizations. GAOは、州、地方、部族、および領土の政府組織に対してランサムウェアの予防と対応支援を提供する連邦政府の取り組みについて検討するよう要請された。具体的には、(1)連邦政府機関がこれらの組織の資産をランサムウェア攻撃から保護し、関連する事件に対応する際にどのように支援しているか、(2)連邦政府機関から受けたランサムウェア支援に対する組織の見解、(3)これらの組織を支援する際に連邦政府機関がどの程度効果的な協力のための主要な実践に取り組んでいるかを取り上げた。
GAO reviewed agency documentation from eight federal agencies to identify efforts to help state, local, tribal and territorial governments address ransomware threats. Documents reviewed included agency service catalogs, ransomware guidance, and agency websites. GAO supplemented these reviews with interviews of officials from CISA, FBI, Secret Service, Department of Justice, Federal Emergency Management Agency, Commerce's National Institute for Standards and Technology, and the Department of the Treasury. GAOは、州、地方、部族、準州政府がランサムウェアの脅威に対処するための取り組みを確認するため、8つの連邦機関の文書を調査した。レビューした文書には、機関のサービスカタログ、ランサムウェアのガイダンス、および機関のウェブサイトが含まれている。GAOは、CISA、FBI、シークレットサービス、司法省、連邦緊急事態管理庁、商務省標準技術局、財務省の職員へのインタビューにより、これらのレビューを補足した。
GAO also interviewed officials from government organizations receiving federal ransomware assistance who volunteered to share their perspectives. These officials represented governments from four states, eight localities, and one tribal nation. In addition, GAO interviewed officials from six national organizations. These groups included the National Governors Association; National League of Cities; National Association of State Chief Information Officers; and the National Association of State Auditors, Comptrollers, and Treasurers. To analyze responses from these interviews, GAO coded the qualitative data to enable identification of common trends across the interviews. The interview results from these interviews are not generalizable, but provide insight into perspectives on federal assistance in addressing ransomware. GAOはまた、連邦政府のランサムウェア支援を受ける政府機関の関係者にもインタビューを行い、その見解を共有することをお願いした。これらの職員は、4つの州、8つの地方自治体、1つの部族国家の政府を代表していた。さらにGAOは、6つの国家機関の関係者にもインタビューを行った。これらの団体には、全米知事協会、全米都市連合、全米州最高情報責任者協会、全米州監査役・会計監査人・会計監査人協会が含まれる。これらのインタビューからの回答を分析するため、GAOはインタビューに共通する傾向を特定できるよう、質的データをコード化した。これらのインタビュー結果は一般化できるものではないが、ランサムウェアへの対処における連邦政府の支援に関する見解が示されている。
GAO identified three federal agencies that provide direct ransomware assistance—CISA, FBI, and Secret Service—and assessed their efforts against key practices for interagency collaboration. To support its assessment, GAO reviewed agency documentation on collaborative mechanisms and efforts to coordinate assistance, such as joint alerts and guidance, incident coordination procedures, and interagency agreements. GAO also interviewed officials from the three agencies to clarify information about their collaborative efforts. GAOは、ランサムウェアの直接的な支援を行う3つの連邦機関(CISA、FBI、シークレットサービス)を特定し、機関間協力のための主要な実践に照らしてその取り組みを評価した。この評価を裏付けるため、GAOは、共同警告やガイダンス、インシデント調整手順、省庁間協定など、支援の調整の仕組みや努力に関する省庁の文書を調査した。GAOはまた、3つの機関の職員にインタビューを行い、協力的な取り組みに関する情報を明らかにした。
Recommendations 提言
GAO is making three recommendations to the Department of Homeland Security (CISA and Secret Service) and Department of Justice (FBI) to address identified challenges and incorporate key collaboration practices in delivering services to state, local, tribal, and territorial governments. The agencies concurred with GAO's recommendations. GAOは国土安全保障省(CISAとシークレットサービス)と司法省(FBI)に対し、州・地方・部族・準州政府 (SLTT) へのサービス提供において、特定された課題に取り組み、重要な協力の実践を取り入れるための3つの推奨事項を行っている。同省はGAOの推奨事項に同意した。
Recommendations for Executive Action 行政措置に関する提言
Department of Homeland Security 国土安全保障省
The Secretary of Homeland Security should direct the Director of CISA to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders taking into account its leadership of the new joint ransomware task force and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 1) 国土安全保障省長官はCISA長官に、(1)新しいランサムウェア合同タスクフォースの指導を考慮し、州・地方・部族・準州政府 が提起した懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2) 州・地方・部族・準州政府へのランサムウェア支援に関する省庁間の調整を改善すべきである。(推奨事項1)
The Secretary of Homeland Security should direct the Director of Secret Service to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 2) 国土安全保障長官は、シークレットサービス長官に対し、(1)州・地方・部族・準州政府が提起した懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2)州・地方・部族・準州政府へのランサムウェア支援に関する省庁間の調整を改善するよう指示すること。(推奨事項2)
Department of Justice 司法省
The Attorney General should direct the Director of FBI to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 3) 司法長官はFBI長官に対し、(1)州・地方・部族・準州政府が提起する懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2)州・地方・部族・準州政府へのランサムウェア支援に関する省庁間調整を改善するよう指示すること。(推奨事項3)

 

・[PDF] Full Report

20221009-63957

 

 

・[PDF] Highlights Pages

20221009-63857

 


 

まるちゃんの情報セキュリティ気まぐれ日記

シークレットサービス関連

・2021.09.01 米国 シークレットサービスの戦略

 

ISACs関連

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

ランサムウェア関連

・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

・2022.08.21 英国 情報コミッショナーオフィスと国家サイバーセキュリティセンターが事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼 (2022.07.07)

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.06.16 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

・2022.04.01 小島プレス工業 システム停止事案調査報告書(第1報)

・2022.02.27 NISC ホワイトペーパー:サイバーセキュリティリスクマネジメントを始めるために:ランサムウェア

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

・2022.01.28 IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2021.11.27 NPO デジタルフォレンジック研究会 「医療機関向けランサムウェア対応検討ガイダンス」の公開

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.08 米国 連邦取引委員会 (FTC) ランサムウェアのリスク:中小企業のための2つの予防ステップ

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

 

 

 

| | Comments (0)

2022.08.31

シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

こんにちは、丸山満彦です。

シンガポールのサイバーセキュリティ庁が、2021年シンガポールのサイバーセキュリティ状況を公開していますね。。。少し遅いですかね。。。

ランサムウェア被害が注目され、地政学リスクがサイバー空間にも影響を及ぼすというのは資本主義国的には同じ傾向ですかね。。。

 

Scl2021-appendix-a

 

 

Cyber Security Agency of Singapore: CSA

・2022.08.29 Ransomware and phishing attacks continued to threaten Singapore organisations and individuals in 2021

Ransomware and phishing attacks continued to threaten Singapore organisations and individuals in 2021 2021年もランサムウェアとフィッシング攻撃がシンガポールの組織と個人を脅かす
Singapore, 29 August 2022 – The Cyber Security Agency of Singapore (CSA) released the Singapore Cyber Landscape (SCL) 2021 publication today. The publication highlights the continuous threats that ransomware and phishing posed to organisations and individuals in Singapore in 2021 (see Appendix A). シンガポール、2022年8月29日 - シンガポール・サイバー・セキュリティ局(CSA)は本日、「シンガポール・サイバー・ランドスケープ(SCL)2021」を発表した。本書では、2021年にランサムウェアとフィッシングがシンガポールの組織や個人に与えた継続的な脅威を明らかにしている(附属書Aを参照)。
Key Malicious Cyber Activities in 2021 2021年における主な悪質なサイバー活動
i. Ransomware. 137 ransomware cases were reported to CSA in 2021, an increase of 54 per cent from the 89 cases reported in 2020. The cases affected mostly small-and-medium enterprises (SMEs) from sectors such as manufacturing and IT. The around-the-clock nature of these sectors’ operations did not provide for much time to patch their systems, thus potentially allowing ransomware groups to exploit vulnerabilities. CSA observed that ransomware groups targeting SMEs in Singapore utilised the Ransomware-as-a-Service (RaaS) model, which made it easier for amateur hackers to use existing infrastructure – created by developers – to distribute ransomware payloads. i. ランサムウェア:2021年にCSAに報告されたランサムウェアは137件で、2020年に報告された89件から54%増加した。このケースは、製造業やITなどのセクターの中小企業(SME)に主に影響を与えた。これらの業種は24時間体制で業務を行っているため、システムにパッチを当てる時間があまりなく、ランサムウェアグループに脆弱性を突かれる可能性があった。CSAは、シンガポールの中小企業を狙うランサムウェアグループが、ランサムウェア・アズ・ア・サービス(RaaS)モデルを利用していることを確認した。このモデルでは、素人のハッカーが、開発者が作成した既存のインフラを使用して、ランサムウェアペイロードを配布することが容易になっている。
ii. Phishing. About 55,000 unique Singapore-hosted phishing URLs (with a “.SG” domain) were observed in 2021. This was an increase of 17 per cent compared to the 47,000 URLs seen in 2020. Social networking firms made up more than half of the spoofed targets. This was possibly driven by malicious actors’ exploitation of public interest in WhatsApp’s updated privacy policy announcement on users’ phone numbers being shared with Facebook. Scammers also exploited the COVID-19 pandemic amidst the Omicron sub-variant outbreak in late 2021 to spoof Government websites. ii. フィッシング:2021年には、シンガポールでホストされている約55,000のユニークなフィッシングURL(「.SG」ドメイン付き)が観測されました。これは、2020年に観測された47,000のURLと比較して17%増加した。SNS企業がなりすまし対象の半数以上を占めていた。これは、WhatsAppがプライバシーポリシーを更新し、ユーザーの電話番号がFacebookと共有されることを発表したことに対する世間の関心を悪意ある行為者が利用したためと考えられる。また、詐欺師は、2021年後半にオミクロン亜種が発生する中、COVID-19のパンデミックを悪用し、政府のウェブサイトを偽装している。
iii. Malicious Command and Control (C&C) Servers & Botnet Drones. In 2021, CSA observed 3,300 malicious C&C servers hosted in Singapore, more than triple the 1,026 C&C servers observed in 2020. This was the largest number recorded since 2017. This spike was driven by a large increase in servers distributing CobaltStrike malware, which made up nearly 30 per cent of all C&C servers observed. iii. 悪質なコマンド&コントロール(C&C)サーバーとボットネット・ドローン:2021年、CSAはシンガポールでホストされている悪意のあるC&Cサーバーを3,300台観測し、2020年に観測された1,026台のC&Cサーバーの3倍以上となった。これは、2017年以降で最大の数を記録した。この急増は、CobaltStrikeマルウェアを配布するサーバーが大幅に増加し、観測した全C&Cサーバーの30%近くを占めたことによる。
In 2021, CSA detected about 4,800 botnet drones with Singapore IP addresses daily, a 27 per cent decrease from 2020’s daily average of 6,600. Malware strains for the infected drones varied greatly, with no single strain accounting for a clear majority among compromised devices. This trend could have been caused by threat actors diversifying away from ‘old’ malware strains and exploring new infection methods, as system owners cleaned up infected computers and devices progressively. 2021年、CSAはシンガポールのIPアドレスを持つボットネットドローンを毎日約4,800個検出し、2020年の1日平均6,600個から27%減少した。感染したドローンのマルウェアの系統は大きく異なり、感染したデバイスの中で単一の系統が明確に過半数を占めることはなかった。この傾向は、システム所有者が感染したコンピュータやデバイスを順次クリーンアップしていく中で、脅威者が「古い」マルウェア株から多様化し、新しい感染方法を模索していることが原因である可能性がある。
iv. Website Defacements. 419 ‘.sg’ websites were defaced in 2021, a decrease of 15 per cent from 495 in 2020. The majority of victims were SMEs. The downward trend could be attributed to hacktivist activities moving to other platforms with potentially wider reach, such as social media sites. iv. ウェブサイトの改ざん:2021年に改ざんされた「.sg」ウェブサイトは419件で、2020年の495件から15%減少している。被害者の大半は中小企業であった。この減少傾向は、ハクティビスト活動がソーシャルメディアサイトなど、より広い範囲に及ぶ可能性のある他のプラットフォームに移行したことに起因すると考えられる。
v. Cybercrime. The Singapore Police Force reported that cybercrime remained a key concern, with 22,219 cybercrime cases in 2021, a 38 per cent increase from the 16,117 cases in 2020. Online scam1 cases made up the top cybercrime category in Singapore, accounting for 81 per cent of cybercrime cases. 17 per cent of cybercrime cases were Computer Misuse Act offences and 2 per cent were cyber extortion cases. v. サイバー犯罪:シンガポール警察の報告によると、サイバー犯罪は依然として重要な懸念事項であり、2021年のサイバー犯罪件数は22,219件で、2020年の16,117件から38%増加した。シンガポールでは、オンライン詐欺1がサイバー犯罪の上位を占め、81%を占めた。サイバー犯罪事件の17%はコンピュータ不正利用法違反、2%はサイバー恐喝事件であった。
Anticipated Cybersecurity Trends 予想されるサイバーセキュリティの動向
2 The SCL 2021 report also highlighted several trends to watch, against the backdrop of an increasingly complex and dynamic cyber threat landscape: 2 SCL2021報告書は、複雑化しダイナミックになるサイバー脅威の状況を背景に、注目すべきいくつかのトレンドも強調している。
(a) Decreased global reliance on Western technology due to increased geopolitical tensions. Russia had previously faced a major hurdle in decoupling from US technology, due to the risks that various payment services and product offerings used by Russian citizens would be suspended. With the sanctions imposed by Western technology firms, Russia’s desire to wean itself off Western technology is very likely to strengthen. Meanwhile, countries such as China have also sought to gain self-sufficiency in advanced technology areas. A world of differing cyber norms, ecosystems and standards may become a reality in the near future. (a) 地政学的緊張の高まりによる、欧米のテクノロジーへの世界的な依存度の低下:ロシアはこれまで、ロシア国民が利用するさまざまな決済サービスや製品提供が停止されるリスクから、米国のテクノロジーとの切り離しに大きなハードルを抱えていた。今回の欧米テクノロジー企業による制裁措置により、ロシアの欧米テクノロジーからの離脱志向は強まる可能性が非常に高い。一方、中国なども先端技術分野での自給自足を目指している。近い将来、サイバー規範、エコシステム、標準が異なる世界が現実のものとなるかもしれない。
(b) Non-state actors playing a larger role in geopolitical conflicts. Cybercriminal and hacktivist groups have been observed taking sides in the Russia-Ukraine conflict, engaging in more malicious cyber activities for politically-motivated purposes, in addition to personal gain. This development increases the risk of reprisals, as any serious cyber incident by these groups may be used as a pretext for escalation by one side or the other. In a hyper-connected global cyberspace, collateral damage to organisations not linked to Russia or Ukraine have become a worrying possibility. (b) 地政学的紛争において非国家主体がより大きな役割を果たす:ロシア・ウクライナ紛争では、サイバー犯罪者やハクティビスト集団が、個人的な利益だけでなく、政治的な動機から、より悪質なサイバー活動を行っていることが確認されている。このような動きにより、これらのグループによる深刻なサイバー事件が発生した場合、一方がエスカレートするための口実として利用される可能性があり、報復のリスクが高まっている。ハイパーコネクテッドなグローバルサイバースペースでは、ロシアやウクライナと関係のない組織が巻き添えを食うことが憂慮されるようになってきている。
(c) Rise of crypto-based scams. Crypto-based crime has been increasing, largely through the use of Decentralised Finance (DeFi) – peer-to-peer financial platforms that enable direct transactions, without the need for intermediaries. The borderless accessibility of DeFi’s open and distributed platforms, alongside anonymity features, have made it difficult to track illicit activity and enforce our regulations across borders. Such challenges further embolden cybercriminals to perpetuate more of such crypto-based scams. (c) 暗号ベースの詐欺の増加:暗号ベースの犯罪は、主に分散型金融(DeFi)-仲介者を必要としない直接取引を可能にするピアツーピアの金融プラットフォーム-の利用によって増加している。DeFiのオープンで分散型のプラットフォームは、匿名性の機能とともに、国境を越えてアクセスできるため、不正な活動を追跡し、国境を越えて規制を実施することが困難になっている。このような課題は、サイバー犯罪者がこのような暗号ベースの詐欺をさらに永続させることをさらに助長させる。
(d) Targeting critical Internet of Things (IoT) devices in ransomware attacks. Cybercriminals are recognising that they can inflict significant damage to organisations by infecting critical IoT devices, such as Internet-connected Uninterruptible Power Supply (UPS) units, leading to significant downtime costs. IoT devices often lack critical cybersecurity protection. Employees have also been known to connect their personal IoT devices to the organisation’s networks without the knowledge of security teams. Should organisations in critical, time-sensitive industries such as healthcare, be infected with ransomware, there could be serious, life-threatening consequences. (d) ランサムウェア攻撃における重要なIoTデバイスの標的化。サイバー犯罪者は、インターネットに接続された無停電電源装置(UPS)などの重要なIoTデバイスに感染することで、組織に大きな損害を与え、ダウンタイムのコストを大幅に削減できることを認識している。IoTデバイスには、重要なサイバーセキュリティの保護が欠けていることがよくある。また、従業員がセキュリティチームに知られることなく、個人所有のIoTデバイスを組織のネットワークに接続することも知られている。医療などの重要で時間的制約のある業界の組織がランサムウェアに感染した場合、生命を脅かす深刻な結果になる可能性がある。
CSA’s Efforts to Strengthen Collective Cybersecurity Posture CSAのサイバーセキュリティ態勢強化への取り組み
3 Improving the awareness and adoption of good cybersecurity practices by individuals and enterprises is key to enabling our digital economy and digital way of life. CSA launched the SG Cyber Safe Programme last year to help enterprises in Singapore better protect themselves in the digital domain and raise their cybersecurity posture. Under the programme, CSA introduced cybersecurity toolkits tailored to different enterprise roles. This included cybersecurity tips for employees, who are the first line of defence for their organisation’s cybersecurity – such as through setting strong passphrases and protecting their devices with updated software and anti-virus. Since the toolkits were launched in October 2021, they have been downloaded more than 6,000 times. 3 個人とエンタープライズによる優れたサイバーセキュリティの実践に対する認識と採用の向上は、デジタル経済とデジタルライフを実現する上で重要である。CSAは昨年、シンガポールの企業がデジタル領域でよりよく身を守り、サイバーセキュリティの姿勢を強化できるよう、SG Cyber Safeプログラムを立ち上げた。このプログラムのもと、CSAは、企業のさまざまな役割に合わせたサイバーセキュリティ・ツールキットを導入した。このキットには、強力なパスフレーズを設定し、最新のソフトウェアとアンチウイルスでデバイスを保護するなど、組織のサイバーセキュリティの第一線で活躍する従業員向けのサイバーセキュリティのヒントが含まれている。2021年10月の開始以来、ツールキットは6,000回以上ダウンロードされている。
4 As SMEs tend to have limited IT and/or cybersecurity expertise and resources, CSA worked with the Infocomm Media Development Authority (IMDA) to offer SMEs pre-approved cybersecurity solutions under the SMEs Go Digital Programme. Since the programme’s launch in 2017, more than 6,000 SMEs have benefited from these cybersecurity solutions that provide endpoint protection, managed detection, response and unified threat management. 4 中小企業はITやサイバーセキュリティの専門知識やリソースが限られている傾向があるため、CSAはInfocomm Media Development Authority(IMDA)と協力し、SMEs Go Digital Programmeの下で中小企業に事前承認済みのサイバーセキュリティソリューションを提供した。2017年のプログラム開始以来、6,000社以上の中小企業が、エンドポイント保護、管理された検出、対応、統合脅威管理を提供するこれらのサイバーセキュリティ・ソリューションの恩恵を受けている。
5 CSA also recently launched the Critical Information Infrastructure (CII) Supply Chain Programme to enhance the security and resilience of Singapore’s CII sectors. Led by CSA, it is a national effort to establish processes and best practices to help CSA, Sector Leads, CII owners (CIIOs) and their vendors manage supply chain risks holistically.  5 CSAはまた、シンガポールのCIIセクターのセキュリティとレジリエンスを強化するために、重要情報インフラ(CII)サプライチェーンプログラムを最近開始した。CSAが主導するこのプログラムは、CSA、セクターリーダー、CIIオーナー(CIIO)、およびそのベンダーがサプライチェーンのリスクを総合的にマネジメントできるよう、プロセスやベストプラクティスを確立するための国家的な取り組みとなっている。 
6 CSA will also re-launch its “Better Cyber Safe Than Sorry” national cybersecurity awareness campaign later this year, focusing on raising awareness and driving adoption of good cybersecurity practices. The national campaign augments concurrent efforts by CSA to target students and seniors respectively under the SG Cyber Safe Students Programme and SG Cyber Safe Seniors Programme. In collaboration with various government agencies, such as the Ministry of Education, GovTech, SPF and IMDA, these initiatives enable CSA to reach out to students and seniors with relevant cybersecurity messages through platforms – such as roadshows and webinars – to raise awareness and adoption of good cyber practices. Initiatives such as the Go Safe Online Pop-up and Go Safe Online Drama Skit under the SG Cyber Safe Students Programme have reached more than 160 schools, libraries, and community spaces, while CSA has engaged more than 45,000 seniors under the SG Cyber Safe Seniors Programme since the launch of both programmes in 2021. CSA はまた、今年後半に「Better Cyber Safe Than Sorry」全国サイバーセキュリティ意識向上キャンペーンを再開し、サイバーセキュリティの優れた実践の意識向上と採用促進に重点を置く予定である。この全国キャンペーンは、「SG Cyber Safe 学生プログラム」と「SG Cyber Safe 高齢者プログラム」のもと、学生と高齢者をそれぞれ対象とした CSA の同時取り組みを補強するものである。教育省、GovTech、SPF、IMDAなどのさまざまな政府機関と協力し、これらの取り組みにより、CSAはロードショーやウェビナーなどのプラットフォームを通じて、学生や高齢者にサイバーセキュリティに関するメッセージを伝え、優れたサイバー対策の意識向上と採用につなげることができるようになった。SG Cyber Safe 学生プログラムのGo Safe Online Pop-upやGo Safe Online Drama Skitなどの取り組みは、160以上の学校、図書館、コミュニティスペースで行われ、CSAは2021年の両プログラムの開始以来、SG Cyber Safe 高齢者プログラムの下で45000人以上のシニアに参加してもらった。
7 Mr David Koh, Commissioner of Cybersecurity and Chief Executive of CSA, said: “The cyber landscape in 2021 was fraught with increasingly sophisticated threats and more brazen threat actors. The government has stepped up efforts to work with our stakeholders to do more, but cybersecurity is a team sport. Only by banding together and working across borders, do we stand a fighting chance against the ever-evolving threat. Governments, businesses and individuals must continue to do their part to strengthen our collective cybersecurity posture. We must act now.” 7 サイバーセキュリティ担当コミッショナー兼CSA最高責任者のDavid Koh氏は、次のように述べている。「2021年のサイバー環境は、ますます高度化する脅威と、より大胆な脅威行為に満ちていた。政府は、ステークホルダーと協力してより多くのことを行うための取り組みを強化しているが、サイバーセキュリティはチームスポーツである。国境を越えて団結し、協力してこそ、進化し続ける脅威に対して勝算がある。政府、企業、個人は、サイバーセキュリティの態勢を強化するために、それぞれの役割を果たし続ける必要がある。私たちは今、行動を起こさなければならない。

 

Singapore Cyber Landscape 2021

・[PDF] Singapore Cyber Landscape 2021

20220831-100315 

 

| | Comments (0)

2022.08.10

CISA アラート(AA22-216A) & ACSC 2021年のトップマルウェア株

こんにちは、丸山満彦

米国のCISAと、オーストラリアのACSCが、2021年のマルウェアトップ10を公表していますね。。。

トップ10は

  1. Agent Tesla
  2. AZORult
  3. Formbook
  4. Ursnif
  5. LokiBot
  6. MOUSEISLAND
  7. NanoCore
  8. Qakbot
  9. Remcos
  10. TrickBot and GootLoader

ということのようですね。。。

● CISA

・2022.08.04 Alert (AA22-216A) 2021 Top Malware Strains

・[PDF

20220810-143911

Alert (AA22-216A) 2021 Top Malware Strains アラート(AA22-216A) 2021年のトップマルウェア株
Summary まとめ
This joint Cybersecurity Advisory (CSA) was coauthored by the Cybersecurity and Infrastructure Security Agency (CISA) and the Australian Cyber Security Centre (ACSC). This advisory provides details on the top malware strains observed in 2021. Malware, short for “malicious software,” can compromise a system by performing an unauthorized function or process. Malicious cyber actors often use malware to covertly compromise and then gain access to a computer or mobile device. Some examples of malware include viruses, worms, Trojans, ransomware, spyware, and rootkits.[1] この共同サイバーセキュリティ勧告(CSA)は、サイバーセキュリティ・重要インフラ庁(CISA)とオーストラリア・サイバーセキュリティ・センター(ACSC)が共同で作成したものである。本アドバイザリーでは、2021年に観測された上位のマルウェアの詳細について説明する。マルウェアは「悪意のあるソフトウェア」の略称で、不正な機能やプロセスを実行することでシステムを危険にさらすことができる。悪意のあるサイバーアクターは、しばしばマルウェアを使用して、コンピュータやモバイルデバイスを密かに侵害し、アクセス権を取得する。マルウェアの例としては、ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、ルートキットなどがある[1]。
In 2021, the top malware strains included remote access Trojans (RATs), banking Trojans, information stealers, and ransomware. Most of the top malware strains have been in use for more than five years with their respective code bases evolving into multiple variations. The most prolific malware users are cyber criminals, who use malware to deliver ransomware or facilitate theft of personal and financial information. 2021年、マルウェアの上位には、リモートアクセス型トロイの木馬(RAT)、バンキング型トロイの木馬、情報窃取型、ランサムウェアが含まれている。上位のマルウェア系統のほとんどは、5年以上にわたって使用されており、それぞれのコードベースは複数のバリエーションに進化している。最も多くマルウェアを使用しているのはサイバー犯罪者で、マルウェアを使用してランサムウェアを配信したり、個人情報や財務情報の窃取を促進している。
CISA and ACSC encourage organizations to apply the recommendations in the Mitigations sections of this joint CSA. These mitigations include applying timely patches to systems, implementing user training, securing Remote Desktop Protocol (RDP), patching all systems especially for known exploited vulnerabilities, making offline backups of data, and enforcing multifactor authentication (MFA). CISAとACSCは、組織がこのジョイントCSAの「緩和策」のセクションにある推奨事項を適用することを推奨する。これらの緩和策には、システムへのタイムリーなパッチの適用、ユーザートレーニングの実施、リモート・デスクトップ・プロトコル(RDP)の保護、特に既知の脆弱性を悪用したすべてのシステムへのパッチ適用、データのオフラインバックアップ、多要素認証(MFA)の強化が含まれる。
Immediate Actions You Can Take Now to Protect Against Malware: マルウェアから身を守るために、今すぐできること。
Patch all systems and prioritize patching known exploited vulnerabilities. ・すべてのシステムにパッチを適用し,悪用される既知の脆弱性には優先的にパッチを適用する。
• Enforce multifactor authentication (MFA). ・多要素認証(MFA)を導入する。
• Secure Remote Desktop Protocol (RDP) and other risky services. ・リモート・デスクトップ・プロトコル(RDP)およびその他の危険なサービスを保護する。
• Make offline backups of your data. ・データのオフライン・バックアップを行う。
• Provide end-user awareness and training about social engineering and phishing. ・ソーシャル・エンジニアリングやフィッシングに関するエンドユーザーの意識向上とトレーニングを実施する。
Technical Details 技術的な詳細
Key Findings 主な発見事項
The top malware strains of 2021 are: Agent Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot and GootLoader. 2021年のマルウェア上位株は以下の通り。Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBotおよびGootLoaderである。
・Malicious cyber actors have used Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, and TrickBot for at least five years. ・悪意のあるサイバー行為者は、少なくとも5年間、Agent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos、TrickBotを使用している。
・Malicious cyber actors have used Qakbot and Ursnif for more than a decade. ・悪意のあるサイバーアクターは、10年以上にわたってQakbotとUrsnifを使用している。
Updates made by malware developers, and reuse of code from these malware strains, contribute to the malware’s longevity and evolution into multiple variations. Malicious actors’ use of known malware strains offers organizations opportunities to better prepare, identify, and mitigate attacks from these known malware strains. マルウェアの開発者によるアップデートや、これらのマルウェアのコードの再利用が、マルウェアの長寿命化と複数のバリエーションへの進化に寄与している。悪意のある行為者が既知のマルウェア株を使用することは、組織がこれらの既知のマルウェア株からの攻撃に備え、識別し、軽減する機会を提供する。
The most prolific malware users of the top malware strains are cyber criminals, who use malware to deliver ransomware or facilitate theft of personal and financial information. 上位のマルウェア株を最も多く使用しているのは、サイバー犯罪者で、マルウェアを使用してランサムウェアを配信したり、個人情報や財務情報の窃取を容易にしたりしている。
・Qakbot and TrickBot are used to form botnets and are developed and operated by Eurasian cyber criminals known for using or brokering botnet-enabled access to facilitate highly lucrative ransomware attacks. Eurasian cyber criminals enjoy permissive operating environments in Russia and other former Soviet republics. ・QakbotとTrickBotは、ボットネットを形成するために使用され、ボットネットを使用したアクセスを仲介し、非常に有利なランサムウェア攻撃を行うことで知られるユーラシアのサイバー犯罪者によって開発・運用されている。ユーラシア大陸のサイバー犯罪者は、ロシアやその他の旧ソビエト共和国において、寛容な活動環境を享受している。
・According to U.S. government reporting, TrickBot malware often enables initial access for Conti ransomware, which was used in nearly 450 global ransomware attacks in the first half of 2021. As of 2020, malicious cyber actors have purchased access to systems compromised by TrickBot malware on multiple occasions to conduct cybercrime operations. ・米国政府の報告によると、TrickBotマルウェアは、しばしばContiランサムウェアの初期アクセスを可能にし、2021年上半期に約450件のグローバルランサムウェア攻撃で使用された。2020年現在、悪意のあるサイバーアクターは、TrickBotマルウェアによって侵害されたシステムへのアクセスを複数回購入し、サイバー犯罪のオペレーションを実施している。
・In 2021, cyber criminals conducted mass phishing campaigns with Formbook, Agent Tesla, and Remcos malware that incorporated COVID-19 pandemic themes to steal personal data and credentials from businesses and individuals. ・2021年、サイバー犯罪者は、企業や個人から個人データや認証情報を盗むために、COVID-19パンデミックをテーマに取り入れたFormbook、Agent Tesla、Remcosマルウェアによる大規模なフィッシングキャンペーンを実施した。
In the criminal malware industry, including malware as a service (MaaS), developers create malware that malware distributors often broker to malware end-users.[2] Developers of these top 2021 malware strains continue to support, improve, and distribute their malware over several years. Malware developers benefit from lucrative cyber operations with low risk of negative consequences. Many malware developers often operate from locations with few legal prohibitions against malware development and deployment. Some developers even market their malware products as legitimate cyber security tools. For example, the developers of Remcos and Agent Tesla have marketed the software as legitimate tools for remote management and penetration testing. Malicious cyber actors can purchase Remcos and Agent Tesla online for low cost and have been observed using both tools for malicious purposes. マルウェア・アズ・ア・サービス(MaaS)を含む犯罪用マルウェア業界では、開発者が作成したマルウェアを、マルウェア配布業者がマルウェアのエンドユーザに仲介するケースが多く見られる[2]。 これらの2021年トップレベルのマルウェア株の開発者は、数年にわたってマルウェアのサポート、改善、配布を続けている。マルウェア開発者は、悪影響を及ぼすリスクの低い、儲かるサイバーオペレーションから利益を得ている。マルウェア開発者の多くは、マルウェアの開発や配備に対する法的な禁止事項がほとんどない場所で活動していることが多い。また、開発者の中には、自社のマルウェア製品を正当なサイバーセキュリティツールとして販売する者もいる。例えば、RemcosやAgent Teslaの開発者は、これらのソフトウェアを遠隔管理や侵入テストのための合法的なツールとして販売している。悪意のあるサイバーアクターは、RemcosとAgent Teslaをオンラインで安価に購入することができ、両ツールを悪意のある目的で使用していることが確認されている。
Top Malware トップマルウェア
Agent Tesla エージェント テスラ
Overview: Agent Tesla is capable of stealing data from mail clients, web browsers, and File Transfer Protocol (FTP) servers. This malware can also capture screenshots, videos, and Windows clipboard data. Agent Tesla is available online for purchase under the guise of being a legitimate tool for managing your personal computer. Its developers continue to add new functionality, including obfuscation capabilities and targeting additional applications for credential stealing.[3][4] 概要:Agent Teslaは、メールクライアント、ウェブブラウザ、およびファイル転送プロトコル(FTP)サーバからデータを盗み出すことができる。また、このマルウェアは、スクリーンショット、ビデオ、およびWindowsのクリップボードデータをキャプチャすることができる。Agent Tesla は、個人的なコンピュータを管理するための正当なツールであるかのように装って、オンラインで購入することができる。その開発者は、難読化機能を含む新しい機能を追加し続け、資格情報窃盗のための追加のアプリケーションをターゲットにしている[3][4]。
Active Since: 2014 活動開始時期:2014年
Malware Type: RAT マルウェアの種類:RAT
Delivery Method: Often delivered as a malicious attachment in phishing emails. 配信方法:多くの場合、フィッシングメールの悪意のある添付ファイルとして配信される。
Resources: See the MITRE ATT&CK page on Agent Tesla. リソース:Agent Tesla に関する MITRE ATT&CK のページを参照。
AZORult AZORult
Overview: AZORult is used to steal information from compromised systems. It has been sold on underground hacker forums for stealing browser data, user credentials, and cryptocurrency information. AZORult’s developers are constantly updating its capabilities.[5][6] 概要:AZORultは、感染したシステムから情報を盗むために使用される。ブラウザデータ、ユーザー認証情報、暗号通貨情報を盗むために、アンダーグラウンドハッカーフォーラムで販売されている。AZORultの開発者は、その機能を常に更新している[5][6]。
Active Since: 2016 活動開始時期:2016年
Malware Type: Trojan マルウェアの種類:トロイの木馬
Delivery Method: Phishing, infected websites, exploit kits (automated toolkits exploiting known software vulnerabilities), or via dropper malware that downloads and installs AZORult. 配信方法:フィッシング、感染したWebサイト、エクスプロイトキット(既知のソフトウェアの脆弱性を悪用する自動ツールキット)、またはAZORultをダウンロードおよびインストールするドロッパーマルウェアを経由する。
Resources: See the MITRE ATT&CK page on AZORult and the Department of Health and Human Services (HHS)’s AZORult brief. リソース:AZORult に関する MITRE ATT&CK のページ、および保健社会福祉省(HHS)の AZORult 概要を参照。
FormBook FormBook
Overview: FormBook is an information stealer advertised in hacking forums. ForrmBook is capable of key logging and capturing browser or email client passwords, but its developers continue to update the malware to exploit the latest Common Vulnerabilities and Exposures (CVS)[7], such as CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability.[8][9] 概要:FormBookは、ハッキング・フォーラムで宣伝されている情報窃盗犯である。ForrmBookは、キーロギングとブラウザまたはメールクライアントのパスワードのキャプチャが可能であるが、その開発者は、CVE-2021-40444 Microsoft MSHTMLリモートコード実行脆弱性などの最新のCommon Vulnerabilities and Exposures (CVS)[7] を利用するためにマルウェアの更新を続けている[8][9]。
Active Since: At least 2016 活動開始時期:少なくとも2016年
Malware Type: Trojan マルウェアの種類:トロイの木馬
Delivery Method: Usually delivered as an attachment in phishing emails. 配信方法:通常、フィッシングメールの添付ファイルとして配信される。
Resources: See Department of Health and Human Services (HHS)’s Sector Note on Formbook Malware Phishing Campaigns. リソース:米国保健社会福祉省(HHS)のSector Note on Formbook Malware Phishing Campaignsを参照。
Ursnif Ursnif
Overview: Ursnif is a banking Trojan that steals financial information. Also known as Gozi, Ursnif has evolved over the years to include a persistence mechanism, methods to avoid sandboxes and virtual machines, and search capability for disk encryption software to attempt key extraction for unencrypting files.[10][11][12] Based on information from trusted third parties, Ursnif infrastructure is still active as of July 2022. 概要:Ursnifは、金融情報を盗むバンキング型トロイの木馬である。Goziとしても知られるUrsnifは、長年にわたり進化を続け、永続化メカニズム、サンドボックスや仮想マシンを回避する手法、ディスク暗号化ソフトウェアの検索機能を備え、暗号化されていないファイルの鍵抽出を試みます[10][11][12] 信頼できる第三者からの情報に基づいて、Ursnifインフラは2022年7月の時点でまだアクティブな状態であるとされている。
Active Since: 2007 活動開始時期:2007年
Malware Type: Trojan マルウェアの種類:トロイの木馬
Delivery Method: Usually delivered as a malicious attachment to phishing emails. 配信方法:通常、フィッシングメールに悪意のある添付ファイルとして配信される。
Resources: See the MITRE ATT&CK page on Ursnif. リソース:Ursnif に関する MITRE ATT&CK のページを参照。
LokiBot LokiBot
Overview: LokiBot is a Trojan malware for stealing sensitive information, including user credentials, cryptocurrency wallets, and other credentials. A 2020 LokiBot variant was disguised as a launcher for the Fortnite multiplayer video game.[13][14] 概要:LokiBot は、ユーザー認証情報、暗号通貨ウォレットなどの機密情報を盗み出すためのトロイの木馬型マルウェアである。2020年のLokiBotの亜種は、マルチプレイヤービデオゲーム「Fortnite」のランチャーとして偽装されていました[13][14]。
Active Since: 2015 活動開始時期:2015年
Malware Type: Trojan マルウェアの種類:トロイの木馬
Delivery Method: Usually delivered as a malicious email attachment. 配信方法:通常、悪意のある電子メールの添付ファイルとして配信される。
Resources: See CISA’s LokiBot Malware alert and the MITRE ATT&CK page on LokiBot. リソース:CISA の LokiBot マルウェア警告および LokiBot に関する MITRE ATT&CK のページを参照。
MOUSEISLAND MOUSEISLAND
Overview: MOUSEISLAND is usually found within the embedded macros of a Microsoft Word document and can download other payloads. MOUSEISLAND may be the initial phase of a ransomware attack.[15] 概要:MOUSEISLAND は通常、Microsoft Word ドキュメントの埋め込みマクロ内に存在し、他のペイロードをダウンロードすることができる。MOUSEISLANDは、ランサムウェア攻撃の初期段階である可能性がある[15]。
Active Since: At least 2019 活動開始時期:少なくとも2019年
Malware Type: Macro downloader マルウェアの種類:マクロダウンローダ
Delivery Method: Usually distributed as an email attachment. 配信方法:通常、電子メールの添付ファイルとして配布される。
Resources: See Mandiant’s blog discussing MOUSEISLAND. リソース:MOUSEISLAND について説明した Mandiant のブログを参照。
NanoCore NanoCore
Overview: NanoCore is used for stealing victims’ information, including passwords and emails. NanoCore could also allow malicious users to activate computers’ webcams to spy on victims. Malware developers continue to develop additional capabilities as plug-ins available for purchase or as a malware kit or shared amongst malicious cyber actors.[16][17][18] 概要:NanoCoreは、パスワードや電子メールなど、被害者の情報を盗むために使用される。また、悪意のあるユーザがコンピュータのウェブカメラを起動し、被害者を監視することも可能である。マルウェア開発者は、購入可能なプラグインとして、またはマルウェアキットとして、あるいは悪意のあるサイバーアクター間で共有される機能として、さらなる開発を続けている[16][17][18]。
Active Since: 2013 活動開始:2013年
Malware Type: RAT マルウェアの種類:RAT
Delivery Method: Has been delivered in an email as an ISO disk image within malicious ZIP files; also found in malicious PDF documents hosted on cloud storage services. 配信方法:クラウドストレージサービスにホストされている悪意のあるPDF文書でも確認されている。
Resources: See the MITRE ATT&CK page on NanoCore and the HHS Sector Note: Remote Access Trojan Nanocore Poses Risk to HPH Sector. リソース:MITRE ATT&CK の NanoCore および HHS Sector Note: Remote Access Trojan Nanocore Poses Risk to HPH Sector のページを参照。
Qakbot Qakbot
Overview: originally observed as a banking Trojan, Qakbot has evolved in its capabilities to include performing reconnaissance, moving laterally, gathering and exfiltrating data, and delivering payloads. Also known as QBot or Pinksliplot, Qakbot is modular in nature enabling malicious cyber actors to configure it to their needs. Qakbot can also be used to form botnets.[19][20] 概要:当初はバンキング型トロイの木馬として観測されたQakbotは、偵察の実行、横方向への移動、データの収集と流出、ペイロードの配信など、その機能を進化させている。Qakbotは、QBotまたはPinksliplotとしても知られており、悪意のあるサイバーアクターがニーズに合わせて設定できるよう、モジュール化されている。また、Qakbotはボットネットを形成するために使用されることもある[19][20]。
Active Since: 2007 活動開始:2007年
Malware Type: Trojan マルウェアの種類:トロイの木馬
Delivery Method: May be delivered via email as malicious attachments, hyperlinks, or embedded images. 配信方法:悪意のある添付ファイル、ハイパーリンク、または埋め込み画像として電子メール経由で配信されることがある。
Resources: See the MITRE ATT&CK page on Qakbot and the Department of Health and Human Services (HHS) Qbot/Qakbot Malware brief. リソース:Qakbot に関する MITRE ATT&CK のページおよび米国保健社会福祉省(HHS)の Qbot/Qakbot Malware brief を参照。
Remcos Remcos
Overview: Remcos is marketed as a legitimate software tool for remote management and penetration testing. Remcos, short for Remote Control and Surveillance, was leveraged by malicious cyber actors conducting mass phishing campaigns during the COVID-19 pandemic to steal personal data and credentials. Remcos installs a backdoor onto a target system. Malicious cyber actors then use the Remcos backdoor to issue commands and gain administrator privileges while bypassing antivirus products, maintaining persistence, and running as legitimate processes by injecting itself into Windows processes.[21][22] 概要:Remcos は、リモート管理および侵入テストのための正規のソフトウェアツールとして販売されている。Remcos は Remote Control and Surveillance の略で、COVID-19 の流行時に悪意のあるサイバーアクターが個人データや認証情報を盗むために大量のフィッシングキャンペーンを行った際に利用された。Remcosは、標的のシステムにバックドアをインストールする。悪意のあるサイバーアクターは、Remcosバックドアを使用してコマンドを発行し、管理者権限を取得する一方で、アンチウイルス製品を回避し、持続性を維持し、Windowsプロセスに自身を注入することで正規のプロセスとして実行する[21][22]。
Active Since: 2016 活動開始時期:2016年
Malware Type: RAT マルウェアの種類:RAT
Delivery Method: Usually delivered in phishing emails as a malicious attachment. 配信方法:通常、悪意のある添付ファイルとしてフィッシングメールで配信される。
Resources: See the MITRE ATT&CK page on Remcos. リソース:Remcos に関する MITRE ATT&CK のページを参照。
TrickBot TrickBot
Overview: TrickBot malware is often used to form botnets or enabling initial access for the Conti ransomware or Ryuk banking trojan. TrickBot is developed and operated by a sophisticated group of malicious cyber actors and has evolved into a highly modular, multi-stage malware. In 2020, cyber criminals used TrickBot to target the Healthcare and Public Health (HPH) Sector and then launch ransomware attacks, exfiltrate data, or disrupt healthcare services. Based on information from trusted third parties, TrickBot’s infrastructure is still active in July 2022 .[23][24][25][26] 概要:TrickBot マルウェアは、ボットネットの形成や、Conti ランサムウェアまたは Ryuk バンキング型トロイの木馬の初期アクセスを可能にするためによく使用される。TrickBotは、悪意のあるサイバーアクターの洗練されたグループによって開発および運用されており、高度にモジュール化された多段階のマルウェアに進化している。2020年、サイバー犯罪者はTrickBotを使用して、ヘルスケアおよびパブリックヘルス(HPH)セクターを標的とし、その後、ランサムウェア攻撃、データの流出、またはヘルスケアサービスの妨害を行っている。信頼できる第三者からの情報に基づいて、TrickBotのインフラストラクチャは2022年7月現在もアクティブである[23][24][25][26]。
Active Since: 2016 活動開始時期:2016年
Malware Type: Trojan マルウェアの種類:トロイの木馬
Delivery Method: Usually delivered via email as a hyperlink. 配信方法:通常、ハイパーリンクとして電子メールで配信される。
Resources: See the MITRE ATT&CK page on Trickbot and the Joint CSA on TrickBot Malware. リソース:Trickbot に関する MITRE ATT&CK のページおよび TrickBot マルウェアに関する Joint CSA を参照。
GootLoader GootLoader
Overview: GootLoader is a malware loader historically associated with the GootKit malware. As its developers updated its capabilities, GootLoader has evolved from a loader downloading a malicious payload into a multi-payload malware platform. As a loader malware, GootLoader is usually the first-stage of a system compromise. By leveraging search engine poisoning, GootLoader’s developers may compromise or create websites that rank highly in search engine results, such as Google search results.[27] 概要:GootLoader は、歴史的に GootKit マルウェアに関連するマルウェア ローダーである。開発者がその機能を更新するにつれ、GootLoaderは、悪意のあるペイロードをダウンロードするローダーから、マルチペイロードマルウェアプラットフォームへと進化している。GootLoaderは、通常、ローダー型マルウェアとして、システム侵害の第一段階を担いる。検索エンジンのポイズニングを活用することで、GootLoaderの開発者は、Googleの検索結果など、検索エンジンの結果で上位にランクされるWebサイトを侵害したり、作成したりすることがある[27]。
Active Since: At least 2020 活動開始時期:少なくとも2020年
Malware Type: Loader マルウェアの種類:ローダー
Delivery Method: Malicious files available for download on compromised websites that rank high as search engine results 配信方法:配信方法:検索エンジンの検索結果で上位にランクインする侵害されたWebサイト上でダウンロード可能な悪質なファイル
Resources: See New Jersey’s Cybersecurity & Communications Integration Cell (NJCCIC) page on GootLooader and BlackBerry’s Blog on GootLoader. リソース:GootLooader に関する New Jersey's Cybersecurity & Comunications Integration Cell (NJCCIC) のページおよび GootLoader に関する BlackBerry 社のブログを参照。
Mitigations 軽減措置
Below are the steps that CISA and ACSC recommend organizations take to improve their cybersecurity posture based on known adversary tactics, techniques, and procedures (TTPs). CISA and ACSC urge critical infrastructure organizations to prepare for and mitigate potential cyber threats immediately by (1) updating software, (2) enforcing MFA, (3) securing and monitoring RDP and other potentially risky services, (4) making offline backups of your data, and (5) providing end-user awareness and training. 以下は、CISA と ACSC が、既知の敵の戦術、技術、手順 (TTP) に基づいて、サイバーセキュリティの姿勢を改善するために組織に推奨する手順である。CISA と ACSC は、重要インフラストラクチャ組織に対し、(1) ソフトウェアのアップデート、(2) MFA の実施、(3) RDP など潜在的にリスクの高いサービスの保護と監視、(4) データのオフラインバックアップ、(5) ユーザの認識とトレーニングなど、潜在的サイバー脅威に対する準備と軽減を早急に行うよう促している。
Update software, including operating systems, applications, and firmware, on IT network assets. Prioritize patching known exploited vulnerabilities and critical and high vulnerabilities that allow for remote code execution or denial-of-service on internet-facing equipment. ITネットワーク資産のOS、アプリケーション、ファームウェアなどのソフトウェアを更新する。インターネットに接続された機器において、既知の悪用される脆弱性、リモートでのコード実行やサービス拒否を可能にする重要かつ高度な脆弱性に対して、優先的にパッチを適用する。
Consider using a centralized patch management system. 集中型パッチ管理システムの利用を検討する。
Consider signing up for CISA’s cyber hygiene services, including vulnerability scanning, to help reduce exposure to threats. CISA’s vulnerability scanning service evaluates external network presence by executing continuous scans of public, static IP addresses for accessible services and vulnerabilities. 脆弱性スキャンを含むCISAのサイバーハイジーンサービスへの加入を検討し、脅威への露出を減らす。CISAの脆弱性スキャンサービスは、公開されている静的IPアドレスに対して、アクセス可能なサービスや脆弱性のスキャンを継続的に実行することで、外部ネットワークの存在を評価する。
Enforce MFA to the greatest extent possible and require accounts with password logins, including service accounts, to have strong passwords. Do not allow passwords to be used across multiple accounts or stored on a system to which an adversary may have access. Additionally, ACSC has issued guidance on implementing multifactor authentication for hardening authentication systems. 可能な限りMFAを実施し、サービスアカウントなどパスワードログインが必要なアカウントには強力なパスワードを要求する。パスワードを複数のアカウントで使用したり、敵対者がアクセスできるシステムに保存したりしないようにする。さらに、ACSCは、認証システムを堅牢化するための多要素認証の実装に関するガイダンスを発行している。
If you use RDP and/or other potentially risky services, secure and monitor them closely. RDP exploitation is one of the top initial infection vectors for ransomware, and risky services, including RDP, can allow unauthorized access to your session using an on-path attacker. RDPやその他の潜在的にリスクの高いサービスを使用している場合は、それらの安全性を確保し、厳重に監視する。RDPの悪用は、ランサムウェアの最初の感染経路の上位の一つであり、RDPを含むリスクの高いサービスは、オンパス攻撃者を使用してセッションに不正にアクセスすることを可能にする。
Limit access to resources over internal networks, especially by restricting RDP and using virtual desktop infrastructure. After assessing risks, if RDP is deemed operationally necessary, restrict the originating sources, and require MFA to mitigate credential theft and reuse. If RDP must be available externally, use a virtual private network (VPN) or other means to authenticate and secure the connection before allowing RDP to connect to internal devices. Monitor remote access/RDP logs, enforce account lockouts after a specified number of attempts to block brute force attempts, log RDP login attempts, and disable unused remote access/RDP ports. 特にRDPの制限や仮想デスクトップインフラの利用により、内部ネットワーク経由のリソースへのアクセスを制限する。リスクを評価した上で、RDP が業務上必要と判断される場合は、発信元を制限し、MFA を要求してクレデンシャルの盗難と再利用を軽減する。RDPを外部から利用する必要がある場合は、仮想プライベートネットワーク(VPN)などを利用して認証し、接続を安全にした上で、RDPによる内部デバイスへの接続を許可する。リモートアクセス/RDPのログを監視し、ブルートフォースの試行をブロックするために指定回数の試行後にアカウントのロックアウトを実施し、RDPログイン試行を記録し、未使用のリモートアクセス/RDPポートを無効化する。
Ensure devices are properly configured and that security features are enabled. Disable ports and protocols that are not being used for a business purpose (e.g., RDP Transmission Control Protocol Port 3389).  デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。ビジネスで使用されていないポートやプロトコルを無効にする(例:RDP Transmission Control Protocol Port 3389)。 
Maintain offline (i.e., physically disconnected) backups of data. Backup procedures should be conducted on a frequent, regular basis (at a minimum every 90 days). Regularly test backup procedures and ensure that backups are isolated from network connections that could enable the spread of malware. データのオフライン(物理的に切断された状態)バックアップを維持する。バックアップの手順は、頻繁に、定期的に(最低でも90日ごとに)実施すること。定期的にバックアップ手順をテストし、バックアップがマルウェアの拡散を可能にするネットワーク接続から分離されていることを確認する。
Ensure the backup keys are kept offline as well, to prevent them being encrypted in a ransomware incident. バックアップキーがランサムウェアのインシデントで暗号化されるのを防ぐため、オフラインで保管されていることも確認する。
Ensure all backup data is encrypted, immutable (i.e., cannot be altered or deleted), and covers the entire organization’s data infrastructure with a particular focus on key data assets. バックアップデータは暗号化され、変更・削除ができないようにし、主要なデータ資産に特に重点を置いて、組織のデータインフラ全体をカバーするようにする。
Provide end-user awareness and training to help prevent successful targeted social engineering and spearphishing campaigns. Phishing is one of the top infection vectors for ransomware. エンドユーザーの意識向上とトレーニングにより、ソーシャル・エンジニアリングやスピアフィッシングの成功防止に努める。フィッシングは、ランサムウェアの最も重要な感染経路の一つである。
Ensure that employees are aware of potential cyber threats and delivery methods. 従業員が、潜在的なサイバー脅威とその伝達方法について認識するよう徹底する。
Ensure that employees are aware of what to do and whom to contact when they receive a suspected phishing email or suspect a cyber incident. フィッシングの疑いのあるメールを受け取ったとき、またはサイバーインシデントが疑われるときに、従業員が何をすべきか、誰に連絡すべきかを認識するようにする。
As part of a longer-term effort, implement network segmentation to separate network segments based on role and functionality. Network segmentation can help prevent the spread of ransomware and threat actor lateral movement by controlling traffic flows between—and access to—various subnetworks. The ACSC has observed ransomware and data theft incidents in which Australian divisions of multinational companies were impacted by ransomware incidents affecting assets maintained and hosted by offshore divisions outside their control. 長期的な取り組みの一環として、役割や機能に応じてネットワークセグメントを分離するネットワークセグメンテーションを実施する。ネットワーク・セグメンテーションは、様々なサブネットワーク間のトラフィックフローやアクセスを制御することにより、ランサムウェアの拡散や脅威者の横移動を防止することができる。ACSC は、多国籍企業のオーストラリア部門が、自社の管理外のオフショア部門が管理・ホストする資産に影響を与えたランサムウェアおよびデータ盗難事件を観察している。
RESOURCES リソース
For alerts on malicious and criminal cyber activity, see the FBI Internet Crime Complaint Center webpage. 悪質なサイバー犯罪に関するアラートについては、FBIインターネット犯罪相談センターのウェブページを参照。
For more information and resources on protecting against and responding to ransomware, refer to StopRansomware.gov, a centralized, U.S. Government webpage providing ransomware resources and alerts. ランサムウェアからの保護と対応に関する詳細な情報とリソースについては、ランサムウェアのリソースとアラートを提供する米国政府の集中型ウェブページである StopRansomware.gov を参照。
The ACSC recommends organizations implement eight essential mitigation strategies from the ACSC’s Strategies to Mitigate Cyber Security Incidents as a cybersecurity baseline. These strategies, known as the “Essential Eight,” make it much harder for adversaries to compromise systems. ACSC は、サイバーセキュリティの基本方針として、ACSC の「Strategies to Mitigate Cyber Security Incidents」にある 8 つの重要な緩和策を実施することを組織に推奨している。これらの戦略は「エッセンシャルエイト」として知られ、敵対者がシステムを侵害することをより困難にする。
Refer to the ACSC’s practical guides on how to protect yourself against ransomware attacks and what to do if you are held at ransom at cyber.gov.au . ランサムウェア攻撃から身を守る方法と身代金を要求された場合の対処法については、ACSCの実践的なガイドcyber.gov.auを参照。

 

オーストラリアの発表

Australian Cyber Security Centre: ACSC

・2022.08.05 2021 Top Malware Strains

 

 

| | Comments (0)

2022.08.07

デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

こんにちは、丸山満彦です。

4月26日にデジタル市場競争会議 ワーキンググループから突如提案された、「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関するパブコメの結果と、今後検討すべき課題についての議論が、第38回 デジタル市場競争会議 ワーキンググループ で行われたようですね。。。


論点は幅広く、その影響も国内だけでなく国際的ですから、もう少しオープンな議論がされた方が良いように思ったりもしますが、どうなんでしょうかね。。。

参入障壁が高く(分野によってはそうではないところもあるでしょうが...)、規模の経済が働きやすい領域ですから、自然と寡占市場が形成されていく状況で、技術的な問題もあり消費者が情報を全て理解した上で行動することも難しく、かつ、公共財的な側面(安全保障等)もあるという中で、適切な解を見つけるというのも難しので、適切な解を模索する過程を多くの国民に参加してもらうことによって、進めることが重要なのだろうと思います。

もちろん、時間がかかることでしょうが、だからと言って、一部の政府関係者や利害関係者の意見に沿って議論が進んでいくのは良くないのだろうと思います。今回はパブリックコメントを募集し、それなりの数が集まったようですので、それを踏まえた、真摯な議論が必要でしょうね。また、まだまだ周知がされていないように思いますので、多くの国民が議論を進めていければと思います。

Web3とかの技術がどれほどの社会的インパクトがあるかはよくわかっていませんが、こういう国民生活全体に影響が及ぶようなことに、そういう技術が使えると良いのかもしれませんね。。。

 

官邸デジタル市場競争本部 - デジタル市場競争会議 ワーキンググループ

・2022.08.05 第38回

  1. 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見

  2. 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」の今後検討すべき課題について

 ・配布資

20220807-65219

20220807-65333

 

 

セキュリティやプライバシーに関係するところでは、例えばサイドローディングの問題があるのですが、、、

ここについては、後でもう少し確認しておこうと思いました。。。

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

英国

・2022.06.12 英国 競争市場局 モバイルエコシステムに関する市場調査 最終報告と今後

 

中国

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

日本

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2022.05.26 意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

 

 

その他。。。

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

 

Continue reading "デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等"

| | Comments (0)

2022.08.01

ENISA ランサムウェアについての脅威状況

こんにちは、丸山満彦です。

ENISAが過去のランサムウェア被害を分析した報告書を公表していますね。学ぶことが多いように思います。。。

 

ENISA

・2022.07.29 Ransomware: Publicly Reported Incidents are only the tip of the iceberg

 

・2022.07.29 ENISA Threat Landscape for Ransomware Attacks

 

・[PDF

20220801-70449

目次

1. INTRODUCTION 1. はじめに
2. FOCUS ON RANSOMWARE 2. ランサムウェアへの注目
2.1 DEFINING RANSOMWARE 2.1 ランサムウェアの定義
2.2 TYPES OF RANSOMWARE 2.2 ランサムウェアの種類
2.3 LEDS ACTIONS 2.3 導入されたアクション
2.3.1 Lock 2.3.1 ロック
2.3.2 Encrypt 2.3.2 暗号化
2.3.3 Delete 2.3.3 削除
2.3.4 Steal 2.3.4 窃盗
2.4 ASSETS TARGETED BY RANSOMWARE 2.4 ランサムウェアの標的となる資産
3. RANSOMWARE LIFE CYCLEE 3. ランサムウェアのライフサイクル
3.1 INITIAL ACCESS 3.1 初期アクセス
3.2 EXECUTION 3.2 実行
3.3 ACTION ON OBJECTIVES 3.3 目標達成のための行動
3.4 BLACKMAIL 3.4 ブラックメール
3.5 RANSOM NEGOTIATION 3.5 身代金交渉
4. RANSOMWARE BUSINESS MODELS 4. ランサムウェアのビジネスモデル
4.1 INDIVIDUAL ATTACKERS 4.1 個人攻撃者
4.2 GROUP THREAT ACTORS 4.2 グループ脅威アクター
4.3 RANSOMWARE-AS-A-SERVICE 4.3 ランサムウェア・アズ・ア・サービス
4.4 DATA BROKERAGE 4.4 データ仲介者
4.5 NOTORIETY AS KEY TO A SUCCESSFUL RANSOMWARE BUSINESS 4.5 ランサムウェアビジネスの成功の鍵となる悪評
5. ANALYSIS OF RANSOMWARE INCIDENTS 5. ランサムウェアインシデントの分析
5.1 DATA SAMPLING TECHNIQUE 5.1 データサンプリング技術
5.2 STATISTICS ABOUT THE INCIDENTS 5.2 インシデントに関する統計
5.3 VOLUME OF DATA STOLEN 5.3 盗まれたデータ量
5.4 AMOUNT OF LEAKED DATA 5.4 漏えいしたデータ量
5.5 TYPE OF LEAKED DATA 5.5 漏えいしたデータの種類
5.6 PERSONAL DATA 5.6 個人情報
5.7 NON-PERSONAL DATA 5.7 非個人情報
5.8 INCIDENTS PER COUNTRY 5.8 国別インシデント
5.9 INITIAL ACCESS TECHNIQUES 5.9 初期アクセス技術
5.10 PAID RANSOM 5.10 身代金支払額
5.11 INCIDENTS IN EACH TYPE OF SECTOR 5.11 各業種におけるインシデント
5.12 NUMBER OF INCIDENTS CAUSED BY EACH THREAT ACTOR 5.12 各脅威アクターが引き起こしたインシデント数
5.13 TIMELINE OF RANSOMWARE INCIDENTS 5.13 ランサムウェア・インシデントのタイムライン
6. RECOMMENDATIONS 6. 推奨事項
6.1 RESILIENCE AGAINST RANSOMWARE 6.1 ランサムウェアへの耐性
6.2 RESPONDING TO RANSOMWARE 6.2 ランサムウェアへの対応
7. CONCLUSIONS 7. 結論
7.1 LACK OF RELIABLE DATA 7.1 信頼できるデータの欠如
7.2 THREAT LANDSCAPE 7.2 脅威の状況
APPENDIX A: NOTABLE INCIDENTS 附属書A:注目すべきインシデント
A.1 COLONIAL PIPELINE RANSOMWARE INCIDENT A.1 コロニアルパイプライン・ランサムウェア事件
A.2 KASEYA A.2 KASEYA

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
During the last decade ransomware has become one of the most devastating types of attacks, impacting organisations of all sizes worldwide. Quickly adapting to new business models with advanced threat actors leveraging the cybercrime ecosystem for a better distribution of labour, ransomware has managed to increase its reach and impact significantly. No business is safe.  過去10年間、ランサムウェアは最も破壊的なタイプの攻撃の1つとなり、世界中のあらゆる規模の組織に影響を及ぼしてきた。高度な脅威を持つ企業がサイバー犯罪のエコシステムを活用し、より良い労働力を分配することで、新しいビジネスモデルに素早く適応し、ランサムウェアはその範囲と影響を大幅に拡大させることに成功した。どの企業も安全ではない。 
This report aims to bring new insights into the reality of ransomware incidents through mapping and studying ransomware incidents from May 2021 to June 2022. The findings are grim. Ransomware has adapted and evolved, becoming more efficient and causing more devastating attacks. Businesses should be ready not only for the possibility of their assets being targeted by ransomware but also to have their most private information stolen and possibly leaked or sold on the Internet to the highest bidder.   本報告書は、2021年5月から2022年6月までのランサムウェア・インシデントをマッピングして調査することで、ランサムウェア・インシデントの実態に新たな知見をもたらすことを目的としている。調査結果は厳しいものである。ランサムウェアは適応と進化を遂げ、より効率的になり、より壊滅的な攻撃を引き起こすようになった。企業は、自社の資産がランサムウェアに狙われる可能性だけでなく、最もプライベートな情報が盗まれ、インターネット上で最も高い入札者に漏えいまたは売却される可能性があることに備える必要がある。  
The main highlights of the report include the following:  本報告書の主な内容は以下のとおりである。 
•       A novel LEDS matrix (Lock, Encrypt, Delete, Steal) that accurately maps ransomware capabilities based on the actions performed and assets targeted;  •       ランサムウェアの能力を、実行されたアクションと標的となった資産に基づいて正確にマッピングする、新しいLEDSマトリクス(ロック:Lock, 暗号化:Encrypt, 削除:Delete, 窃盗:Steal)である。 
•       A detailed and in-depth analysis of the ransomware life cycle: initial access, execution, action on objectives, blackmail, and ransom negotiation;  •       ランサムウェアのライフサイクル(初期アクセス、実行、目標達成のための行動、脅迫、身代金交渉)を詳細かつ徹底的に分析する。 
•       Collection and in-depth analysis of 623 ransomware incidents from May 2021 to June 2022;   •       2021年5月から2022年6月までのランサムウェア623件のインシデントの収集と詳細な分析。  
•       More than 10 terabytes of data stolen monthly by ransomware from targeted organisations;  •       ランサムウェアによって、標的となった組織から毎月10テラバイト以上のデータが盗まれている。 
•       Approximately 58.2% of all the stolen data contains GDPR personal data based on this analysis;  •       この分析に基づき、盗まれたデータ全体の約58.2%にGDPRの個人データが含まれている。 
•       In 95.3% of the incidents it is not known how threat actors obtained initial access into the target organisation;  •       95.3%のインシデントにおいて、脅威アクターがターゲット組織への最初のアクセスをどのように取得したかは分かっていない。 
•       It is estimated that more than 60% of affected organisations may have paid ransom demands;  •       被害を受けた組織の60%以上が身代金要求額を支払った可能性があると推定されている。 
•       At least 47 unique ransomware threat actors were found.  •       少なくとも47のユニークなランサムウェアの脅威アクターが発見された。 
The report also highlights issues with the reporting of ransomware incidents and the fact that we still have limited knowledge and information regarding such incidents. The analysis in this report indicates that publicly disclosed incidents are just the tip of the iceberg.  また、ランサムウェアのインシデントの報告に関する問題や、そのようなインシデントに関する知識や情報がまだ限られているという事実も浮き彫りになっている。本報告書の分析によると、一般に公開されているインシデントは氷山の一角に過ぎないことがわかる。 
Along with a general recommendation to contact the competent cybersecurity authorities and law enforcement in cases of ransomware attacks, several other recommendations are put forward, both to build resilience against such attacks and to mitigate their impact.  ランサムウェアに感染した場合、管轄のサイバーセキュリティ当局や法執行機関に連絡するよう一般的に推奨しているほか、こうした攻撃に対する耐性を高め、その影響を軽減するためのいくつかの推奨事項を提示している。 

 

1. INTRODUCTION  1. イントロダクション 
The threat of ransomware has consistently ranked at the top in the ENISA Threat Landscape for the past few years and, in particular, in 2021 it was assessed as being the prime cybersecurity threat across the EU[1]. Motivated mainly by greed for money, the ransomware business model has grown exponentially in the last decade[2] and it is projected to cost more than $10 trillion by 2025[3]. The evolution of the business model to a more specialised and organised distribution of labour through a cybercrime-as-a-service model has turned ransomware into a commodity. Nowadays, it seems simpler for anyone with basic technical skills to quickly perform ransomware attacks. The introduction of cryptocurrency, the fact that affected companies actually do pay the ransom, and the more efficient division of work, have greatly fuelled the growth of ransomware, generating a catastrophic global effect4,[4] ランサムウェアの脅威は、過去数年間、ENISAの脅威状況で常に上位にランクされており、特に2021年には、EU全域でサイバーセキュリティの主要な脅威であると評価された[1] 。主に金銭欲を動機とするランサムウェアのビジネスモデルは、過去10年間で指数関数的に成長し、[2] 、2025年までに10兆円以上の費用がかかると予測されている。[3] .ビジネスモデルが、サイバー犯罪・アズ・ア・サービス・モデルを通じて、より専門的かつ組織的な労働力の分配へと進化したことで、ランサムウェアは商品と化した。現在では、基本的な技術力があれば、誰でもすぐにランサムウェア攻撃を実行できるようになり、よりシンプルになったと思われる。暗号通貨の導入、被害を受けた企業が実際に身代金を支払うという事実、そしてより効率的な分業が、ランサムウェアの成長を大いに促進し、世界的に壊滅的な影響を生み出している[4] [5]
Even though ransomware is not new, technologies evolve and with them so do attacks and vulnerabilities, thus pressurising organisations to be always prepared for a ransomware attack. In many cases, staying in business requires difficult decisions, such as paying or not paying the ransom[5], since this money ends up fuelling ransomware activities. This is despite year-long and consistent recommendation not to pay ransom demands and to contact the relevant cybersecurity authorities to assist in handling such incidents.  ランサムウェアは新しいものではないが、技術は進化し、それに伴い攻撃や脆弱性も進化するため、組織は常にランサムウェア攻撃への備えをする必要に迫られている。多くの場合、ビジネスを継続するためには、身代金を払うか払わないかといった難しい決断が必要である。[6] このお金は結局ランサムウェアの活動を助長することになるためである。これは、身代金要求を支払わないこと、およびそのようなインシデントの処理を支援するために関連するサイバーセキュリティ当局に連絡することを、1年前から一貫して推奨しているにもかかわらず、である。 
This report brings new insights into the ransomware threat landscape through a careful study of 623 ransomware incidents from May 2021 to June 2022. The incidents were analysed in-depth to identify their core elements, providing answers to some important questions such as how do the attacks happen, are ransom demands being paid and which sectors are the most affected. The report focuses on ransomware incidents and not on the threat actors or tools, aiming to analyse ransomware attacks that actually happened as opposed to what could happen based on ransomware capabilities. This ransomware threat landscape has been developed on the basis of the recently published ENISA Cybersecurity Threat Landscape Methodology[6].  本報告書は、2021年5月から2022年6月までの623件のランサムウェア・インシデントを慎重に調査することで、ランサムウェアの脅威の状況に新たな洞察をもたらしている。インシデントを詳細に分析してその中核要素を特定し、攻撃がどのように発生するのか、身代金要求は支払われているのか、どの部門が最も影響を受けているのかといった重要な質問に対する答えを提供している。この報告書では、脅威の主体やツールではなく、ランサムウェアのインシデントに焦点を当て、ランサムウェアの能力に基づいて起こりうることではなく、実際に起こったランサムウェア攻撃を分析することを目的としている。このランサムウェアの脅威の状況は、最近発表されたENISA Cybersecurity Threat Landscape Methodology に基づいて作成されたものである。 [7]
The report starts by clearly defining what ransomware is since it has proven to be an elusive concept spanning various dimensions and including different stages. The definition is followed by a novel description of the types of ransomware that breaks the traditional classification and instead focuses on the four actions performed by ransomware, i.e. Lock, Encrypt, Delete, Steal (LEDS), and the assets at which these actions are aimed. By defining the types of ransomware, it is then possible to study the life cycle of ransomware and its business models. This characterisation of ransomware leads into the core of this report which is the deep analysis of 623 incidents and its summary in precise statistics. The report ends by highlighting recommendations for readers and key conclusions.  本報告書では、まず、ランサムウェアとは何かを明確に定義することから始める。この定義に続いて、ランサムウェアの種類について、従来の分類を破り、ランサムウェアが実行する4つのアクション、すなわち、ロック、暗号化、削除、窃盗(LEDS)、およびこれらのアクションが対象とする資産に焦点を当てた、新しい説明が行う。そして、ランサムウェアの種類を定義することで、ランサムウェアのライフサイクルとそのビジネスモデルを研究することが可能になる。このようにランサムウェアの特徴を把握することで、623件のインシデントを詳細に分析し、正確な統計としてまとめた本報告書の核心に迫ることができる。報告書の最後には、読者への提言と主要な結論を強調している。 
The report is structured as follows:  報告書の構成は以下の通りである。 
• Chapter 1, Introduction, provides a brief introduction to the problem of ransomware attacks and the dedicated ENISA ransomware threat landscape report;  • 第1章「はじめに」では、ランサムウェア攻撃の問題点と、専用のENISAランサムウェア脅威状況報告書について簡単に紹介している。 
• Chapter 2, Focus on Ransomware, discusses what ransomware is and its key elements, as well as proposing the LEDS matrix to accurately map ransomware capabilities based on the actions performed and assets targeted;  • 第2章「ランサムウェアにフォーカス」では、ランサムウェアとは何か、その主要な要素について説明するとともに、ランサムウェアの能力を、実行されるアクションと標的となる資産に基づいて正確にマッピングするためのLEDSマトリックスを提案している。 
• Chapter 3, Ransomware Life Cycle, gives a detailed overview of the life cycle of a ransomware attack;  • 第3章「ランサムウェアのライフサイクル」では、ランサムウェア攻撃のライフサイクルの概要を詳しく解説している。 
• Chapter 4, Ransomware Business Models, discusses the evolution of ransomware business models and how trust is the key to the ransomware business;  • 第4章「ランサムウェアのビジネスモデル」では、ランサムウェアのビジネスモデルの進化と、信頼がランサムウェアビジネスの鍵になることを解説している。 
• Chapter 5, Analysis of Ransomware Incidents, presents a detailed study of ransomware incidents from May 2021 to June 2022, including a timeline of incidents;  • 第5章「ランサムウェア・インシデントの分析」では、2021年5月から2022年6月までのランサムウェア・インシデントを時系列で詳細に調査した結果を紹介している。 
• Chapter 6, Recommendations, provides high-level recommendations to better protect against ransomware incidents;  • 第6章「推奨事項」では、ランサムウェア・インシデントからより良く保護するためのハイレベルな推奨事項を記載している。 
• Chapter 7, Conclusions, highlights the most important conclusions of the study and how they can potentially impact the future of the threat landscape.  • 第 7 章「結論」では、本調査の最も重要な結論と、それが今後の脅威の状況にどのような影響を与える可能性があ るかについて述べている。

 

[1] See https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021 , October 2021

[2] ‘2021 Trends Show Increased Globalized Threat of Ransomware | CISA’. https://www.cisa.gov/uscert/ncas/alerts/aa22040a  (accessed Jul. 02, 2022)

[3] Cybercrime To Cost The World $10.5 Trillion Annually By 2025’, Cybercrime Magazine, Dec. 08, 2018. https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/  (accessed Jul. 02, 2022) 4 Kaseya VSA ransomware attack’, Wikipedia. Apr. 07, 2022. Accessed: Jul. 02, 2022. [Online]. Available: https://en.wikipedia.org/w/index.php?title=Kaseya_VSA_ransomware_attack&oldid=1081509343 

[4] J. Dossett, ‘A timeline of the biggest ransomware attacks’, CNET. https://www.cnet.com/personal-finance/crypto/atimeline-of-the-biggest-ransomware-attacks/  (accessed Jul. 02, 2022)

[5] ‘83% of ransomware victims paid ransom: Survey’, ZDNet. https://www.zdnet.com/article/83-of-ransomware-victims-paidransom-survey/  (accessed Jul. 02, 2022)

[6] https://www.enisa.europa.eu/news/enisa-news/how-to-map-the-cybersecurity-threat-landscape-follow-the-enisa-6-stepmethodology 

 

7.   CONCLUSIONS 7. 結論
The analysis of the ransomware threat landscape from May 2021 to June 2022 resulted in some conclusions that can be regarded as takeaways for the community.   2021年5月から2022年6月までのランサムウェアの脅威状況を分析した結果、コミュニティにとって収穫とみなせる結論がいくつか得られた。  
7.1  LACK OF RELIABLE DATA  7.1  不確実なデータ 
In general, ransomware security incidents are seldom reported. Most organisations prefer to deal with the problem internally and avoid bad publicity. Some countries have laws regulating the mandatory reporting of incidents, but in most cases a security attack is first disclosed by the attacker.   一般に、ランサムウェアのセキュリティインシデントが報告されることはほとんどない。ほとんどの組織は、問題を社内で処理し、悪い評判を避けることを望んでいる。国によっては、インシデントの報告義務を規定する法律がありますが、ほとんどの場合、セキュリティ攻撃は攻撃者によって最初に公表される。  
A recent legislative initiative in the United States requires the reporting of all security incidents and ransom payments to the Department of Justice Cybersecurity and Infrastructure Security Agency (CISA)[1]. In the EU, the arrival of the revised Network and Information Security Directive 2[2] and the enhanced notification provisions for security incidents is expected to support a better understanding of relevant incidents.  米国では最近、すべてのセキュリティインシデントと身代金の支払いを司法省サイバーセキュリティおよびインフラセキュリティ局(CISA)[1] に報告することを義務付ける法律が制定された。EUでは、改訂されたネットワークと情報セキュリティ指令2[2] の到来とセキュリティインシデントの通知規定の強化により、関連インシデントの理解を深めるサポートが期待されている。 
The lack of reliable data from targeted organisations makes it very hard to fully understand the problem or even know how many ransomware cases there are. To this day, the most reliable sources for finding out which organisations have been infected are the web pages of the ransomware threat actors. This lack of transparency is not good for the industry, since the majority of the data leaked, as was found in this report, is personal data that belongs to employees and customers.  標的となる組織からの信頼できるデータがないため、問題を完全に理解することはもちろん、ランサムウェアの件数を把握することすら非常に困難である。今日に至るまで、どの組織が感染したかを知るための最も信頼できる情報源は、ランサムウェアの脅威を仕掛ける側のWebページなのである。この報告書にあるように、漏えいしたデータの大半は従業員や顧客の個人情報であるため、このような透明性の欠如は業界にとって好ましいことではない。 
Even using the data from the web pages of threat actors (an undeniably unreliable source), it is very hard to keep track of the number of attacks, particularly because a large majority is ignored by the media, goes unreported by the victims and gets no coverage. The most important information that is missing is the technical explanation as to how the attackers obtained access to the targets. This is usually private data that describes the security posture of the target, so it is never shared with the public. As a consequence, our learning as a community of the problems to be solved remains fragmented and isolated.  特に、その大部分がメディアによって無視され、被害者によっても報告されず、報道されないため、脅威アクターのウェブページからのデータ(紛れもなく信頼できないソース)を使用しても、攻撃の数を追跡することは非常に困難である。最も重要な情報は、攻撃者がどのようにしてターゲットにアクセスしたかという技術的な説明である。これは通常、ターゲットのセキュリティ状況を説明するプライベートなデータであるため、一般に公開されることはない。その結果、解決すべき問題についてのコミュニティとしての学習は、断片的で孤立したままになっている。 
Lastly, the trend in RaaS makes it hard to identify the threat actor behind an attack, since now the ransomware tool and command and control are shared between many different affiliates and threat actor groups.  最後に、RaaSのトレンドは、ランサムウェアツールとコマンド&コントロールが多くの異なる関連会社や脅威アクターグループの間で共有されているため、攻撃の背後にいる脅威アクターを特定することが困難になっている。 
7.2  THREAT LANDSCAPE  7.2  脅威の風景 
The study conducted on ransomware attacks from May 2021 to June 2022 showed that on average more than 10 terabytes of data a month were stolen by ransomware threat actors. Our research shows that 58.2% of the stolen data contains personal data from employees. Given the sensitivity of such data, coordinated actions are needed to counter this threat. Ransomware threat actors are motivated mostly in terms of the acquisition of money, which increases the complexity of the attacks and, of course, the capabilities of the adversaries.  2021年5月から2022年6月にかけて行われたランサムウェア攻撃に関する調査では、月平均10テラバイト以上のデータがランサムウェア脅威アクターに窃取されていることがわかった。当社の調査によると、盗まれたデータの58.2%に従業員の個人データが含まれている。このようなデータの機密性を考えると、この脅威に対抗するためには協調的な行動が必要である。ランサムウェアの脅威アクターは、金銭の獲得を主な動機としているため、攻撃の複雑さが増し、もちろん敵の能力も向上する。 
In 94.2% of the incidents it is not known whether the company paid the ransom or not. However, 37.88% of the incidents had their data leaked on the webpages of the attackers, indicating that the ransom negotiations failed. This allows us to estimate that approximately 62.12% of the companies might somehow have come to an agreement or solution concerning the ransom demand.  94.2%のインシデントにおいて、企業が身代金を支払ったかどうかは不明である。しかし、37.88%のインシデントでは、攻撃者のWebページにデータが漏えいしており、身代金交渉が失敗したことを示している。このことから、約62.12%の企業が身代金要求に関して何らかの合意や解決に至った可能性があると推定される。 
Ransomware is thriving, and our research shows that threat actors are conducting indiscriminate attacks. Companies of every size across all sectors are affected. Anyone can become a target. We urge organisations to prepare for ransomware attacks and consider possible consequences before attacks occur.  ランサムウェアが盛んになり、脅威アクターが無差別に攻撃していることが当社の調査で明らかになった。あらゆる分野のあらゆる規模の企業が被害を受けている。誰もがターゲットになり得るのである。私たちは、組織がランサムウェアの攻撃に備え、攻撃が発生する前に起こりうる結果を考慮することを強く推奨する。 

 

・[DOCX] 仮訳

 

 

 

 

 

 

 

| | Comments (0)

2022.07.12

IPA 情報セキュリティ白書2022

こんにちは、丸山満彦です。

2022.07.15から書籍版が販売ということのようです。。。

情報セキュリティ白書は2008年から続いていますから、今年で15周年ですね。。。

サブタイトルが、「ゆらぐ常識、強まる脅威:想定外に立ち向かえ」となっていますね。。。

 

IPA

・2022.07.11 情報セキュリティ白書2022 7月15日発売(予定)

20220711-214649

 


情報セキュリティ分野の動向を反映した最新刊のおすすめトピックは以下の通りです。

  • 内部不正防止対策の動向
  • 個人情報保護法改正
  • クラウドの情報セキュリティ
  • 中小企業に向けた情報セキュリティ支援策
  • 米国の政策(重要インフラに対する脅威動向、情報発信の規制と課題など)
  • 欧州の政策(サイバーセキュリティおよびセキュリティガバナンスに関する政策、GDPRの運用状況など)

 

目次...

序章 2021年度の情報セキュリティの概況
第1章 情報セキュリティインシデント・脆弱性の現状と対策
1.1 2021年度に観測されたインシデント状況
1.2 情報セキュリティインシデント別の手口と対策
1.3 情報システムの脆弱性の動向
第2章 情報セキュリティを支える基盤の動向
2.1 国内の情報セキュリティ政策の状況
2.2 国外の情報セキュリティ政策の状況
2.3 情報セキュリティ人材の現状と育成
2.4 組織・個人における情報セキュリティの取り組み
2.5 情報セキュリティの普及啓発活動
2.6 国際標準化活動
2.7 安全な政府調達に向けて
2.8 その他の情報セキュリティ動向
第3章 個別テーマ
3.1 制御システムの情報セキュリティ
3.2 IoTの情報セキュリティ
3.3 クラウドの情報セキュリティ
3.4 米国・欧州の情報セキュリティ政策
付録 資料・ツール
資料A 2021年のコンピュータウイルス届出状況
資料B 2021年のコンピュータ不正アクセス届出状況
資料C ソフトウェア等の脆弱性関連情報に関する届出状況
資料D 2021年の情報セキュリティ安心相談窓口の相談状況
IPAの便利なセキュリティツール
第17回 IPA「ひろげよう情報モラル・セキュリティコンクール」2021 受賞作品

 

情報セキュリティ白書

過去のバックアップ

年度 サブタイトル 全文
2022 ゆらぐ常識、強まる脅威:想定外に立ち向かえ  
2021 進むデジタル、広がるリスク:守りの基本を見直そう PDF
2020 変わる生活、変わらぬ脅威:自らリスクを考え新しい行動を PDF
2019 新しい基盤、巧妙化する攻撃:未知のリスクに対応する力 PDF
2018 深刻化する事業への影響:つながる社会で立ち向かえ PDF
2017 広がる利用、見えてきた脅威:つながる社会へ着実な備えを  
2016 今そこにある脅威:意識を高め実践的な取り組みを  
2015 サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を  
2014 もはや安全ではない:高めようリスク感度  
2013 つながる機器に広がる脅威:求められる一人ひとりの意識の向上  
2012 狙われる機密情報:求められる情報共有体制の整備  
2011 広がるサイバー攻撃の脅威:求められる国際的な対応  
2010 広まる脅威・多様化する攻撃:求められる新たな情報セキュリティ対策  
2009 岐路に立つ情報セキュリティ対策:求められるIT活用との両立  
2008 脅威が見えない脅威-求められるプロアクティブな対策  

 

Continue reading "IPA 情報セキュリティ白書2022"

| | Comments (0)

より以前の記事一覧