ウイルス

2022.07.04

英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター長(National Cyber Security Centre CEO)が、テルアビブで開催されたCyber Weekに登壇し、演説したことが、公表されていますね。。。

次のことが重要なのでしょうかね。。。

・学術界、産業界、政府間の連携

・(ウクライナへのロシア侵攻以後であっても)ランサムウェアは世界最大のサイバー脅威であり続けている

・回復力(レジリエンス)とそのための準備が重要である。

あと、末尾に2022.05.19に英国のSuella Braverman司法長官 [wikipedia] のInternational Law in Future Frontiers に関するスピーチも載せています。。。興味深いです。。。

 

● U.K. Goverment - Natinal Cyber Security Centre 

・2022.06.28 Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO

Commercial cyber capabilities must be used legally and responsibly, says UK NCSC CEO 商業的なサイバー能力は合法的かつ責任を持って使用されなければならないと、英国NCSCのCEOは述べました
Lindy Cameron's speech at Tel Aviv Cyber Week emphasised the importance of partnerships and international regulation of sophisticated cyber capabilities. テルアビブ・サイバーウィークでのリンディ・キャメロンのスピーチは、高度なサイバー能力に関するパートナーシップと国際的な規制の重要性を強調しました。
The head of the UK’s National Cyber Security Centre (NCSC) has delivered an international speech emphasising the importance of legal and responsible use of commercial cyber capabilities. 英国の国家サイバーセキュリティセンター(NCSC)のトップは、商業的なサイバー能力を合法的かつ責任を持って使用することの重要性を強調する国際的なスピーチを行いました。
Speaking to an audience at the globally prestigious Cyber Week hosted by Tel Aviv University, Lindy Cameron also discussed how the ties between academia, industry, and governments are key to countering the latest cyber threats. リンディ・キャメロンは、テルアビブ大学主催の世界的に権威のあるサイバーウィークで聴衆を前に、最新のサイバー脅威に対抗するためには、学術界、産業界、政府間の連携がいかに重要であるかについても述べました。
The CEO of the UK NCSC – which is part of the world-leading intelligence agency GCHQ – will say that even following the illegal Russian invasion of Ukraine, ransomware remains the biggest global cyber threat most organisations must manage. 世界をリードする情報機関GCHQの一部である英国NCSCのCEOは、ロシアのウクライナへの不法侵入の後でも、ランサムウェアはほとんどの組織が管理しなければならない世界最大のサイバー脅威であり続けていると述べました。
She will also praised Ukrainian cyber defenders for their response to Russia’s invasion, highlighting the resilience of their networks in repelling many attacks. She said: また、ロシアの侵攻に対するウクライナのサイバー擁護者の対応を称賛し、多くの攻撃を撃退したネットワークの回復力を強調する予定です。彼女は次のように述べました。
“Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. 「ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するために、サイバー圧力を使ってきました。」
“But – just as they have on the battlefield – the Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. 「しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事を成し遂げました。彼らは真の英雄です。」
“And I think resilience and preparation are at the heart of this success.” 「そして、この成功の核心は、回復力と準備にあると思います。」
The main focus of her speech was the international regulation of sophisticated cyber capabilities. Lindy Cameron said: 彼女のスピーチの主な焦点は、高度なサイバー能力の国際的な規制であった。リンディ・キャメロンは次のように述べました。
“If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 「私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が、合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
“I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. 「イスラエルがこれらのツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこのような侵入型スパイウェアを入手することをはるかに困難にしたことは喜ばしいことです。」
“It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse.” 「この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から守るための適切な保護措置を講じて、責任ある行動をとることが本当に重要です。」
Describing Israel as a “shining” example of what can be done when a nation takes cyber security seriously, she said: イスラエルは、国家がサイバーセキュリティに真剣に取り組んだときに何ができるかを示す「輝く」例であると、彼女は述べました。
“The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. 「イスラエルで開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野における才能は、他の追随を許しません。そして、その防御は世界でも最も強固なものです。」
“But making the most of our digital future is too big an issue for any one nation to handle alone. 「しかし、デジタルの未来を最大限に活用することは、一国だけで対処するには大きすぎる問題です。」
“Whether it is drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 「イスラエルは、灌漑や医療、気候変動に関する技術など、国境を越えて人々の役に立つ技術革新を常に誇りとしてきました。」
“So, I hope you will continue to produce cyber security solutions which are safe, strong but also affordable for the whole world.” 「ですから、これからも、安全で、強力で、しかも全世界にとって手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けることを期待します。」
Turning to ransomware and how the upward trend of the commercialisation of such capabilities dramatically lowers the technical knowhow required to conduct criminal operations, she said: ランサムウェアについては、その商業化が進み、犯罪行為に必要な技術的ノウハウが劇的に低下していることを指摘し、次のように述べました。
“But - even with a war raging in Ukraine - the biggest global cyber threat we still face is ransomware. That tells you something of the scale of the problem. 「しかし、ウクライナで戦争が勃発しても、私たちが直面している最大のグローバルなサイバー脅威はランサムウェアなのです。このことが、問題の大きさを物語っています。」
“Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. 「ランサムウェアの攻撃は激しく、そして速い。ランサムウェアは急速に進化し、あらゆるところに蔓延しており、ギャングがサービスとして提供することも多く、サイバー犯罪への参入のハードルが低くなっています。」
“And that's what makes them such a threat – not just the nationally significant incidents that my team and I we deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 「私たちNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす数百の事件もこうした脅威になります。」
“These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today.” 「これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識がなければ、私たちの社会や経済に大きな影響を与える可能性があります」。
Returning to the theme of partnerships, Lindy Cameron emphasised that prosperous relationships between different institutions are key to countering the latest cyber threats: リンディ・キャメロンは、「パートナーシップ」というテーマに戻り、最新のサイバー脅威に対抗するためには、異なる機関同士の豊かな関係が重要であることを強調しました。
“To succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. 「成功するためには、パートナーシップは不可欠です。成功するためには、パートナーシップが不可欠です。ですから、私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。」
“We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion.” 「私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルや強みを持ち寄り、攻撃に自然に強いネットワークを構築しています。」

 

スピーチ本文

・2022.06.28 Lindy Cameron speech at Tel Aviv Cyber Week

Lindy Cameron speech at Tel Aviv Cyber Week テルアビブ・サイバーウィークでのリンディ・キャメロン長官のスピーチ
The CEO of the NCSC emphasises the ties between academia, industry and government in countering cyber threats. NCSCのCEOは、サイバー脅威に対抗するための学術界、産業界、政府間の結びつきを強調しています。
Good morning everyone. And it’s fantastic to be here again in Tel Aviv. 皆さん、おはようございます。またテルアビブに来ることができ、大変うれしく思います。
Thank you so much for inviting me. And thanks to those of you who are joining us online - thanks for tuning in. It's great to be back here for a 2nd year running despite the challenges of COVID. お招きいただき、本当にありがとうございます。そして、オンラインで参加してくださっている方々にも感謝します。COVIDの挑戦にもかかわらず、2年連続でここに戻ってこられたのは素晴らしいことです。
I would like to start by congratulating Gaby Portnoy on his appointment as Director General of the Israel National Cyber Directorate earlier this year. まず、今年初めにイスラエル国家サイバー総局の局長に就任されたGaby Portnoy氏にお祝いを申し上げたいと思います。
My own organisation - the UK’s National Cyber Security Centre - and the INCD share an awful lot in terms of mission and of outlook. 私の所属する英国の国家サイバーセキュリティセンターとINCDは、その使命と展望において非常に多くのことを共有しています。
Our collaborations over the years have really delivered and I look forward to expanding the partnership in the years ahead. 私たちの長年の協力関係は実を結んでおり、今後数年間でこのパートナーシップを拡大することを楽しみにしています。
Since I was here in Tel Aviv this time last year, the brutal Russian invasion of Ukraine has not only changed the geo-political landscape but transformed the context for our work on cyber security. 昨年の今頃、私はここテルアビブにいましたが、ロシアの残忍なウクライナ侵攻は、地政学的な状況を変えただけでなく、私たちのサイバーセキュリティに関する仕事の文脈も一変させました。
When the first Russian tank crossed into Ukrainian territory, the unthinkable suddenly became a terrifying reality. 最初のロシアの戦車がウクライナの領土を横切ったとき、考えられないことが突然、恐ろしい現実となったのです。
Millions of innocent people have had their lives, homes and families taken from them. 何百万人もの罪のない人々が、その命、家、家族を奪われたのです。
And while Russia inflicted this physical oppression, they were also conducting a cyber campaign. This came as no surprise. Russia has consistently used cyber pressure to stress its rivals, distract them, and where possible disable them. そして、ロシアはこのような物理的な抑圧を加える一方で、サイバーキャンペーンも行っていたのです。これは驚くことではありません。ロシアは一貫して、ライバルにストレスを与え、注意をそらし、可能であれば無力化するためにサイバー圧力を使ってきました。
But – just as they have done on the battlefield – Ukrainian cyber defenders have done an incredible job of repelling many of these attacks. They are real heroes. しかし、戦場と同じように、ウクライナのサイバー防衛隊は、これらの攻撃の多くを撃退するという信じられないような仕事をやってのけた。彼らは真の英雄です。
And I think resilience and preparation are at the heart of this success. I’ll come back to this point shortly. そして、この成功の核心は、回復力と準備にあると思います。この点については、またすぐに触れたいと思います。
But for all the pernicious activity that we have seen from Russia in the last few months in cyber space and beyond, we must not lose sight of the longer-term strategic challenges posed by the continued growth of China as a technological and economic power. しかし、ここ数カ月、サイバー空間やそれ以外の場所でロシアから見られたあらゆる悪質な活動について、私たちは、技術力および経済力として成長を続ける中国がもたらす長期的な戦略的課題を見失ってはなりません。
Because in cyber security this challenge is particularly acute because of the globalised nature of digital technology. なぜなら、サイバーセキュリティにおいては、デジタル技術のグローバル化により、この課題は特に深刻だからです。
The Chinese government’s use of technology is about coercion and control. And the country’s technological and economic power mean they can export this vision very widely. 中国政府によるテクノロジーの利用は、強制と統制を目的としています。そして、この国の技術力と経済力は、このビジョンを非常に広く輸出することができることを意味します。
Once the world relies on technology delivered with an authoritarian bias, it will constrain our choices. いったん世界が権威主義的なバイアスをもって提供されるテクノロジーに依存すれば、それは我々の選択を制約することになります。
As allies…as equals…our more open systems can take time to reach agreement. And when we leave important choices unmade, we leave gaps in our defences which will be rapidly exploited. 同盟国として、対等な立場で、よりオープンなシステムで合意に達するには時間がかかるかもしれません。そして、重要な選択をしないままにしておくと、防御の隙間ができてしまい、それが急速に利用されることになるのです。
So these challenges - from China, Russia and others - make it impossible for us to leave cyber security for another day. 中国、ロシア、その他の国々からのこうした挑戦は、私たちがサイバーセキュリティを別の日に残しておくことを不可能にしています。
So now is the time to innovate, educate and empower our citizens. ですから、今こそイノベーションを起こし、教育し、市民に力を与えるべき時なのです。
The democracies of the world have to challenge themselves to develop technologies and systems which allow us to avoid reliance on products not aligned with our values. 世界の民主主義国家は、我々の価値観に合わない製品に依存しないような技術やシステムの開発に挑戦しなければならないのです。
And I hope that the ‘start-up nation’ of Israel can play an important role in this innovation over the years to come. そして、「新興国」イスラエルが、今後何年にもわたって、このイノベーションにおいて重要な役割を果たすことを期待しています。
But – even with a war raging in Ukraine – the biggest global cyber threat we still face is ransomware. しかし、ウクライナで戦争が勃発しても、私たちが直面している世界的なサイバー脅威の最大のものはランサムウェアです。
That tells you something of the scale of the problem. このことは、問題の規模を物語っています。
Ransomware attacks strike hard and fast. They are evolving rapidly, they are all-pervasive, they're increasingly offered by gangs as a service, lowering the bar for entry into cyber crime. ランサムウェアの攻撃は激しく、速い。ランサムウェアは急速に進化しており、あらゆるところに蔓延しています。また、ギャングがサービスとして提供することも増えており、サイバー犯罪への参入のハードルが低くなっています。
And that's what makes them such a threat – not just the nationally significant incidents that my team and I deal with in the NCSC, but also the hundreds of incidents we see that affect the UK more widely every year. 私やNCSCのチームが扱う国内での重大事件だけでなく、毎年、英国に広く影響を及ぼす何百もの事件も、このような脅威となっています。
These complex attacks have the potential to affect our societies and economies significantly, if it were not for the expertise of our incident management operators working in collaboration with their counterparts in industry and their international counterparts gathered here today. これらの複雑な攻撃は、今日ここに集まった産業界の関係者や国際的な関係者と協力して活動する事故管理オペレータの専門知識なしには、私たちの社会や経済に大きな影響を与える可能性があります。
So, we worked hard over the last year, to really understand, with our law enforcement partners, the criminal system behind ransomware. We want to drive down profits and drive up the risk to the criminals. We continue to work on understanding the scale, nature and evolution of their techniques. 私たちは昨年、法執行機関のパートナーとともに、ランサムウェアの背後にある犯罪システムを理解するために、懸命に取り組みました。私たちは、犯罪者の利益を減少させ、リスクを増加させたいと考えています。私たちは、犯罪者の技術の規模、性質、進化を理解するための努力を続けています。
We want to make ransomware an unprofitable and unattractive business. ランサムウェアを収益性の低い、魅力的でないビジネスにしたいのです。
Russia may dominate the headlines at the moment, but this threat of ransomware has not gone away – and nor have we stopped our relentless focus on it. 今はロシアが話題の中心かもしれませんが、ランサムウェアの脅威は消えていませんし、私たちもランサムウェアへの徹底的な取り組みを止めてはいません。
But it’s not all doom and gloom. しかし、悲観的な話ばかりではありません。
I’ve mentioned Ukraine, and closer to home, just look at the work undertaken by our hosts here in Israel - a shining example of what can be done when a nation takes cyber security seriously. ウクライナについて触れましたが、身近なところでは、ここイスラエルで私たちのホストが行っている活動をご覧になってください。
The technology developed here is truly world class. The talent in the cyber security sector is second to none. And your defences are some of the strongest in the world. この国で開発された技術は、まさにワールドクラスです。サイバーセキュリティの分野では、他の追随を許さないほどの才能があります。そして、その防御は世界でも最も強固なもののひとつです。
But making the most of our digital future is too big an issue for any one nation to handle alone. しかし、デジタルの未来を最大限に活用することは、一国だけで扱うには大きすぎる問題です。
Whether its drip feed irrigation or health and climate tech, Israel has always been proud to innovate for the benefit of people, well beyond your borders. 点滴にせよ、健康・気候技術にせよ、イスラエルは常に、国境を越えて人々のためにイノベーションを起こすことを誇りとしてきました。
So, I hope you will continue to produce cyber security solutions which are safe, strong and affordable for the whole world. ですから、これからも全世界のために、安全で、強く、手頃な価格のサイバーセキュリティ・ソリューションを生み出し続けてほしいと思います。
Because an isolationist stance is just not going to work, long term. I think the war in Ukraine is a case in point there. なぜなら、孤立主義的なスタンスでは、長期的にうまくいかないからです。ウクライナの戦争は、その典型例だと思います。
Technology and tactics developed there won't remain local problems. We've all watched that carefully. そこで開発された技術や戦術は、ローカルな問題として残ることはないでしょう。私たちはそれを注意深く見守ってきました。
An important part of our response to this as an international community is a clearer definition and enforcement of the rules that govern activity in cyberspace. 国際社会としての対応で重要なのは、サイバースペースでの活動を統制するルールをより明確に定義し、実施することです。
If we are to ensure that the digital world remains a place of opportunity, and to avoid it becoming a place of conflict and struggle, we must be clearer about the guidelines and norms that transcend international borders. We must explore innovative new technologies and share lessons learnt. デジタルの世界がチャンスの場であり続け、紛争や闘争の場にならないようにするには、国境を越えたガイドラインや規範をより明確にしなければなりません。革新的な新技術を探求し、学んだ教訓を共有しなければなりません。
Last month, the UK's Attorney-General set out the UK views on how international law applies in cyberspace in peace time. 先月、英国の司法長官は、平時のサイバースペースにおける国際法の適用方法について、英国の見解を示しました。
She focused on providing more detail on the rule on prohibited intervention. Her speech brings this to life by providing examples from key sectors of the sort of cyber behaviour that would be unlawful if conducted in peacetime. 彼女は、禁止された介入に関するルールについて、より詳細な情報を提供することに焦点を当てました。同弁護士は、平時に行われた場合には違法となるようなサイバー行動について、主要なセクターから例を挙げて説明し、これを現実のものとしました。
She stressed that the United Kingdom’s aim is to ensure that future frontiers evolve in a way that reflects our democratic values and interests, as well as those of our allies. また、英国の目的は、将来のフロンティアが、わが国の民主主義的価値と利益、そして同盟国の利益を反映する形で発展していくようにすることだと強調しました。
We need clarity on the points of law if they are to be part of a framework for governing international relations and if they are to rein in irresponsible cyber behaviour. 国際関係を統治する枠組みの一部となり、無責任なサイバー行動を抑制するためには、法律のポイントを明確にする必要があります。
Another very significant element is the international regulation of sophisticated cyber capabilities. Some of which have been pioneered here, in Israel. もう一つの非常に重要な要素は、高度なサイバー能力の国際的な規制です。そのうちのいくつかは、ここイスラエルで先駆的に開発されたものです。
If we’re going to maintain a cyberspace which is a safe and prosperous place for everyone, it is vital that such capabilities are produced and used in a way that is legal, responsible and proportionate. 私たちが誰にとっても安全で豊かなサイバースペースを維持しようとするならば、そのような能力が合法的で、責任感があり、適切な方法で生産され、使用されることが極めて重要です。
I am delighted that Israel has tightened export controls around these tools, making it far more difficult for nations with concerning records on privacy and human rights to acquire such intrusive spyware. イスラエルがこうしたツールの輸出規制を強化し、プライバシーや人権に問題のある国々がこうした侵入型スパイウェアを入手するのをはるかに困難にしたことは喜ばしいことです。
It is really important that every actor, from the developer to the end-user of these types of technology and capability acts responsibly, with appropriate safeguards to protect against misuse. この種の技術や能力の開発者からエンドユーザーまで、すべての関係者が悪用から保護するための適切なセーフガードを用いて、責任ある行動をとることが本当に重要です。
There is a key role here for those of you in the private sector, for our respective cyber industries and technology companies in conducting due diligence and ensuring their products are not deployed in a manner that creates harm or undermines these principles. 民間企業の皆さん、サイバー産業やテクノロジー企業の皆さんは、デューディリジェンスを行い、自社の製品がこれらの原則を損なったり、損害を与えるような形で配備されないようにすることが重要な役割となります。
One of the great benefits of coming to fantastic events like this at Tel Aviv Cyber Week is the opportunity to learn from others and exchange ideas. テルアビブ・サイバーウィークのような素晴らしいイベントに参加する大きなメリットの一つは、他の人から学び、アイデアを交換する機会であることです。
In the UK, we take our ‘whole of society’ approach to cyber security really seriously. We want everyone ‘on the team’, pulling together to present a cohesive and resilient digital face to the world. Every citizen, business and utility, every school, charity and hospital. And I think that is something that we look to you for some real lessons on. 英国では、サイバーセキュリティに対する「社会全体」での取り組みに真摯に取り組んでいます。私たちは、すべての人が「チーム」となり、力を合わせて、結束力のある、弾力的なデジタルの顔を世界に示すことを望んでいます。すべての市民、企業、公共事業、学校、慈善団体、病院がそうです。そのために、私たちは皆さんに本当の意味での教訓を求めたいと考えています。
We want to help create a society that is resilient to cyber attacks, where cyber security is second nature to all of us. 私たちは、サイバー攻撃に強い社会、サイバーセキュリティが当たり前の社会を作りたいと考えています。
Israel is already some way ahead in this process. Your cyber security ecosystem of businesses, education, and research is thoroughly inspirational. I am personally in awe of your cyber education programme – it is something that the UK’s CyberFirst scheme has learnt many lessons from. イスラエルは、このプロセスにおいて、すでにいくつかの点で先を行っています。ビジネス、教育、研究からなるサイバーセキュリティのエコシステムは、非常に刺激的です。個人的には、イスラエルのサイバー教育プログラムに畏敬の念を抱いています。このプログラムは、英国のサイバーファースト計画から多くの教訓を得たものです。
And I appreciate that building this kind of depth of understanding, as Professor Ben-Israel said, takes time. But early investment really pays dividends. ベン・イスラエル教授がおっしゃるように、このような深い理解を得るには時間がかかります。しかし、早期の投資は実に大きな利益をもたらします。
The same is true of organisations around the world as they build resilience to cyber compromises. このことは、世界中の組織がサイバー攻撃への耐性を強化する際にも同じことが言えます。
Which is why my organisation has been encouraging organisations throughout the UK to follow the advice that we give as NCSC to improve their resilience – learning from the lessons we've seen in Ukraine of how to build that resilience in the face of the Russian onslaught. 私の組織では、NCSCとしてのアドバイスに従って回復力を高めるよう、英国内の組織に働きかけています。ロシアの猛攻に直面したときに回復力を高める方法について、ウクライナで見た教訓から学んでいるわけです。
And learning the lessons of Ukrainian cyber security in recent months has been something we've tried to help our companies in the UK to understand. そして、ここ数カ月のウクライナのサイバーセキュリティの教訓を学ぶことは、英国の企業にも理解してもらおうとしたことでした。
But to build this kind of resilience we need to create an environment where people are not too busy putting out the little fires to focus on the longer term. しかし、このようなレジリエンスを構築するためには、人々が小さな火事を消すことに忙しく、長期的な視点に集中できないような環境を作り出す必要があります。
Which is why the NCSC is really proud of our Active Cyber Defence programme, which helps to reduce the volume of low-level commodity attacks. And we’ve had some noteworthy successes. NCSCが、低レベルのコモディティ攻撃の量を減らすのに役立つ「アクティブ・サイバー・ディフェンス」プログラムを高く評価しているのはそのためです。そして、私たちは特筆すべき成功を収めています。
Our ‘Takedown project’, for example, removed 3.1 million malicious URLs in 2021. Which we think saved the UK £223 million. 例えば、私たちの「Takedownプロジェクト」は、2021年に310万件の悪質なURLを削除しました。これにより、英国は2億2,300万ポンドを節約できたと我々は考えています。
In the same period, our  ‘Protective DNS’ service handled more than 600 billion requests. 160 million of which were blocked from accessing known sources of malicious content. 同じ期間に、私たちの「Protective DNS」サービスは6,000億以上のリクエストを処理しました。そのうち1億6000万件は、悪質なコンテンツの既知のソースへのアクセスをブロックしました。
And, one service that I am particularly proud of is our Suspicious Email Reporting Service, because we enlist the great British public to help us. So far, the public have told us about 10.5 million suspicious emails, from which we’ve taken down 76,000 online scams. It's a great example of our “whole of society” approach in action and it helps our citizens feel as if they're helping us as a country, not just to protect themselves, but to protect the nation as a whole. また、私が特に誇りに思っているサービスのひとつに、「疑わしい電子メール報告サービス」があります。これは、英国の優れた一般市民の協力を得ているためです。これまで、1,050万通の不審なメールについて一般の方から情報をいただき、その中から76,000件のオンライン詐欺を取り締まりました。これは、私たちの「社会全体で取り組む」アプローチの好例であり、国民が自分たちを守るためだけでなく、国全体を守るために協力しているのだと実感できるようになります。
So, this ambitious approach to a whole of society approach to cyber. But I think to succeed, partnerships are essential. So, we are building stronger ties between academia, industry and government. つまり、この野心的なアプローチは、サイバーに対する社会全体のアプローチなのです。しかし、成功するためには、パートナーシップが不可欠だと思います。そこで私たちは、学術界、産業界、政府間のより強い結びつきを構築しています。
We’re reaching out to startups, with initiatives designed to spur the development of tools which will protect the UK’s smaller and medium sized businesses. 英国の中小企業を保護するツールの開発に拍車をかけるために、新興企業にも手を差し伸べています。
And we are engaging, as we are here, with our friends and allies. そして、ここにいるように、私たちは友人や同盟国とも関わっています。
We must come together around our shared values. Each nation bringing its own particular skills and strengths to build a network which is naturally resilient to attack, one which favours innovation, discourse and creativity over control and coercion. 私たちは、共通の価値観のもとに団結しなければなりません。各国はそれぞれ固有のスキルと強みを持ち寄り、攻撃に自然に強いネットワークを構築し、支配や強制よりもイノベーションや言論、創造性を優先させます。
They are big challenges, and they point to even larger actions. So, I look forward to discussing them with you here at Cyber Week, and in the months and years to come. これらは大きな挑戦であり、さらに大きな行動を指し示しています。このサイバーウィークで、そしてこれからの数ヶ月、数年の間に、皆さんと一緒にこれらの課題について議論できることを楽しみにしています。
Thank you for your time. お忙しい中、ありがとうございました。

 

1_20220704055101

 

 

Continue reading "英国 商業的なサイバー能力は合法的かつ責任を持って使用されなければならない by 国家サイバーセキュリティセンター長 (2022.06.28)"

| | Comments (0)

2022.06.21

米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

こんにちは、丸山満彦です。

FBIがドイツ、オランダ、英国の法執行機関や脅威インテリジェンスの民間企業 (Black Echo, LLC) と協力してロシアのボットネットを破壊したようですね。。。

官民連携による、安全なコミュニティを維持するというのは、フィジカル空間でもサイバー空間でも同じですね。。。

Department of Justice (Southern District of California)

・2022.06.16 Russian Botnet Disrupted in International Cyber Operation

 

Russian Botnet Disrupted in International Cyber Operation 国際的なサイバー作戦によるロシアのボットネットの破壊
SAN DIEGO – The U.S. Department of Justice, together with law enforcement partners in Germany, the Netherlands and the United Kingdom, have dismantled the infrastructure of a Russian botnet known as RSOCKS which hacked millions of computers and other electronic devices around the world. サンディエゴ - 米国司法省は、ドイツ、オランダ、英国の法執行機関のパートナーとともに、世界中の数百万台のコンピュータやその他の電子機器をハッキングしたRSOCKSとして知られるロシアのボットネットのインフラストラクチャを解体しました。
A botnet is a group of hacked internet-connected devices that are controlled as a group without the owner’s knowledge and typically used for malicious purposes. Every device that is connected to the internet is assigned an Internet Protocol (IP) address. ボットネットとは、ハッキングされたインターネット接続機器の集団で、所有者が知らないうちに集団として制御され、通常、悪意のある目的に使用されるものです。インターネットに接続されているすべての機器には、インターネットプロトコル(IP)アドレスが割り当てられています。
According to a search warrant affidavit, unsealed today in the Southern District of California, and the operators’ own claims, the RSOCKS botnet, operated by Russian cybercriminals, comprised millions of hacked devices worldwide. The RSOCKS botnet initially targeted Internet of Things (IoT) devices. IoT devices include a broad range of devices—including industrial control systems, time clocks, routers, audio/video streaming devices, and smart garage door openers, which are connected to, and can communicate over, the internet, and therefore, are assigned IP addresses. The RSOCKS botnet expanded into compromising additional types of devices, including Android devices and conventional computers. カリフォルニア州南部地区で本日公開された捜査令状宣誓供述書と運営者自身の主張によると、ロシアのサイバー犯罪者が運営するRSOCKSボットネットは、世界中で数百万台のハッキングされたデバイスで構成されています。RSOCKSボットネットは当初、Internet of Things(IoT)デバイスを標的としていました。IoTデバイスには、産業用制御システム、タイムクロック、ルーター、オーディオ/ビデオストリーミングデバイス、スマートガレージドアオープナーなど、インターネットに接続され、インターネット上で通信できる、したがってIPアドレスが割り当てられたさまざまなデバイスが含まれます。RSOCKSボットネットは、Android端末や従来型のコンピュータなど、さらに多くの種類のデバイスに感染するよう拡大しました。
“The RSOCKS botnet compromised millions of devices throughout the world,” said U.S. Attorney Randy Grossman. “Cyber criminals will not escape justice regardless of where they operate. Working with public and private partners around the globe, we will relentlessly pursue them while using all the tools at our disposal to disrupt their threats and prosecute those responsible.”  Grossman thanked the prosecution team, the FBI and the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section for their excellent work on this case. 米国連邦検事のRandy Grossman氏は、次のように述べました。「RSOCKSボットネットは、世界中で数百万台のデバイスを危険にさらしています。サイバー犯罪者は、どこで活動しようとも、裁きを免れることはできません。世界中の公共および民間のパートナーと協力し、私たちは、彼らの脅威を破壊し、責任者を起訴するために、自由に使えるすべてのツールを使用しながら、彼らを容赦なく追及していきます。」  グロスマンは、検察チーム、FBI、司法省刑事局コンピューター犯罪・知的財産課のこの件に関する素晴らしい働きに対して感謝の意を表しました。
“This operation disrupted a highly sophisticated Russia-based cybercrime organization that conducted cyber intrusions in the United States and abroad,” said FBI Special Agent in Charge Stacey Moy. “Our fight against cybercriminal platforms is a critical component in ensuring cybersecurity and safety in the United States. The actions we are announcing today are a testament to the FBI’s ongoing commitment to pursuing foreign threat actors in collaboration with our international and private sector partners.” FBIのステイシー・モイ特別捜査官は次のように述べました。「この作戦は、米国内外でサイバー侵入を行った高度に洗練されたロシアを拠点とするサイバー犯罪組織を崩壊させました。サイバー犯罪のプラットフォームに対する我々の戦いは、米国のサイバーセキュリティと安全を確保するための重要な要素です。本日発表する措置は、海外や民間セクターのパートナーとの協力のもと、海外の脅威要因を追求するFBIの継続的な取り組みを証明するものです。」
A legitimate proxy service provides IP addresses to its clients for a fee. Typically, the proxy service provides access to IP addresses that it leases from internet service providers (ISPs). Rather than offer proxies that RSOCKS had leased, the RSOCKS botnet offered its clients access to IP addresses assigned to devices that had been hacked. The owners of these devices did not give the RSOCKS operator(s) authority to access their devices in order to use their IP addresses and route internet traffic. A cybercriminal who wanted to utilize the RSOCKS platform could use a web browser to navigate to a web-based “storefront” (i.e., a public web site that allows users to purchase access to the botnet), which allowed the customer to pay to rent access to a pool of proxies for a specified daily, weekly, or monthly time period. The cost for access to a pool of RSOCKS proxies ranged from $30 per day for access to 2,000 proxies to $200 per day for access to 90,000 proxies. 正規のプロキシ・サービスは、クライアントに対してIPアドレスを有料で提供します。通常、プロキシ・サービスは、インターネット・サービス・プロバイダー(ISP)から借用したIPアドレスへのアクセスを提供します。RSOCKSボットネットは、RSOCKSがリースしていたプロキシを提供するのではなく、ハッキングされたデバイスに割り当てられたIPアドレスへのアクセスをクライアントに提供していたのです。これらのデバイスの所有者は、IPアドレスを使用してインターネットトラフィックをルーティングするために、RSOCKSオペレータにデバイスにアクセスする権限を与えていませんでした。RSOCKS プラットフォームを利用しようとするサイバー犯罪者は、ウェブブラウザを使用してウェブベースの「ストアフロント」(ユーザーがボットネットへのアクセスを購入できる公開ウェブサイト)に移動し、顧客が指定した日、週、月の期間、プロキシのプールへのアクセスをレンタルするために支払うことができるようにします。RSOCKS プロキシのプールへのアクセス料は、2,000 個のプロキシへのアクセスが 1 日当たり 30 ドル、90,000 個のプロキシへのアクセスが 1 日当たり 200 ドルとなっています。
Once purchased, the customer could download a list of IP addresses and ports associated with one or more of the botnet’s backend servers. The customer could then route malicious internet traffic through the compromised victim devices to mask or hide the true source of the traffic. It is believed that the users of this type of proxy service were conducting large scale attacks against authentication services, also known as credential stuffing, and anonymizing themselves when accessing compromised social media accounts, or sending malicious email, such as phishing messages. 購入後、顧客はボットネットのバックエンドサーバーに関連するIPアドレスとポートのリストをダウンロードすることができます。そして、悪意のあるインターネットトラフィックを、侵害された犠牲者のデバイスを介してルーティングし、トラフィックの真のソースをマスクしたり隠したりすることができるようになります。この種のプロキシサービスのユーザーは、認証サービスに対する大規模な攻撃(クレデンシャル・スタッフィングとも呼ばれる)を行い、侵害されたソーシャルメディアアカウントにアクセスする際や、フィッシングメッセージなどの悪意のあるメールを送信する際に自身を匿名化したと考えられています。
As alleged in the unsealed warrant, FBI investigators used undercover purchases to obtain access to the RSOCKS botnet in order to identify its backend infrastructure and its victims. The initial undercover purchase in early 2017 identified approximately 325,000 compromised victim devices throughout the world with numerous devices located within San Diego County. Through analysis of the victim devices, investigators determined that the RSOCKS botnet compromised the victim device by conducting brute force attacks. The RSOCKS backend servers maintained a persistent connection to the compromised device. Several large public and private entities have been victims of the RSOCKS botnet, including a university, a hotel, a television studio, and an electronics manufacturer, as well as home businesses and individuals. At three of the victim locations, with consent, investigators replaced the compromised devices with government-controlled computers (i.e., honeypots), and all three were subsequently compromised by RSOCKS. The FBI identified at least six victims in San Diego. 公開された令状で主張されているように、FBI捜査官は、RSOCKSボットネットのバックエンドインフラとその被害者を特定するために、覆面購入を利用してアクセス権を取得しました。2017年初めに行われた最初の覆面購入では、世界中にある約32万5000台の感染した被害者デバイスを特定し、サンディエゴ郡内にある多数のデバイスを特定しました。捜査官は、被害者デバイスの分析を通じて、RSOCKSボットネットがブルートフォース攻撃を行うことで被害者デバイスを侵害したことを突き止めました。RSOCKSのバックエンドサーバーは、感染したデバイスとの持続的な接続を維持しました。RSOCKSボットネットの被害者は、大学、ホテル、テレビスタジオ、電子機器メーカーなど、複数の大規模な公共および民間企業、さらに一般家庭や個人も含まれています。被害者のうち 3か所では、同意を得て、捜査官が感染したデバイスを政府管理のコンピュータ(ハニーポットなど)に交換しましたが、3か所ともその後 RSOCKS に感染しました。FBIは、サンディエゴで少なくとも6人の被害者を確認しました。
This case was investigated by the FBI and is being prosecuted by Assistant U.S. Attorney Jonathan I. Shapiro of the Southern District of California and Ryan K.J. Dickey, Senior Counsel for the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section.  The Department of Justice extends its appreciation to the authorities of Germany, the Netherlands, and the United Kingdom, the Justice Department’s Office of International Affairs and private sector cybersecurity company Black Echo, LLC for their assistance provided throughout the investigation. この事件は FBI によって捜査され、カリフォルニア州南部地区連邦検事補 Jonathan I. Shapiro と司法省刑事局コンピューター犯罪・知的財産課の上級弁護士 Ryan K.J. Dickey によって起訴されています。  司法省は、捜査を通じて提供されたドイツ、オランダ、英国当局、司法省国際局、民間企業のサイバーセキュリティ企業Black Echo, LLCの支援に感謝の意を表します。
In September 2020, FBI Director Christopher Wray announced the FBI’s new strategy for countering cyber threats. The strategy focuses on imposing risk and consequences on cyber adversaries through the FBI’s unique authorities, world-class capabilities, and enduring partnerships. Victims are encouraged to report the incident online with the Internet Crime Complaint Center (IC3) www.ic3.gov. 2020年9月、FBI長官クリストファー・レイは、サイバー脅威に対抗するためのFBIの新戦略を発表しました。この戦略では、FBI独自の権限、世界最高水準の能力、永続的なパートナーシップを通じて、サイバー敵対者にリスクと結果を課すことに重点を置いています。被害者は、インターネット犯罪苦情センター(IC3)www.ic3.govにオンラインで事件を報告することが推奨されます。

 

Fig1_20220411162001

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.26 2021年のEuropolのハイライト

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.09.17 米国 司法省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

 

| | Comments (0)

2022.06.16

徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書

こんにちは、丸山満彦です。

ランサムウェアに感染し、データが暗号化され、その中で業務を継続しつつ、復旧に取り組んだ徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書が公表されていますね。。。

 

Fig1_20220616120101

 

徳島県つるぎ町立半田病院

・2022.06.16 コンピュータウイルス感染事案有識者会議調査報告書について

 

対応の考え方についての説明


事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。


 

公開に至った理由...


有識者の方々からは、電子カルテシステムは閉域網で使用するものではなく、外部とつながって使用される状況であり、また、インターネットと接続させることでシステムをアップデートできることから、より強固なセキュリティの構築に取り組まなければいけないことを教えていただきました。この報告書には、我々の対応不足な点もたくさん指摘されていますが、広く日本の電子カルテシステムにおける問題も提起されています。本来なら、今後当院が電子カルテシステムをどのようにするのかの具体的な対策も提示して、皆様にご報告するべきだったと思いますが、まずはこれらを世に出して、全国の病院や事業所のセキュリティ強化に貢献できればと考え公開するものです。


 

[PDF] ウェブ文面

 

有識者会議調査報告書

20220616-114619

[Downloaded]

 

 

20220616-114631

[Downloaded]

 

 

20220616-114639

[Downloaded]

 

 

| | Comments (0)

2022.06.04

米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

こんにちは、丸山満彦です。

ボストン大学で6月1日にサイバーセキュリティに関するボストン会議が開催され、そこでFBIのクリストファ・レイ長官 (Christopher Wray, Director)が基調講演で発表した内容が公表されていますね。。。

ランサムウェアについても触れていますが、「人」、「技術インフラ」、「資金網」に注目して、それぞれ破壊していくことが、身代金要求のランサムウェア対策にとって有効という考え方のようですね。。。

FBIの取り組みの一端が垣間見える発言ですね。。。

サイバー犯罪に関する白浜シンポジウムですが、以前はFBIの方が来て話をしたりということもあったのですが、来年くらいFBIの方にも話してもらいたいですね。。。

 

Boston Conference on Cyber Security 2022

クリストファ・レイ長官の発表は16分20秒くらいから始まります。。。

[YouTube] 2022 Boston Conference on Cyber Security | Christopher Wray Keynote

 

Federal Bureau of Investigation; FBI

・2022.06.01 Director's Remarks to the Boston Conference on Cyber Security 2022

 

Director's Remarks to the Boston Conference on Cyber Security 2022 2022年サイバーセキュリティに関するボストン会議での局長挨拶
Remarks prepared for delivery. 配信用に準備された内容
Introduction はじめに
It’s good to be back here at BC, particularly since I couldn’t participate in the virtual conference last year. In fact, the last time I was able to participate was in March 2020, right before everything went into lockdown. It’s pretty incredible how quickly our lives—work, school, social events —shifted to being online. 昨年はバーチャルカンファレンスに参加できなかったので、特にここBCに戻ってこれてうれしいです。実は、前回参加できたのは2020年3月で、すべてがロックダウンされる直前でした。仕事、学校、社会的なイベントなど、私たちの生活があっという間にオンラインに移行してしまったのは、本当に信じられないことです。
I can’t say I was a fan of shifting from interacting with my staff around a conference table to seeing a fair number of folks show up only on screen, usually from elsewhere in the building. 会議テーブルを囲んでスタッフと交流していたのが、画面上だけで、しかも普段は別の場所にいる人たちと会うことになるのは、好きとは言えません。
It worked, sort of. But I’m glad we’ve been able to go back to meeting in person. For the FBI, a lot of our work is hard to accomplish online. We work with a lot of classified information that can’t go home, and we certainly can’t conduct crime scene investigations remotely. でも、それはそれでいいんです。でも、直接会って話をするようになってよかったと思います。FBIにとって、私たちの仕事の多くはオンラインで達成するのが難しいものです。多くの機密情報を扱うため、家に帰ることはできませんし、犯罪現場の調査も遠隔ではできません。
But I recognize that we’re fairly unique, and a lot of businesses have been able to cut costs by keeping employees at home instead of leasing office spaces. しかし、私たちはかなり特殊で、多くの企業がオフィススペースを借りる代わりに従業員を自宅に置くことでコスト削減を実現していることは認識しています。
So, it’s clear that our world and our society are not just going back to where we were two-and-a-half years ago. And people are going to continue to take advantage of the connectivity that cyberspace provides. ですから、私たちの世界や社会は、2年半前に戻ったわけではないことは明らかです。そして、人々はサイバースペースが提供するコネクティビティを活用し続けることでしょう。
But, at the same time, the shift of our personal and professional lives even more online has created new vulnerabilities. And malicious cyber actors are going to continue to take advantage of people and networks. しかし同時に、私たちの個人生活や仕事上の生活がさらにオンライン化されたことで、新たな脆弱性が生まれました。そして、悪意のあるサイバーアクターは、これからも人々とネットワークを利用し続けるでしょう。
That includes cybercriminals holding data for ransom and nation states like China stealing defense and industrial secrets. その中には、身代金目的でデータを持ち出すサイバー犯罪者や、防衛・産業機密を盗む中国などの国家も含まれます。
And lately, that’s included Russia trying to influence what happens in the ground war they started—by threatening attacks against the West in cyberspace. 最近では、ロシアがサイバースペースで西側諸国を攻撃すると脅すことで、彼らが始めた地上戦の行方に影響を与えようとしていることも含まれています。
I think, if we’re going to address cyber security properly, we’ve got to talk about how we’re responding to each of those threats. サイバーセキュリティに適切に対処するためには、こうした脅威の一つひとつにどう対処していくかを話し合う必要があると思います。
We’ve got to hold the line on multiple fronts—all at once—to help people and businesses protect themselves, to support victims, and to inflict costs on criminals. 私たちは、人々や企業が自分自身を守るのを助け、被害者を支援し、犯罪者に犠牲を強いるために、多方面から一度に対策を講じなければならないのです。
And we can’t let up on China or Iran or criminal syndicates while we’re focused on Russia. So that’s what we’re doing, taking on all these threats and shifting resources quickly to respond. また、ロシアに注力している間に、中国やイラン、犯罪組織への対策を怠るわけにはいきません。ですから、私たちはあらゆる脅威を受け止め、迅速にリソースをシフトして対応しています。
And I think it’s worth covering some of those threats with you today. 本日は、これらの脅威のいくつかをご紹介します。
Russia ロシア
I do want to start with Russia because we’re laser focused on them right now. 私たちは現在、ロシアに焦点を合わせているので、ロシアから始めたいと思います。
I’m not breaking any new ground or compromising any intelligence sources by saying they’ve been absolutely reckless on the battlefield. They really don’t care who they hurt—civilians, noncombatants, women, children. And their recklessness with human lives carries over into how they act in cyberspace. ロシアが戦場で無謀なことをしていると言っても、目新しいことは何もありませんし、情報源を損なうこともありません。彼らは、民間人、非戦闘員、女性、子どもなど、誰を傷つけるかを本当に気にしていないのです。そして、人命に対する彼らの無謀さは、サイバースペースでの行動にも表れています。
Of course, that’s not new. In 2017, the Russian military used the NotPetya malware to hit Ukrainian critical infrastructure. The attack was supposed to look like a criminal heist but was actually designed to destroy any systems it infected. もちろん、それは新しいことではありません。2017年、ロシア軍はマルウェア「NotPetya」を使って、ウクライナの重要インフラを攻撃しました。この攻撃は、犯罪的な強盗のように見えるはずでしたが、実際には感染したシステムを破壊するように設計されていました。
They targeted Ukraine but ended up also hitting systems throughout Europe, plus the U.S. and Australia, and even some systems within their own borders. They shut down a big chunk of global logistics. 彼らはウクライナをターゲットにしましたが、最終的にはヨーロッパ全域、さらに米国とオーストラリアのシステム、そして自国内の一部のシステムにも打撃を与えました。世界の物流の大部分を停止させたのです。
That reckless attack ended up causing more than 10 billion dollars in damages—one of the most damaging cyberattacks in the history of cyberattacks—and spread world-wide before anyone knew to do anything. この無謀な攻撃は、結局100億ドル以上の損害を引き起こし、サイバー攻撃史上最も大きな被害をもたらし、誰も何も知らないうちに世界中に広まりました。
Now, in Ukraine, we see them again launching destructive attacks, using tools like wiper malware. And we’re watching for their cyber activities to become more destructive as the war keeps going poorly for them. 現在、ウクライナでは、ワイパー型マルウェアなどのツールを使って、再び破壊的な攻撃を仕掛けているのが見られます。そして、戦争が彼らにとって不利になるにつれて、彼らのサイバー活動がより破壊的になることを私たちは注視しています。
At the FBI, we’re on what I’d call combat tempo. FBIでは、いわゆる戦闘態勢をとっています。
We’ve got a 24/7 cyber command post running, and we've been pushing out intelligence products and technical indicators—not just to government partners, but also to private companies and others. 24時間365日体制でサイバーコマンドポストを稼働させ、政府機関だけでなく民間企業などにも情報製品や技術的指標を発信しています。
We’ve seen the Russian government taking specific preparatory steps towards potential destructive attacks, here and abroad. We’re racing out to potential targets to warn them about the looming threat, giving them technical indicators they can use to protect themselves. And we’re moving rapidly to disrupt Russian activity. ロシア政府は、国内外で破壊的な攻撃を行う可能性があるため、具体的な準備段階を踏んでいることがわかった。私たちは、潜在的な標的に対して、迫り来る脅威を警告し、彼らが自らを守るために利用できる技術的な指標を提供するために、急いで行動しています。そして、ロシアの活動を妨害するために迅速に行動しています。
Russia/WatchGuard ロシア/WatchGuard
Just this April, the FBI disrupted a botnet that the Russian GRU intelligence service had created and could have used to obfuscate malicious and damaging cyber activity. 今年4月、FBIは、ロシアの情報機関GRUが作成し、悪質で有害なサイバー活動を難読化するために使用する可能性のあったボットネットを破壊したばかりです。
This is the same Russian agency behind NotPetya and that attacked the Ukrainian electric grid in 2015, attacked the Winter Olympics and Paralympics in 2018, and conducted attacks against Georgia in 2019. これは、NotPetyaの背後にあり、2015年にウクライナの電力網を攻撃し、2018年に冬季オリンピックとパラリンピックを攻撃し、2019年にグルジアに対して攻撃を行ったのと同じロシアの機関です。
The GRU’s Sandworm team had implanted Cyclops Blink malware on ASUS home routers and Firebox devices, which are firewall devices produced by WatchGuard Technologies and largely used by small to medium businesses. GRUのSandwormチームは、ASUSの家庭用ルーターと、WatchGuard Technologiesが製造し、中小企業で主に使用されているファイアウォール機器であるFireboxデバイスに、Cyclops Blinkマルウェアを埋め込んでいたのです。
By infecting and controlling thousands of these devices worldwide, the GRU could string them together to use their computing power in a way that would hide who was really running the network. このようなデバイスを世界中で数千台感染させ、コントロールすることで、GRUはこれらのデバイスをつなぎ合わせ、誰が本当にネットワークを運営しているのかを隠す方法でコンピューティング・パワーを使用することができたのです。
This past November, we alerted WatchGuard about the malware targeting their devices, and we collaborated with CISA and WatchGuard on mitigation. この 11 月、私たちは WatchGuard 社のデバイスを標的としたマルウェアについて警告を発し、CISA 社と WatchGuard 社と共同でその緩和策を講じました。
We collected additional malware samples from U.S. victims, while WatchGuard developed mitigation tools. CISA は米国の被害者から追加のマルウェア・サンプルを収集し、WatchGuard はミティゲーション・ツールを開発しました。
We reverse-engineered the malware samples and developed a sophisticated technical operation to sever the GRU’s ability to communicate with the botnet’s command-and-control layer. 私たちはマルウェア・サンプルをリバース・エンジニアリングし、GRU がボットネットのコマンド&コントロール層と通信する能力を断ち切るための高度な技術作戦を開発しました。
And in March, we executed the operation and successfully cut their ability to control the botnet. そして3月、私たちはこの作戦を実行し、ボットネットを制御する彼らの能力を切断することに成功しました。
We removed malware from the “Firebox” devices—used by small businesses for network security all over the world—and then shut the door the Russians had used to access them. 世界中の中小企業でネットワークセキュリティに利用されている「Firebox」デバイスからマルウェアを除去し、ロシアがアクセスするために使っていたドアを閉めたのです。
Clearly, that’s not the only threat coming out of Russia, and we’re certainly not resting on our laurels. But that was a pretty solid hit against Russian intelligence. And it shows that we can do quite a bit to counter threats and help companies hit by threats like that posed by the Russian government. ロシアからの脅威がこれだけでないことは明らかであり、私たちもそれに甘んじているわけではありません。しかし、これはロシアの諜報機関に対するかなり強力な攻撃でした。そして、ロシア政府からの脅威に対抗し、そのような脅威に見舞われた企業を支援するために、私たちがかなりのことを行えるということを示しています。
Reminders and Lessons 留意すべきことと教訓
As I mentioned earlier, even while we’re at full tilt against Russian cyber threats, we’re also countering other nation-state and criminal cyber actors. So we’re particularly attuned to lessons from the Ukraine conflict that apply more broadly. 先に述べたように、私たちはロシアのサイバー脅威に対して全力を尽くしていますが、他の国家や犯罪的サイバー行為にも対抗しています。そのため、ウクライナ紛争から得た教訓は、より広範に適用できるものであると認識しています。
We’re not the only ones. We know that China is studying the Ukraine conflict intently. They’re trying to figure out how to improve their own capabilities to deter or hurt us in connection with an assault on Taiwan. 私たちだけではありません。中国がウクライナ紛争を熱心に研究していることは知っています。中国は、台湾への攻撃に関連して、我々を抑止したり、傷つけたりするために、どのように自国の能力を向上させるかを考えているのです。
So, take for example the blended threat where we see Russia—like China, Iran, and sometimes other nation states—essentially hiring cyber criminals, in effect cyber mercenaries. 例えば、中国やイラン、時には他の国々と同様に、ロシアもサイバー犯罪者を雇い、事実上、サイバー傭兵のような存在になっていることがあります。
We see Russian cyber criminals explicitly supporting, and taking actions to assist, the Russian government, as well as some just taking advantage of the very permissive operating environment that exists in Russia. ロシアのサイバー犯罪者は、ロシア政府を明確に支持し、支援する行動を取っていますが、ロシアに存在する非常に寛容な活動環境を利用する者もいます。
In some instances, we also see Russian intelligence officers, moonlighting, making money on the side, through cybercrime or using cybercriminal tools to conduct state-sponsored attacks because they think it gives them some plausible deniability or will hide who's behind it. また、ロシアの情報機関職員が副業としてサイバー犯罪でお金を稼いでいたり、サイバー犯罪のツールを使って国家主導の攻撃を行っていたりするケースも見られますが、これはその方がもっともらしい否認権が得られる、あるいは背後に誰がいるのかを隠せると考えているからです。
So one key question for us today is, when do criminal actors become agents of their host nation? そこで、今日の私たちにとって重要な問題の1つは、犯罪行為者が敵対国の代理人となるのはどのような場合か、ということです。
Does money have to change hands, or is publicly pledging support to a foreign government enough? 金銭の授受が必要なのか、それとも外国政府への支援を公的に表明するだけで十分なのか。
We are realizing the value of our accumulated investigative work, with our partners, against all manner of Russian cyber threats. That work has established connections, motives, and tactics among Russian hackers before the current crisis. 私たちは、ロシアのあらゆるサイバー脅威に対して、パートナーとともに蓄積してきた調査活動の価値を実感しています。その結果、今回の危機以前に、ロシアのハッカーたちのつながり、動機、戦術が確立された。
It gives us a basis for potentially holding the Russian government accountable for the actions of a Russian ransomware gang. Because we’ve been able to show that their government sometimes supports, uses, and protects, cybercriminals. これは、ロシアのランサムウェア集団の行動に対してロシア政府が責任を負う可能性を示す根拠となるものです。なぜなら、ロシア政府がサイバー犯罪者を支援し、利用し、保護することがあることを示すことができたからです。
A second thing we’re thinking about is the speed and scope of attribution. How do we balance the need for speed, to get to an operational level of attribution, supporting actions we or our partners need to take next, against specificity?  もうひとつは、アトリビューションのスピードと範囲についてです。当社やパートナーが次に取るべき行動を支援するために、アトリビューションの運用レベルに到達するまでのスピードと、具体性のバランスをどのように取ればよいでしょうか。 
It won’t surprise you to learn that we can figure out which country is responsible for something, or even which specific intel service, faster than we can identify which individual was sitting at the keyboard. キーボードを叩いていた人物を特定するよりも、どの国がどのような行為に関与しているか、あるいは特定の情報機関を特定する方が早いという事実を知っても、皆さんは驚かないことでしょう。
For victims, we’re helping as we respond to malicious cyber activity in this kinetic, destructive context, we’ve found that speed trumps pretty much everything else. It’s more important for us to get to their doorstep in an hour than it is to tell them whether we’re looking at nation-state cyber activity or cyber criminals. 被害者のために、私たちはこの運動的、破壊的な状況での悪質なサイバー活動に対応するために、スピードが他のほとんど全てに勝ることを発見しました。国家によるサイバー活動なのか、サイバー犯罪者によるものなのかを説明するよりも、1時間以内に被害者のもとに駆けつけることが重要なのです。
But it’s also important to keep marching toward more-specific attribution even while we hand off defensive information before we build the full picture of who’s responsible. Because for the broader government’s response calculations—for us to meaningfully degrade, disrupt, and deter a cyber adversary—we often need to be a lot more specific about who’s responsible. しかし、犯人の全体像を把握する前に防御的な情報を提供しながらも、より具体的なアトリビューションに向けて前進し続けることも重要です。というのも、政府全体の対応策を計算する上で、サイバー敵対者を有意義に劣化させ、混乱させ、抑止するためには、誰が犯人なのかをもっと具体的に示す必要がある場合が多いからです。
A third lesson, or really a reminder, from this conflict with broad application: When it comes to the threat of destructive attack, the adversary’s access is the problem. この紛争から得られた3つ目の教訓というか、広範な応用が可能な注意事項があります。破壊的な攻撃の脅威に関しては、敵のアクセス権が問題となります。
This is something we’ve talked about a lot, but that has acquired heightened resonance lately. Russia has, for years and years, been trying to infiltrate companies to steal information. これは私たちが何度も話してきたことですが、最近になってより大きな反響を呼んでいます。ロシアは何年も前から、企業に潜入して情報を盗もうとしています。
In the course of doing so, they’ve gained illicit access to probably thousands of U.S. companies, including critical infrastructure. Just look at the scope of their Solar Winds campaign. その過程で、重要なインフラを含む、おそらく何千もの米国企業に不正にアクセスするようになったのです。彼らのSolar Windsキャンペーンの範囲を見てください。
They can use the same accesses they gained for collection and intelligence purposes to do something intentionally destructive. It’s often not much more than a question of desire. 彼らは、収集と諜報のために得た同じアクセスを使って、意図的に破壊的なことをすることができます。それは、多くの場合、欲望の問題以上のものではありません。
That’s why, when it comes to Russia today, we’re focused on acting as early, as far “left of boom,” as we can against the threat. だからこそ、今日のロシアに関しては、脅威に対してできるだけ早く、「ブームの左側」で行動することに重点を置いているのです。
That is, launching our operations when we see the Russians researching targets, scanning, trying to gain an initial foothold on the network, not when we see them later exhibit behavior that looks potentially destructive. つまり、ロシアがターゲットを調査し、スキャンし、ネットワークへの最初の足がかりを得ようとするのを見たときに作戦を開始するのであって、後になって破壊的な行動を取る可能性があるのを見たときではないのです。
As broad as Russia’s potential cyber accesses across the country may be, they pale in comparison to China’s. ロシアが国中に張り巡らせたサイバーアクセスの可能性は、中国とは比べものにならないほど広範です。
So the same reminder that this conflict has given the community about the urgency of battling adversaries at the point of access, or earlier, applies in spades when we think about how to defend against the Chinese Communist Party’s potential aggression toward Taiwan. 中国共産党の台湾に対する潜在的な侵略行為からいかに身を守るかを考えるときにも、この紛争がもたらした、敵にアクセスする時点、あるいはそれ以前の段階で戦うことの緊急性を思い起こさせるものがあります。
We need to study what’s going on with Russia and learn from it because we’re clearly not the only ones paying attention. 私たちはロシアで起きていることを研究し、そこから学ぶ必要がある。なぜなら、私たちだけが注目しているわけではないのだからです。
China 中国
Now, China is clearly a very different threat than Russia. The Chinese government is methodical, hacking in support of long-term economic goals. さて、中国はロシアとは明らかに異なる脅威です。中国政府は理路整然としており、長期的な経済目標を支えるためにハッキングを行う。
And China operates on a scale Russia doesn’t come close to. They’ve got a bigger hacking program than all other major nations combined. They’ve stolen more American personal and corporate data than all nations combined. And they’re showing no sign of tempering their ambition and aggression. また、中国はロシアとは比べものにならない規模で活動しています。他のすべての主要国の合計よりも大規模なハッキングプログラムを持っています。アメリカの個人および企業データを盗んだ数は、すべての国の合計を上回ります。そして、その野心と攻撃性を弱める気配はありません。
Even their hacks that may seem noisy and reckless actually fit into a long-term, strategic plan to undermine U.S. national and economic security. 一見、騒々しく無謀に見えるハッキングも、実は米国の国家と経済の安全保障を脅かす長期的かつ戦略的な計画に沿ったものなのです。
China’s economy also gives it leverage and tools, sway over companies, that Russia lacks. For many U.S. and foreign companies doing business in China, or looking to, the cost effectively amounts to a blanket consent to state surveillance in the name of security—at best. 中国の経済力は、ロシアに欠けている企業への影響力やツールも与えている。中国でビジネスを行っている、あるいは行おうとしている多くの米国企業や外国企業にとって、このコストは、よく言えば、安全保障の名の下に国家の監視に全面的に同意することに等しいのです。
At worst, they’ve got to accept the risk that their sensitive information may be co-opted to serve Beijing’s geopolitical goals. 最悪の場合、自社の機密情報が北京の地政学的目標のために利用されるかもしれないというリスクを受け入れなければならないのです。
In 2020, we became aware that some U.S. companies operating in China were being targeted through Chinese government-mandated tax software. The businesses were required to use certain government-sanctioned software to comply with the value-added tax system and other Chinese laws. 2020年、私たちは、中国で活動する一部の米国企業が、中国政府指定の税務ソフトによって標的にされていることを知りました。その企業は、増値税制度やその他の中国の法律を遵守するために、政府公認の特定のソフトウェアを使用することを要求されていました。
A number of U.S. companies then discovered that malware was delivered into their networks through this software. So, by complying with Chinese laws for conducting lawful business in China, they ended up with backdoors into their systems that enabled access into what should be private networks. その後、多くの米国企業が、このソフトウェアを通じてマルウェアが自社のネットワークに送り込まれていることを発見しました。つまり、中国で合法的にビジネスを行うための中国の法律を遵守することで、本来はプライベートなネットワークにアクセスするためのバックドアをシステムに仕込んでしまったのです。
That’s just one example of how the Chinese government is pursuing their goal to lie, cheat, and steal their way into global domination of technology sectors. It’s really a whole-of-government operation to steal research and proprietary secrets from U.S. companies and then undercut prices on the global market. So that companies that play by the rules can’t compete. これは、中国政府が嘘と不正行為と盗用によってテクノロジー分野の世界的支配を目指すという目標を達成するための一例に過ぎません。中国政府は、米国企業から研究成果や機密情報を盗み出し、グローバル市場で価格を引き下げるという、まさに政府を挙げての作戦を展開しているのです。ルールに従って行動する企業が競争できないようにするためです。
That effort is not limited to cyber. Heck, we’ve caught Chinese agents out in the heartland of the U.S. targeting our agricultural innovation, sneaking into fields to dig up proprietary, experimental, genetically modified seeds. このような取り組みは、サイバーに限ったことではありません。中国の工作員が米国の中心地で農業革新を狙い、畑に忍び込んで独自の実験的な遺伝子組み換え種子を掘り出しているのを目撃したこともあります。
But China’s other means of stealing technology—things like human spies, corporate transactions—often run in concert with, and even in service of, its cyber program. Like when the MSS recently used a human agent on the inside to enable hackers in mainland China to penetrate GE Aviation’s joint venture partner and steal proprietary engine technology. しかし、中国が技術を盗む他の手段、例えば人間のスパイや企業間取引などは、しばしばサイバー・プログラムと連携し、さらにはそれを利用したものでさえあります。例えば最近、中国本土のハッカーがGEアビエーションの合弁パートナーに侵入し、独自のエンジン技術を盗むために、MSSは内部に人間のスパイを送り込みました。
The Chinese government sees cyber as the pathway to cheat and steal on a massive scale. In March 2021, Microsoft and other U.S. tech and cybersecurity companies disclosed some previously unknown vulnerabilities targeting Microsoft Exchange Server software. 中国政府は、サイバーが大規模な不正行為や窃盗を行うための経路であると見ているのです。2021年3月、マイクロソフトをはじめとする米国のハイテク企業やサイバーセキュリティ企業は、Microsoft Exchange Serverソフトウェアを標的としたこれまで知られていなかった脆弱性をいくつか公表しました。
The hackers, operating out of China, had compromised more than 10,000 U.S. networks, moving quickly and irresponsibly to do so prior to the public disclosure of the vulnerabilities. Through our private sector partnerships, we identified the vulnerable machines. 中国を拠点に活動するハッカーは、脆弱性の公開前に迅速かつ無責任に動いて1万以上の米国内のネットワークに侵入していたのです。私たちは、民間企業との連携により、脆弱性のあるマシンを特定しました。
And learned the hackers had implanted webshells—malicious code that created a backdoor and gave them continued remote access to the victims’ networks. So, we pushed out a joint advisory with CISA to give network defenders the technical information they needed to disrupt the threat and eliminate those backdoors. そして、ハッカーがウェブシェル(バックドアを作成し、被害者のネットワークに継続的にリモートアクセスできるようにする悪意のあるコード)を埋め込んでいたことを知りました。そこで、CISAと共同で勧告を発表し、ネットワーク防御者が脅威を阻止し、バックドアを排除するために必要な技術情報を提供しました。
But some system owners weren’t able to remove the webshells themselves, which meant their networks remained vulnerable. So, we executed a surgical, court-authorized operation, copying and removing the harmful code from hundreds of vulnerable computers. しかし、一部のシステム所有者はWebシェルを自分で削除することができず、ネットワークが脆弱なままになっていました。そこで私たちは、裁判所の許可を得て、数百台の脆弱なコンピュータから有害なコードをコピーして除去する外科的な作戦を実行しました。
Those backdoors the Chinese government hackers had propped open?  中国政府のハッカーが開けていたバックドア? 
We slammed them shut, so the cyber actors could no longer use them to access victim networks. So, while that’s another win we can celebrate, it is also a stark reminder that the Chinese government remains a prolific and effective cyber espionage threat. 中国政府のハッカーが開けていたバックドアを閉め、サイバーアクターが被害者のネットワークにアクセスするために使うことができなくなりました。このように、私たちは新たな勝利を収めることができましたが、同時に、中国政府が依然として多産で効果的なサイバースパイの脅威であることをはっきりと思い知らされることになったのです。
Iran and Boston Children’s Hospital イランとボストン小児病院
And China and Russia aren’t the only nation states exhibiting malicious behavior on the international stage. Iran and North Korea also continue to carry out sophisticated intrusions targeting U.S. victims. また、国際舞台で悪意ある行動をとっているのは、中国とロシアだけではありません。イランと北朝鮮も、米国の被害者をターゲットにした巧妙な侵入を続けています。
In fact, in the summer of 2021, hackers sponsored by the Iranian government tried to conduct one of the most despicable cyberattacks I’ve seen—right here in Boston—when they decided to go after Boston Children’s Hospital. 実際、2021年の夏には、イラン政府の支援を受けたハッカーが、ここボストンで、ボストン小児病院を狙うという、私が見た中で最も卑劣なサイバー攻撃を行おうとしました。
Let me repeat that, Boston Children’s Hospital. 繰り返しますが、ボストン小児病院です。
We got a report from one of our intelligence partners indicating Boston Children’s was about to be targeted. And, understanding the urgency of the situation, the cyber squad in our Boston Field Office raced to notify the hospital. 私たちは、ある情報機関から、ボストン小児病院が標的にされそうだという報告を受けました。事態の緊急性を理解したボストン支局のサイバー班は急いで病院に知らせました。
Our folks got the hospital’s team the information they needed to stop the danger right away. We were able to help them ID and then mitigate the threat. そして、ボストン支局のサイバー部隊は、危険をすぐに阻止するために必要な情報を病院側に提供しました。そして、脅威を特定し、緩和することができたのです。
And quick actions by everyone involved, especially at the hospital, protected both the network and the sick kids who depend on it. そして、関係者全員、特に病院側の迅速な対応により、ネットワークと、それに依存している病気の子どもたちの両方が守られました。
It’s a great example of why we deploy in the field the way we do, enabling that kind of immediate, before-catastrophe-strikes response. これは、大惨事が起こる前に即座に対応できるような、私たちのフィールドでの展開の理由を示す素晴らしい例です。
Ransomware ランサムウェア
Unfortunately, hospitals these days—and many other providers of critical infrastructure—have even more to worry about than Iranian government hackers. 残念ながら、最近の病院や他の多くの重要インフラのプロバイダーは、イラン政府のハッカー以上に心配することがあります。
If malicious cyber actors are going to purposefully cause destruction or are going to hold data and systems for ransom, they tend to hit us somewhere that’s going to hurt. That’s why we’ve increasingly seen cybercriminals using ransomware against U.S. critical infrastructure sectors. 悪意のあるサイバー犯罪者が意図的に破壊を引き起こしたり、データやシステムの身代金を要求したりする場合、私たちが傷つくような場所を攻撃する傾向があります。そのため、サイバー犯罪者が米国の重要インフラ部門に対してランサムウェアを使用するケースが増加しています。
In 2021, we saw ransomware incidents against 14 of the 16 U.S. critical infrastructure sectors, including healthcare, but also many of the other things we depend on. 2021年には、米国の重要インフラ16分野のうち14分野に対してランサムウェアが発生し、ヘルスケアだけでなく、私たちが依存している他の多くのものも含まれています。
Ransomware gangs love to go after things we can’t do without. ランサムウェアの集団は、私たちが無くてはならないものを狙うのが大好きです。
We’ve seen them compromise networks for oil and gas pipelines, grade schools, 9-1-1 call centers. They also go after local governments. 石油やガスのパイプライン、小学校、9-1-1コールセンターなどのネットワークが危険にさらされているのを私たちは見てきました。また、地方自治体のネットワークも狙われています。
The FBI cyber team here in Boston, for example, last May uncovered important indicators of compromise for the Avaddon ransomware strain. 例えば、ボストンにあるFBIのサイバーチームは、昨年5月、ランサムウェア「Avaddon」の感染経路を示す重要な指標を発見しています。
Avaddon was one of the most prolific ransomware variants in the world at the time. Our folks quickly published what they found to warn the public. Avaddonは当時、世界で最も多発したランサムウェアの亜種の1つでした。私たちは、発見した内容をすぐに公表し、世間に警告を発しました。
And just two days after that, a local police department in the Southwest told FBI Boston that they’d seen some of those indicators of compromise we published—newly identified malicious IP addresses—connecting to the department’s network. そのわずか2日後、アメリカ南西部のある警察署からFBIボストン支部に、私たちが公表した不正アクセスの兆候、つまり新たに特定された悪意のあるIPアドレスが同署のネットワークに接続されているのを確認したと連絡がありました。
The police department was able to use our Boston Division’s information to stop Avaddon from infecting their network. この警察署はボストン支部の情報をもとに、Avaddonによるネットワークへの感染を食い止めることができました。
So, that’s our folks here helping out a city on the other side of the country and a lot of other potential victims nationwide, but also a reminder of the kind of damage ransomware groups are able and willing to inflict. このように、ボストン警察では、国の反対側にある都市や、全国に潜在する多くの被害者を支援するとともに、ランサムウェアグループがどのような被害を与えることができるのか、また、どのような被害を与える意思があるのか、あらためて認識させることができました。
Lessons Learned from Disrupting Hackers ハッカーの妨害から学んだ教訓
Hopefully, as you listen, you’ve been gleaning a bit about our focus. We aim to stop attacks, and degrade actors, as early as we can. 話を聞いているうちに、私たちが重視していることが少しはわかっていただけたかと思います。私たちは、できる限り早い段階で攻撃を阻止し、攻撃者の能力を低下させることを目指しています。
It’s worth taking a few minutes to think about what we’ve learned from the operations of the past couple of years, as more and more of society has moved online, and as cyberattacks and intrusions have accelerated. 社会のオンライン化が進み、サイバー攻撃や侵入が加速する中、ここ数年の活動から私たちが学んだことについて、少し考えてみる価値があると思います。
For one, we’ve learned that in cyber, as with other parts of our work countering criminal organizations, we can impose costs on cybercriminals by focusing on three things: the people, their infrastructure, and their money. We make the most durable impact when we disrupt all three together and when we set aside who gets credit and just equip the best athlete with the information they need to take action. ひとつは、犯罪組織に対抗する他の活動と同様に、サイバーでも3つの要素(人、インフラ、そして資金)に注目することで、サイバー犯罪者にコストを課すことができることを学びました。この3つを同時に破壊することで、最も持続的な影響を与えることができるのです。
First: To go after the people, we work with like-minded countries to identify who’s responsible for the most damaging ransomware schemes and take them out of the game. That may mean arresting and extraditing them to the U.S. to face justice. Or it may mean prosecution by a foreign partner. 第1に、「人」です。私たちは、志を同じくする国々と協力し、最も有害なランサムウェアの仕掛け人を特定し、そのような人物をゲームから排除します。これは、犯人を逮捕し、米国に送還して裁判にかけることを意味する場合もあります。あるいは、海外のパートナーによる起訴を意味する場合もあります。
Crucially, we cast a broad net, going after everyone from the ransomware administrators building the malware, to affiliates deploying it, to the hosting providers and money launderers making the criminal enterprise possible. マルウェアを作成するランサムウェアの管理者から、それを配備する関連会社、犯罪行為を可能にするホスティングプロバイダーやマネーロンダリングに至るまで、すべての人を対象に、幅広い網を張っていることが重要なのです。
Second: Simultaneously, taking down cybercriminals’ technical infrastructure disrupts their operations. 第二に、サイバー犯罪者の技術的なインフラを破壊することで、彼らの活動を妨害することができます。
For instance, last year, the FBI led an international operation that seized control of a botnet called Emotet, consisting of tens of thousands of infected computers, which had been used in a range of cybercrime schemes including ransomware. 例えば、昨年、FBIは、数万台の感染したコンピュータからなるEmotetと呼ばれるボットネットの制御を奪取する国際作戦を主導しました。このボットネットは、ランサムウェアを含むさまざまなサイバー犯罪に利用されてきました。
And that Russian botnet we just disrupted in March is another great example of how we can take infrastructure offline before it causes damage. また、3月に破壊したロシアのボットネットも、被害が発生する前にインフラをオフラインにすることができる素晴らしい例です。
Third: By going after their money, when we seize virtual wallets and return stolen funds, we hit them where it hurts, taking resources away from the bad guys, helping to prevent future criminal operations. 第三に、仮想ウォレットを押収し、盗まれた資金を返還することで、悪党から資金を奪い、将来の犯罪行為を防止することができます。
And we’ve had even bigger successes in disrupting operations by shutting down illicit currency exchanges. また、不正な通貨取引所を閉鎖することで、犯罪を阻止することに成功しています。
Bottom line: We believe in using every tool we’ve got to impose risk and consequences and to remove bad guys from cyberspace.That includes leveraging every partnership we have. 要するに、私たちは 私たちは、リスクと結果をもたらし、サイバー空間から悪者を排除するために、あらゆる手段を用いることが重要だと考えています。
FBI’s Role and the Virtuous Cycle FBI の役割と好循環
So how do we make all that happen. How do we make sure the best athlete has the proverbial ball at the right time and that we’re all making each other stronger? では、これらを実現するにはどうすればよいのでしょう。最高のアスリートが適切なタイミングでボールを持ち、全員がお互いを強化し合うようにするには、どうすればよいのでしょうか。
There's a symmetry to the way we identify threats and the way we deal with them. 脅威を特定する方法と、脅威に対処する方法には、対称性があります。
At the FBI, as both a law enforcement and intelligence service, we're pulling in information about hostile cyber activity from a wide range of sources, from on one end of the spectrum, providers, incident response firms, victims, and others in the private sector, and from our partnerships with CISA, Treasury, and other SRMAs. FBI は法執行機関であると同時に諜報機関として、プロバイダー、インシデント対応企業、被害者、その他民間セクター、CISA、財務省、その他の SRMA との連携など、さまざまなソースから敵対的サイバー活動に関する情報を入手しています。
From our FISA collection, human sources, our fellow USIC agencies' signals and human collection, and from intelligence and law enforcement partners around the world, many of whom have overseas FBI cyber agents working alongside them daily. また、FISAの情報収集、人的情報源、USIC加盟機関の信号および人的情報収集、世界中の情報機関や法執行機関のパートナーから、その多くが海外のFBIサイバー捜査官と一緒に日々活動しています。
Then, we analyze what the adversaries are trying to do, and how. We take, for example, information shared by one victim we know they hit and work back to find others either already being hit or about to be. そして、敵が何をどのように行おうとしているのかを分析します。例えば、敵が攻撃したことがわかっているある被害者の情報をもとに、すでに攻撃されている被害者やこれから攻撃されそうな被害者を探し出します。
We dissect their malware to see what it's capable of and compare what we see in the field to what we know about their strategic intent. また、マルウェアを解析してその能力を確認し、現場で目にしたものを敵の戦略的意図と照らし合わせます。
Then—the other side of that symmetry I mentioned—we quickly push the information we've developed to wherever it can do the most good, whether that means employing our tools or arming partners to use theirs, or both. Often that means racing information to victims or potential victims. そして、先ほど述べた対称性の裏返しとして、私たちは開発した情報を、私たちのツールを使うか、パートナーのツールを使うか、あるいはその両方か、最も効果的な場所に迅速に送り込みます。それは多くの場合、被害者や潜在的な被害者に情報を届けることを意味します。
We've developed the ability to get a technically trained agent out to just about any company in America in an hour, and we use it a lot. 私たちは、技術的な訓練を受けたエージェントを1時間以内にアメリカのあらゆる企業に派遣する能力を開発し、それを大いに活用しています。
Almost every week, we’re rushing cyber agents out to help companies figure out what they’ve got on their systems, how to disrupt it, how to interrupt it, how to mitigate, and how to prevent this from becoming something much worse. ほぼ毎週、私たちはサイバーエージェントを派遣し、企業が自社のシステム上で何が起きているのか、それをどのように妨害し、どのように軽減し、より深刻な事態になるのを防ぐのかを把握する手助けをしています。
Other times, we work jointly with CISA, and often NSA, to disseminate the information even more broadly, if more companies and public entities can make use of it. また、CISAやNSAと共同で、より多くの企業や公共団体が情報を活用できるように、より広く情報を発信することもあります。
For example, in the last couple of months you've seen us publish indicators of compromise for Russian cyber operations targeting U.S. critical infrastructure, helping companies prepare defenses and enabling threat hunting. 例えば、ここ数カ月の間に、米国の重要インフラを標的としたロシアのサイバー作戦に関する侵害指標を発表し、企業が防御策を準備したり、脅威の追跡を可能にしたりするのに役立ちました。
And not long ago, you saw us and NSA push out details on malware the GRU was using to help companies defend against it. また、少し前には、私たちと NSA が GRU が使用しているマルウェアの詳細を発表し、企業の防御に役立てました。
But we're also pushing what we learn to government partners in order to enable joint, sequenced operations that disrupt the harm at its source, at the same time we’re helping companies mitigate on their own networks. しかし、私たちが学んだことを政府のパートナーに伝えることで、害の発生源を断つための統合的で順序だった作戦を可能にすると同時に、企業が自社のネットワークで被害を軽減できるよう支援しています。
We push targeting information about hostile infrastructure abroad either to foreign law enforcement, to seize or shut down; or to government partners here with a mandate to conduct offensive operations overseas; or to Treasury or Commerce, for sanctions. また、海外の敵対的インフラに関する情報を、海外の法執行機関や、海外で攻撃的な活動を行う権限を持つ政府のパートナー、あるいは制裁のために財務省や商務省に提供することもあります。
And so on. といった具合です。
But it’s important to keep in mind that we aren’t playing a one-move game. What we need to do is kick off a virtuous cycle that feeds on itself. しかし、私たちは一挙手一投足で勝負しているわけではないことを心に留めておくことが重要です。私たちがすべきことは、好循環を生み出すことです。
We use the information one company might give us to develop information about who the adversary is, what they're doing, where, why, and how, taking pains to protect that company’s identity just as we do our other sources. ある企業から得た情報をもとに、敵が誰で、どこで、なぜ、どのような活動をしているのかという情報を、他の情報源と同じようにその企業のアイデンティティを保護しながら構築するのです。
Then, when we pass what we develop to partners here and abroad—our fellow U.S. and foreign intel services, foreign law enforcement, CISA and sector risk management agencies, providers like Microsoft. そして、開発した情報を国内外のパートナー(米国内外の情報機関、外国の法執行機関、CISAやセクターリスク管理機関、マイクロソフトのようなプロバイダー)に渡します。
Crucially, those partners can then in turn leverage what we've given to provide us with more information. そして、これらのパートナーは、私たちが提供した情報を活用して、より多くの情報を提供してくれるのです。
Enhancing our Global Investigations グローバル調査の強化
Helping us discover more malicious infrastructure we can target ourselves, or alert private sector partners to more opportunities to arrest or otherwise disrupt the adversaries, which leads us to more useful information to pass back to that first company, to better remediate and protect itself, maybe find more technical info it can share back to us and to our partners, to take further steps. And so on. また、民間セクターのパートナーに、敵対者を逮捕したり妨害したりする機会を提供することで、最初の企業に有益な情報を提供し、より適切な修復と保護を行い、さらに技術情報を見つけて当社とパートナーに提供し、次のステップに進むことができます。そして、そのような情報をもとに、さらに対策を講じることができるのです。
It's why we're deployed all over this country and in nearly 80 countries around the world. このような理由から、私たちはアメリカ国内はもとより、世界80カ国近くに配備されています。
What these partnerships let us do is hit our adversaries at every point—from the victims' networks, back all the way to the hackers' own computers. このようなパートナーシップにより、被害者のネットワークからハッカー自身のコンピュータに至るまで、あらゆるポイントで敵に打撃を与えることができるのです。
Of course, for this virtuous cycle of information to work, we rely on companies to work with us the way WatchGuard and Boston Children’s Hospital did. もちろん、この情報の好循環が機能するためには、WatchGuard や Boston Children's Hospital のように、私たちと協力してくれる企業に依存しています。
So, for companies that conduct any work on the internet, I would encourage you to have an incident response plan and to include contacting your local FBI field office as part of that plan. It’s immensely helpful for any business to have an existing relationship with their local office before an attack occurs. そこで、インターネット上で何らかの業務を行っている企業には、インシデント対応計画を立て、その計画の一環として、地元のFBI支局に連絡することをお勧めしたいのです。攻撃される前に、地元の支局との関係を築いておくことは、どのような企業にとっても非常に有益なことです。
In fact, that’s one of the reasons we were able to help Boston Children’s Hospital so quickly. 実際、私たちがボストン小児病院を迅速に支援できたのは、このような理由からです。
The FBI Boston Field Office had worked with Children’s on a series of attacks in 2014—those stemming from a misguided online protest. We worked closely with Children’s all the way through our investigation, which led to a conviction and sentencing of the hacker in 2019. FBIボストン支局は、2014年にネット上の誤った抗議活動から発生した一連の攻撃について、小児科病院と協力したことがあります。私たちは、調査期間中ずっと小児科病院と緊密に連携し、その結果、2019年にハッカーに有罪判決が下されることになりました。
So, Children’s and our Boston office already knew each other well before the attack from Iran, and that made a difference. つまり、チルドレンズとボストンオフィスは、イランからの攻撃の前にすでにお互いをよく知っており、それが違いを生んだのです。
So, I’d encourage everyone to give us a call and talk with your local FBI cyber team. ですから、皆さんもぜひ、私たちに電話をかけて、お近くのFBIのサイバーチームに相談してみてください。
But whether you take that proactive step or not, if you suspect a cyber intrusion, please report the compromise by contacting your local field office immediately—the more quickly we get involved, the more we can do to help. しかし、そのような積極的な行動を取るかどうかにかかわらず、サイバー侵入の疑いがある場合は、直ちに最寄りの支部に連絡して、侵害を報告してください。
Conclusion まとめ
Thank you all for being here and for inviting me to speak. この度はお集まりいただき、ありがとうございました。
Our goal at the FBI is to make sure Americans and our partners and families overseas can use cyberspace safely and securely. To do that, we rely on help from everyone in this room—whether you’re a government partner, a service provider, or an online content writer. And I want you to know you can rely on us to help you. FBI の目標は、米国人および海外のパートナーや家族が安全かつセキュアにサイバースペースを利用できるようにすることです。そのためには、政府のパートナー、サービス・プロバイダー、オンライン・コンテンツ・ライターなど、ここにお集まりの皆様の協力が不可欠です。そして、私たちはあなたを助けるために信頼することができることを知ってほしいのです。
Thank you for your trust and for your ideas on how to do this better. 皆様の信頼と、より良い方法についてのアイデアに感謝します。
I’m looking forward to helping the Bureau work with each of you. 私は、FBIが皆さんと協力していけることを楽しみにしています。

 

Fbi_20210425171201

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.13 CISA、NSA、FBI、NCSC~UK、ACSC、CCCS、NCSC-NZ:マネージドサービスプロバイダー(MSP)と顧客を保護するためのサイバーセキュリティアドバイザリー

・2022.05.04 CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)

・2022.04.22 米国 CISAがオーストラリアACSC、カナダCCCS、ニュージーランドNZ NCSC、英国NCSC-UKと協力して重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威についての警告を公表していますね。。。

・2022.04.16 FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.02.02 米国 FBI長官が中国政府の脅威を語る...

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.07.02 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.16 U.S. FBI & CISA 国内テロリズムに関する戦略的情報評価とデータ

・2021.05.08 5月6日は「世界パスワードの日」でした。。。FBI「強力なパスフレーズとアカウント保護」

・2021.04.25 U.S. FBI サイバー犯罪者が偽の求人情報を利用して応募者の個人情報を狙っていると警告

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.03.04 「サイバー脅威に打ち勝つためのユニークなアライアンスの開発について」 ボストン大学のサイバーセキュリティに関する会議における Paul Abbate FBI副長官のスピーチ

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2020.11.01 米国 CISAとFBIがイランのAPT攻撃者が有権者登録データを取得していたと公表していますね。。。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

・2020.08.20 FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.03.31 FBIが、COVID-19で在宅勤務や在宅学習が増えることによるZoomを使ったサイバー犯罪についての注意喚起をしていますね。。。

・2020.03.25 Oregon FBI Tech Tuesday: Building a Digital Defense When You Are On-the-Go

・2020.02.12 米司法省(DOJ)が中国軍人4人をEquifax不正侵入で提訴したようですね

 

| | Comments (0)

2022.05.27

第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

こんにちは、丸山満彦です。

昨日から、第26回サイバー犯罪に関する白浜シンポジウムに参加しています。私がISACA大阪の活動をしている時からお世話になっていますので、約20年の付き合いとなります。米国から戻ってきた年、ISACAを通じて米国のクリーブランド病院のCIOの方を招聘し、InfraGuardの話をしてもらったり、EnCaseを紹介してもらったり、、、国際的な感覚を大切にしてきたつもりです。。。

で、今回は中谷さんが、インターポール時代の話をしていたのが印象的でした。。。すごく大変な仕事を、こなしていたのだと思いました。(その割には、本人からは大変そうな感じを受けないのですが。。。ひょっとして余裕でこなしていた???)

感染症対策をした上で、久しぶりの現場でのカンファレンス、やはり良いですね。。。

残念ながら、会社の業務都合で、東京に戻るのですが、カンファレンスの成功を祈念します。。。

久しぶりの方も多かったです。また、現場にきていて会えていない人もたくさんいるんですよね。。。またの機会に。。。

 

第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために ~ ランサムウェアの脅威を考える ~

 

 

Sccs_ogp600

 

| | Comments (0)

2022.05.19

米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

こんにちは、丸山満彦です。

米国の司法省が、ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴したと公表していますね。。。

米国司法省のランサムウェアに対する対応は、本気ですよね。。。それでもなかなか追いつかない。。。

 

U.S. Department of JusticeU.S. Attorney’s Office for the Eastern District of New York

・2022.05.16 Hacker and Ransomware Designer Charged for Use and Sale of Ransomware, and Profit Sharing Arrangements with Cybercriminals

Hacker and Ransomware Designer Charged for Use and Sale of Ransomware, and Profit Sharing Arrangements with Cybercriminals ハッカーかつランサムウェア設計者がランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことで起訴される
Defendant, a Doctor, Designed Software With “Doomsday Counter,” Shared in Profits from Ransomware Attacks, and Bragged about Use by Iranian State-Sponsored Hacking Group 医師である被告は、「Doomsdayカウンター」を搭載したソフトウェアを設計し、ランサムウェア攻撃による利益を共有し、イランの国家支援ハッキンググループによる利用を自慢していました。
A criminal complaint was unsealed today in federal court in Brooklyn, New York, charging Moises Luis Zagala Gonzalez (Zagala), also known as “Nosophoros,” “Aesculapius” and “Nebuchadnezzar,” a citizen of France and Venezuela who resides in Venezuela, with attempted computer intrusions and conspiracy to commit computer intrusions.  The charges stem from Zagala’s use and sale of ransomware, as well as his extensive support of, and profit sharing arrangements with, the cybercriminals who used his ransomware programs.   ニューヨーク州ブルックリンの連邦裁判所で本日、「Nosophoros」、「Aesculapius」、「Nebuchadnezzar」としても知られる、フランスおよびベネズエラ在住のMoises Luis Zagala Gonzalez(Zagala)を、コンピュータ侵入の試みおよびコンピュータ侵入の陰謀で告訴する刑事訴状が公開されました。  この容疑は、Zagalaがランサムウェアを使用・販売したことに加え、彼のランサムウェア・プログラムを使用したサイバー犯罪者を大規模に支援し、利益分配の取り決めを行ったことに起因しています。 
Breon Peace, United States Attorney for the Eastern District of New York, and Michael J. Driscoll, Assistant Director-in-Charge, Federal Bureau of Investigation, New York Field Office (FBI), announced the charges. ニューヨーク東地区連邦検事のBreon Peace氏と連邦捜査局 (FBI) ニューヨーク支局副局長のMichael J. Driscoll氏が、今回の起訴を発表しました。
“As alleged, the multi-tasking doctor treated patients, created and named his cyber tool after death, profited from a global ransomware ecosystem in which he sold the tools for conducting ransomware attacks, trained the attackers about how to extort victims, and then boasted about successful attacks, including by malicious actors associated with the government of Iran,” stated United States Attorney Peace.  “Combating ransomware is a top priority of the Department of Justice and of this Office.  If you profit from ransomware, we will find you and disrupt your malicious operations.” Peace米国連邦検事は、次のように述べています。「兼業もしているこの医師は、患者の治療を行い、患者の死後、サイバーツールを作成して命名し、ランサムウェア攻撃を行うためのツールを販売し、攻撃者に被害者からの恐喝方法について訓練し、そしてイラン政府に関連する悪質な行為者による攻撃も含めて成功したと自慢することでグローバルなランサムウェアエコシステムから利益を得ていました。ランサムウェアとの戦いは、司法省と当庁の最優先事項です。  もしあなたがランサムウェアで利益を得ているなら、私たちはあなたを見つけ出し、あなたの悪意ある活動を崩壊させるでしょう。」
"We allege Zagala not only created and sold ransomware products to hackers, but also trained them in their use. Our actions today will prevent Zagala from further victimizing users. However, many other malicious criminals are searching for businesses and organizations that haven't taken steps to protect their systems - which is an incredibly vital step in stopping the next ransomware attack," stated Assistant Director-in-Charge Driscoll. Driscoll副所長は次のように述べています。「我々は、Zagalaがランサムウェア製品を作成し、ハッカーに販売しただけでなく、その使用方法をトレーニングしたと申し立てています。今日の我々の行動により、Zagalaがこれ以上ユーザーを犠牲にすることを防ぐことができます。しかし、他の多くの悪質な犯罪者は、システムを保護する手段を講じていない企業や組織を探しています。これは、次のランサムウェア攻撃を阻止するために非常に重要なステップです。」
As charged in the criminal complaint, Zagala, a 55-year-old cardiologist who resides in Ciudad Bolivar, Venezuela, has designed multiple ransomware tools—malicious software that cybercriminals use to extort money from companies, nonprofits and other institutions, by encrypting those files and then demanding a ransom for the decryption keys.  Zagala sold or rented out his software to hackers who used it to attack computer networks.  Zagalaは、ベネズエラのシウダー・ボリバルに住む55歳の心臓専門医で、複数のランサムウェア・ツールを設計しました。この不正なソフトウェアは、サイバー犯罪者が企業や非営利団体などからお金をゆすり取るために使用し、ファイルを暗号化した上で復号化キーの身代金を要求します。  Zagalaは、自分のソフトウェアをハッカーに販売または貸与し、それを使ってコンピューター・ネットワークを攻撃していた。 
One of Zagala’s early products, a ransomware tool called “Jigsaw v. 2,” had, in Zagala’s description, a “Doomsday” counter that kept track of how many times the user had attempted to eradicate the ransomware.  Zagala wrote: “If the user kills the ransomware too many times, then its clear he won’t pay so better erase the whole hard drive.” Zagalaの初期の製品の1つである「Jigsaw v.2」というランサムウェア・ツールは、Zagalaの説明では、ユーザーがランサムウェアを根絶しようとした回数を記録する「Doomsday」カウンターを備えていたそうです。  Zagalaは、「もしユーザーがランサムウェアを何度も退治したら、彼がお金を払わないことは明らかなので、ハードディスク全体を消去した方がいい」と書いています。
Beginning in late 2019, Zagala began advertising a new tool online—a “Private Ransomware Builder” he called “Thanos.”  The name of the software appears to be a reference to a fictional cartoon villain named Thanos, who is responsible for destroying half of all life in the universe, as well as a reference to the figure “Thanatos” from Greek mythology, who is associated with death.  The Thanos software allowed its users to create their own unique ransomware software, which they could then use or rent for use by other cybercriminals.  The user interface for the Thanos software is shown below:[1] 2019年後半から、Zagalaは新しいツール、彼が "Thanos "と呼ぶ「プライベート・ランサムウェア・ビルダー」をオンラインで宣伝し始めました。  このソフトウェアの名前は、宇宙の全生命の半分を破壊した架空の漫画の悪役「Thanos」にちなんでいるようで、また、死を連想させるギリシャ神話の人物「Thanatos」にもちなんでいるようです。  Thanosは、ユーザーが独自のランサムウェアソフトウェアを作成し、他のサイバー犯罪者に使用させたり、貸し出すことができるソフトウェアでした。  Thanosソフトウェアのユーザー・インターフェースは、以下のとおりです[1]。
Zagala_screenshot
The screenshot shows, on the right-hand side, an area for “Recovery Information,” in which the user can create a customized ransom note.  Other options include a “data stealer” that specifies the types of files that the ransomware program should steal from the victim computer, an “anti-VM” option to defeat the testing enviornments used by security researchers, and an option, as advertised, to make the ransomware program “self-delete.”  このスクリーンショットでは、右側に「リカバリー情報」のエリアがあり、ここでユーザーはカスタマイズされた身代金メモを作成することができます。  その他のオプションとしては、ランサムウェア・プログラムが被害者のコンピュータから盗むべきファイルの種類を指定する「データステアラー」、セキュリティ研究者が使用するテスト環境を無効にする「アンチVM」オプション、および宣伝されているようにランサムウェア・プログラムを「自己削除」するオプションが含まれています。 
Rather than simply sell the Thanos software, Zagala allowed individuals to pay for it in two ways.  First, a criminal could buy a “license” to use the software for a certain period of time.  The Thanos software was designed to make periodic contact with a server in Charlotte, North Carolina that Zagala controlled for the purpose of confirming that the user had an active license.[2]  Alternatively, a Thanos customer could join what Zagala called an “affiliate program,” in which he provided a user access to the Thanos builder in exchange for a share of the profits from Ransomware attacks.  Zagala received payment both in fiat currency and cryptocurrency, including Monero and Bitcoin. Zagalaは、Thanosソフトウェアを単に販売するのではなく、個人が2つの方法で代金を支払うことを可能にしました。  1つ目は、一定期間ソフトウェアを使用するための「ライセンス」を購入する方法です。  Thanosのソフトウェアは、ユーザーが有効なライセンスを持っていることを確認する目的で、Zagalaが管理するノースカロライナ州シャーロットのサーバーと定期的に連絡を取るように設計されていました[2]。 あるいは、Thanosの顧客は、Zagalaが「アフィリエイトプログラム」と呼ぶ、ランサムウェア攻撃からの利益を分配する代わりにユーザーにThanosビルダーを利用させるものに加わることもできました。  Zagalaは、不換通貨とMoneroやBitcoinを含む暗号通貨の両方で支払いを受けました。
Zagala advertised the Thanos software on various online forums frequented by cybercriminals, using screennames that referred to Greek mythology.  His two preferred nicknames were “Aesculapius,” referring to the ancient Greek god of medicine, and “Nosophoros,” meaning “disease-bearing” in Greek.  In public advertisements for the program, Zagala bragged that ransomware made using Thanos was nearly undetectable by antivirus programs, and that “once encryption is done,” the ransomware would “delete itself,” making detection and recovery “almost impossible” for the victim.  Zagalaは、サイバー犯罪者が頻繁に訪れるさまざまなオンラインフォーラムで、ギリシャ神話にちなんだスクリーンネームを使用してThanosソフトウェアを宣伝していました。  彼の好みのニックネームは、古代ギリシャの医療の神を意味する「Aesculapius」と、ギリシャ語で「病気をもたらす」という意味の「Nosophoros」の2つでした。  Zagalaはプログラムの公開広告で、Thanosを使って作られたランサムウェアはウイルス対策プログラムではほとんど検出できないこと、また「暗号化が完了すると」ランサムウェアは「自身を削除」し、被害者にとって検出と復元が「ほとんど不可能」になることを自慢げに語っています。 
In private chats with customers, Zagala explained to them how to deploy his ransomware products—how to design a ransom note, steal passwords from victim computers, and set a Bitcoin address for ransom payments.  As Zagala explained to one customer, discussing Jigsaw: “Victim 1 pays at the given btc [Bitcoin] address and decrypts his files.”  Zagala also noted that “there is a punishment… [i]f user reboots.  For every rerun it will punish you with 1000 files deleted.”  After Zagala explained all the features of the software, the customer replied: “Sir, I really need to say this . . . You are the best developer ever.”  Zagala responded: “Thank you that is nice to hear[.]  Im very flattered and proud.”  Zagala had only one request: “If you have time and its not too much trouble to you please describe your experience with me” in an online review. Zagalaは顧客とのプライベートなチャットで、ランサムウェア製品の導入方法として、身代金請求書のデザイン、被害者のコンピューターからのパスワードの盗み出し、身代金支払い用のビットコインアドレスを設定する方法などを説明しています。  Zagalaは、ある顧客に対して、ジグソーについて説明しました。「被害者1は、指定されたbtc(ビットコイン)アドレスに支払い、ファイルを復号化する"。  Zagalaはまた、「罰がある... [i]ユーザーが再起動した場合。  再起動のたびに1000ファイル削除される罰がある "と述べた。  Zagalaがソフトウェアの機能をすべて説明した後、その顧客はこう答えた。「先生、これだけはどうしても言いたいのですが.あなたは最高の開発者です」。  Zagalaはこう答えました。「ありがとうございます、うれしいです。  Zagalaの要望はただ1つ。「もし時間があれば、そして迷惑でなければ、私との経験をオンライン・レビューに書いてください」。
On or about May 1, 2020, a confidential human source of the FBI (CHS-1) discussed joining Zagala’s “affiliate program.”  Zagala responded: “Not for now.  Don’t have spots.”  But Zagala offered to license the software to CHS-1 for $500 a month with “basic options,” or $800 with “full options.”  2020年5月1日頃、FBIの機密情報源(CHS-1)は、Zagalaの「アフィリエイト・プログラム」に参加することを検討しました。  Zagalaはこう答えた。「今はダメだ。  スポットはない "と答えた。  しかしZagalaは、CHS-1に対して、「基本オプション」なら月500ドル、「フルオプション」なら800ドルでソフトウェアをライセンスすることを提案しました。 
On or about October 7, 2020, CHS-1 asked Zagala how to establish an affiliate program of his own using Thanos.  Zagala responded with a short tutorial on how to set up a ransomware crew.  He explained that CHS-1 should find people “versed…in LAN hacking” and supply them with a version of the Thanos ransomware that was programmed to expire after a given period of time.[3]  Zagala said that he personally had “a maximum of between 10-20” affiliates at a given time, and “sometimes only 5.”  He added that hackers approached him for his software after they had gained access to a victim network:  “they come with access to [b]ig LAN, I check and then I accept[.]  they lock several big networks and we wait…If you lock networks without tape or cloud (backups)[,] almost all pay[.]”  2020年10月7日頃、CHS-1はZagalaに、Thanosを使って自分のアフィリエイト・プログラムを確立する方法を尋ねた。  Zagalaは、ランサムウェアのクルーを設定する方法に関する短いチュートリアルで応えました。  彼は、CHS-1が「LANハッキングに精通している」人々を見つけ、一定期間後に期限切れになるようにプログラムされたThanosランサムウェアのバージョンを提供すべきだと説明しました[3] Zagalaは、彼自身がある時点で「最大10-20」、「時には5」のアフィリエイトを持っていると述べました。  彼は、ハッカーが被害者のネットワークにアクセスした後、彼のソフトウェアのために彼に近づいたと付け加えました。  「彼らはLANにアクセスするためにやってきて、私はそれを確認し、そして受け入れるのです...彼らはいくつかの大きなネットワークをロックし、私たちは待ちます...テープやクラウド(バックアップ)なしでネットワークをロックすれば、ほとんどすべてが支払われます...」。 
Zagala further explained that, sometimes, a victim network turned out to have an unexpected backup: “so no point in locking because they have backups, so in that case we only exfiltrate data,” referring to stealing victim information.  Zagala further added that he had an associate who “knows how to corrupt tapes,” meaning backups, and how to “disable[] AV,” meaning antivirus software.  Finally, Zagala offered to give CHS-1 an additional two weeks free after CHS-1’s one-month license expired, explaining “because 1 month is too little for this business…sometimes you need to work a lot to get good profit.” Zagalaはさらに、被害者のネットワークに予期せぬバックアップがあることが判明することがあると説明しています。「バックアップがあるからロックする意味がない。だから、その場合はデータを流出させるだけだ」と、被害者の情報を盗むことに言及しています。  さらにZagalaは、バックアップを意味する「テープを破損させる方法」と、アンチウイルス・ソフトウェアを意味する「AVを無効化する方法」を知っている仲間がいると付け加えました。  最後に、ZagalaはCHS-1の1ヶ月のライセンスが切れた後、さらに2週間無料で提供すると申し出ました。「このビジネスでは1ヶ月では少なすぎるからだ。良い利益を得るためには、時にはたくさん働かなければならない」と説明しています。
Zagala’s customers favorably reviewed his products.  One individual posted a message praising Thanos in July 2020, writing “i bought the ransomware from nosophoros and it is very powerful,” and claiming that he had used Zagala’s ransomware to infect a network of approximately 3000 computers.  And, in December 2020, another user wrote a post in Russian: “We have been working with this product for over a month now, we have a good profit!  Best support I’ve met.”  Zagala has publicly discussed his knowledge that his clients used his software to commit ransomware attacks, including by linking to a news story about an Iranian state-sponsored hacking group’s use of Thanos to attack Israeli companies. Zagalaの顧客は、彼の製品を好意的に評価しました。  ある個人は2020年7月にThanosを賞賛するメッセージを投稿し、「私はnosophorosからランサムウェアを購入しましたが、非常に強力です」と書き、Zagalaのランサムウェアを使って約3000台のコンピュータのネットワークに感染させたと主張しています。  また、2020年12月には、別のユーザーがロシア語で「この製品を使い始めて1カ月以上経ちますが、良い利益を得ています!」という書き込みをしています。  最高のサポートに出会えた"  Zagalaは、イランの国家に支援されたハッキンググループがThanosを使ってイスラエルの企業を攻撃したというニュース記事にリンクするなどして、クライアントが彼のソフトウェアを使ってランサムウェア攻撃を行ったという知識を公に語っている。
In or around November 2021, Zagala began using a third screenname – “Nebuchadnezzar.”  In chats with a second confidential source of the FBI (CHS-2), Zagala stated that he had switched aliases to preserve “OPSEC… operational security” because “malware analysts are all over me.”  2021年11月頃、Zagalaは3つ目のスクリーンネームである "Nebuchadnezzar "を使い始めています。  FBIの第2の機密情報源(CHS-2)とのチャットで、Zagalaは、「マルウェア・アナリストが私の上にいる」ため、「OPSEC...作戦上の安全」を保つために別名を切り替えたと述べています。 
On or about May 3, 2022, law enforcement agents conducted a voluntary interview of a relative of Zagala who resides in Florida and whose PayPal account was used by Zagala to receive illicit proceeds.  The individual confirmed that Zagala resides in Venezuela and had taught himself computer programming.  The individual also showed agents contact information for Zagala in his phone that matched the registered email for malicious infrastructure associated with the Thanos malware. 2022年5月3日頃、法執行機関は、フロリダに居住するZagalaの親族で、Zagalaが不正な収益を受け取るためにそのPayPalアカウントを使用していた人物に任意の聞き取り調査を実施しました。  この人物は、Zagalaがベネズエラに居住し、コンピュータ・プログラミングを独学で習得していることを確認しました。  また、この人物は、捜査官に、自分の携帯電話にあるZagalaの連絡先が、マルウェア「Thanos」に関連する悪質なインフラの登録メールと一致することを示しました。
If convicted, the defendant faces up to five years’ imprisonment for attempted computer intrusion, and five years’ imprisonment for conspiracy to commit computer intrusions.  有罪判決を受けた場合、同被告はコンピュータ侵入未遂で最長5年の禁固刑、コンピュータ侵入の共謀で5年の禁固刑に処されます。 
The government’s case is being handled by the Office’s National Security and Cybercrime Section.  Assistant United States Attorneys David K. Kessler and Alexander F. Mindlin are in charge of the prosecution.  政府の案件は、同事務所の国家安全保障・サイバー犯罪課が担当しています。  米国弁護士助手のDavid K. KesslerとAlexander F. Mindlinが起訴を担当しています。 
[1] On September 14, 2020, an FBI agent surreptitiously purchased a license for Thanos from Zagala, and downloaded the software.  [1] 2020年9月14日、FBI捜査官がZagalaからThanosのライセンスを密かに購入し、ソフトウェアをダウンロードした。
[2] This server has been taken offline. [2] このサーバーはオフラインになっています
[3] “LAN” stands for “local area network” and refers to a computer network that interconnects computers within a limited area such as an office building. [3] LANとは、ローカルエリアネットワークの略で、オフィスビルなどの限られたエリア内のコンピュータを相互に接続するコンピュータネットワークを指します

 

逮捕状

・[PDF] AMENDED AFFIDAVIT AND COMPLAINT IN SUPPORT OF AN APPLICATION FOR AN ARREST WARRANT

20220519-42835

 

-----

ちなみに、Doomsday [wikipedia] はスーパーマンを倒したクリプト星人が作り出したもののようです。。。運命の日...

 

 

| | Comments (0)

2022.05.04

CISA, FBI, NSA, ACSC, CCCS, NZ NCSC, NCSC-UK 2021年に頻繁に悪用された脆弱性 (2022.04.27)

こんにちは、丸山満彦です。

米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド・国家サイバーセキュリティセンター(NZ NCSC)、および英国・国家サイバーセキュリティセンター(NCSC-UK)が共同で、2021年に頻繁に悪用された脆弱性を公表していますね。。。

数ある脆弱性についての対応を検討する際の優先順位付けに活用してくださいということです。。。

 

CISA

・2022.04.27 CISA, FBI, NSA, AND INTERNATIONAL PARTNERS WARN ORGANIZATIONS OF TOP ROUTINELY EXPLOITED CYBERSECURITY VULNERABILITIES 

CISA, FBI, NSA, AND INTERNATIONAL PARTNERS WARN ORGANIZATIONS OF TOP ROUTINELY EXPLOITED CYBERSECURITY VULNERABILITIES    CISA、FBI、NSA、および国際的なパートナーが、頻繁に悪用されたサイバーセキュリティ脆弱性について組織に警告を発する
WASHINGTON –  The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), and the United Kingdom’s National Cyber Security Centre (NCSC-UK) issued a joint Cybersecurity Advisory today on the common vulnerabilities and exposures (CVEs) frequently exploited by malicious cyber actors, including the 15 most commonly exploited of 2021.    ワシントン - サイバーセキュリティおよびインフラストラクチャ セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア サイバーセキュリティセンター(ACSC)、カナダ サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NZ NCSC)、英国国家サイバーセキュリティセンター(NCSC-UK)は、本日共同サイバーセキュリティアドバイザリーを発表し、2021年に最も悪用された15件を含む悪質サイバー行為者によって頻繁に利用される共通脆弱性識別子(CVEs)を明らかにしました。   
Malicious cyber actors continue to aggressively target disclosed critical software vulnerabilities against broad target sets in both the public and private sectors. While the top 15 vulnerabilities have previously been made public, this Advisory is meant to help organizations prioritize their mitigation strategies. 悪意のあるサイバー行為者は、公共部門と民間部門の両方の幅広いターゲットセットに対して、開示された重要なソフトウェアの脆弱性を積極的に狙い続けています。上位15件の脆弱性は以前から公開されていますが、本アドバイザリーは、組織が緩和戦略の優先順位を決定するのに役立つことを目的としています。
The cybersecurity authorities recommend the following prioritized mitigation measures:     サイバーセキュリティ当局は、以下の優先的な緩和策を推奨しています。    
・Vulnerability and configuration management, including updating software, operating systems, applications, and firmware, with a prioritization on patching known exploited vulnerabilities; implementing a centralized patch management system; and replacing end-of-life software.    ・脆弱性管理と構成管理:ソフトウェア、OS、アプリケーション、ファームウェアのアップデート(既知の脆弱性を突くパッチを優先的に適用)、集中パッチ管理システムの導入、使用済みソフトウェアの交換などが含まれます。
・Identity and access management, including enforcing multi-factor authentication (MFA) for all users; if MFA is unavailable, require employees engaging in remote work to use strong passwords; and regularly reviewing, validating, or removing privileged accounts.     ・アイデンティティとアクセス管理:すべてのユーザーに対する多要素認証(MFA)の実施。MFAが利用できない場合は、リモートワークに従事する従業員に強力なパスワードの使用を義務付ける、特権アカウントを定期的に見直し、検証し、または削除することなどが含まれます。    
・Protective controls and architecture, including properly configuring and secure internet-facing network devices, disabling unused or unnecessary network ports and protocols, encrypting network traffic, and disabling unused network services and devices.     ・保護的コントロールとアーキテクチャ:インターネットに接続するネットワーク機器の適切な設定、不要なネットワークポートやプロトコルの無効化、ネットワークトラフィックの暗号化、使用しないネットワークサービスや機器の無効化などが含まれます。 
“We know that malicious cyber actors go back to what works, which means they target these same critical software vulnerabilities and will continue to do so until companies and organizations address them,” said CISA Director Jen Easterly. “CISA and our partners are releasing this advisory to highlight the risk that the most commonly exploited vulnerabilities pose to both public and private sector networks. We urge all organizations to assess their vulnerability management practices and take action to mitigate risk to the known exploited vulnerabilities.”    CISA のディレクターである Jen Easterly は、次のように述べています。「悪意のあるサイバー攻撃者は、有効なものから手を付けるということが分かっています。CISAと我々のパートナーは、最も一般的に悪用される脆弱性が公共部門と民間部門の両方のネットワークにもたらすリスクを強調するために、この勧告を発表します。私たちは、すべての組織が脆弱性管理の実践を評価し、既知の悪用される脆弱性に対するリスクを軽減するための行動を取ることを強く勧めます。」  
"This report should be a reminder to organizations that bad actors don't need to develop sophisticated tools when they can just exploit publicly known vulnerabilities," said NSA Cybersecurity Director Rob Joyce. "Get a handle on mitigations or patches as these CVEs are actively exploited.”  NSA のサイバーセキュリティディレクターである Rob Joyce は、次のように述べています。「このレポートは、悪質な行為者は、公に知られている脆弱性を悪用するだけなら、高度なツールを開発する必要はないことを組織に思い起こさせるものです。これらの CVE が活発に悪用されているため、緩和策やパッチを入手する必要があります。」
"The FBI, together with our federal and international partners, is providing this information to better arm our private sector partners and the public to defend their systems from adversarial cyber threats," said FBI's Cyber Division Assistant Director Bryan Vorndran. "Though the FBI will continue to pursue and disrupt this type of malicious cyber activity, we need your help. We strongly encourage private sector organizations and the public to implement these steps to mitigate threats from known vulnerabilities, and if you believe you are a victim of a cyber incident, contact your local FBI field office."   FBIのサイバー部門アシスタントディレクターであるBryan Vorndranは、次のように述べています。「FBIは、連邦政府や国際的なパートナーとともに、民間部門のパートナーや一般市民が敵対的なサイバー脅威からシステムを守るためのより良い武装をするために、この情報を提供しています。 FBIは今後もこのような悪質なサイバー行為を追及し、阻止していきますが、皆さんの協力が必要です。民間企業や一般市民が、既知の脆弱性からの脅威を軽減するために、これらの手段を実行することを強くお勧めします。もし、自分がサイバー事件の被害者だと思ったら、最寄りのFBI支局に連絡してください。 」
“Malicious cyber actors continue to exploit known and dated software vulnerabilities to attack private and public networks globally,” said Abigail Bradshaw, Head of the Australian Cyber Security Centre. “The ACSC is committed to providing cyber security advice and sharing threat information with our partners, to ensure a safer online environment for everyone. Organisations can implement the effective mitigations highlighted in this advisory to protect themselves.”   オーストラリア・サイバー・セキュリティ・センターの責任者であるアビAbigail Bradshawは、次のように述べています。「悪意のあるサイバー行為者は、既知のソフトウェア脆弱性や年代物のソフトウェア脆弱性を悪用して、世界中の民間および公共ネットワークを攻撃し続けています。 ACSCは、すべての人にとってより安全なオンライン環境を確保するために、サイバーセキュリティに関するアドバイスを提供し、脅威に関する情報をパートナーと共有することに尽力しています。組織は、この勧告で強調されている効果的な緩和策を実施し、自らを守ることができます。 」
“Cyber security best practices, including patch management, are essential tools for organizations to better protect themselves against malicious threat actors,” said Sami Khoury, Head of the Canadian Centre for Cyber Security. “We encourage all organizations to take action and follow the appropriate mitigations in this report against known and routinely exploited vulnerabilities, and make themselves more secure.”   カナダ・サイバー・セキュリティ・センターの責任者であるSami Khouryは、次のように述べています。「パッチ管理を含むサイバーセキュリティのベストプラクティスは、組織が悪意のある脅威行為者からよりよく身を守るために必要不可欠なツールです。私たちは、すべての組織が既知の、そして日常的に悪用される脆弱性に対して、本レポートにある適切な緩和策を講じ、自らをより安全にすることを推奨します。」
“We are seeing an increase in the speed and scale of malicious actors taking advantage of newly disclosed vulnerabilities,” said Lisa Fong, Director of the New Zealand Government Communications Security Bureau’s National Cyber Security Centre (NCSC). “The NCSC works with international partners to provide timely access to critical cyber threat information. This joint advisory underscores the importance of addressing vulnerabilities as they are disclosed and better equips New Zealand organisations to secure their information and systems.”   ニュージーランド政府通信セキュリティ局国家サイバーセキュリティセンター(NCSC)のディレクターであるLisa Fongは、次のように述べています。「新たに公開された脆弱性を利用する悪意のある行為者のスピードと規模が拡大しています。NCSCは国際的なパートナーと協力し、重要なサイバー脅威の情報をタイムリーに提供しています。この共同勧告は、脆弱性が公表されたときに対処することの重要性を強調し、ニュージーランドの組織が情報とシステムを保護するための体制をより良く整えるものです。」  
“The NCSC and our allies are committed to raising awareness of global cyber vulnerabilities and presenting actionable solutions to mitigate them,” said Lindy Cameron, CEO of NCSC. “This advisory places the power in the hands of network defenders to fix the most common cyber weaknesses within the public and private sector ecosystem. Working with our international partners, we will continue to raise awareness of the threats posed by those which seek to harm us.”  NCSCのCEOであるLindy Cameronは次のように述べています。「NCSCと私たちの同盟国は、世界的なサイバー脆弱性に対する認識を高め、それを軽減するための実行可能な解決策を提示することに尽力しています。この勧告は、官民のエコシステムの中で最も一般的なサイバー脆弱性を修正する力をネットワーク防御者の手に委ねるものです。国際的なパートナーと協力しながら、私たちに危害を加えようとする者たちがもたらす脅威に対する認識を高めていきます。」
All organizations are encouraged to review and implement the recommended mitigations in this detailed joint CSA.     すべての組織は、この詳細な共同CSAの推奨される緩和策を検討し、実施することが推奨されます。    

 

・2022.04.27 Alert (AA22-117A) 2021 Top Routinely Exploited Vulnerabilities

Alert (AA22-117A): 2021 Top Routinely Exploited Vulnerabilities Alert (AA22-117A): 2021年に頻繁に悪用された脆弱性
Summary 概要
This joint Cybersecurity Advisory (CSA) was coauthored by cybersecurity authorities of the United States, Australia, Canada, New Zealand, and the United Kingdom: the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security (CCCS), New Zealand National Cyber Security Centre (NZ NCSC), and United Kingdom’s National Cyber Security Centre (NCSC-UK). This advisory provides details on the top 15 Common Vulnerabilities and Exposures (CVEs) routinely exploited by malicious cyber actors in 2021, as well as other CVEs frequently exploited. この共同サイバーセキュリティ勧告(CSA)は、米国、オーストラリア、カナダ、ニュージーランド、および英国:サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、カナダのサイバーセキュリティセンター(CCCS)、ニュージーランドの国家サイバーセキュリティセンター(NZ NCSC)、および英国の国家サイバーセキュリティセンター(NCSC-UK)が共同作成したものであります。本アドバイザリでは、2021年に悪意のあるサイバー行為者によって頻繁に悪用された上位15個の共通脆弱性識別子(CVE)と、その他頻繁に悪用されるCVEについて詳細を説明します。
U.S., Australian, Canadian, New Zealand, and UK cybersecurity authorities assess, in 2021, malicious cyber actors aggressively targeted newly disclosed critical software vulnerabilities against broad target sets, including public and private sector organizations worldwide. To a lesser extent, malicious cyber actors continued to exploit publicly known, dated software vulnerabilities across a broad spectrum of targets.  米国、オーストラリア、カナダ、ニュージーランド、英国のサイバーセキュリティ当局は、2021年に悪意のあるサイバー行為者が、世界中の公共および民間組織を含む幅広いターゲットセットに対して、新たに公開された重要なソフトウェア脆弱性を積極的に狙ったと評価しています。また、悪意のあるサイバー攻撃者は、広範なターゲットに対して、公表されている日付の古いソフトウェアの脆弱性を悪用し続けました。 
The cybersecurity authorities encourage organizations to apply the recommendations in the Mitigations section of this CSA. These mitigations include applying timely patches to systems and implementing a centralized patch management system to reduce the risk of compromise by malicious cyber actors. サイバーセキュリティ当局は、本 CSA の「緩和策」のセクションにある推奨事項を適用するよう組織に促しています。これらの緩和策には、悪意のあるサイバー行為者による侵害のリスクを低減するために、システムに適時パッチを適用すること、集中パッチ管理システムを導入することが含まれます。

 

・[PDF]

20220504-63108

 

 

 

 

| | Comments (0)

2022.04.21

総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

こんにちは、丸山満彦です。

総務省 経済産業省 警察庁、内閣官房、JPCERT/CCが事務局となって「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催するようですね。。。

どんな情報(What)を、どのタイミング(When)で、どんな主体(Whom)と共有するのか、、、というのが議論のポイントになるのでしょうかね。。。

その際に、「技術情報」と「コンテクスト情報」を分離して共有することにし、早期の技術情報(対策状況、脆弱性、マルウェア、通信先等)の共有が可能になり、当事者の全容解明が早まり、当時に他社への注意喚起、同様の被害を受けた他社の解決の早期化にも資するということなのでしょうかね。。。

米国が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)を成立させ、重要インフラ企業はサイバーインシデントがあれば、72時間以内にCISAに報告をすることになり、CISAが報告のための[PDF] ファクトシートを公開していますが、これとは少し違う目的のようにも思いますが、参考にできるところは参考にして、あるいはこちらの検討結果をCISAに共有する等をし、国際的な共有の枠組みを推進できると素敵ですよね。。。

 

20220421-33502

総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P2

 

20220421-34601

総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P4

 

● 総務省

・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について


サイバー攻撃被害を受けた民間主体やその受託者等(以下「サイバー攻撃被害組織等」という。)が、その被害に係る情報をサイバーセキュリティ関係組織等と共有することは、発生したサイバー攻撃の全容を解明し、更なる対策の強化を可能とせしめるものであり、サイバー攻撃被害組織等自身にとっても、社会全体にとっても非常に有益です。しかし、現状、サイバー攻撃被害組織等の現場にとって、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く、被害に係る情報のうち、どのような情報を、どのタイミングで、どのような主体と共有すればよいかの検討にあたり、実務上の参考とすべきものがないため、適切に判断することが難しいとの声も聞かれます。

 そこで、サイバー攻撃被害に係る情報を取り扱う様々な担当者の判断に資することを目的として、サイバー攻撃被害組織等の立場にも配慮しつつ、技術情報等組織特定に至らない情報の整理を含めた、サイバー攻撃被害に係る情報の共有・公表ガイダンスを策定すべく、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催することとしました。


・[PDF] 別紙1 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について(サイバーセキュリティ協議会運営委員会決定)

・[PDF] 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料)

 

● 経済産業省

・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会を開催します

・[PDF] 【別紙1】サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

・[PDF] 【別紙2】「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(概要)

 

● 警察庁 - サイバーポリスエージェンシー

・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

 

● 内閣官房 - サイバーセキュリティセンター

・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

 


2.22.04.23 追記

事務局を務めることになるJPCERT/CC のブログ

● JPCERT/CC - blogs

・2022.04.21 サイバー攻撃被害情報の共有と公表のあり方について



 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

 

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

金融

・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

企業情報開示での開示の話。。。

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

米国のサイバー戦略におけるリスク対応の源流...

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

| | Comments (0)

2022.04.17

個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

事務局資料の他、山本達彦先生、全国万引犯罪防止機構日本万引防止システム協会の資料が公開されていますね。。。

個人情報保護委員会

・2022.04.14 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

 ・[PDF] 議事次第

 ・[PDF] 資料1 事務局説明資料 

 ・[PDF] 資料2 山本構成員説明資料

 ・[PDF] 資料3 全国万引犯罪防止機構説明資料

 ・[PDF] 資料4 日本万引防止システム協会説明資料

 ・[PDF] 参考資料 第2回検討会議事概要


  1. 検討のスコープについて
  • どのような目的で、どういう機能を使ってカメラ画像を取得・利用するかを類型化し、それぞれに応じてカメラ画像を取り扱う事業者等に求められる事項や、ガバナンスを整理する必要がある。
  • カメラの被写体である本人の権利利益を守るために求められる事項には、個人情報 保護法上の具体的な権利や請求権のレベル、プライバシーのレベル、差別や実体的 な不利益からの保護や尊厳を守るための対応事項というレベルがあり、それぞれについて整理する必要がある。
  • 顔識別機能付きカメラの利用者にどのような対応を求めるかの基準を、識別性、照合性、検索性、自動処理の観点から明らかにする必要がある。
  • AI倫理や、EU の AI規則案も分析・検討のスコープに含めるとよいのではないか。

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.04.12

警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

こんにちは、丸山満彦です。

警察庁が、令和3年におけるサイバー空間をめぐる脅威の情勢等について、資料を公開していますね。。。

2021年に都道府県警に届けがあったランサムウェア被害は146件だったようですね。。。金銭の要求手口を確認できた被害は97件(約66%)で、そのうち二重恐喝は82件(約85%)を占めていたということです。

20220412-162852
年間146件というのは少ないですが、これは警察に届出があったものですから実際はもっと多いとは思うのですが、実際はどのくらいの被害があったのでしょうかね。。。海外と比べるとかなり少ないようですね 。。。

※ 古いデータですが、例えば、https://www.statista.com/statistics/1246438/ransomware-attacks-by-country/

被害件数(146件)の内訳を被害企業・団体等の規模別にみると、大企業は49件、中小企業は79件であり、その規模を問わず、被害が発生していることがわかります。もちろん、母集団として中小企業の方が多いのですが、細かく分析せずにばら撒いている場合もあるので、中小企業だから狙われないというわけでもなさそうですよね。。。

20220412-162923

 

なお、今年第26回のコンピュター犯罪に関する白浜シンポジウムのテーマはランサムウェアです。。。

 

警察庁 - サイバー空間をめぐる脅威の情勢等

・2022.04.07 [PDF] 令和3年におけるサイバー空間をめぐる脅威の情勢等について

20220412-163223

目次的...

1 情勢概況
2 サイバー空間の脅威情勢
3 警察における取組

別 添

1 令和3年における脅威の動向
(1)
ランサムウェアの情勢と対策
ア 概要
イ 企業・団体等におけるランサムウェア被害
(ア)被害件数
(イ)特徴
ウ 企業・団体等におけるランサムウェア被害の実態
(ア)復旧等に要した期間・費用
(イ)感染経路
エ ランサムウェアと関連するリークサイトの状況
オ サイバー犯罪被害に係る企業・団体等を対象としたアンケート調査*4
(ア)テレワーク実施状況等
(イ)外部から社内ネットワークへの接続率
カ ランサムウェアへの対策
(ア)警察庁ウェブサイトにおける注意喚起
(イ)損害保険会社と連携した対策の推進
(ウ)流出したVPN製品の認証情報に係る注意喚起
(エ)医療機関を標的としたランサムウェアへの対策

(2)
フィッシング等に伴う不正送金・不正利用の情勢と対策
ア インターネットバンキングに係る不正送金事犯の発生状況
イ フィッシング等に伴う被害の実態
ウ 警察の取組

(3)
東京大会のサイバー関連対策
(4) 主なサイバー攻撃事例と警察における取組

ア サイバー攻撃事例
イ 警察における取組

2 サイバー空間の脅威情勢
(1)
サイバー空間におけるぜい弱性探索行為等の観測状況
ア センサーにおいて検知したアクセスの概況
イ 特徴的な観測

(2)
標的型メール攻撃
ア サイバーインテリジェンス情報共有ネットワーク
イ 事例

(3)
サイバー犯罪の現況
ア サイバー犯罪の検挙件数
イ 不正アクセス禁止法*14 違反
(ア)検挙件数
(イ)特徴

ウ コンピュータ・電磁的記録対象犯罪
(ア)検挙件数
(イ)特徴


 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

| | Comments (0)

より以前の記事一覧