ウイルス

2024.05.15

米国 MITRE 連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設 (2024.05.07)

こんにちは、丸山満彦です。

MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...

NVIDIA DGX SuperPOD™だそうです...

 

MITRE

・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies

MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する
MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD  MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する 
McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。
As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure.  米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。
"The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ."  MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」
MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。
Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。
"MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security."  NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」
The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。

 

・2024.05.07 Federal AI Sandbox

Federal AI Sandbox 連邦AIサンドボックス
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。
AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。

 

 

・[PDF

20240515-04359

 

 

MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox.  MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。
AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets.  AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale.  今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。
Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude.  連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。
An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。

 

 

| | Comments (0)

2024.05.01

ドイツ BSI AIがサイバー脅威の状況をどう変えるか

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、人工知能(AI)が現在のサイバー脅威の状況にどのような影響を与えているかを分析した報告書を公表していますね...

生成的AIなら、あちこちですでに言われていますが、フィッシングメール文、悪意のあるコード生成といったところが得意分野でしょうかね...これからは、AIを使ったサイバー攻撃の自動化でしょうかね...

今年初めに英国でも似た報告書を公表して、このブログでも取り上げていますね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.04.30 BSI-Untersuchung: Wie KI die Cyberbedrohungslandschaft verändert

BSI-Untersuchung: Wie KI die Cyberbedrohungslandschaft verändert BSI調査:AIがサイバー脅威の状況をどのように変えているか
In einem aktuellen Forschungsbeitrag hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht, wie sich Künstliche Intelligenz (KI) auf die aktuelle Cyberbedrohungslage auswirkt. Die Untersuchung beleuchtet, wie sich Cyberangriffe durch die neu verfügbare Technologie verändern. Dazu identifiziert der Bericht KI-gestützte Anwendungen, die bereits heute für den offensiven Einsatz zugänglich sind und bewertet, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten. ドイツ連邦情報セキュリティ局(BSI)は最近の研究論文で、人工知能(AI)が現在のサイバー脅威の状況にどのような影響を与えているかを分析した。この研究は、新たに利用可能になった技術の結果としてサイバー攻撃がどのように変化しているかに光を当てている。この目的のため、報告書は、今日すでに攻撃的な用途で利用可能なAI支援アプリケーションを特定し、これらの脅威が近い将来どのように発展するかを評価している。
So genannte generative KI, insbesondere große Sprachmodelle, senkt die Einstiegshürden für Cyberangriffe und erhöht Umfang, Geschwindigkeit und Schlagkraft schadhafter Handlungen im digitalen Raum. Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure stellt das BSI derzeit eine maligne Nutzung vor allem im Bereich des Social Engineering und bei der Generierung von Schadcode fest. いわゆる生成的AI、特に大規模な言語モデルは、サイバー攻撃への参入障壁を低くし、デジタル空間における悪意ある活動の範囲、スピード、影響力を増大させる。悪意のある行為者の一般的な生産性向上に加え、BSIは現在、特にソーシャルエンジニアリングと悪意のあるコードの生成の分野で悪意のある利用を目にしている。
KI ermöglicht es Angreifenden mit geringsten Fremdsprachenkenntnissen, qualitativ hochwertige Phishing-Nachrichten zu erstellen: Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten wie die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch reichen zur Erkennung von Phishing-Angriffen damit nicht mehr aus. AIによって、外国語の知識がほとんどない攻撃者でも高品質のフィッシング・メッセージを作成できるようになった: そのため、スペルミスや型にはまった言葉の使い方をチェックするといった従来の不正メッセージの認識方法では、フィッシング攻撃を検知するにはもはや十分ではない。
Einen Schritt weiter als die Unterstützung von Cyberangriffen, die durch Menschen ausgeführt werden, geht die Erstellung von Malware durch KI: Große Sprachmodelle sind bereits heute in der Lage, einfachen Schadcode zu schreiben. Darüber hinaus existieren erste Proofs of Concept, nach denen KI für die automatische Generierung und Mutation von Malware eingesetzt werden kann. Allerdings sind bösartige KI-Agenten, die vollkommen eigenständig IT-Infrastrukturen kompromittieren können – also Künstliche Intelligenz, die zur vollständigen Angriffsautomatisierung führt – aktuell nicht verfügbar und werden mit hoher Wahrscheinlichkeit auch in naher Zukunft nicht verfügbar sein. Allerdings ist KI bereits heute in der Lage, Teile eines Cyberangriffs zu automatisieren. AIによるマルウェアの作成は、人間によるサイバー攻撃をサポートするよりも一歩進んでいる。大規模な言語モデルはすでに単純な悪意のあるコードを書くことができる。さらに、マルウェアの自動生成と変異にAIを利用できるという最初の概念実証も存在する。しかし、完全に独立してITインフラを侵害できる悪意のあるAIエージェント、すなわち完全な攻撃の自動化につながる人工知能は、現在のところ利用できないし、近い将来利用できるようになる可能性も極めて低い。しかし、AIはすでにサイバー攻撃の一部を自動化することができる。
BSI-Präsidentin Claudia Plattner: „Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von großen Sprachmodellen, geben wird. Als Cybersicherheitsbehörde des Bundes sind und bleiben wir am Puls der Forschung und raten insbesondere Unternehmen und Organisationen dazu, Cybersicherheit höchste Priorität einzuräumen. Es wird für uns alle darauf ankommen, mit den Angreifenden Schritt zu halten, also die Geschwindigkeit und den Umfang der Abwehrmaßnahmen zu erhöhen: indem wir schneller patchen, unsere IT-Systeme härten und nahende Angriffe noch früher als bisher erkennen. Dabei hilft KI uns heute schon. Insbesondere für Open-Source-Projekte wird es von entscheidender Bedeutung sein, KI-Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. Des weiteren ist es mit Blick auf den Fachkräftemangel maßgeblich, dass Wirtschaft, Wissenschaft und Politik ihre Kompetenzen bündeln – über Landes- und Ländergrenzen hinweg.“ BSIのクラウディア・プラットナー会長:「サイバー脅威の状況に対するAIの影響に関する我々の現在の評価では、近い将来、AI、特に大規模な言語モデルの開発に大きなブレークスルーはないと想定している。連邦政府のサイバーセキュリティ当局として、我々は今後も研究の動向を注視し、特に企業や組織がサイバーセキュリティを最優先事項とするよう助言していく。攻撃者と歩調を合わせること、すなわち、より早くパッチを当て、ITシステムを強化し、差し迫った攻撃を以前よりも早く検知することによって、防御策のスピードと範囲を拡大することは、我々全員にとって重要である。AIは、今日すでにその手助けをしてくれている。特にオープンソース・プロジェクトでは、悪意ある行為者より先にAIツールを積極的に活用することが重要になるだろう。さらに、熟練労働者の不足を考慮すると、ビジネス、科学、政治が、国や国境を越えて、それぞれの専門知識を結集することが極めて重要である。
Auch Cyberverteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von KI – z. B. bei der Codegenerierung, zur Analyse von Quellcode auf Schwachstellen, zur Detektion von Malware oder der Erstellung von Lagebildern. Wie Künstliche Intelligenz im Detail die Cyberabwehr unterstützen kann, wird die BSI-Untersuchung im Rahmen einer Fortschreibung thematisieren. In einer weiteren Untersuchung informiert das BSI über Chancen und Risiken generativer KI-Sprachmodelle für Industrie und Behörden. サイバー擁護者はまた、AIの使用による生産性の一般的な向上から利益を得ている。例えば、コード生成、脆弱性のソースコード分析、マルウェアの検出、状況認識の作成などである。BSIの調査では、人工知能がサイバー防衛をどのようにサポートできるのか、アップデートの一環として詳しく取り上げる予定である。さらなる調査で、BSIは産業界と当局に対して、生成的AI言語モデルの機会とリスクに関する情報を提供する予定である。

 

・[PDF] Einfluss von KI auf die Cyberbedrohungslandschaft

20240501-00022

Einfluss von KI auf die Cyberbedrohungslandschaft サイバー脅威の状況におけるAIの影響
1 Einleitung  1 はじめに 
Mit dem Aufkommen von Anwendungen, die auf großen Sprachmodellen (eng. „large language models“, LLM) basieren, ist KI auch in der Öffentlichkeit wieder ein viel diskutiertes Thema. Die Grenzen dieser neuen Modelle müssen noch erforscht werden und es ist unklar, welche bleibenden Veränderungen der aktuelle KITrend mit sich bringt. Zweifelsohne gibt es Bedenken hinsichtlich der Auswirkungen von KI auf die Cybersicherheit, da sie bereits jetzt die Cyberbedrohungslandschaft sowohl für Angreifer als auch für Verteidiger verändert. Wir untersuchen, wie sich Angriffe und Tätigkeiten von Angreifern durch die neu verfügbare Technologie verändern, wobei wir uns auf die offensive Nutzung von KI konzentrieren. Während generative KI bereits die Qualität und Quantität von Social-Engineering-Angriffen steigert (z. B. Deepfakes oder personalisiertes Phishing in großem Maße), fokussieren wir unsere Diskussion mehr auf technische Angriffsvektoren und weniger auf den menschlichen Faktor. Es sollte jedoch erwähnt werden, dass SocialEngineering-Angriffe zu den häufigsten Angriffen gehören und KI auf diese Art von Angriff starke Auswirkungen hat.  大規模言語モデル(LLM)に基づくアプリケーションの出現により、AIは再び一般社会で話題となっている。これらの新しいモデルの限界はまだ解明されておらず、現在のAIのトレンドがどのような永続的な変化をもたらすかは不明である。AIがサイバーセキュリティに与える影響について懸念があるのは間違いない。なぜなら、AIはすでに攻撃者と防御者の双方にとってサイバー脅威の状況を変えつつあるからだ。新たに利用可能になった技術の結果、攻撃や攻撃者の活動がどのように変化しているのか、AIの攻撃的利用に焦点を当てて検証する。生成的AIはすでにソーシャル・エンジニアリング攻撃の質と量を高めているが(大規模なディープフェイクやパーソナライズされたフィッシングなど)、ここでは技術的な攻撃ベクトルに重点を置き、人的要因にはあまり触れない。しかし、ソーシャル・エンジニアリング攻撃は最も一般的な攻撃の一つであり、AIがこの種の攻撃に強い影響を与えていることは言及しておく。
Konkret geht es uns nicht darum, alle Möglichkeiten in diesem weiten Feld zu erörtern. Ziel dieses Berichts ist es, KI-gestützte Anwendungen zu identifizieren, die bereits für den offensiven Einsatz verfügbar sind und zu bewerten, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten. Dazu gehören auch Tools und Anwendungen mit doppeltem Verwendungszweck (sog. Dual-Use-Güter), wie z. B. Penetrationstests, die sowohl beim ethischen Red-Teaming als auch bei kriminellen Aktivitäten helfen können. Wir befassen uns auch mit den Sorgen hinsichtlich einer autonomen Hacker-KI, die gelegentlich in den Medien geäußert werden (1) (2).  具体的には、この広範な分野におけるすべての可能性を議論することには興味がない。本報告書の目的は、すでに攻撃的利用が可能なAI搭載アプリケーションを特定し、近い将来、これらの脅威がどのように進化するかを評価することである。これには、倫理的なレッドチーミングと犯罪活動の両方に役立つ侵入テストなどのデュアルユースツールやアプリケーションも含まれる。また、メディア(1)(2)で時折指摘される自律型ハッカーAIに関する懸念にも対処する。
In diesem Kapitel stellen wir unsere wichtigsten Ergebnisse und Empfehlungen vor. In den folgenden Kapiteln geben wir einen Überblick über verschiedene Bereiche offensiver KI-Anwendungen.  本章では、我々の主な発見と提言を紹介する。以下の章では、攻撃的AIのさまざまな応用分野について概観する。
1.1 Ergebnisse  1.1 調査結果 
Auf der Grundlage einer Literaturrecherche und der Bewertung verschiedener Tools und Projekte fassen wir die wichtigsten Ergebnisse wie folgt zusammen:  文献調査と様々なツールやプロジェクトの評価に基づき、主な発見を以下にまとめる: 
    KI, insbesondere LLMs, senkt die Einstiegshürden und erhöht Umfang und Geschwindigkeit bösartiger Handlungen, einschließlich der Erstellung von Malware, Social-Engineering-Angriffen und der Datenanalyse im Rahmen von Angriffen. Dies führt zu fähigeren Angreifern und qualitativ besseren Angriffen.      AI、特にLLMは、マルウェアの作成、ソーシャル・エンジニアリング攻撃、攻撃内のデータ分析など、悪意のある行為への参入障壁を低くし、その規模と速度を向上させる。これにより、攻撃者の能力が高まり、攻撃の質が向上する。
    Angreifer und Verteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von LLMs, z. B. für die Aufklärung und Open-Source-Intelligenz (z. B. durch das Crawlen und Analysieren von Websites und sozialen Medien) oder die Codegenerierung (z. B. Programmierassistenten).      攻撃者と防御者は、偵察やオープンソースインテリジェンス(ウェブサイトやソーシャルメディアのクロールと分析など)やコード生成(プログラミングウィザードなど)のためにLLMを使用することで、一般的な生産性向上の恩恵を受ける。
    Es gibt Proof of Concepts (PoC) und Projekte, die KI für die autonome Generierung und Mutation von Malware einsetzen. Öffentlich verfügbaren Modelle sind bisher allerdings noch nicht „produktionsreif“.      マルウェアの自律的な生成や変異にAIを利用する概念実証(PoC)やプロジェクトが存在する。しかし、一般に利用可能なモデルはまだ「量産可能」ではない。
    Tools, die Angriffe oder Exfiltrationspfade optimieren, werden derzeit auf einzelne Netzwerke trainiert. Sie sind bis heute nicht verallgemeinerbar und existieren (öffentlich verfügbar) nur als PoCs.     攻撃や流出経路を最適化するツールは現在、個々のネットワークで訓練されている。現在までのところ、一般化することはできず、PoCとしてのみ存在する(公開されている)。
    Agenten, die eigenständig beliebige Infrastrukturen kompromittieren, sind noch nicht verfügbar und werden es wahrscheinlich auch in naher Zukunft nicht sein. LLM-basierte Agenten, die Teile eines Angriffs automatisieren, werden jedoch in naher Zukunft verfügbar sein.      独立してあらゆるインフラを侵害できるエージェントは、まだ利用可能ではないし、近い将来そうなる可能性も低い。しかし、攻撃の一部を自動化するLLMベースのエージェントは、近い将来利用可能になるだろう。
    KI kann bei der automatischen Erkennung von Sicherheitslücken eingesetzt werden. Dies ist ein aktives Forschungsgebiet und es sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. In Zukunft wird es für Open-Source-Projekte von entscheidender Bedeutung sein, diese Art von Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun.      AIは、セキュリティ脆弱性の自動検出に利用できる。これは活発な研究分野であり、商用製品だけでなく、オープンソースのツールもいくつかある。将来的には、オープンソースプロジェクトが、悪意ある行為者に先んじて、この種のツールを積極的に活用することが重要になるだろう。
Unsere wichtigsten Ergebnisse stimmen insgesamt mit einem kürzlich veröffentlichten Bericht des britischen National Cyber Security Centre überein (3).  全体として、我々の主要な調査結果は、英国国立サイバー・セキュリティ・センター(National Cyber Security Centre)が最近発表した報告書(3)と一致している。
1.2 Empfehlungen  1.2 提言 
Angesichts der sich verändernden Bedrohungslandschaft ist es wichtig, der Cybersicherheit höchste Priorität einzuräumen. Es wird entscheidend sein, die Geschwindigkeit und den Umfang der Abwehrmaßnahmen zu erhöhen, insbesondere, aber nicht ausschließlich, durch  脅威の状況の変化を考えると、サイバーセキュリティを優先することが重要である。防御のスピードと範囲を向上させることが重要であり、特に以下が重要である。
・    Verbesserung des Patchmanagements,  ・    パッチ管理を改善する、 
・    Aufbau einer resilienten IT-Infrastruktur,  ・    回復力のあるITインフラを構築する、 
・    Verbesserung der Angriffserkennung,  ・    攻撃検知能力の向上 
    Verstärkung der Social-Engineering-Prävention (z. B. Sensibilisierungsschulung, Multi-FaktorAuthentifizierung, Zero-Trust-Architektur) sowie      ソーシャル・エンジニアリング対策の強化(意識向上トレーニング、多要素認証、ゼロ・トラスト・アーキテクチャーなど)。
    Nutzung der allgemeinen Vorteile der KI für Verteidigungsmaßnahmen (z. B. Erkennung von Bedrohungen und Schwachstellen).      AIの一般的な利点を防御対策に活用する(脅威や脆弱性の検出など)。
Da KI häufig klassische Angriffe verstärkt, fallen auch diese Maßnahmen weitgehend in den Bereich der klassischen IT-Sicherheit.  AIは伝統的な攻撃を強化することが多いため、これらの対策も大部分が伝統的なITセキュリティの範囲に含まれる。
1.3 Limitierungen  1.3 制限事項 
Sowohl Cybersicherheit als auch Künstliche Intelligenz unterliegen einem ständigen Wandel, weshalb es wichtig ist, Veränderungen und neue Entwicklungen bezüglich der Bedrohungslandschaft weiterhin zu beobachten. Zwar gibt es noch keine autonomen Hackeragenten, aber es ist schwierig, Programme fähiger Akteure zuverlässig zu bewerten oder technische Durchbrüche vorherzusagen. Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von LLMs, geben wird. Sollte sich diese Annahme nicht bewahrheiten, müssen die Auswirkungen neu bewertet werden.  サイバーセキュリティも人工知能も常に変化しており、脅威の状況の変化や新たな展開を監視し続けることが重要な理由である。自律的なハッキング・エージェントはまだ存在しないが、有能な行為者のプログラムを確実に評価したり、技術的なブレークスルーを予測したりすることは難しい。サイバー脅威の状況に対するAIの影響に関する我々の現在の評価では、近い将来、AI、特にLLMの開発に大きなブレークスルーは起きないと仮定している。この仮定が実現しない場合は、影響を再評価する必要がある。
2  Auswirkungen großer Sprachmodelle  2 大規模言語モデルの影響 
Mit der Veröffentlichung von ChatGPT im November 2022 hat ein Wettbewerb um die Führung auf dem Markt für Chatbots begonnen. Es werden ständig neue Produkte und Sprachmodelle veröffentlicht, die erhebliche Leistungssprünge versprechen. Infolgedessen ist es nun für praktisch jedermann möglich, auf leistungsstarke Sprachmodelle zuzugreifen, welche Ergebnisse von bisher unerreichter Qualität liefern. Die Leistung und Verfügbarkeit dieser Sprachmodelle hat inzwischen verschiedene Branchen beeinflusst und wird auch den Cybersicherheitssektor nachhaltig beeinflussen.  2022年11月にChatGPTがリリースされ、チャットボット市場における主導権争いが始まった。パフォーマンスの大幅な飛躍を約束する新製品や言語モデルが次々とリリースされている。その結果、前例のない品質の結果をもたらす強力な言語モデルに、事実上誰でもアクセスできるようになった。こうした言語モデルの性能と利用可能性は、今やさまざまな業界に影響を及ぼしており、サイバーセキュリティ分野にも永続的な影響を与えるだろう。
Für cybersicherheitsrelevante Anwendungen können LLMs hilfreich sein, indem sie direkt über eine Web oder mobile App (in der Regel als Chatbot) aufgerufen werden. Es ist auch möglich, den API-Zugang zu nutzen, um LLMs in bestehende Tools (z. B. Reverse-Engineering-Tools oder Penetrationtestframeworks) zu integrieren oder neue Anwendungen zu entwickeln. Methoden und Anwendungen im Bereich der Cybersicherheit weisen Dual-Use-Eigenschaften auf, wobei ihre ethische Anwendung von den Absichten des Nutzers abhängt. Dieser Grundsatz gilt auch für die Verwendung von LLMs im Bereich der Cybersicherheit. Ob die Verwendung gutartig oder bösartig ist, hängt von der Absicht des Benutzers ab. Leider ist es für Benutzer mit schlechten Absichten leicht, die Fähigkeiten von LLMs zu missbrauchen. Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure sehen wir derzeit eine böswillige Nutzung vor allem in zwei Bereichen: Social Engineering und Generierung von bösartigem Code.  サイバーセキュリティ関連のアプリケーションでは、LLMをウェブやモバイルアプリ(通常はチャットボットとして)を介して直接呼び出すことで役立てることができる。また、APIアクセスを利用して、LLMを既存のツール(リバースエンジニアリングツールや侵入テストフレームワークなど)に統合したり、新しいアプリケーションを開発したりすることも可能だ。サイバーセキュリティ分野の手法やアプリケーションは、倫理的な適用が利用者の意図に依存するという二重使用の特性を持つ。この原則は、サイバーセキュリティにおける LLM の使用にも適用される。使用が良性か悪性かは、使用者の意図に依存する。残念ながら、悪意のあるユーザーがLLMの機能を悪用することは容易である。悪意のある行為者の一般的な生産性向上に加え、現在、ソーシャル・エンジニアリングと悪意のあるコード生成という2つの主要分野で悪意のある利用が見られる。
Der einfache Zugang zu hochwertigen LLMs ermöglicht es, selbst mit geringen oder gar keinen Fremdsprachenkenntnissen automatisch überzeugende Phishing-Nachrichten von hoher Qualität zu erstellen. Die Anweisungen können mit zusätzlichem Kontext ergänzt werden, um die Nachrichten zu personalisieren oder einen bestimmten Schreibstil zu verwenden, was zu überzeugenden Nachrichten führt. Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten, wie z. B. die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch, reichen daher nicht mehr aus. LLMs können auch eingesetzt werden, um die Erfolgsquote von Phishingangriffen weiter zu erhöhen, indem beispielsweise plausible Domainnamen und URLs generiert werden. Die Kombination eines LLM mit anderen generativen KI-Techniken, wie z. B. Deepfakes für Bild- und Audioinhalte, ermöglicht es böswilligen Akteuren, SocialEngineering-Angriffe von noch nie dagewesener Qualität durchzuführen.  高品質のLLMに簡単にアクセスできるため、外国語の知識がほとんどなくても、説得力のある高品質のフィッシング・メッセージを自動的に作成することができる。メッセージをパーソナライズしたり、特定の文体を使用したりするために、追加の文脈で指示を補足することができ、説得力のあるメッセージを作成することができる。そのため、スペルミスや型にはまった言葉の使い方をチェックするといった従来の詐欺メッセージの認識方法ではもはや不十分である。LLMはまた、例えばもっともらしいドメイン名やURLを生成することで、フィッシング攻撃の成功率をさらに高めるために使用することもできる。LLMと、画像や音声コンテンツに対するディープフェイクのような他の生成AI技術を組み合わせることで、悪意のある行為者は、これまでにない質のソーシャル・エンジニアリング攻撃を行うことができる。
Es ist in der Regel schwierig, einen bestimmten Angriff mit der Verwendung eines LLM in Verbindung zu bringen, da dies eng mit dem Problem der Erkennung von KI-generierten Inhalten im Allgemeinen verbunden ist. Berichte in den Medien, von Sicherheitsberatungsunternehmen und Regierungsbehörden sowie Untersuchungen auf Marktplätzen liefern jedoch eindeutige Beweise für die Verwendung von LLMs durch böswillige Akteure, einschließlich sog. Advanced Persistent Threats (4).  これはAIが生成したコンテンツ全般を認識する問題と密接に関連しているため、特定の攻撃とLLMの使用を結びつけることは通常困難である。しかし、メディア、セキュリティ・コンサルタント会社、政府機関からの報告や、市場における調査から、高度持続的脅威(Advanced Persistent Threats)(4)を含む悪意のある行為者がLLMを使用している明確な証拠が得られている。
Die Fähigkeit von LLM, schädlichen Code zu generieren, verändert auch die Cyberbedrohungslandschaft, da sie insbesondere die Einstiegshürden für Personen, die bösartige Aktivitäten durchführen wollen, senkt, indem sie es auch Personen mit begrenzten technischen Kenntnissen ermöglicht, anspruchsvollen schädlichen Code zu produzieren (5). Auch bereits fähige Akteure profitieren von Produktivitätssteigerungen. Die Anbieter von Chatbots oder offenen LLMs treffen in der Regel Vorkehrungen um sicherzustellen, dass ihre Produkte nicht missbraucht werden können. Es werden Filtersysteme eingesetzt, um unerwünschte Ausgaben zu verhindern. Diese Systeme sind in der Regel nützlich, um einfache Aufforderungen mit böswilligen Absichten, wie z. B. „Erstelle mir Code für Ransomware“, abzufangen. Es ist jedoch oft nur wenig Aufwand und Wissen über die Domäne erforderlich, um diese Systeme zu umgehen. Da die Filterung immer ein Kompromiss zwischen der Verhinderung unerwünschter Ausgaben und der gleichzeitigen Bereitstellung eines Systems mit hohem Nutzen ist, ist es fraglich, inwieweit solche Filterungen Missbrauch wirksam verhindern können.  LLMが悪意のあるコードを生成できるようになったことで、サイバー脅威の状況も変化している。特に、技術的な知識に乏しい者でも洗練された悪意のあるコードを生成できるようになったことで、悪意のある活動を行おうとする者の参入障壁が低くなった(5)。すでに能力のある行為者も、生産性の向上から利益を得ている。チャットボットやオープンLLMのプロバイダーは通常、製品が悪用されないように予防措置を講じている。不要な出力を防ぐためにフィルタリングシステムが使用される。これらのシステムは通常、「ランサムウェアのコードを作って」といった悪意のある単純なリクエストを傍受するのに役立つ。しかし、これらのシステムをバイパスするためには、少しの努力とドメインの知識が必要であることが多い。フィルタリングは常に、不要なアウトプットを防ぐことと、同時に高い実用性を持つシステムを提供することの妥協点であるため、このようなフィルタリングがどの程度まで効果的に悪用を防ぐことができるかは疑問である。
Die Nutzung eines Chatbots, der von einem Onlinedienst bereitgestellt wird, der ein System zur Verhinderung unethischer Ausgaben einsetzt, ist nicht die einzige Möglichkeit, auf ein LLM zuzugreifen. Weitere Möglichkeiten sind die Verwendung von „Jailbreaks“ (Nutzereingaben, die bestehende Filter und Anweisungen außer Kraft setzen), die Verwendung von Diensten, die die Ausgabe nicht rigoros filtern oder die Verwendung „unzensierter“ öffentlicher Modelle. Zusätzliche Schritte zur Umgehung der Filter, wie sie oben erwähnt wurden, sind hier nicht erforderlich. 非倫理的な支出を防止するシステムを利用するオンライン・サービスが提供するチャットボットを利用することだけが、LLMにアクセスする唯一の方法ではない。他の可能性としては、「ジェイルブレイク」(既存のフィルタリングや指示を上書きするユーザー入力)の使用、出力を厳密にフィルタリングしないサービスの使用、「検閲されていない」公開モデルの使用などがある。上記のようなフィルターを迂回するための追加ステップは、ここでは必要ない。
3 KI-basierte Schadcodegenerierung  3 AIベースの悪意あるコード生成 
Malware ist der Sammelbegriff für schädliche Software, wie z.B. Ransomware, Würmer oder Trojaner. Oft ist es das Ziel von Angreifern, Malware auf einem Zielcomputer zu platzieren, sei es über Exploits oder durch Social Engineering. Maßnahmen wie Virenscanner bekämpfen solche Software, indem sie Schadcode erkennen und das Ausführen unterbinden. Dies führt zu einem Wettrüsten zwischen den Angreifern, die neue Malware entwickeln, und den Verteidigern, die ihre Verteidigungsmaßnahmen anpassen, um neue Bedrohungen abzuwehren.  マルウェアとは、ランサムウェア、ワーム、トロイの木馬などの悪意のあるソフトウェアの総称である。攻撃者は多くの場合、エクスプロイトやソーシャル・エンジニアリングによって、標的のコンピューターにマルウェアを仕掛けることを目的としている。ウイルススキャナーなどの対策は、悪意のあるコードを認識し、その実行を阻止することで、このようなソフトウェアに対抗する。これは、新たなマルウェアを開発する攻撃者と、新たな脅威を撃退するために防御を適応させる防御者との間の軍拡競争につながる。
Daher ist es interessant zu untersuchen, wie KI die Erstellung und Verwendung von Malware beeinflusst. Im Rahmen unserer Recherchen haben wir mehrere Möglichkeiten gefunden, wie KI in diesem Bereich eingesetzt wird. Die Modelle reichen von LLMs über GANs (Generative Adversial Networks) bis hin zu Reinforcement-Learning-Systemen und sie werden für verschiedene Zwecke eingesetzt.  したがって、AIがマルウェアの作成と使用にどのような影響を与えるかを調査することは興味深い。我々の調査では、この分野でAIが使用されているいくつかの方法を発見した。そのモデルは、LLMからGAN(Generative Adversial Networks:生成逆行ネットワーク)、強化学習システムまで多岐にわたり、それぞれ異なる目的で使用されている。
Erstens ermöglicht KI Akteuren mit geringen oder gar keinen technischen Kenntnissen, Malware einfacher zu erstellen. Sie brauchen kein tiefes Verständnis für die Programmierung oder die Funktionsweise von Malware und können ihre Anfrage in natürlicher Sprache stellen.  第一に、AIによって、技術的な知識がほとんどない、あるいはまったくない行為者でも、より簡単にマルウェアを作成できるようになる。彼らはプログラミングやマルウェアの仕組みについて深く理解する必要がなく、自然言語で要求することができる。
Weiterhin besteht die Sorge, dass KI dazu verwendet werden könnte, eigenständig Malware zu schreiben. Dies geht einen Schritt weiter als die bloße Unterstützung menschlicher Akteure. LLMs können bereits einfache Malware schreiben, aber wir haben keine KI gefunden, die eigenständig in der Lage ist, fortgeschrittene, bisher unbekannte Malware zu schreiben (z. B. mit komplizierten Verschleierungsmethoden oder Zero-DayExploits). Die erforderlichen Trainingsdaten über Malware und Schwachstellen wären zudem nur sehr schwer und teuer zu erstellen.  また、AIが単独でマルウェアの作成に利用されることも懸念されている。これは、単に人間の行為者を支援するよりも一歩進んでいる。LLMはすでに単純なマルウェアを作成することができるが、高度で未知のマルウェアを自力で作成できるAIは見つかっていない(複雑な難読化手法やゼロデイ・エクスプロイトなど)。マルウェアや脆弱性に関する必要な学習データを作成するのも、非常に困難でコストがかかるだろう。
Als nächstes kann KI dabei helfen, Malware zu modifizieren. Dies ist realistischer als Malware von Grund auf neu zu erstellen und es existieren bereits mehrere Forschungsarbeiten über die Modifizierung von Malware durch KI. Dies geschieht meist in einem Featureraum, nicht auf der eigentlichen Codeebene, und mit dem Ziel, eine Entdeckung zu vermeiden. Allerdings findet dies bislang in einem eher akademischen Umfeld statt und wir haben keine Hinweise darauf gefunden, dass diese Modelle bereits eingesetzt werden. Außerdem gibt es kein ausgefeiltes Tool, sondern nur PoCs und Forschungsprojekte. Dieser Ansatz eignet sich nur für hochqualifizierte Akteure, sowohl im Bereich Malware als auch KI, zudem ist für das Training solcher Tools ist eine gute Datenbasis erforderlich.  次に、AIはマルウェアの改変を支援することができる。これは、ゼロからマルウェアを作成するよりも現実的であり、AIによるマルウェアの改変に関する研究論文もすでにいくつかある。これは通常、実際のコードレベルではなくフィーチャー・ルームで行われ、検知を回避することを目的としている。しかし、これまでのところ、これはよりアカデミックな環境で行われており、これらのモデルがすでに使用されているという証拠は見つかっていない。さらに、洗練されたツールはなく、PoCと研究プロジェクトのみである。このアプローチは、マルウェアとAIの両方において、高度に熟練した行為者にのみ適しており、そのようなツールを訓練するには優れたデータベースが必要である。
Schließlich möchten wir noch KI als Teil der Malware erwähnen. Hier erstellt die KI nicht die Malware an sich, sondern ist in die Funktionalität der Malware integriert. Oft ist das Ziel, die Malware zu verschleiern und damit zu verhindern, dass sie entdeckt wird. Um einer Entdeckung zu entgehen, existieren so genannte polymorphe Engines, die den Code der Malware verändert, während ihre Funktionalität erhalten bleibt. Eine Anwendung von KI in diesem Bereich ist zumindest denkbar. Dabei würde die Manipulation des Codes durch ein KI-Modell bestimmt werden. Zum jetzigen Zeitpunkt gibt es keine Hinweise darauf, dass ein solches Modell im Einsatz ist, obwohl es viele Warnungen vor einer solchen theoretischen Möglichkeit gibt. Eine andere Möglichkeit wäre, ein KI-Modell so zu trainieren, dass es das Benutzerverhalten nachahmt, so dass die Aktionen der Malware weniger auffällig sind.  最後に、マルウェアの一部としてのAIについて触れておきたい。この場合、AIはマルウェア自体を作成するのではなく、マルウェアの機能に組み込まれる。その目的は多くの場合、マルウェアを偽装し、検知されないようにすることである。検知を回避するために、マルウェアの機能を保持したままコードを変更する、いわゆるポリモーフィック・エンジンが存在する。この分野にAIを応用することは、少なくとも考えられる。コードの操作はAIモデルによって決定される。現段階では、そのようなモデルが使用されているという証拠はないが、そのような理論的可能性については多くの警告がなされている。もう一つの可能性は、マルウェアの行動が目立たないように、ユーザーの行動を模倣するAIモデルを訓練することだろう。
4 KI-basierte Angriffe  4 AIベースの攻撃 
Das interessanteste Tool für cyberkriminelle Aktivitäten wäre eine KI, die das Ziel als Eingabe erhält (sei es ein IP-Bereich oder ein Name) und alle Schritte eines Cyberangriffs völlig selbstständig durchführt. Die Strategie- und Abstraktionsfähigkeiten der neusten KI-Technologien machen sie zu erstklassigen Kandidaten für die Entwicklung eines solchen Tools. Aus der Sicht eines Penetrationstesters wäre dies ein nützliches Werkzeug, um Systeme zu härten und den Zeitaufwand für die Durchführung von Penetrationstests zu verringern. Hierbei handelt es sich um ein aktuelles Forschungsfeld und es werden Anstrengungen unternommen, ein solches Tool zu entwickeln.  サイバー犯罪活動にとって最も興味深いツールは、ターゲット(IPレンジであれ名前であれ)を入力として受け取り、サイバー攻撃のすべてのステップを完全に自律的に実行するAIだろう。最新のAI技術の戦略性と抽象化能力は、そのようなツールの開発に最適な候補となる。侵入テスト実施者の観点からすれば、これはシステムを堅牢化し、侵入テストに要する時間を短縮するための有用なツールとなるだろう。これは現在の研究分野であり、このようなツールを開発するための努力がなされている。
In diesem Bereich sind Reinforcement-Learning-Systeme ein gängiger Ansatz, da diese in der Lage sind, mit einer Umgebung zu interagieren, daraus zu lernen und langfristige Strategien zu entwickeln. Kürzlich wurden auch LLMs als Lösung für dieses Problem vorgeschlagen. In unserer Forschung haben wir kein Werkzeug gefunden, das diese Aufgabe vollständig lösen kann. Es gibt jedoch einige Tools, die Teile des Prozesses automatisieren. Meistens handelt es sich bei diesen Tools um akademische Projekte oder PoCs, die nicht besonders benutzerfreundlich oder ausgefeilt sind. Oft ist der Anwendungsbereich dieser Tools entweder sehr groß oder sehr klein. Im großen Maßstab betrachten beispielsweise Tools zur Planung von Angriffswegen eine abstrakte Version eines Zielnetzes und planen einen optimalen Angriffsweg. Ein aktiver Angriff findet dabei nicht statt. Ähnlich verhält es sich mit Modellen, die optimale Exfiltrationspfade für Systeme finden.  この分野では、環境と相互作用し、そこから学習し、長期的な戦略を立てることができる強化学習システムが一般的なアプローチである。最近では、LLMもこの問題の解決策として提案されている。我々の研究では、この課題を完全に解決できるツールは見つかっていない。しかし、プロセスの一部を自動化するツールはいくつかある。ほとんどの場合、これらのツールは学術的なプロジェクトやPoCであり、特にユーザーフレンドリーでも洗練されているわけでもない。多くの場合、これらのツールの適用範囲は非常に大きいか小さいかのどちらかである。大規模なものでは、例えば攻撃経路計画ツールはターゲット・ネットワークの抽象的なバージョンを見て、最適な攻撃経路を計画する。能動的な攻撃は行われない。システムの最適な流出経路を見つけるモデルも状況は似ている。
Auf der anderen Seite gibt es Tools, die explizit auf ein einzelnes, spezifisches Netzwerk trainiert sind und versuchen, dort einen erfolgreichen Angriff zu starten. Dies erfordert Kenntnisse über das Zielnetzwerk, sowie eine Trainingsphase, die kaum unbemerkt bleiben wird. Außerdem lässt sich ein trainierter Agent nicht ohne weiteres auf andere Netze verallgemeinern. Die Umgebungen verschiedener Systeme und Netze unterscheiden sich stark in Größe und verfügbaren Aktionen. Das macht eine Verallgemeinerung sehr schwierig. Außerdem ist eine sehr große Trainingsdatenmenge erforderlich, um die Fülle der Optionen abzudecken. Diese Probleme machen den Schritt von einem Konzeptnachweis zu einer realen, allgemeinen Anwendung zu einem schwierigen, wahrscheinlich derzeit ungelösten Problem. LLMs könnten ein Ansatz sein, um die Verallgemeinerbarkeit zu verbessern.  一方、単一の特定のネットワークに対して明示的に学習させ、そこで攻撃を成功させようとするツールもある。これにはターゲット・ネットワークに関する知識と、気付かれにくい訓練段階が必要となる。さらに、訓練されたエージェントを単純に他のネットワークに一般化することはできない。異なるシステムやネットワークの環境は、規模も利用可能なアクションも大きく異なる。そのため、汎化は非常に困難である。さらに、豊富な選択肢をカバーするためには、非常に大量の学習データが必要となる。これらの問題により、概念実証から実際の一般化されたアプリケーションへのステップアップは困難であり、おそらく現在のところ未解決の問題である。LLMは、汎化可能性を向上させる1つのアプローチとなり得る。
Es gibt mehrere Tools, die das Pentesting durch KI-Assistenten unterstützen. Nach Tests haben wir festgestellt, dass diese Tools vor allem als Unterstützung für Personen dienen, die versuchen, einen Angriff zu starten und dadurch die Einstiegsschwelle senken.  AIアシスタントによるペンテストをサポートするツールはいくつかある。テストした結果、これらのツールは主に攻撃を開始しようとする人のサポートとして機能し、それによって参入の敷居を下げていることがわかった。
Ein anderer Ansatz für LLMs ist, ähnlich wie bei den oben genannten Tools, bestimmte Teile der Angriffskette zu automatisieren. Hier ist vor allem die Aufklärungsphase zu nennen, aber auch andere Schritte wie die Analyse von Serverantworten. Die Anwendung von KI als vollautomatisches Angriffswerkzeug ist ein Bereich, der intensiv erforscht wird. Wir erwarten weitere Projekte und Tools in diesem Bereich, insbesondere solche, die sich auf die Verwendung von LLMs und generativer KI konzentrieren.  LLMのもう一つのアプローチは、上述のツールと同様、攻撃チェーンの特定の部分を自動化することである。これには主に偵察段階が含まれるが、サーバー応答の分析など他の段階も含まれる。完全に自動化された攻撃ツールとしてのAIの使用は、現在、集中的に研究されている分野である。この分野では、特にLLMや生成的AIの利用に焦点を当てたプロジェクトやツールの増加が期待される。
5 Weitere Schnittstellen zwischen KI und Cybersicherheit  5 AIとサイバーセキュリティのさらなるインターフェース 
In diesem Abschnitt geben wir einen Überblick über andere Bereiche, in denen sich KI und Cybersicherheitsanwendungen überschneiden. Der sichtbarste davon die Integration von LLMs in diverse Tools, wie sie auch in anderen Bereichen stattfindet.  このセクションでは、AIとサイバーセキュリティ・アプリケーションが交差するその他の分野の概要を説明する。その中で最も目につくのは、他の分野でも起こっているように、LLMを様々なツールに統合することである。
LLMs wurden bereits in IDEs (integrierte Entwicklungsumgebungen) integriert und es gibt Plugins für Reverse-Engineering- oder Penetrationstest-Tools. Diese Plugins rufen in der Regel die API eines LLMAnbieters mit einer vorgefertigten Anweisung und Inhalten aus der jeweiligen Anwendung auf, das Ergebnis wird dann innerhalb der Anwendung angezeigt. Der Nutzen im Vergleich zur direkten Verwendung des LLM, beispielsweise im Browser (zusammen mit dem Kopieren und Einfügen des jeweiligen Inhalts), ist derzeit noch begrenzt.  LLMはすでにIDE(統合開発環境)に統合されており、リバースエンジニアリングや侵入テストツール用のプラグインもある。これらのプラグインは通常、LLMプロバイダーのAPIを、それぞれのアプリケーションから用意された命令とコンテンツで呼び出し、その結果をアプリケーション内に表示する。LLMを直接、例えばブラウザで(それぞれのコンテンツをコピー・アンド・ペーストして)使用するのに比べ、利点は今のところまだ限られている。
KI wird auch bei der automatischen Erkennung von Sicherheitslücken eingesetzt. Aufgrund ihrer Vorteile für die Softwareentwicklung ist dies ein aktives Forschungsgebiet und es sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. Die Analyse von Open-Source-Anwendungen mit diesen Tools ist sehr einfach durchführbar. Daher ist es für Open-Source-Projekte von entscheidender Bedeutung, diese Art von Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. Obwohl für die Analyse in der Regel der Quellcode benötigt wird, ist es in Kombination mit Reverse-Engineering-Tools bis zu einem gewissen Grad möglich, Methoden zur Erkennung von Schwachstellen bei Closed-Source-Anwendungen einzusetzen. Es gibt Projekte, die diesen Prozess mithilfe eines LLM automatisieren. Die Ergebnisse sind jedoch je nach Komplexität des Codes und der Verschleierungstechniken sehr unterschiedlich.  AIは、セキュリティ脆弱性の自動検出にも使われている。ソフトウェア開発にとって有益であるため、これは活発な研究分野であり、商用製品だけでなく、いくつかのオープンソースツールも利用可能である。これらのツールを使ってオープンソースのアプリケーションを分析することは非常に簡単である。したがって、オープンソースプロジェクトにとって、悪意のある行為者が行う前に、この種のツールを積極的に活用することは極めて重要である。分析には通常ソースコードが必要であるが、リバースエンジニアリングツールと組み合わせて、クローズドソースアプリケーショ ンの脆弱性検出手法を使用することはある程度可能である。LLMを使ってこのプロセスを自動化するプロジェクトもある。しかし、結果はコードの複雑さや難読化技術によって大きく異なる。
Captchas werden allgegenwärtig eingesetzt, um zwischen automatisierten Bots und echten menschlichen Nutzern durch verschiedene Aufgaben wie verzerrte Text- oder Bilderkennungsaufgaben zu unterscheiden und so bösartige Aktivitäten wie Spamming, Brute-Force-Angriffe und Data Scraping zu verhindern, indem sie menschenähnliche Antworten verlangen. Methoden zur Umgehung von Captchas gibt es jedoch schon seit ihrer Erfindung. Heutzutage wird auch KI für diesen Zweck eingesetzt und die Auswahl an solchen Tools und Online-Diensten, die gute Ergebnisse liefern, ist groß.  キャプチャは、偏ったテキストや画像認識タスクなどの様々なタスクを通じて、自動化されたボットと実際の人間ユーザーを区別するためにユビキタスに使用されており、人間のような応答を要求することで、スパム、総当たり攻撃、データスクレイピングなどの悪意のある行為を防止している。しかし、キャプチャを回避する方法は、発明当初から存在していた。現在では、AIもこの目的に使用され、良い結果をもたらすそのようなツールやオンラインサービスが幅広く存在する。
KI wird auch zum Erraten von Passwörtern eingesetzt. Ausgehend von der Annahme, dass bestimmte Arten von Passwörtern mit größerer Wahrscheinlichkeit von Menschen verwendet werden, werden die Regeln für Passwortkandidaten aus Daten gelernt, im Gegensatz zu bestehenden Tools zum Erraten von Passwörtern, bei denen diese Regeln von Hand ausgearbeitet werden. Durch diverse Leaks existieren hierfür viele Trainingsdaten.  AIはパスワードの推測にも使われる。ある種のパスワードは人間が使用する可能性が高いという仮定に基づき、パスワードの候補のルールはデータから学習される。このための学習データは、様々なリークによって数多く存在する。
Da jeder bestrebt ist, KI in seine Prozesse zu integrieren, wird die Gefahr von eingebetteter Malware in der KI oder in Daten immer größer. Es gibt bereits Fälle, in denen Malware in den Parametern neuronaler Netze verschlüsselt ist, wobei die Nutzbarkeit des Modells kaum verändert ist. Schädlicher Code kann auch in trainierten Modellen versteckt sein, die häufig auf bestimmten Plattformen verbreitet werden (6). Außerdem können LLMs und das dazugehörige Ökosystem dazu missbraucht werden, bösartige Software an die Nutzer zu verteilen.  誰もがAIをプロセスに組み込もうとする中、AIやデータにマルウェアが埋め込まれるリスクは高まっている。マルウェアがニューラルネットワークのパラメータにエンコードされ、モデルの使い勝手がほとんど変わらないケースはすでにある。また、特定のプラットフォームで配布されることの多い学習済みモデルにも、悪意のあるコードが隠されている可能性がある(6)。さらに、LLMと関連するエコシステムが悪用されて、悪意のあるソフトウェアがユーザーに配布される可能性もある。
Auf der Hardwareseite der Angriffe sind Seitenkanalangriffe ein bekannter Angriffsvektor. Sie erfordern jedoch ein hohes Maß an technischem Können und Knowhow. Es gibt PoCs über KI-Modelle, die bei Seitenkanalangriffen helfen und diese möglicherweise für weniger erfahrene Angreifer leichter zugänglich machen.  ハードウェア側の攻撃としては、サイドチャネル攻撃が知られている。しかし、これには高度な技術力と専門知識が必要とされる。サイドチャネル攻撃を支援するAIモデルのPoCがあり、経験の浅い攻撃者でもアクセスしやすくなる可能性がある。
Seriöse Softwareanbieter haben damit begonnen, LLMs für den Kundensupport zu nutzen. In ähnlicher Weise könnten auch böswillige Akteure LLMs nutzen, um Malware-as-a-Service-Nutzern Unterstützung zu bieten. Technisch weniger versierte Opfer von Ransomwareangriffen sind oft mit der Beschaffung der für die Zahlung des Lösegelds erforderlichen Kryptowährung überfordert. Cyberkriminelle bieten bereits Unterstützung bei der Beschaffung und Zahlung an. Dieser Prozess kann durch den Einsatz von LLMs automatisiert und in verschiedenen Sprachen angeboten werden, um die Erfolgsquote zu erhöhen. 評判の良いソフトウェアベンダーは、カスタマーサポートにLLMを活用し始めている。同様に、悪意ある行為者もLLMを利用して、マルウェア・アズ・ア・サービスのユーザーにサポートを提供する可能性がある。ランサムウェア攻撃の被害者は、身代金の支払いに必要な暗号通貨の入手に追われることが多い。サイバー犯罪者はすでに、調達と支払いの支援を提供している。このプロセスをLLMを利用して自動化し、さまざまな言語で提供することで、成功率を高めることができる。

 

 


 

類似の報告書...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.06 英国 NCSC AIによるサイバー脅威への短期的影響 - ランサムウェアの脅威はAIによって増加すると警告 (2024.01.24)

 

| | Comments (0)

2024.04.19

米国 欧州 オランダ Akiraランサムウェアについてのアラート

こんにちは、丸山満彦です。

米国のFBI、CISA、欧州のEuropol欧州サイバー犯罪センター (EC3)オランダのサイバーセキュリティセンター(NCSC-NL)が共同で、Akiraランサムウェアについてのアラートを公表していますね。。。

 

Cybersecurity and Infrastructure Security Agency; CISA

・2024.04.18 #StopRansomware: Akira Ransomware (AA24-109A)

 

#StopRansomware: Akira Ransomware #ランサムウェアを阻止せよ Akira・ランサムウェア
ACTIONS TO TAKE TODAY TO MITIGATE CYBER THREATS FROM AKIRA RANSOMWARE: Akira・ランサムウェアによるサイバー脅威を軽減するために、今日取るべき行動:
1. Prioritize remediating known exploited vulnerabilities. 1. 既知の悪用された脆弱性の修正を優先する。
2. Enable multifactor authentication (MFA) for all services to the extent possible, particularly for webmail, VPN, and accounts that access critical systems. 2. 可能な限りすべてのサービス、特にウェブメール、VPN、および重要なシステムにアクセスするアカウントについて、多要素認証(MFA)を有効にする。
3. Regularly patch and update software and applications to their latest version and conduct regular vulnerability assessments. 3. ソフトウェアやアプリケーションに定期的にパッチを当て、最新版に更新し、脆弱性評価を定期的に実施する。
SUMMARY 概要
Note: This joint Cybersecurity Advisory (CSA) is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. 注:この共同サイバーセキュリティ勧告(CSA)は、さまざまなランサムウェアの亜種やランサムウェアの脅威行為者について詳述した勧告をネットワーク防御者向けに公表する継続的な取り組み#StopRansomwareの一環である。これらの #StopRansomware アドバイザリには、組織がランサムウェアから保護するのに役立つ、最近および過去に観測された戦術、技術、手順(TTP)、および侵害の指標(IOC)が含まれている。stopransomware.govにアクセスして、すべての#StopRansomwareアドバイザリを参照し、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The United States’ Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Europol’s European Cybercrime Centre (EC3), and the Netherlands’ National Cyber Security Centre (NCSC-NL) are releasing this joint CSA to disseminate known Akira ransomware IOCs and TTPs identified through FBI investigations and trusted third party reporting as recently as February 2024. 米国連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ局(CISA)、欧州刑事警察機構(Europol)の欧州サイバー犯罪センター(EC3)、オランダ国家サイバーセキュリティセンター(NCSC-NL)は、2024年2月の時点でFBIの調査および信頼できる第三者の報告を通じて特定された既知のAkiraランサムウェアのIOCおよびTTPを普及させるため、この共同CSAを発表する。
Since March 2023, Akira ransomware has impacted a wide range of businesses and critical infrastructure entities in North America, Europe, and Australia. In April 2023, following an initial focus on Windows systems, Akira threat actors deployed a Linux variant targeting VMware ESXi virtual machines. As of January 1, 2024, the ransomware group has impacted over 250 organizations and claimed approximately $42 million (USD) in ransomware proceeds. 2023年3月以降、Akiraランサムウェアは、北米、欧州、およびオーストラリアの広範な企業や重要インフラ事業体に影響を及ぼしている。2023年4月、Akiraの脅威当事者は、当初Windowsシステムに焦点を当てた後、VMware ESXi仮想マシンを標的とするLinuxの亜種を展開した。2024年1月1日の時点で、このランサムウェアグループは250以上の組織に影響を与え、ランサムウェアの収益として約4,200万ドル(米ドル)を請求している。
Early versions of the Akira ransomware variant were written in C++ and encrypted files with a .akira extension; however, beginning in August 2023, some Akira attacks began deploying Megazord, using Rust-based code which encrypts files with a .powerranges extension.  Akira threat actors have continued to use both Megazord and Akira, including Akira_v2 (identified by trusted third party investigations) interchangeably. Akiraランサムウェアの初期バージョンはC++で記述され、.akira拡張子でファイルを暗号化したが、2023年8月以降、一部のAkira攻撃は、.powerranges拡張子でファイルを暗号化するRustベースのコードを使用するMegazordを展開し始めた。 Akiraの脅威行為者は、Akira_v2(信頼できる第三者の調査によって特定された)を含むMegazordとAkiraの両方を互換的に使い続けている。
The FBI, CISA, EC3, and NCSC-NL encourage organizations to implement the recommendations in the Mitigations section of this CSA to reduce the likelihood and impact of ransomware incidents. FBI、CISA、EC3、NCSC-NL は、ランサムウェアインシデントの可能性と影響を低減するために、本 CSA の「緩和策」のセクションにある推奨事項を実施することを組織に推奨する。

 

・[PDF

20240419-83514

 

 

| | Comments (0)

2024.04.13

米国 CISA 次世代マルウェア解析サービスを提供 (2024.04.10)

こんにちは、丸山満彦です。

米国のCISAが次世代のマルウェア解析サービスを提供するようですよ...

米国の話ですが...「すべての組織、セキュリティ研究者、個人は、CISAの解析のために、この新しい自動化システムに登録し、疑わしいマルウェアを提出することが推奨される。」とのことです...

このシステムは米国連邦政府のシステムなので、米国連邦政府にマルウェアの情報が集まることにまりますかね...

 

Cybersecurity & Infrastructure Security Agency; CISA

1_20240413110501

プレス...

・2024.04.10 CISA Announces Malware Next-Gen Analysis

CISA Announces Malware Next-Gen Analysis CISA、マルウェア次世代解析を発表
Updated analysis system enhances scalability, streamlines workflow and empowers threat hunts  更新された解析システムにより、拡張性が強化され、ワークフローが合理化され、脅威ハントが強化される 
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) announces today a new release of our malware analysis system, called Malware Next-Gen, which allows any organization to submit malware samples and other suspicious artifacts for analysis. Malware Next-Gen allows CISA to more effectively support our partners by automating analysis of newly identified malware and enhancing the cyber defense efforts. ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、マルウェア解析システムの新リリース「Malware Next-Gen」を発表した。Malware Next-Genにより、CISAは新たに識別されたマルウェアの解析を自動化し、サイバー防御の取り組みを強化することで、パートナーをより効果的にサポートできるようになる。
Timely, actionable intelligence on malware, such as how it works and what it is designed to do, is crucial to network defenders conducting potential cyber incident response and/or threat hunts.  Malware Next-Gen provides advanced and reliable malware analysis on a scalable platform, capable of meeting the increasing demands of future workloads. The integrated system provides CISA analysts and operations community members with multilevel containment capabilities for the automatic analysis of potentially malicious files or uniform resource locators (URLs). マルウェアがどのように動作し、何をするように設計されているかなど、マルウェアに関するタイムリーで実用的なインテリジェンスは、潜在的なサイバーインシデント対応や脅威ハントを行うネットワーク防御者にとって極めて重要である。 Malware Next-Genは、スケーラブルなプラットフォーム上で高度で信頼性の高いマルウェア解析をプロバイダする。この統合システムは、潜在的に悪意のあるファイルやユニフォーム・リソース・ロケータ(URL)の自動解析のためのマルチレベルの封じ込め機能をCISAアナリストやオペレーション・コミュニティのメンバーに提供する。
“Effective and efficient malware analysis helps security professionals detect and prevent malicious software from enabling adversary access to persistence within an organization. Malware Next-Gen is a significant leap forward in CISA's commitment to enhancing national cybersecurity,” said CISA Executive Assistant Director for Cybersecurity Eric Goldstein. “Our new automated system enables CISA’s cybersecurity threat hunting analysts to better analyze, correlate, enrich data, and share cyber threat insights with partners. It facilitates and supports rapid and effective response to evolving cyber threats, ultimately safeguarding critical systems and infrastructure.” 「効果的かつ効率的なマルウェア解析は、セキュリティ専門家が悪意のあるソフトウェアを検知し、敵のアクセスから組織内での永続化を防ぐのに役立つ。CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタイン氏は、「マルウェアNext-Genは、国家のサイバーセキュリティ強化に対するCISAのコミットメントを大きく前進させるものだ。「我々の新しい自動化されたシステムによって、CISAのサイバーセキュリティ脅威調査アナリストは、データをより良く解析し、相関させ、充実させ、サイバー脅威に関する洞察をパートナーと共有することができる。これにより、進化するサイバー脅威への迅速かつ効果的な対応が促進・支援され、最終的に重要なシステムやインフラを守ることができる。
Since November, Malware Next-Gen has been available to .gov and .mil organizations. Nearly 400 registered users have submitted more than 1,600 files resulting in the identification of approximately 200 suspicious or malicious files and URLs, which were quickly shared with partners. While members of the public may submit a malware sample; only authorized, registered users are able to receive analytical results from submissions. 11月以来、Malware Next-Genは.govと.milの組織で利用可能になっている。約400人の登録ユーザーが1,600以上のファイルを提出した結果、約200の不審なファイルや悪質なファイル、URLが特定され、これらはすぐにパートナーと共有された。一般ユーザーもマルウェアサンプルを提出できるが、提出された解析結果を受け取ることができるのは、認可を受けた登録ユーザーのみである。
All organizations, security researchers and individuals are encouraged to register and submit suspected malware into this new automated system for CISA analysis. For more information, visit: Malware Next-Generation Analysis. すべての組織、セキュリティ研究者、個人は、CISAの解析のために、この新しい自動化システムに登録し、疑わしいマルウェアを提出することが推奨される。詳細については、以下を参照のこと: マルウェア次世代解析。

 

 

Malware Next-Generation Analysis

Malware Next-Generation Analysis マルウェア次世代解析
Description 説明
OMB Control No.: 1670-0037; Expiration Date: 10/31/2024 OMB管理番号:1670-0037、有効期限:2024年10月31日
CISA's Malware Next-Generation "Next-Gen" Analysis platform provides automated malware analysis support for all U.S. federal, state, local, tribal, and territorial government agencies. Analysis is performed by a combination of static and dynamic analysis tools in a secure environment and results are available in PDF and STIX 2.1 data formats.  CISAのマルウェア次世代「Next-Gen」解析プラットフォームは、米国のすべての連邦政府、州政府、地方政府、部族政府、および準州政府機関に自動マルウェア解析サポートを提供する。解析は、セキュアな環境で静的および動的解析ツールを組み合わせて実行され、解析結果はPDFおよびSTIX 2.1データ形式で入手できる。
Please note, the Malware Next-Gen Analysis platform is a U.S. government computer and information system. To receive analysis of any malware samples you submit to this system, you will need to create a user account and consent to monitoring of your activities. Access to this system is restricted to authorized users only and subject to rules of behavior.  Anyone who accesses this system without authorization, exceeds authorized access, or violates system rules of behavior could be subject to punitive actions, such as being barred from Malware Next Gen, as well as civil or criminal penalties. DO NOT PROCESS CLASSIFIED INFORMATION ON THIS SYSTEM. なお、Malware Next-Gen Analysisプラットフォームは米国政府のコンピュータおよび情報システムである。このシステムに提出したマルウェアサンプルの解析を受けるには、ユーザーアカウントを作成し、活動の監視に同意する必要がある。このシステムへのアクセスは認可ユーザーのみに制限され、行動規範に従う。 認可を受けずにこのシステムにアクセスした者、認可されたアクセスを超えた者、またはシステムの行動規則に違反した者は、民事上または刑事上の罰則だけでなく、Malware Next Genからのアクセス禁止などの懲罰的措置の対象となる可能性がある。このシステムで機密情報を処理しないこと。
User Acknowledgement on Login ログイン時のユーザー確認
Registered users accessing Malware Next Gen acknowledge and consent to the following terms:  Malware Next Genにアクセスする登録ユーザーは、以下の条項を認識し、同意するものとする: 
You are accessing a U.S. government information system, which includes (1) this computer, (2) this computer network, (3) all computers connected to this network, and (4) all devices and storage media attached to this network or to a computer on this network. This information system is provided for U.S. government-authorized use only. (1)このコンピュータ、(2)このコンピュータネットワーク、(3)このネットワークに接続されているすべてのコンピュータ、(4)このネットワークまたはこのネットワーク上のコンピュータに接続されているすべてのデバイスおよび記憶媒体を含む米国政府の情報システムにアクセスしている。本情報システムは、米国政府認可の使用目的にのみ提供される。
Unauthorized or improper use of this system may result in disciplinary action, as well as civil and criminal penalties. 本システムを無許可または不適切に使用した場合、懲戒処分を受けるだけでなく、民事上および刑事上の処罰を受ける可能性がある。
By using this information system, you understand and consent to the following: 本情報システムを利用することにより、利用者は以下を理解し、これに同意するものとする:
You have no reasonable expectation of privacy regarding communications or data transiting or stored on this information system. 利用者は、本情報システムに転送または保存されるコミュニケーションまたはデータに関して、プライバシーを合理的に期待することはできない。
At any time, and for any lawful government purpose, the government may monitor, intercept, and search any communication or data transiting or stored on this information system. 政府は、いつでも、合法的な政府の目的のために、本情報システムに転送または保存されるコミュニケーションまたはデータを監視、傍受、検索することができる。
Any communications or data transiting or stored on this information system may be disclosed or used for any lawful government purpose. 本情報システムに転送または保存されたコミュニケーションまたはデータは、政府の合法的な目的のために開示または使用される場合がある。
Login.gov Login.gov
Access to the Malware Next-Gen Analysis platform requires a login.gov account to complete a one-time registration to access the system. The Malware Next-Gen login page incorporates login.gov to authenticate or create an account.  Malware Next-Gen解析プラットフォームへのアクセスには、login.govアカウントが必要であり、システムにアクセスするための1回限りの登録を完了する必要がある。Malware Next-Genのログインページにはlogin.govが組み込まれており、本人認証またはアカウントの作成ができる。
Anonymous Submissions 匿名での提出
Users who wish to submit malware samples without registering may use Anonymous submission. Unregistered users are not required to provide any contact information; however, users who use this submission method will not have access to analysis results. 登録せずにマルウェア検体を提出したいユーザーは、匿名提出を使用することができる。未登録のユーザーは連絡先情報を提供する必要はないが、この提出方法を使用するユーザーは解析結果にアクセスできない。

 

 

| | Comments (0)

2024.02.12

Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

こんにちは、丸山満彦です。

Five Eyesのサイバーセキュリティ機関(オーストラリアACSCカナダCCCSニュージーランドNCSC英国NCSC米国CISA)等が、共同で、中華人民共和国の支援を受けたサイバーアクター (Volt Typhoon) が米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断し、警告と対策を公表していますね。。。

このブログでも紹介しましたが、2024.01.31 に米国司法省が、民間と協力してVolt Typhoonのボットネットを破壊したと公表していましたが(このブログ)、その関係ですかね。。。昨年2023.05.24にVolt TyphoonについてのアラートをFive Eyesで公表していますね(このブログ)。。。米国はVolt Typhoonの動きは相当気にしているようですね...

‘living off the land; LOTL’ という用語がキーワードなんですが、訳語が難しいですね。。。私は「現地調達」としたのですが、「自給自足」、「環境寄生型」と訳しているケースもありますね。。。自給自足が近いですかね。。。

 

まずは、米国から...その後はアルファベット順に...

CISA

・2024.02.07 CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance CISAとパートナーは、中国が支援するボルト台風の活動に関する勧告と現地調達手法の識別と低減のためのガイドラインの補足を発表した。
Today, CISA, the National Security Agency (NSA), and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure alongside supplemental Joint Guidance: Identifying and Mitigating Living off the Land Techniques. 本日、CISA、国家安全保障局(NSA)、連邦捜査局(FBI)は、共同サイバーセキュリティ・アドバイザリ(CSA)「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」を、補足的な共同ガイダンスとともに発表した: 現地調達手法の識別と低減」と併せて発表した。
The following federal agencies and international organizations are additional co-authors on the joint advisory and guidance: 以下の連邦政府機関および国際機関は、共同勧告およびガイダンスの追加共著者である:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS) a part of the Communications Security Establishment (CSE) ・カナダ・サイバーセキュリティセンター(CCCS)(コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
Volt Typhoon actors are seeking to pre-position themselves—using living off the land (LOTL) techniques—on IT networks for disruptive or destructive cyber activity against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. The advisory provides actionable information from U.S. incident response activity that can help all organizations: ボルト・タイフーンの行動主体は、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー活動のために、現地調達(LOTL)技術を用いてITネットワーク上に事前に配置しようとしている。この勧告は、米国のインシデント対応活動から、すべての組織に役立つ実用的な情報を提供する:
1. Recognize Volt Typhoon techniques, 1. ボルト・タイフーンのテクニックを認識する、
2. Assess whether Volt Typhoon techniques have compromised your organization, 2. ボルト・タイフーンのテクニックがあなたの組織を危険にさらしているかどうかを評価する、
3. Secure your networks from these adversarial techniques by implementing recommended mitigations. 3. 推奨される低減策を実施することにより、これらの敵対的手法からネットワークを保護する。
To supplement the advisory, the Joint Guidance provides threat detection information and mitigations applicable to LOTL activity, regardless of threat actor. Additionally, CISA has published Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers, which provides technology manufactures guidance on protecting their products from Volt Typhoon compromises
.
この勧告を補足するために、共同ガイダンスは、脅威行為者に関係なく、LOTL の活動に適用可能な脅威検知情報と低減策を提供している。さらに、CISA は「Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers(設計による安全確保:SOHO 機器製造者のためのセキュリティ設計改善)」を発表し、Volt Typhoon による侵害から自社製品を保護するための技術製造者向けガイダンスを提供している。
CISA and its partners strongly urge critical infrastructure organizations and technology manufacturers to read the joint advisory and guidance to defend against this threat. For more information on People’s Republic of China (PRC) state-sponsored actors, visit People's Republic of China Cyber Threat. To learn more about secure by design principles and practices, visit Secure by Design. CISAとそのパートナーは、重要インフラ組織と技術製造者がこの脅威から身を守るために共同勧告とガイダンスを読むよう強く求めている。中華人民共和国(PRC)の国家支援行為者の詳細については、中華人民共和国のサイバー脅威を参照のこと。セキュア・バイ・デザインの原則と実践の詳細については、セキュア・バイ・デザインを参照のこと。

 

アドバイザリー...

・2024.02.07 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

AA24-038A

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure 中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する
ACTIONS TO TAKE TODAY TO MITIGATE VOLT TYPHOON ACTIVITY: 台風の活動を軽減するために、今すぐ取るべき行動
1. Apply patches for internet-facing systems. Prioritize patching critical vulnerabilities in appliances known to be frequently exploited by Volt Typhoon. 1. インターネットに接続するシステムにパッチを適用する。ボルト・タイフーンに頻繁に悪用されることが知られているアプライアンスの重要な脆弱性に優先的にパッチを適用する。
2. Implement phishing-resistant MFA. 2. フィッシングに強いMFAを導入する。
3. Ensure logging is turned on for application, access, and security logs and store logs in a central system. 3. アプリケーション・ログ、アクセス・ログ、セキュリティ・ログを確実に記録し、中央システムに保存する。
SUMMARY 概要
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) assess that People’s Republic of China (PRC) state-sponsored cyber actors are seeking to pre-position themselves on IT networks for disruptive or destructive cyberattacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. サイバーセキュリティ・インフラ・セキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)は、中華人民共和国(PRC)の国家に支援されたサイバー・アクターが、米国との間で重大な危機や紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のために、ITネットワーク上に事前に配置しようとしていると評価している。
CISA, NSA, FBI and the following partners are releasing this advisory to warn critical infrastructure organizations about this assessment, which is based on observations from the U.S. authoring agencies’ incident response activities at critical infrastructure organizations compromised by the PRC state-sponsored cyber group known as Volt Typhoon (also known as Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite, and Insidious Taurus): CISA、NSA、FBI、および以下のパートナーは、ボルト・タイフーン(別名Vanguard Panda、BRONZE SILHOUETTE、Dev-0391、UNC3236、Voltzite、およびInsidious Taurus)として知られるPRC国家支援サイバー・グループによって侵害された重要インフラ組織における米国認可機関のインシデント対応活動からの観察に基づくこの評価について、重要インフラ組織に警告するためにこの勧告を発表する:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS), a part of the Communications Security Establishment (CSE) ・コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部であるカナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The U.S. authoring agencies have confirmed that Volt Typhoon has compromised the IT environments of multiple critical infrastructure organizations—primarily in CommunicationsEnergyTransportation Systems, and Water and Wastewater Systems Sectors—in the continental and non-continental United States and its territories, including Guam. Volt Typhoon’s choice of targets and pattern of behavior is not consistent with traditional cyber espionage or intelligence gathering operations, and the U.S. authoring agencies assess with high confidence that Volt Typhoon actors are pre-positioning themselves on IT networks to enable lateral movement to OT assets to disrupt functions. The U.S. authoring agencies are concerned about the potential for these actors to use their network access for disruptive effects in the event of potential geopolitical tensions and/or military conflicts. CCCS assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. ASD’s ACSC and NCSC-NZ assess Australian and New Zealand critical infrastructure, respectively, could be vulnerable to similar activity from PRC state-sponsored actors. 米国の認可機関は、ボルト・タイフーンが米国本土および非大陸、グアムを含むその領土にある、主にコミュニケーション、エネルギー、輸送システム、上下水道システム部門の複数の重要インフラ組織のIT環境を侵害したことを確認した。ヴォルト・タイフーンの標的の選択と行動パターンは、伝統的なサイバースパイ活動や情報収集活動とは一致せず、米国の認可機関は、ボルト・タイフーンの行為者は、機能を混乱させるためにOT資産への横方向の移動を可能にするために、ITネットワーク上にあらかじめ配置されていると高い確信をもって評価している。米国の認可機関は、潜在的な地政学的緊張や軍事衝突が発生した場合に、これらの行為者がネットワークアクセスを破壊的効果のために利用する可能性を懸念している。CCCSは、カナダの重要インフラに対するPRCの国家支援行為者の直接的脅威は、米国のインフラに対する脅威より低い可能性が高いが、米国のインフラが中断された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。ASDのACSCとNCSC-NZは、それぞれオーストラリアとニュージーランドの重要インフラを評価しているが、PRCの国家支援者による同様の活動に対して脆弱性を持つ可能性がある。
As the authoring agencies have previously highlighted, the use of living off the land (LOTL) techniques is a hallmark of Volt Typhoon actors’ malicious cyber activity when targeting critical infrastructure. The group also relies on valid accounts and leverage strong operational security, which combined, allows for long-term undiscovered persistence. In fact, the U.S. authoring agencies have recently observed indications of Volt Typhoon actors maintaining access and footholds within some victim IT environments for at least five years. Volt Typhoon actors conduct extensive pre-exploitation reconnaissance to learn about the target organization and its environment; tailor their tactics, techniques, and procedures (TTPs) to the victim’s environment; and dedicate ongoing resources to maintaining persistence and understanding the target environment over time, even after initial compromise. 認可機関が以前に強調したように、現地調達(LOTL)テクニックの使用は、重要インフラを標的にしたときのVolt Typhoon行為者の悪意あるサイバー活動の特徴である。このグループはまた、有効なアカウントに依存し、強力な運用セキュリティを活用することで、発見されずに長期的に存続することを可能にしている。実際、米国の認可機関は最近、ヴォルト・タイフーン活動家が少なくとも5年間は被害者のIT環境にアクセスし、その足場を維持している兆候を観察している。Volt Typhoonの行為者は、標的の組織とその環境について知るために、大規模な事前偵察を行い、被害者の環境に合わせて戦術、技術、手順(TTP)を調整し、最初の侵害後でさえ、長期にわたって標的の環境を理解し、持続性を維持するために継続的なリソースを費やしている。
The authoring agencies urge critical infrastructure organizations to apply the mitigations in this advisory and to hunt for similar malicious activity using the guidance herein provided, along with the recommendations found in joint guide Identifying and Mitigating Living Off the Land Techniques. These mitigations are primarily intended for IT and OT administrators in critical infrastructure organizations. Following the mitigations for prevention of or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 認可機関は、重要インフラ組織が本勧告の軽減策を適用し、共同ガイド「現地調達手法の特定と軽減」に記載されている推奨事項とともに、本指針に記載されているガイダンスを使用して同様の悪意ある活動を狩ることを強く推奨する。これらの低減は、主に重要インフラ組織の IT および OT 管理者を対象としている。インシデントの発生を防止するため、あるいはインシデントに対応するための低減策に従うことは、ボルト・タイフーン のアクセスを妨害し、重要インフラ事業体への脅威を低減するのに役立つ。
If activity is identified, the authoring agencies strongly recommend that critical infrastructure organizations apply the incident response recommendations in this advisory and report the incident to the relevant agency (see Contact Information section). 活動が確認された場合、重要インフラ組織は、本勧告のインシデント対応に関する推奨事項を適用し、関連機関(「連絡先情報」セクションを参照)にインシデントを報告することを強く推奨する。
For additional information, see joint advisory People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection and U.S. Department of Justice (DOJ) press release U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage. 追加情報については、共同勧告「中華人民共和国が現地調達して検知を逃れるサイバー行為者」および米国司法省(DOJ)のプレスリリース「米国政府、重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊」を参照のこと。中華人民共和国が国家をスポンサーとする悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照のこと。

 

・[PDF

20240211-175420

 

ボルト・タイフーンの活動例

1_20240211183201

 

 

・2023.02.07 MAR-10448362-1.v1 Volt Typhoon

MAR-10448362-1.v1 Volt Typhoon MAR-10448362-1.v1 ボルト・タイフーン
Summary 概要
Description 説明
CISA received three files for analysis obtained from a critical infrastructure compromised by the People’s Republic of China (PRC) state-sponsored cyber group known as Volt Typhoon. CISAは、ボルト・タイフーンとして知られる中華人民共和国(PRC)国家支援サイバー・グループによって侵害された重要インフラから入手した3つの分析用ファイルを受け取った。
The submitted files enable discovery and command-and-control (C2): (1) An open source Fast Reverse Proxy Client (FRPC) tool used to open a reverse proxy between the compromised system and a Volt Typhoon C2 server; (2) a Fast Reverse Proxy (FRP) that can be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT); and (3) a publicly available port scanner called ScanLine. (1)侵害されたシステムとボルト・タイフーンのC2サーバーとの間にリバース・プロキシを開くために使用されるオープン・ソースのFast Reverse Proxy Client (FRPC)ツール、(2)ネットワーク・ファイアウォールの背後にある、またはネットワーク・アドレス変換(NAT)によって隠されているサーバーを明らかにするために使用できるFast Reverse Proxy (FRP)、(3)ScanLineと呼ばれる一般に入手可能なポート・スキャナー。
For more information on Volt Typhoon see, joint Cybersecurity Advisory PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories, webpage. ボルト・タイフーンの詳細については、共同サイバーセキュリティ・アドバイザリー「PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure」を参照のこと。中国国家が支援する悪質なサイバー活動の詳細については、CISAの「中国サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF]

20240211-182507

 


 

オーストラリア

Australian Signal Directorete - Cyber Security Centre

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

Identifying and Mitigating Living Off the Land Techniques 現地調達手法の識別と低減
Summary 概要
Introduction 序文
Living off the Land 現地調達
Network Defense Weaknesses ネットワーク防御の弱点
Best Practice Recommendations ベストプラクティスの推奨
Detection and Hunting Recommendations 検知とハンティングのすすめ
Remediation 修復
Secure by Design: Recommendations for Software Manufacturers セキュア・バイ・デザイン ソフトウェア製造事業者への提言
Resources リソース
References 参考文献
Disclaimer 免責事項
Acknowledgements 謝辞
Appendix A: LOTL in WIndows, Linux, MacOS, and Hybrid Environments 附属書 A: Windows、Linux、MacOS、およびハイブリッド環境における LOTL
Appendix B: Third-Party Tools for LOTL 附属書 B: LOTL 用サードパーティ製ツール
Appendix C: Known Lolbins Used Maliciously 附属書C:悪意を持って使用されている既知のLolbins
Summary 概要
This Guide, authored by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and the following agencies (hereafter referred to as the authoring agencies), provides information on common living off the land (LOTL) techniques and common gaps in cyber defense capabilities. 本ガイドは、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査 局(FBI)、及び以下の機関(以下、認可機関と呼ぶ)によって作成され、現地調達(LOTL)の一般的な手 法及びサイバー防御能力における一般的なギャップに関する情報を提供する。
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Agency (TSA) ・米国運輸保安庁(TSA)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC) ・オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
・Canadian Centre for Cyber Security (CCCS) ・カナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The joint guide for network defenders focuses on how to mitigate identified gaps and to detect and hunt for LOTL activity. The information in this joint guide is derived from a previously published joint advisory; incident response engagements undertaken by several of the authoring agencies; red team assessments by several of the authoring agencies using LOTL for undetected, persistent access; and collaborative efforts with industry. ネットワーク防衛者のための共同ガイドは、識別されたギャップを軽減し、LOTL の活動を検知し、ハントする方法に重点を置いている。この共同ガイドの情報は、以前に発表された共同アドバイザリ、認可機関のいくつかによって実施されたインシデント対応業務、未検出の持続的アクセスに LOTL を使用する認可機関のいくつかによるレッドチーム評価、および産業界との共同作業から得られたものである。
The authoring agencies have observed cyber threat actors, including the People’s Republic of China (PRC) [1],[2] and Russian Federation [3] state-sponsored actors, leveraging LOTL techniques to compromise and maintain persistent access to critical infrastructure organizations. The authoring agencies are releasing this joint guide for network defenders (including threat hunters) as the malicious use of LOTL techniques is increasingly emerging in the broader cyber threat environment. 認可機関は、中華人民共和国(PRC)[1]、[2]、ロシア連邦[3]などの国家に支援されたサイバー脅威行為者が、LOTL 技術を活用し て重要インフラ組織を侵害し、持続的なアクセスを維持していることを確認している。認可機関は、ネットワーク防御者(脅威ハンターを含む)のために、LOTL 手法の悪意ある利用が広範なサイ バー脅威環境においてますます顕在化していることから、この共同ガイドを公開する。
Cyber threat actors leveraging LOTL abuse native tools and processes on systems, often using “living off the land binaries” (LOLBins). They use LOTL in multiple IT environments, including on-premises, cloud, hybrid, Windows, Linux, and macOS environments. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behavior, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブなツールやプロセスを悪用し、多くの場合「現地調達バイナリ」(LOLBin)を使用する。彼らは、オンプレミス、クラウド、ハイブリッド、Windows、Linux、macOS 環境など、複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避できる可能性がある。
LOTL is particularly effective because: LOTL が特に効果的な理由は以下の通りである:
・Many organizations lack effective security and network management practices (such as established baselines) that support detection of malicious LOTL activity—this makes it difficult for network defenders to discern legitimate behavior from malicious behavior and conduct behavioral analytics, anomaly detection, and proactive hunting. ・多くの組織では、悪意のある LOTL アクティビティの検知をサポートする効果的なセキュリティおよびネットワーク管理の実践(確立されたベースラインなど)が欠如しているため、ネットワーク防御者が正当な挙動と悪意のある挙動を識別し、行動分析、異常検知、プロアクティブ・ハンティングを実施することが困難である。
・There is a general lack of conventional indicators of compromise (IOCs) associated with the activity, complicating network defenders’ efforts to identify, track, and categorize malicious behavior. ・一般的に、この活動に関連する従来の侵害指標(IOC)が欠如しているため、悪意のある行動を識別、追跡、分類するネットワーク防御者の取り組みが複雑になっている。
・It enables cyber threat actors to avoid investing in developing and deploying custom tools. ・これにより、サイバー脅威行為者はカスタムツールの開発・導入への投資を避けることができる。
Even for organizations adopting best practices, distinguishing malicious LOTL activity from legitimate behavior is challenging because network defenders often: ベスト・プラクティスを採用している組織であっても、悪意のある LOTL アクティビティと正当なアクティビティを区別することは困難である:
・Operate in silos separate from IT teams and their operational workflows; ・IT チームやその運用ワークフローから切り離されたサイロの中で運用されている;
・Rely predominantly on untuned endpoint detection and response (EDR) systems, which may not alert to LOTL activity, and discrete IOCs that attackers can alter or obfuscate to avoid detection; ・LOTL アクティビティに警告を発しない可能性のある、チューニングされていないエンドポイント検知・対 応(EDR)システムや、攻撃者が検知を回避するために変更または難読化できる個別の IOC に主に依存している;
・Maintain default logging configurations, which do not comprehensively log indicators of LOTL techniques or sufficiently detailed information to differentiate malicious activity from legitimate IT administrative activity; and ・LOTL 手法の指標や、悪意のある活動と正当な IT 管理活動を区別するための十分詳細な情報を包括的に記録しない、デフォルトのロギング設定を維持している。
・Have difficulty in identifying a relatively small volume of malicious activity within large volumes of log data. ・大量のログデータの中から比較的少量の悪意のある活動を識別することが困難である。
The authoring agencies strongly urge critical infrastructure organizations to apply the following prioritized best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. There is no foolproof solution to fully prevent or detect LOTL activity, but by applying these best practices organizations can best position themselves for more effective detection and mitigation. 認可機関は、重要なインフラストラクチャ組織に対し、以下の優先順位の高いベストプラクティスと検 出ガイダンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの推奨事項は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。LOTL 活動を完全に防止または検知するための確実な解決策は存在しないが、これらのベストプラクティスを適用することで、組織はより効果的な検知と低減のための最適なポジションを確保することができる。
Detection Best Practices: 検知のベストプラクティス:
1. Implement detailed logging and aggregate logs in an out-of-band, centralized location that is write-once, read-many to avoid the risk of attackers modifying or erasing logs. 1. 攻撃者がログを変更または消去するリスクを回避するため、詳細なロギングを実施し、ログを帯域外の一元化された場所に集約する。
2. Establish and continuously maintain baselines of network, user, administrative, and application activity and least privilege restrictions. 2. ネットワーク、ユーザー、管理者、アプリケーションのアクティビティと最小権限制限のベースラインを確立し、継続的に維持する。
3. Build or acquire automation (such as machine learning models) to continually review all logs to compare current activities against established behavioral baselines and alert on specified anomalies. 3. 機械学習モデルなどの)自動化を構築または導入し、すべてのログを継続的にレビューして、確立された行動ベースラインと現在のアクティビティを比較し、指定された異常についてアラートを発する。
4. Reduce alert noise by fine-tuning via priority (urgency and severity) and continuously review detections based on trending activity. 4. 優先度(緊急度と重要度)を微調整してアラートのノイズを減らし、傾向のあるアクティビティに基づいて検知を継続的にレビューする。
5. Leverage user and entity behavior analytics (UEBA). 5. ユーザーと事業体の行動分析(UEBA)を活用する。
Hardening Best Practices: ハードニングのベストプラクティス
1. Apply and consult vendor-recommended guidance for security hardening. 1. ベンダが推奨するセキュリティ堅牢化ガイダンスを適用し、参照する。
2. Implement application allowlisting and monitor use of common LOLBins. 2. アプリケーションの許可リストを実装し、一般的な LOLBIN の使用を監視する。
3. Enhance IT and OT network segmentation and monitoring. 3. IT および OT ネットワークのセグメンテーションと監視を強化する。
4. Implement authentication and authorization controls for all human-to-software and software-to-software interactions regardless of network location. 4. ネットワークの場所に関係なく、本人からソフトウエア、ソフトウエアからソフトウエアへのすべてのインタラクションに対して認証と認可の管理を実施する。
For details and additional recommendations, see the Best Practice Recommendations and Detection and Hunting Recommendations sections. If LOTL activity is identified, defenders should report the activity to the relevant agencies, as applicable, and apply the remediation guidance in this guide. 詳細とその他の推奨事項については、「ベスト・プラクティスの推奨事項」と「検知とハンティングの 推奨事項」のセクションを参照のこと。LOTL の活動が確認された場合、識別は、該当する場合、その活動を関連機関に報告し、本ガイドの修正ガイダンスを適用する。
Additionally, this guide provides recommendations for software manufacturers to reduce the prevalence of exploitable flaws in software that enable LOTL. In many cases, software defects or unsecure default configurations allow cyber threat actors to carry out malicious cyber activity using LOTL techniques. The authoring agencies strongly encourage software manufacturers to take ownership of their customers’ security outcomes by applying the secure by design recommendations in this guide and in CISA’s joint secure by design guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. さらに、本ガイドは、LOTL を可能にするソフトウェアの悪用可能な欠陥の蔓延を減少させるために、ソフ トウェア製造事業者に対する勧告を提供する。多くの場合、ソフトウェアの欠陥や安全でない初期設定により、サイバー脅威行為者は LOTL の技法を用いて悪意あるサイバー活動を行うことができる。認可機関は、ソフトウェア製造事業者に対し、本ガイド及び CISA の共同セキュア・バイ・デザイン・ガイド「サイバーセキュリティ・リスクのバランスをシフトする:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のセキュア・バイ・デザインの推奨事項を適用することで、顧客のセキュリティ成果にオーナーシップを持つことを強く推奨する。
Technology manufacturers can reduce the effectiveness of LOTL techniques by producing products that are secure by design, including by: 技術製造事業者は、以下のようなセキュア・バイ・デザインの製品を製造することで、LOTL 手法の有効性を低減することができる:
・Disabling or removing unnecessary protocols by default. ・不要なプロトコルをデフォルトで無効化または削除する。
・Limiting network reachability to the extent feasible. ・実現可能な範囲でネットワークへの到達性を制限する。
・Limiting processes and programs running with elevated privileges. ・昇格した権限で実行されるプロセスやプログラムを制限する。
・Enabling phishing-resistant MFA as a default feature. ・フィッシングに強いMFAをデフォルトの機能として有効にする。
・Providing high-quality secure logging at no additional charge beyond processing and storage costs. ・高品質で安全なロギングを、処理コストや保管コスト以上の追加料金なしでプロバイダが提供する。
・Eliminating default passwords and credentials when installing software. ・ソフトウェアをインストールする際のデフォルトのパスワードや認証情報をなくす。
・Limiting or removing dynamic code execution. ・動的なコード実行を制限または削除する。

 

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

 

・2024.02.08 PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure

 

 


 

カナダ...

・2024.02.07 Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land

Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land 米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告、および現地調達の特定と低減に関する共同ガイダンス
The Canadian Centre for Cyber Security  (the Cyber Centre) has joined the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the following international partners in releasing a cyber security advisory on PRC state-sponsored actors malicious cyber activity targeting critical infrastructure  using living off the land (LOTL) techniques: カナダ・サイバーセキュリティセンター(以下、サイバーセンター)は、サイバーセキュリティ・インフラセキュリティ庁(以下、CISA)、国家安全保障局(以下、NSA)、および以下の国際的パートナーとともに、LOTL(Living Off the Land:現地調達)技術を使用して重要インフラを標的とするPRC国家支援行為者の悪質なサイバー活動に関するサイバーセキュリティ勧告を発表した:
・Australian Cyber Security Centre (ACSC) ・オーストラリア・サイバーセキュリティセンター(ACSC)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) ・英国(UK)国家サイバーセキュリティセンター(NCSC-UK)
This joint cyber security advisory, PRC State-Sponsored Actors Compromise  and Maintain Persistent Access to U.S. Critical Infrastructure, warns that PRC state-sponsored cyber actors are seeking to pre-position for disruptive or destructive cyber attacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. CISA and the Cyber Centre have released this guidance alongside the ASCS and the NCSC-UK. この共同サイバーセキュリティ勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、PRCの国家支援を受けているサイバー・アクターが、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のための事前準備を行おうとしていることを警告している。CISAとサイバーセンターは、ASCSとNCSC-UKとともにこのガイダンスを発表した。
The Cyber Centre assesses that the direct threat to Canada's critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. サイバーセンターは、中国の国家支援行為者がカナダの重要インフラに与える直接的脅威は、米国のインフラに与える脅威よりも低い可能性が高いが、米国のインフラが破壊された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。
Accompanying guidance has also been released by CISA, NSA, ACSC, and NCSC-UK. Identifying and Mitigating Living Off the Land provides insight into techniques and common gaps in network defence capabilities. CISA、NSA、ACSC、NCSC-UKからも付随するガイダンスが発表されている。現地調達手法の識別と低減」は、ネットワーク防御能力におけるテクニックと一般的なギャップについての洞察を提供する。
Cyber threat  actors leveraging LOTL abuse native tools and processes on systems. They use LOTL in multiple IT environments, including on-premises, cloud and hybrid. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behaviour, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブ・ツールやプロセスを悪用する。彼らは、オンプレミス、クラウド、ハイブリッドを含む複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避する可能性がある。
We are releasing this joint guidance for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organizations. 中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、我々はネットワーク防御者(脅威ハンターを含む)向けにこの共同ガイダンスを発表する。
Read the joint guidance and advisory: 共同ガイダンスと勧告を読む:
・Identifying and Mitigating Living Off the Land ・現地調達手法の識別と低減」を読む。
・PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure ・中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する

 

 


 

ニュージーランド...

National Cyber Security Centre; NCSC

・2024.02.08  Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

 

Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance 共同勧告 PRCが支援するボルト台風の活動と現地調達手法の識別と低減のためのガイドラインの補足
Today, the National Cyber Security Centre (NCSC) has joined international partners in publishing joint guidance titled, ‘Identifying and Mitigating Living Off the Land' and a cyber security advisory titled, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’.  本日、米国サイバーセキュリティセンター(NCSC)は、国際的なパートナーとともに、「現地調達手法の識別と低減」と題する共同ガイダンスと、「PRC国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」と題するサイバーセキュリティ勧告を発表した。
The joint guidance, ‘Identifying and Mitigating Living Off the Land’ (LOTL) provides information on common LOTL techniques and gaps in cyber defense capabilities. It also provides guidance for network defenders to mitigate identified gaps and to detect and hunt for LOTL activity. The authoring agencies are releasing this joint advisory for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organisations. The authoring agencies strongly urge critical infrastructure organisations to apply the prioritised security best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. 共同ガイダンスの「現地調達(LOTL)手法の識別と低減」は、一般的なLOTLテクニックとサイバー防衛能力のギャップに関する情報を提供している。また、識別されたギャップを軽減し、LOTL 活動を検知し、狩猟するためのネットワーク防衛者向けのガイダンスも提供している。認可機関は、中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、ネットワーク防御者(脅威ハンターを含む)向けにこの共同勧告を発表する。認可機関は、重要インフラ組織に対し、優先順位の高いセキュリティのベストプラクティスと検知ガイダ ンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの勧告は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。
The joint advisory, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’ urges critical infrastructure organisations to apply the mitigations and hunt for similar malicious activity using the guidance within this advisory in parallel to the Identifying and Mitigating Living Off the Land guidance. These mitigations are intended for IT and OT administrators in critical infrastructure organisations to reduce risk and impact of future compromise or detect and mitigate if malicious activity is discovered. Following the mitigations for prevention or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 共同勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、重要インフラ組織に対し、現地調達手法の識別と低減のためのガイドラインと並行して、本勧告内のガイダンスを使用して、低減策を適用し、同様の悪意ある活動を探すよう促している。これらの低減策は、重要インフラ組織のITおよびOT管理者が、将来の侵害のリスクと影響を低減すること、または悪意のある活動が発見された場合にそれを検知し低減することを目的としている。予防のため、あるいはインシデントに対応するために、これらの軽減策に従うことで、ボルト・タイフーンのアクセスを妨害し、重要インフラ事業体への脅威を軽減することができる。
If activity is identified, we strongly recommend that critical infrastructure organisations apply the incident response recommendations in this advisory and report the incident to [mail] 活動が確認された場合、重要インフラ組織はこの勧告にあるインシデント対応の推奨事項を適用し、インシデントを [mail]
に報告することを強く推奨する。

 


 

最後はUK...

National Cyber Security Centre

・2024.02.07 NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks

 

NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks NCSCとパートナーは、重要インフラネットワークに潜伏する国家支援のサイバー攻撃者について警告を発している。
GCHQ’s National Cyber Security Centre and partners share details of how threat actors are using built-in tools to camouflage themselves on victims’ systems. GCHQのナショナル・サイバー・セキュリティ・センターとパートナーは、脅威行為者が被害者のシステム上でカモフラージュするために内蔵ツールを使用している方法の詳細を共有する。
・New joint advisory and guidance reveal state-sponsored actors are among attackers using ‘living off the land’ techniques to persist on critical infrastructure networks ・新たな共同勧告とガイダンスにより、重要インフラ・ネットワークに潜伏する「現地調達」テクニックを使用する攻撃者の中に、国家の支援を受けた行為者が含まれていることが明らかになった。
・UK critical infrastructure operators urged to follow advice to help detect and mitigate malicious activity ・英国の重要インフラ事業者は、悪意のある活動を検知・軽減するための助言に従うよう要請された。
The UK and allies have issued a fresh warning to critical infrastructure operators today (Wednesday) about the threat from cyber attackers using sophisticated techniques to camouflage their activity on victims’ networks. 英国と同盟国は本日(水曜日)、重要インフラ事業者に対し、被害者のネットワーク上での活動をカモフラージュする高度なテクニックを使用するサイバー攻撃者の脅威について、新たな警告を発した。
The National Cyber Security Centre – a part of GCHQ – and agencies in the US, Australia, Canada and New Zealand have detailed how threat actors have been exploiting native tools and processes built into computer systems to gain persistent access and avoid detection. GCHQの一部である国家サイバーセキュリティセンターと米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、脅威行為者がコンピュータシステムに組み込まれたネイティブツールやプロセスを悪用して、持続的なアクセスを獲得し、検知を回避していることを詳述した。
This kind of tradecraft, known as ‘living off the land’, allows attackers to operate discreetly, with malicious activity blending in with legitimate system and network behaviour making it difficult to differentiate – even by organisations with more mature security postures. このような手口は「現地調達」と呼ばれ、攻撃者が目立たないように活動することを可能にし、悪意のある活動が正当なシステムやネットワークの動作に紛れ込むことで、より成熟したセキュリティ体制を持つ組織であっても区別が難しくなる。
The NCSC assesses it is likely this type of activity poses a threat to UK critical national infrastructure and so all providers are urged to follow the recommended actions to help detect compromises and mitigate vulnerabilities. NCSCは、この種の活動が英国の重要な国家インフラに脅威を与えている可能性が高いと評価しており、すべてのプロバイダに対して、侵害を検知し脆弱性を軽減するために推奨されるアクションに従うよう求めている。
The new ‘Identifying and Mitigating Living Off The Land’ guidance warns that China state-sponsored and Russia state-sponsored actors are among the attackers that have been observed living off the land on compromised critical infrastructure networks . 新しい「現地調達手法の識別と低減」ガイダンスは、侵害された重要インフラ・ネットワーク上で現地調達していることが確認されている攻撃者の中には、中国国家とロシア国家に支援された行為者が含まれていると警告している。
Meanwhile, a separate advisory shares specific details about China state-sponsored actor Volt Typhoon which has been observed using living off the land techniques to compromise US critical infrastructure systems. 一方、別の勧告では、米国の重要インフラシステムを侵害するために現地調達のテクニックを使用していることが確認されている中国国家支援行為者ボルト・タイフーンについて、具体的な詳細を共有している。
The Deputy Prime Minister Oliver Dowden said: オリバー・ダウデン副首相は次のように述べた:
“In this new dangerous and volatile world where the frontline is increasingly online, we must protect and future proof our systems. 「この危険で不安定な新しい世界では、最前線はますますオンライン化されており、我々はシステムを保護し、将来に備えなければならない。
“Earlier this week, I announced an independent review to look at cyber security as an enabler to build trust, resilience and unleash growth across the UK economy.” 「今週初め、私は、信頼とレジリエンスを構築し、英国経済全体の成長を解き放つための手段として、サイバーセキュリティを検討する独立したレビューを発表した。
By driving up the resilience of our critical infrastructure across the UK we will defend ourselves from cyber attackers that would do us harm.” 英国全体の重要インフラのレジリエンスを向上させることで、我々に危害を加えるサイバー攻撃者から身を守ることができる。
Paul Chichester, NCSC Director of Operations, said: NCSCのディレクターであるポール・チチェスター氏は、次のように述べた:
“It is vital that operators of UK critical infrastructure heed this warning about cyber attackers using sophisticated techniques to hide on victims’ systems. 「英国の重要インフラの運営者は、被害者のシステムに隠れるために洗練されたテクニックを使うサイバー攻撃者に関するこの警告に耳を傾けることが不可欠である。
“Threat actors left to carry out their operations undetected present a persistent and potentially very serious threat to the provision of essential services. 「脅威行為者が発見されないまま作戦を遂行することは、重要なサービスの提供に対する持続的かつ潜在的に非常に深刻な脅威となる。
“Organisations should apply the protections set out in the latest guidance to help hunt down and mitigate any malicious activity found on their networks.” 「組織は、最新のガイダンスに示された防御を適用し、ネットワーク上で発見された悪意のある活動を追跡し、軽減するのに役立てるべきである。
The new advisory and joint guidance provide an update to a warning issued last May about China state-sponsored activity seen against critical infrastructure networks in the US that could be used against networks worldwide. この新しい勧告と共同ガイダンスは、昨年5月に発表された、米国内の重要インフラ・ネットワークに対する中国の国家支援活動に関する警告を更新したもので、世界中のネットワークに対して使用される可能性がある。
They include the latest advice to help network defenders identify living off the land activity and to mitigate and remediate if a compromise is detected. これらのガイダンスには、ネットワーク防御者が現地調達の活動を特定し、侵害が検知された場合に低減と修復を行うのに役立つ最新のアドバイスが含まれている。
While organisations should ensure they adopt a defence-in-depth approach as part of cyber security best practice, the 'Identifying and Mitigating Living Off The Land' guidance provides priority recommendations, which include: 組織は、サイバーセキュリティのベストプラクティスの一環として、徹底的な防御アプローチを確実に採用すべきであるが、「現地調達の識別と低減」ガイダンスは、以下を含む優先順位の高い推奨事項を提供している:
・Implementing logging and aggregate logs in an out-of-band, centralised location ・ロギングを実施し、帯域外の一元化された場所にログを集約する。
・Establishing a baseline of network, user and application activity and use automation to continually review all logs and compare activity ・ネットワーク、ユーザー、アプリケーションのアクティビティのベースラインを確立し、自動化を使用してすべてのログを継続的にレビューし、アクティビティを比較する。
・Reducing alert noise ・アラートノイズを減らす
・Implementing application allow listing ・アプリケーションの許可リストを実装する
・Enhancing network segmentation and monitoring ・ネットワークのセグメンテーションと監視を強化する
・Implementing authentication controls ・本人認証の導入
・Leveraging user and entity behaviour analytics (UEBA) ・ユーザーと事業体の行動分析(UEBA)の活用
Both products can be read on the CISA website: どちらの製品もCISAのウェブサイトで読むことができる:
Identifying and Mitigating Living Off The Land ・現地調達の識別と低減
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to US Critical Infrastructure ・中国国家支援機関が米国の重要インフラを侵害し、持続的なアクセスを維持する

 


 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

 

 

 

| | Comments (0)

2024.02.11

JNSA インシデント損害額調査レポート 第2版

こんにちは、丸山満彦です。

JNSA(調査研究部会インシデント被害調査ワーキンググループ)が2021年夏に初版を公表した「インシデント損害額調査レポート」の第2版が公表されていますね。。。

10月に速報版が公表されていたものです...

 

経営者やシステム担当者にインシデントが発生すると、お金がかかることを理解してもらうことが目的の一部のようです。。。

 

JNSA

・2024.02.09 インシデント損害額調査レポート 第2版

 

報告書

インシデント損害額調査レポート第2版

20240211-53414

目次...

 

 

 
エグゼクティブサマリー  

I はじめに

II インシデントの概要 
1.インシデントとは
2.インシデント発生時の対応の流れ
(1)初動対応および調査
(2)対外的対応(外向きの対応)
(3)復旧および再発防止(内向きの対応) 

3.インシデント発生時において生じる損害
The 座談会「インシデントレスポンス事業者」編~

III インシデント発生時の対応およびそのコスト
1
.費用損害(事故対応損害)
(1)初動対応および調査
セキュリティコラム「インシデント報告会について思うこと」
(2)対外的対応(外向きの対応)
(3)復旧および再発防止(内向きの対応)

セキュリティコラム「再発防止策の現場」
セキュリティコラムCSIRT担当が思うこと」
2
.賠償損害
セキュリティコラム「リスクコミュニケーションの重要性」
The 座談会「弁護士」編~
3
.利益損害
セキュリティコラム「ランサムウェア被害で倒産した中小企業のハナシ」
セキュリティコラム「サイバー保険」
4
.金銭損害
5
.行政損害
6
.無形損害
The 座談会「マスコミ」編~

IV モデルケース(フィクション)
1.サポート詐欺
2.軽微なマルウェア感染(エモテット)
3.ECサイトからのクレジットカード情報等の漏えい
4.ランサムウェア感染

V あとがき

VI 用語集

VII 参考文献・資料

変更履歴


参考...

20240211-55643

 

別紙 被害組織調査

20240211-53508

被害組織のデータは興味深いですね。。。

おそらく B to C の企業(飲食等)は規模が小さい企業も多いので、かなり小さな企業の場合、システムの利用の程度が少ないのと、個人情報の漏えいがないと公表もしていないという理由もあるのかもしれないですね。。。

1_20240211061401

 

サイバー攻撃の公表件数が個人情報保護法の改正の影響もあって?上昇していますね。。。

20240211-61704

 

 

公表されるインシデントは、ランサムウェア感染が増えていますね。。。二重脅迫の影響ですかね。。。

20240211-61941

 

 

インシデント公表企業全体と、ランサムウェア公表企業の比較...(色は関係ないです...(^^))

1_20240211062601

 

ランサムウェアを商売にしている組織への販売目的?の情報収集のエモテットは...

 

1_20240211064001

 

 

いろいろと興味深い...

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 JNSA サイバー攻撃被害組織アンケート調査(速報版) (2023.10.24)

 

| | Comments (0)

2024.02.09

米国 GAO 重要インフラ保護:各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある (2024.01.30)

こんにちは、丸山満彦です。

GAOが、連邦政府のランサムウェア対応についての報告書をだしていますね。。。製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要セクターのリスク管理を主導する連邦政府機関(エネルギー省、保険保証省、国土安全保障省、運輸省)に対して確認をし、11の勧告を出していますね。。。すべてを「そうだね」といったわけではないようですが...

  製造業 エネルギー 医療・公衆衛生 輸送システム
  国土安全保障省 エネルギー省 保険福祉省 国土安全保障省 運輸省
ランサムウェアのリスクの評価        
リスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかの判断
リスク低減の有効性を測定する評価手順の開発と実施

 

U.S. Government Accountability Office

・2024.01.30 Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support

Critical Infrastructure Protection:Agencies Need to Enhance Oversight of Ransomware Practices and Assess Federal Support 重要インフラ保護:各行政機関はランサムウェア対策の監視を強化し、連邦政府の支援を評価する必要がある。
GAO-24-106221 GAO-24-106221
Fast Facts 事実
Ransomware—software that makes data and systems unusable unless ransom is paid—can severely impact government operations and critical infrastructure. Such attacks have led to significant financial losses, health care disruptions, and more. ランサムウェア(身代金を支払わない限りデータやシステムを使用不能にするソフトウェア)は、政府の業務や重要インフラに深刻な影響を与える可能性がある。このような攻撃は、多額の金銭的損失、医療の混乱などにつながっている。
Most federal agencies that lead and manage risk for 4 critical sectors—manufacturing, energy, healthcare and public health, and transportation systems—have assessed or plan to assess risks associated with ransomware. But agencies haven't fully gauged the use of leading cybersecurity practices or whether federal support has mitigated risks effectively in the sectors. 製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要セクターのリスク管理を主導する連邦政府機関のほとんどは、ランサムウェアに関連するリスクをアセスメントしているか、またはアセスメントする予定である。しかし、各機関は、サイバーセキュリティの先進的な手法の利用状況や、連邦政府の支援がセクターにおけるリスクを効果的に低減しているかどうかを十分に把握していない。
Our recommendations address these issues. 我々の勧告は、これらの問題に対処するものである。
Highlights ハイライト
What GAO Found GAOが発見したこと
Ransomware—software that makes data and systems unusable unless ransom payments are made—is having increasingly devastating impacts. For example, the Department of the Treasury reported that the total value of U.S. ransomware-related incidents reached $886 million in 2021, a 68 percent increase compared to 2020 (see figure). ランサムウェア(身代金を支払わない限りデータやシステムを使用不能にするソフトウェア)は、ますます壊滅的な影響を及ぼしている。例えば、財務省は、2021年に米国で発生したランサムウェア関連のインシデントの総額は8億8600万ドルに達し、2020年と比較して68%増加したと報告している(図参照)。
Treasury Reported Dollar Value of U.S. Ransomware-Related Incidents 財務省が報告した米国のランサムウェア関連インシデントの金額
1_20240208183401
In addition to monetary losses, ransomware has led to other impacts, such as the inability to provide emergency care when hospital IT systems are unusable. The FBI reported that 870 critical infrastructure organizations were victims of ransomware in 2022, affecting 14 of the 16 critical infrastructure sectors. Among those incidents, almost half were from four sectors—critical manufacturing, energy, healthcare and public health, and transportation systems. The full impact of ransomware is likely not known because reporting is generally voluntary. The Department of Homeland Security is planning to issue new reporting rules by March 2024 that could provide a more complete picture of ransomware's impact. ランサムウェアは金銭的な損失だけでなく、病院のITシステムが使えなくなると救急医療が提供できなくなるなど、他の影響にもつながっている。FBIの報告によると、2022年には870の重要インフラ組織がランサムウェアの被害に遭い、16の重要インフラセクターのうち14のセクターが影響を受けた。これらのインシデントのうち、ほぼ半数は、重要な製造事業者、エネルギー、医療・公衆衛生、輸送システムの4部門によるものだった。ランサムウェアの被害報告は一般的に任意であるため、その影響の全容はわかっていない。国土安全保障省は2024年3月までに、ランサムウェアの影響をより詳細に把握できる新たな報告規則を発表する予定だ。
The four selected sectors' adoption of leading practices to address ransomware is largely unknown. None of the federal agencies designated as the lead for risk management for selected sectors have determined the extent of adoption of the National Institute of Standards and Technology's recommended practices for addressing ransomware. Doing so would help the lead federal agencies be a more effective partner in national efforts to combat ransomware. ランサムウェアに対処するための先進的プラクティスの採用状況については、4つのセクターがほぼ不明である。選定されたセクターのリスクマネジメントの主導者に指定された連邦機関はいずれも、ランサムウェアに対処するための国立標準技術研究所の推奨プラクティスの採用の程度を決定していない。そうすることで、主導的な連邦機関がランサムウェアに対抗する国家的な取り組みにおいて、より効果的なパートナーとなることができるだろう。
Most of the six selected lead federal agencies have assessed or plan to assess risks of cybersecurity threats including ransomware for their respective sectors, as required by law. Regarding lead agencies assessing their support of sector efforts to address ransomware, half of the agencies have evaluated aspects of their support. For example, agencies have received and assessed feedback on their ransomware guidance and briefings. However, none have fully assessed the effectiveness of their support to sectors, as recommended by the National Infrastructure Protection Plan. Fully assessing effectiveness could help address sector concerns about agency communication, coordination, and timely sharing of threat and incident information. 選定された6つの主導的連邦機関のほとんどは、法律で義務付けられているとおり、それぞれの部門についてランサムウェアを含むサイバーセキュリティの脅威のリスクをアセスメントしているか、またはアセスメントする予定である。ランサムウェアに対処するための各部門の取り組みに対する支援を評価する主導機関については、半数の機関が支援の側面を評価している。例えば、各行政機関はランサムウェアのガイダンスや説明会に関するフィードバックを受け、評価している。しかし、国家インフラ保護計画で推奨されているように、セクターへの支援の有効性を完全に評価している機関はない。有効性を完全に評価することは、行政機関のコミュニケーション、調整、脅威やインシデント情報のタイムリーな共有に関するセクターの懸念に対処するのに役立つ可能性がある。
Why GAO Did This Study GAOがこの調査を行った理由
The nation's 16 critical infrastructure sectors provide essential services such as electricity, healthcare, and gas and oil distribution. However, cyber threats to critical infrastructure, such as ransomware, represent a significant national security challenge. 全米の16の重要インフラ部門は、電力、医療、ガス・石油配給などの重要サービスをプロバイダとして提供している。しかし、ランサムウェアのような重要インフラに対するサイバー脅威は、国家安全保障上の重要な課題である。
This report (1) describes the reported impact of ransomware attacks on the nation's critical infrastructure, (2) assesses federal agency efforts to oversee sector adoption of leading federal practices, and (3) evaluates federal agency efforts to assess ransomware risks and the effectiveness of related support. 本報告書では、(1)報告されているランサムウェア攻撃が国家の重要インフラに与える影響について説明し、(2)連邦政府の主導的なプラクティスの部門採用を監督する連邦政府の取り組みをアセスメントし、(3)ランサムウェアのリスクと関連する支援の有効性を評価する連邦政府の取り組みを評価する。
To do so, GAO selected four critical infrastructure sectors—critical manufacturing, energy, healthcare and public health, and transportation systems. For each sector, GAO analyzed documentation, such as incident reporting and risk analysis, and compared efforts to leading cybersecurity guidance. GAO also interviewed sector and federal agency officials to obtain information on ransomware-related impacts, practices, and support. そのためにGAOは、重要製造業、エネルギー、医療・公衆衛生、輸送システムの4つの重要インフラ部門を選択した。各セクターについて、GAOはインシデント報告やリスク分析などの文書を分析し、主要なサイバーセキュリティ・ガイダンスと取り組みを比較した。GAOはまた、ランサムウェア関連の影響、慣行、サポートに関する情報を得るため、セクターおよび連邦政府機関の担当者にインタビューを行った。
Recommendations 勧告
GAO is making 11 recommendations to four agencies to, among other things, determine selected sectors' adoption of cybersecurity practices. DHS and HHS agreed with their recommendations. DOE partially agreed with one recommendation and disagreed with another. DOT agreed with one recommendation, partially agreed with one, and disagreed with a third. GAO continues to believe that the recommendations are valid. GAOは4つの機関に対し、特に特定のセクターのサイバーセキュリティ慣行の採用を調査するため、11の勧告を行っている。DHSとHHSは勧告に同意した。DOEは1つの勧告に部分的に同意し、もう1つの勧告には同意しなかった。DOTは1つの勧告に同意し、1つに部分的に同意し、3つ目には同意しなかった。GAOは引き続き、勧告は有効であると考えている。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected/Recommendation 影響を受ける行政機関/勧告
Department of Energy エネルギー省
The Secretary of Energy should, in coordination with CISA and sector entities, determine the extent to which the energy sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 1) エネルギー省長官は、CISAおよび事業体と連携して、エネルギー部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告1)
The Secretary of Energy should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the energy sector. (Recommendation 2) エネルギー省長官は、CISAおよび事業体と連携して、エネルギー部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告2)
Department of Health and Human Services 保健福祉省
The Secretary of Health and Human Services should, in coordination with CISA and sector entities, determine the extent to which the healthcare and public health sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 3) 保健福祉省長官は、CISAおよび事業体と連携して、医療・公衆衛生部門が、同部門のランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告3)
The Secretary of Health and Human Services should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the healthcare and public health sector. (Recommendation 4) 保健福祉省長官は、CISAおよび事業体と連携して、医療・公衆衛生部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告4)
Department of Homeland Security 国土安全保障省
The Secretary of Homeland Security should, in coordination with CISA and sector entities, determine the extent to which the critical manufacturing sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 5) 国土安全保障省長官は、CISAおよび事業体と連携して、重要な製造部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告5)
The Secretary of Homeland Security should, in coordination with CISA and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the critical manufacturing sector. (Recommendation 6) 国土安全保障省長官は、CISAおよび事業体と連携して、重要な製造部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する日常的な評価手順を策定し、実施すべきである。(勧告6)
The Secretary of Homeland Security should, in coordination with CISA, co-SRMAs, and sector entities, determine the extent to which the transportation systems sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 7) 国土安全保障省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門がランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告7)
The Secretary of Homeland Security should, in coordination with CISA, co-SRMAs, and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the transportation systems sector. (Recommendation 8) 国土安全保障省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する定期的な評価手順を策定し、実施すべきである。(勧告8)
Department of Transportation 運輸省
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, assess ransomware risks to the transportation systems sector. (Recommendation 9) 運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスクを評価すべきである。(勧告9)
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, determine the extent to which the transportation systems sector is adopting leading cybersecurity practices that help reduce the sector's risk of ransomware. (Recommendation 10) 運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門が、同部門のランサムウェアのリスク低減に役立つ先進的なサイバーセキュリティ慣行をどの程度採用しているかを判断すべきである。(勧告10)
The Secretary of Transportation should, in coordination with CISA, co-SRMAs, and sector entities, develop and implement routine evaluation procedures that measure the effectiveness of federal support in helping reduce the risk of ransomware to the transportation systems sector. (Recommendation 11) 運輸省長官は、CISA、共同SRMA、および事業体と連携して、運輸システム部門に対するランサムウェアのリスク低減を支援する連邦政府の支援の有効性を測定する定期的な評価手順を策定し、実施すべきである。(勧告11)

 

 

・[PDF] Full Report

20240208-183033

 

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2024.01.31

セキュリティ監査人協会 監査人の警鐘- 2024年 情報セキュリティ十大トレンド (2024.01.09)

こんにちは、丸山満彦です。

JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンドを発表していますね。。。

AIの脅威...がトップなんですが、具体的な脅威がそれなりの確度で起こるということよりも、新しい脅威に対する漠然とした不安的な要素が強いのかもしれませんね。。。

 

● JASA

・2024.01.09 監査人の警鐘 – 2024年 情報セキュリティ十大トレンド

 

ちなみに過去分は2018年からあります。。。

情報セキュリティ十大トレンド

 

傾向としてはこんな感じ?

1_20240131091301

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.07 JASA  監査人の警鐘- 2023年 情報セキュリティ十大トレンド

・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

Continue reading "セキュリティ監査人協会 監査人の警鐘- 2024年 情報セキュリティ十大トレンド (2024.01.09)"

| | Comments (0)

2024.01.25

IPA 「情報セキュリティ10大脅威 2024」を公開

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2024」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの4年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この3年間で上昇していますね。。。標的型攻撃による情報漏洩については、4−7年前は連続トップでしたが、このところは2, 3位となっていましたが、今年は4位。

個人については、今年から順序付けせずに、あいうえお順...

ちなみに、組織にとっての情報セキュリティなので、サイバー空間を利用した脅威である、「偽情報等による〜」みたいなものは入っていないのかもしれませんね。。。ただ、個人の脅威にはいっている「偽警告によるインターネット詐欺」は、「偽情報による〜」ということのような気もする。。。

 

● IPA

プレス発表

・2024.01.24 プレス発表 「情報セキュリティ10大脅威 2024」を決定

・2024.01.24 情報セキュリティ10大脅威 2024

 

個人(五十音順) 2024 組織 2023
インターネット上のサービスからの個人情報の窃取 1位 ランサムウェアによる被害 1位
インターネット上のサービスへの不正ログイン 2位 サプライチェーンの弱点を悪用した攻撃 2位
クレジットカード情報の不正利用 3位 内部不正による情報漏えい等の被害 4位
スマホ決済の不正利用 4位 標的型攻撃による機密情報の窃取 3位
偽警告によるインターネット詐欺 5位 修正前の公開前を狙う攻撃(ゼロデイ攻撃) 6位
ネット上の誹謗・中傷・デマ 6位 不注意による情報漏えい等の被害 9位
フィッシングによる個人情報等の詐取 7位 脆弱性対策情報の公開に伴う悪用増加 8位
不正アプリによるスマートフォン利用者への被害 8位 ビジネスメール詐欺による金銭被害 7位
メールやSMS等を使った脅迫・詐欺の手口による金銭要求 9位 テレワーク等のニューノーマルな働き方を狙った攻撃 5位
ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) 10位

 

過去から(組織向け)...

20240125-04344

 

 

2022 個人 2023 組織 2022
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
7位 不正アプリによるスマートフォン利用者への被害 6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの個人情報の窃取 8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位
New ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) New

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃
   
  2004
1 ボット(botnet)の脅威
2 変化し続けるコンピュータウイルスの脅威
3 フィッシング詐欺の脅威
4 サーバからの情報漏えいの脅威
5 複数製品にまたがる脅威の増加
6 ウェブサイトの改ざんの脅威

 

Ipa_20230126142601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2023.12.02

ランサムウェアグループが被害者のデータ漏洩に関する情報開示義務を怠ったとしてSECを提訴

こんにちは、丸山満彦です。

復号鍵が欲しければ、個人情報等の秘密データを漏洩されたくなければ、、、と脅し、そして今度は、「SECに提訴するぞ」と脅す...

なるほどですね。。。

今年の7月に発表されたSECの新しいルールでは、

重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明する

ことが義務付けられていますね。。。そのForm 8-Kは

サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日以内に提出

しなければなりませんね。ただし、

米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期する

ことができますね。。。

ちなみに、ランサムウェアグループがSECに報告した画面ショットも合わせて記事にのっていますね。。。

ランサムウェアグループもあの手、この手で。。。ただ、今回のこの発表が本当なら、開示がより進むかもしれませんね(^^;;

 

・ランサムウェアグループ:Alhpv

・被害企業といわれているのは:MeridianLink

 

DataBreaches.net

・2023.11.15 AlphV files an SEC complaint against MeridianLink for not disclosing a breach to the SEC (2)

 

Security Week

・2023.11.30 Ransomware Group Files SEC Complaint Over Victim’s Failure to Disclose Data Breach

 

1_20231202061301

 


 

SECの新ルールについて...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.28 米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

 

案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

 

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

 

| | Comments (0)

より以前の記事一覧