ウイルス

2022.01.17

米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

こんにちは、丸山満彦です。

GAOがSolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応についての報告書を公開していますね。。。

● U.S. Government Accountability Office

・2022.01.13 Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents

・[PDF] Hilights

・[PDF] Full Report

20220117-132401

 

Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
Fast Facts 速報
This report describes the federal response to 2 high-profile cybersecurity incidents that affected the U.S. government. The Russian Foreign Intelligence Service hacked SolarWinds network management software, which is widely used in the U.S. government. Also, Chinese government affiliates likely exploited a vulnerability in the Microsoft Exchange Server, according to the White House. 本報告書は、米国政府に影響を与えた2つの有名なサイバーセキュリティ事件に対する連邦政府の対応について記載しています。ロシア対外情報庁は、米国政府で広く使用されているSolarWindsネットワーク管理ソフトウェアをハッキングしました。また、ホワイトハウスによると、中国政府関連会社がMicrosoft Exchange Serverの脆弱性を悪用した可能性が高いとのことです。
Federal agencies worked with each other and industry after these incidents. Agencies received emergency directives on how to respond and more. これらの事件の後、連邦政府機関は相互に協力し、産業界にも働きかけました。各機関は、対応方法などに関する緊急指令を受け取りました。
Information Security is on our High Risk List. As of Nov. 2021, about 900 of our cybersecurity recommendations remain open. 情報セキュリティは、ハイリスクリストに入っています。2021年11月現在、サイバーセキュリティに関する提言のうち約900件が未解決となっています。
Highlights ハイライト
What GAO Found GAOの調査結果
Beginning as early as January 2019, a threat actor breached the computing networks at SolarWinds—a Texas-based network management software company, according to the company's Chief Executive Officer. The federal government later confirmed the threat actor to be the Russian Foreign Intelligence Service. Since the company's software, SolarWinds Orion, was widely used in the federal government to monitor network activity and manage network devices on federal systems, this incident allowed the threat actor to breach several federal agencies' networks that used the software (see figure 1). 2019年1月から、テキサス州に本社を置くネットワーク管理ソフトウェア会社SolarWindsのコンピューティングネットワークに脅威分子が侵入していたと、同社の最高経営責任者が語っています。後に連邦政府は、この脅威主体がロシア対外情報庁であることを確認しました。同社のソフトウェア「SolarWinds Orion」は、連邦政府のシステムにおけるネットワーク活動の監視やネットワーク機器の管理に広く利用されていたため、この事件により、同ソフトウェアを利用している複数の連邦政府機関のネットワークに侵入することができました(図1参照)。
Rid15_image2_20220117140901
Figure 1: Analysis of How a Threat Actor Exploited SolarWinds Orion Software 図1:脅威行為者がSolarWinds Orionソフトウェアを悪用した方法の分析
While the response and investigation into the SolarWinds breach were still ongoing, Microsoft reported in March 2021 the exploitation or misuse of vulnerabilities used to gain access to several versions of Microsoft Exchange Server. This included versions that federal agencies hosted and used on their premises. According to a White House statement, based on a high degree of confidence, malicious cyber actors affiliated with the People's Republic of China's Ministry of State Security conducted operations utilizing these Microsoft Exchange vulnerabilities. The vulnerabilities initially allowed threat actors to make authenticated connections to Microsoft Exchange Servers from unauthorized external sources. Once the threat actor made a connection, the actor then could leverage other vulnerabilities to escalate account privileges and install web shells that enabled the actor to remotely access a Microsoft Exchange Server. This in turn allowed for persistent malicious operations even after the vulnerabilities were patched (see figure 2). SolarWinds社の侵害に対する対応と調査はまだ継続中ですが、マイクロソフト社は2021年3月に、複数のバージョンのMicrosoft Exchange Serverへのアクセスに使用された脆弱性が悪用されたことを報告しました。この中には、連邦政府機関がホストして構内で使用していたバージョンも含まれていました。ホワイトハウスの声明によると、高度な確信に基づき、中華人民共和国の国家安全部に所属する悪意のあるサイバーアクターが、これらのMicrosoft Exchangeの脆弱性を利用した操作を行ったとしています。この脆弱性を利用すると、まず、外部の不正なソースからMicrosoft Exchange Serverに認証された接続を行うことができます。接続が完了すると、他の脆弱性を利用してアカウントの権限を昇格させたり、ウェブシェルをインストールしたりして、Microsoft Exchange Serverへのリモートアクセスを可能にしていました。これにより、脆弱性にパッチが適用された後も、持続的な悪意ある操作が可能となりました(図2参照)。
Rid16_image3_20220117140901
Figure 2: Analysis of How Threat Actors Exploited Microsoft Exchange Server Vulnerabilities 図2:脅威となる行為者がMicrosoft Exchange Serverの脆弱性をどのように利用したかの分析結果
Federal agencies took several steps to coordinate and respond to the SolarWinds and Microsoft Exchange incidents including forming two Cyber Unified Coordination Groups (UCG), one for the SolarWinds incident and one for the Microsoft Exchange incident. Both UCGs consisted of the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the Office of the Director of National Intelligence (ODNI), with support from the National Security Agency (NSA). According to UCG agencies, the Microsoft Exchange UCG also integrated several private sector partners in a more robust manner than their involvement in past UCGs. 連邦政府機関は、SolarWindsとMicrosoft Exchangeの両インシデントに対応するために、SolarWindsインシデント用とMicrosoft Exchangeインシデント用の2つのサイバー統一調整グループ(UCG)を結成するなど、いくつかの措置を講じました。両UCGは、CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、ODNI(国家情報長官室)で構成され、NSA(国家安全保障庁)の支援を受けました。UCGの各機関によると、Microsoft Exchange UCGには、過去のUCGに比べてより強力な方法で複数の省庁が参加しています。
CISA issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. To aid agencies in conducting their own investigations and securing their networks, UCG agencies also provided guidance through advisories, alerts, and tools. For example, the Department of Homeland Security (DHS), including CISA, the FBI, and NSA released advisories for each incident providing information on the threat actor's cyber tools, targets, techniques, and capabilities. CISA and certain agencies affected by the incidents have taken steps and continue to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. CISAは、連邦政府機関に脆弱性を知らせ、インシデントに対応するためにどのような行動を取るべきかを説明する緊急指令を発行しました。また、各機関が独自に調査を行い、ネットワークのセキュリティを確保するのを支援するため、UCGの各機関は勧告、警告、ツールを通じてガイダンスを提供しました。例えば、CISAを含む国土安全保障省(DHS)、FBI、NSAは、インシデントごとに勧告を発表し、脅威となる人物のサイバーツール、標的、技術、能力に関する情報を提供しました。CISAと事件の影響を受けた一部の機関は、ソーラーウインズ事件への対応策を講じ、引き続き連携しています。各省庁は、Microsoft Exchange社の事件への対応を完了しました。
Agencies also identified multiple lessons from these incidents. For instance, 各省庁は、これらのインシデントから複数の教訓を得ました。例えば、以下のようなものです。
・coordinating with the private sector led to greater efficiencies in agency incident response efforts; ・民間企業との連携により、各省庁のインシデント対応をより効率的に行うことができた。
・providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; ・省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との調整が改善された。
・sharing of information among agencies was often slow, difficult, and time consuming and; ・省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
・collecting evidence was limited due to varying levels of data preservation at agencies. ・各省庁のデータ保存のレベルが異なるため、証拠の収集が制限されていた。
Effective implementation of a recent executive order could assist with efforts aimed at improving information sharing and evidence collection, among others. 最近発表された大統領令を効果的に実施することで、情報共有や証拠収集などを改善するための取り組みを支援することができる。
Why GAO Did This Study GAOがこの調査を行った理由
The risks to information technology systems supporting the federal government and the nation's critical infrastructure are increasing, including escalating and emerging threats from around the globe, the emergence of new and more destructive attacks, and insider threats from witting or unwitting employees. Information security has been on GAO's High Risk List since 1997. 連邦政府や国の重要なインフラを支える情報技術システムに対するリスクは、世界中からの脅威の増大や出現、より破壊的な新手の攻撃の出現、故意または無意識の従業員によるインサイダー脅威など、ますます高まっています。情報セキュリティは、1997年以来、GAOのハイリスクリストに入っています。
Recent incidents highlight the significant cyber threats facing the nation and the range of consequences that these attacks pose. A recent such incident, involving SolarWinds, resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and private sector. Another incident included zero-day Microsoft Exchange Server vulnerabilities that had the potential to affect email servers across the federal government and provide malicious threat actors with unauthorized remote access. According to CISA, the potential exploitation from both incidents posed an unacceptable risk to federal civilian executive branch agencies because of the likelihood of vulnerabilities being exploited and the prevalence of affected software. 最近の事件は、国家が直面している重大なサイバー脅威と、これらの攻撃がもたらす様々な結果を浮き彫りにしています。最近の事件では、SolarWinds社が関与した事件があり、連邦政府や民間企業に対して行われた最も広範で洗練されたハッキングキャンペーンの一つとなりました。また、別の事件では、Microsoft Exchange Serverのゼロデイ脆弱性が、連邦政府全体のメールサーバに影響を与え、悪意のある脅威者に不正なリモートアクセスを許す可能性がありました。CISAによると、この2つのインシデントによる潜在的な悪用は、脆弱性が悪用される可能性が高く、影響を受けるソフトウェアが普及していることから、連邦政府の文民行政府機関に受け入れがたいリスクをもたらしています。
GAO performed its work under the authority of the Comptroller General to conduct an examination of these cybersecurity incidents in light of widespread congressional interest in this area. Specifically, GAO's objectives were to (1) summarize the SolarWinds and Microsoft Exchange cybersecurity incidents, (2) determine the steps federal agencies have taken to coordinate and respond to the incidents, and (3) identify lessons federal agencies have learned from the incidents. GAOは、この分野に対する議会の関心の高さを考慮して、これらのサイバーセキュリティ事件の調査を実施するために、GAOの権限に基づいて作業を行いました。具体的には、GAOの目的は、(1)SolarWindsとMicrosoft Exchangeのサイバーセキュリティ事件を要約し、(2)連邦政府機関が事件を調整・対応するためにとった措置を特定し、(3)連邦政府機関が事件から学んだ教訓を特定することでした。
To do so, GAO reviewed documentation such as descriptions of the incidents, federal agency press releases, response plans, joint statements, and guidance issued by the agencies responsible for responding to the incidents: DHS (CISA), the Department of Justice (FBI), and ODNI with support from NSA. In addition, GAO analyzed incident reporting documentation from affected agencies and after-action reports to identify lessons learned. For all objectives, GAO interviewed agency officials to obtain additional information about the incidents, coordination and response activities, and lessons learned. そのためにGAOは、インシデントの説明、連邦機関のプレスリリース、対応計画、共同声明、インシデントへの対応を担当する省庁が発行したガイダンスなどの文書を確認しました。DHS(CISA)、司法省(FBI)、NSAの支援を受けたODNIが発行したガイダンスなどの文書を調査しました。さらにGAOは、影響を受けた省庁からのインシデント報告書類と事後報告を分析し、得られた教訓を特定した。すべての目的について、GAOはインシデント、調整と対応活動、および学んだ教訓に関する追加情報を得るために、各省庁の担当者にインタビューを行いましたた。
Recommendations 提言事項
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations had not yet been fully implemented. GAO will continue to monitor federal agencies' progress in fully implementing these recommendations, including those related to software supply chain management and cyber incident management and response. Five of six agencies provided technical comments, which we incorporated as appropriate. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月現在、これらの勧告のうち約900件はまだ完全に実施されていません。GAOは、ソフトウェアのサプライチェーン管理やサイバーインシデントの管理と対応に関連する勧告を含め、これらの勧告を完全に実施するための連邦政府機関の進捗状況を引き続き監視します。6つの省庁のうち5つの省庁から技術的なコメントをいただき、適宜反映させました。

 

 

・[PDF] Full Report

の目次...

Letter  レター 
Background  背景 
Threat Actors Exploited Vulnerabilities in SolarWinds Orion and Microsoft Exchange  SolarWinds OrionとMicrosoft Exchangeの脆弱性を悪用した脅威の発生 
Federal Agencies Have Been Taking Action in Response to Significant Cyber Incidents  連邦政府機関は重大なサイバーインシデントに対応して行動を起こしてきた 
Federal Agencies Learned Lessons from Efforts Coordinating and Responding to the SolarWinds and Microsoft Exchange Incidents  連邦政府はSolarWindsとMicrosoft Exchangeのインシデントに対する調整と対応の努力から教訓を得た。
Agency Comments  政府機関のコメント 
Appendix I Detailed Timelines of Steps Taken by Cyber Unified Coordination Group Agencies in Response to the SolarWinds and Microsoft Exchange Incidents  附属書 I SolarWinds と Microsoft Exchange のインシデントに対応して Cyber Unified Coordination Group の各機関が行った措置の詳細なタイムライン 
Appendix II GAO Contacts and Staff Acknowledgments  附属書II GAOの連絡先とスタッフの謝辞 

| | Comments (0)

2022.01.16

金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

こんにちは、丸山満彦です。

ホワイトハウスが、コロニアルパイプラインに対してサイバー攻撃をしたと思われるハッカーを米国捜査当局の要請によりロシア当局が逮捕したことについての電話会見をしていますね。。。

政治的な動機ではないサイバー攻撃(例えば、金銭目的)の解決については、政治的には対立していても、互いに協力ができると思っています。今回のホワイトハウスでの会見の内容が本当であれば、その可能性を示す例なのかもしれません。。。

ウクライナ問題で、微妙な状況であるので、もちろん、この逮捕をロシアが外交的な手段として利用している可能性はあります。。。

なお、引き渡しについての条約は締結されていないようなので、まずはロシアで裁判にかけられることになるのでしょうね。。。

 

White House

・2022.01.14 Background Press Call by a Senior Administration Official on Cybersecurity

Background Press Call by a Senior Administration Official on Cybersecurity サイバーセキュリティに関する米政府高官のプレスコールの背景について
MODERATOR:  Hey, everyone.  Thanks for joining us closer to the end of the day on a Friday.  So, as noted in the invite, this is a background call on cybersecurity.  I’m going to let our speaker get into more details about that. 司会者:皆さん、こんにちは。 金曜日の終業間際にお集まりいただきありがとうございます。 招待状にもありましたが、今回はサイバーセキュリティに関するバックグラウンドコールです。 この件については、スピーカーに詳しく説明してもらうことにします。
Before I turn it over to the speaker, let me just do the ground rules really quickly. 発表者に引き継ぐ前に、基本的なルールを簡単に説明しておきます。
So, this briefing is on background.  It is attributable to a “senior administration official.”  And it is embargoed until the conclusion of the call. 今回のブリーフィングは背景に関するものです。 責任者は "政府高官 "です。 そして、通話が終わるまで禁則事項となっています。
Just for your awareness but not for reporting, the speaker on this call is [senior administration official]. この通話の発言者は[政府高官]であることを、皆さんにお知らせします。
You know, we’re running a little bit behind time today, so we’re only going to have time for a couple of questions.  But if you don’t get your question in, you know how to reach me, and I’m happy to get back to you as soon as I can. 今日は少し時間がないので、2、3の質問にしか答えられません。 しかし、もし質問ができなかった場合は、私に連絡を取っていただければ、できるだけ早くご連絡いたします。
So, with that, I’ll turn it over to you. それでは、次の質問に移ります。
SENIOR ADMINISTRATION OFFICIAL:  Thank you very much.  And good afternoon, everyone.  Like [moderator] said, thank you for joining us late on a Friday afternoon. 政府高官:ありがとうございました。 そして、皆さん、こんにちは。 司会者が言ったように、金曜日の午後遅くにお集まりいただきありがとうございます。
So, we welcome, of course, that the Kremlin is taking law enforcement steps to address ransomware emanating from its borders. もちろん、クレムリンが国境から発信されたランサムウェアに対処するために法執行手段を講じていることを歓迎します。
The President believes in diplomacy.  President Biden and President Putin set up a White House-Kremlin Experts Group on ransomware last June.  As we’ve said and the Russians have acknowledged, we’ve been sharing information with the Russians through this channel, including information related to attacks on American critical infrastructure. 大統領は外交を重視しています。 バイデン大統領とプーチン大統領は、昨年6月にランサムウェアに関するホワイトハウスとクレムリンの専門家グループを立ち上げました。 ロシア側も認めているように、我々はこのチャンネルを通じて、米国の重要インフラへの攻撃に関連する情報などをロシア側と共有してきました。
We understand that one of the individuals who was arrested today was responsible for the attack against Colonial Pipeline last spring. 本日逮捕された人物の中には、昨年春のコロニアル・パイプラインに対する襲撃事件の犯人がいたと聞いています。
We’re committed to seeing those conducting ransomware attacks against Americans brought to justice, including those that conducted these attacks on JBS, Colonial Pipeline, and Kaseya. 私たちは、JBS、コロニアルパイプライン、Kaseyaへの攻撃を含め、米国に対するランサムウェア攻撃を行った者を法で裁くことを約束します。
I also want to be very clear: In our mind, this is not related to what’s happening with Russia and Ukraine.  I don’t speak for the Kremlin’s motives, but we’re pleased with these initial actions. 私たちの考えでは、これはロシアとウクライナで起きていることとは関係ありません。 私はクレムリンの動機については言及しませんが、これらの最初の行動には満足しています。
We’ve also been very clear: If Russia further invades Ukraine, we will impose severe costs on Russia in coordination with our allies and partners. また、ロシアがさらにウクライナに侵攻するようなことがあれば、同盟国やパートナーと連携して、ロシアに厳しいコストを課すということも明確にしています。
As the President has said, cyber criminals are resilient and we will continue to take action to disrupt and deter them while engaging in diplomacy, as we have with Russia, allies, and partners around the world. 大統領が述べたように、サイバー犯罪者は回復力があります。私たちは、ロシア、同盟国、世界中のパートナーとの間で行っているように、外交活動を行いながら、サイバー犯罪者を混乱させ、抑止するための行動を取り続けます。
So, with that, over to you.  Looking forward to your questions. それでは、皆さんにお願いします。 皆さんの質問をお待ちしています。
Q    Thank you so much.  Thanks for doing it.  I want to ask you about Russia and Ukraine.  And I had a little difficulty hearing, but I think you said that if they did anything regarding Ukraine, there would be costs. Q 本当にありがとうございます。 ありがとうございます。 ロシアとウクライナについてお聞きしたいと思います。 少し聞き取りにくかったのですが、ウクライナに関して何かするとコストがかかるとおっしゃっていたように思います。
Do you have any attribution?  I know the Ukrainians have suggested that today’s hacking was related to Russian intelligence services.  Has this moved beyond what the Pentagon said earlier and what the White House said earlier about attributions about today or any other hacking of Ukraine in recent days from Russia? 何か原因があるのでしょうか? ウクライナ側は、今日のハッキングはロシアの諜報機関が関係していると示唆していますよね。 今日のハッキング、あるいはここ数日のロシアによるウクライナへのハッキングについて、ペンタゴンが先に言ったこと、ホワイトハウスが先に言ったこと以上のことが起きているのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Hi, Andrea.  Can you hear me now?  I’m sorry.  I have a bad cold, so I know I’m a little hard to hear. 政府高官:こんにちは、アンドレア。 私の声が聞こえますか? 申し訳ありません。 風邪をひいていて、少し聞き取りづらいかもしれませんが。
Q    Oh, I’m so sorry.  Feel better. Q ああ、ごめんなさい。 お大事になさってください。
SENIOR ADMINISTRATION OFFICIAL:  Okay.  Okay, good.  But I’m glad you can hear me.  Okay.  政府高官:オーケー。 いいですよ。 でも、聞こえていてくれて嬉しいです。 そうですね。
So, we don’t have an attribution at this time.  We are in touch with Ukrainians and have offered our support as Ukraine investigates the impact and recovers from the incident.  While we continue to assess the impact to Ukrainians, it seems limited so far, with multiple websites coming back online.  現在のところ、原因は不明です。 我々はウクライナ人と連絡を取っており、ウクライナが影響を調査し、事件から回復するための支援を提供しています。 ウクライナ人への影響を引き続き調査していますが、これまでのところ、複数のウェブサイトがオンラインに戻るなど、影響は限定的なようです。
But I want to note, we are — you know, we and our allies and partners are concerned about this cyberattack, and the President has been briefed.  But that is the status at this time. しかし、私たちと同盟国やパートナーはこのサイバー攻撃に懸念を抱いており、大統領にも説明しています。 しかし、これは現時点での状況です。
Q    Hi.  Thank you so much for agreeing to do this on a Friday evening.  I was curious to know — you said you welcome reports that the Kremlin is taking action.  Obviously, there’s been a suggestion that this operation was done at the direct behest of the White House.  Could you talk a little bit about whether that’s, in fact, true — whether this is something that was done specifically at your urging, with information that the White House had indeed provided?  Thank you. Q こんにちは。 金曜日の夜にお時間をいただき、ありがとうございました。 クレムリンが行動を起こしているという報告を歓迎するとおっしゃっていましたが、これはどういうことなのでしょうか? 明らかに、今回の作戦はホワイトハウスに直接命令されて行われたのではないかという指摘があります。 実際にそうなのか、ホワイトハウスが提供した情報をもとに、あなたの指示で特別に行われたものなのか、少しお話しいただけますか? ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Thank you, Eric.  So, as you know, President Biden and President Putin set up the White House-Kremlin Experts Group on ransomware last June, and we have been meeting within that channel and discussing the need for Russia to take action against ransomware criminals operating from within their borders.  We’ve also shared information regarding individuals operating from within Russia who have conducted disruptive attacks against U.S. critical infrastructure.  政府高官:ありがとうございます、エリック。 ご存知のように、バイデン大統領とプーチン大統領は、昨年6月にランサムウェアに関するホワイトハウスとクレムリンの専門家グループを立ち上げ、その中で会合を持ち、ロシアが自国内で活動するランサムウェア犯罪者に対して行動を起こす必要性について議論してきました。 また、ロシア国内で活動し、米国の重要インフラに対して破壊的な攻撃を行った人物に関する情報も共有しています。
And as I noted, we understand that one of the individuals who was arrested today was indeed the individual responsible for the attack against Colonial Pipeline last spring.  先に述べたように、本日逮捕された人物の一人が、昨年春のコロニアル・パイプラインへの攻撃を行った人物であることがわかっています。
So, this has — we do attribute today’s announcement to the — to, really, the President’s commitment to diplomacy and the channel that he established and the work that has been underway in sharing information and in discussing the need for Russia to take action.    本日の発表は、大統領の外交へのコミットメントと、大統領が設立したチャンネル、そして情報の共有とロシアの行動の必要性を議論するために進められてきた作業の賜物であると考えています。  
That being said, each country pursues its law enforcement operations under, certainly, its own legal system.  And Russia’s announcement today was clearly something that will be — you know, that was — pursued its own law enforcement steps. とはいえ、各国はそれぞれの法制度に基づいて法執行活動を行っています。 今日のロシアの発表は、明らかに自国の法執行手段を追求したものです。
These are our first — these are very important steps, as they represent the Kremlin taking action against criminals operating from within its borders.  And they represent what we’re looking for with regard to continued activities like these in the future. 今回の発表は、クレムリンが自国内で活動する犯罪者に対して行動を起こしたという意味で、非常に重要な第一歩となります。 そして、今後もこのような活動が続くことを期待しています。
Q    Hi.  Thanks for doing the call.  Do you expect anything to happen to these individuals who have been apprehended?  As you know, there’s no extradition treaty, and Russia has a history of not really prosecuting these types of people.  So, what happens now?  What does the White House hope to happen now, in terms of actually making sure that these people won’t return to ransomware? Q こんにちは。 電話をありがとうございました。 逮捕された人たちには何かが起こるのでしょうか? ご存知のように、犯罪者の引き渡し条約はありませんし、ロシアはこの種の人々をあまり起訴してこなかった歴史があります。 では、これからどうなるのでしょうか? ホワイトハウスは、このような人々がランサムウェアに戻ってこないようにするという観点から、今後どのようなことを期待しているのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Our expectation is that Russia announce arrests and that Russia would be pursuing legal action within its own system against these criminals for the crimes that they have created — that they have done.  So, that is our expectation. 政府高官:私たちが期待しているのは、ロシアが逮捕者を発表し、ロシアが自国のシステムの中で、これらの犯罪者が起こした犯罪に対して法的措置を取ることです。 それが私たちの期待です。
And it is indeed, to your point, our expectation that they’re brought to justice and, as such, not only for their past crimes, but preventing future ones as well. そして、過去の犯罪だけでなく、将来の犯罪を防ぐためにも、彼らが法の裁きを受けることを期待しています。
MODERATOR:  Thank you.  Again, thanks, everyone, for joining.  I know this was a really short call.  If we didn’t get to your question, please feel free to email or call me, and I’ll make sure that we get back to you.  And then, have a great weekend.  Thanks for your time.  Bye. 司会者:ありがとうございます。 改めて、参加してくださった皆さんに感謝します。 短い時間ではありましたが、ご協力ありがとうございました。 もしご質問にお答えできなかった場合は、お気軽にメールかお電話でご連絡ください。 それでは、良い週末をお過ごしください。 お時間をいただきありがとうございました。 それでは。

Fig1_20210802074601

 

 


ロシア側の発表

Федеральная служба безопасности Российской Федерации (Federal Security Service of the Russian Federation: FSB)

・2022.01.14 ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО СООБЩЕСТВА

ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО СООБЩЕСТВА 組織的犯罪者集団のメンバーの違法行為を抑圧した
Федеральной службой безопасности Российской Федерации во взаимодействии со Следственным департаментом МВД России в городах Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях пресечена противоправная деятельность членов организованного преступного сообщества. ロシア連邦連邦保安局は、ロシア内務省捜査局と協力して、モスクワ市、サンクトペテルブルク市、モスクワ市、レニングラード市、リペツク州で、組織的犯罪グループのメンバーの違法行為を抑圧しました。
Основанием для разыскных мероприятий послужило обращение компетентных органов США, сообщивших о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование. 今回の捜査は、悪意のあるソフトウェアを導入して情報を暗号化し、その解読のために金銭を脅し取ることで、外国のハイテク企業の情報資源を攻撃していた犯行グループのリーダーの関与を通報した米国の所轄官庁からの要請に基づいて行われました。
ФСБ России установлен полный состав преступного сообщества «REvil» и причастность его членов к неправомерному обороту средств платежей, осуществлено документирование противоправной деятельности. ロシアのFSSは、犯罪組織「REvil」の完全な構成を確立し、そのメンバーが支払い手段の違法な売買に関与していることを確認し、違法行為を文書化しました。
С целью реализации преступного замысла указанные лица разработали вредоносное программное обеспечение, организовали хищение денежных средств с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в сети Интернет. 上記の人物は、犯罪計画を完遂するために、マルウェアを開発し、外国人の銀行口座から資金を盗み、インターネットで高額商品を購入するなどして現金化することを組織しました。
В результате комплекса скоординированных следственных и оперативно-разыскных мероприятий в 25 адресах по местам пребывания 14 членов организованного преступного сообщества изъяты денежные средства: свыше 426 млн рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем. 組織化された犯罪グループのメンバー14人が拘束された25カ所の住所で、連携した捜査・捜索活動を行った結果、暗号通貨を含む4億2600万ルーブル、60万米ドル、50万ユーロのほか、コンピューターのハードウェア、犯行に使われた暗号通貨の財布、犯罪で得た金で購入した高級車20台などを押収しました。
Задержанным членам ОПС предъявлены обвинения в совершении преступлений, предусмотренных ч. 2 ст. 187 «Неправомерный оборот средств платежей» УК России. 拘束された組織的犯罪集団のメンバーは、ロシア刑法第187条「支払手段の違法な転売」の第2部の罪で起訴されました。
В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, используемая в преступных целях информационная инфраструктура нейтрализована. 連邦保安局と内務省が共同で取り組んだ結果、組織化された犯罪結社は消滅し、犯罪目的で使用されていた情報インフラも無力化されました。
Представители компетентных органов США о результатах проведенной операции проинформированы. 米国の所轄官庁の代表者には、この作戦の結果が伝えられています。

 

800pxemblem_of_federal_security_services

 


 

■ 報道

● POLITICO

・2022.01.14 Russia arrests hacker in Colonial Pipeline attack, U.S. says

The arrests followed months of negotiations between the Biden administration and Russian officials around the ransomware attack and other cybersecurity concerns.

CNN

・2022.01.14 US officials believe Russia arrested hacker responsible for Colonial Pipeline attack

The Hill

・2022.01.14 Biden administration says Russia arrested Colonial Pipeline hacker

The Wallstreet Journal

・2022.01.14 Russia Arrests Hackers Tied to Major U.S. Ransomware Attacks, Including Colonial Pipeline Disruption

● Forbes

・2022.01.14 Russia Nabs Colonial Pipeline Hacker In Raids On Ransomware Ring, U.S. Says

 

 

| | Comments (0)

2022.01.10

IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

こんにちは、丸山満彦です。

IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。

攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。

20220110-61203

Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法

で、攻撃者の例示として次のようなものをあげていますね。。。

  • 外部者
  • 内部関係者
  • 犯罪者/ハクティビスト/スクリプトキディ
  • 産業スパイのアクター
  • サイバーテロリスト
  • 国家背景のアクター

 

取り上げている事例の時系列も改めて見ると良いですね。。。

 

20220110-62800

 

IEEE - IEEE Access

Year: 2021 | Volume: 9  - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents

・[HTML]

・[PDF]

20220110-55745

概要は、

概要

Abstract 概要
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。

 

章立てです。。。

 ABSTRACT 概略
I. INTRODUCTION I.イントロダクション
II. BACKGROUND II.背景
A. ICS ARCHITECTURE A. ICSアーキテクチャ
B. ICS HARDWARE B. ICSハードウエア
C. ICS PROTOCOLS C. ICSプロトコル
D. ICS SECURITY D. ICSセキュリティ
E. CRITICAL INFRASTRUCTURES E. 重要インフラ
III. RELATED WORK III.関連研究
IV. ADVERSARIAL MODEL IV.敵対的モデル
A. FINGERPRINTING A. フィンガープリンティング
B. CAPABILITIES B. 能力
C. MOTIVES C. 動機
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS V.産業用制御システムと重要インフラのインシデント
A. STUXNET A. STUXNET
B. DUQU B. DUQU
C. SHAMOON C. SHAMOON
D. HAVEX D. HAVEX
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK
G. TRITON/TRISIS/HatMan G. TRITON/TRISIS/HatMan
H. VPNFilter H.VPNフィルタ
I. WannaCry I. WannaCry
J. NotPetya J. NotPetya
K. COLONIAL PIPELINE K. コロニアルパイプライン
L. OTHER INCIDENTS L. その他のインシデント
1) GERMAN STEEL MILL 1) ドイツの製鉄所
2) MAROOCHY WATER SERVICES 2) マルーチー・ウォーター・サービス
3) NEW YORK DAM 3) ニューヨーク・ダム
4) ‘‘KEMURI’’ WATER COMPANY 4) ''Kemuri''ウォーター・カンパニー
5) SLAMMER WORM 5) スラマーワーム
6) SoBig VIRUS 6) SoBig VIRUS
7) TEHAMA COLUSA CANAL 7) テハマ・コルサ・キャナル
8) U.S. POWER GRID INTRUSION 8)米国の電力網への侵入
M. DISCUSSION M. DISCUSSION
1) COMMON TOOLS AND APPROACHES 1) 共通のツールとアプローチ
2) VULNERABILITIES CATEGORIZATION 2) 脆弱性の分類
3) AFFECTED PURDUE LEVELS 3)影響を受けたパデュー・レベル
4) MITIGATION 4) 低減
VI. ICS PROTOCOLS VULNERABILITIES VI.ICSプロトコルの脆弱性
A. DNP3 A. DNP3
B. MODBUS B. MODBUS
C. PROFINET C. PROFINET
D. OTHER PROTOCOLS D. その他のプロトコル
VII. ICS DEVICE VULNERABILITIES VII. ICデバイスの脆弱性
A. REVERSE ENGINEERING A. リバースエンジニアリング
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS B. 制御ロジックのインジェクションと修正攻撃
C. LADDER LOGIC BASED ATTACKS C. ラダーロジックによる攻撃
D. NATIVE ICS MALWARE D. ネイティブICSマルウェア
E. UNAUTHORIZED ACCESS E. 不正アクセス
F. SIDE CHANNEL ANALYSIS F. サイドチャネル分析
VIII. CONCLUSION VIII. 結論
REFERENCES 参考文献

 

 

Continue reading "IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析"

| | Comments (0)

2021.12.24

JNSA 2021セキュリティ十大ニュース

こんにちは、丸山満彦です。

日本ネットワークセキュリティ協会が2021年 セキュリティ十大ニュースを発表していますね。

● 日本ネットワークセキュリティ協会 (JNSA)

・2021.12.24 JNSA 2021セキュリティ十大ニュース ~サイバーセキュリティが世界の行く末を左右する時代が始まった~

 

# Date タイトル サブタイトル
1 2021.05.07 ランサムウェアの被害広範囲に、影響は一般市民にも ランサムウェア攻撃の脅威を思い知らされた1年
2 2021.03.17 LINEデータ管理の不備が指摘される にわかに盛り上がる経済安全保障の論議
3 2021.01.27 EMOTETテイクダウンの朗報、しかし再燃の動きも 国際間協力により完全破壊するも11月には復活
4 2021.05.26 ProjectWEBへの不正アクセスで官公庁等の情報が流出 今後のITサプライチェーンの課題は?
5 2021.11.26 みずほ銀行のシステム障害多発に金融庁が業務改善命令 日本企業の経営層に求められるITに対する理解
6 2021.01.29 Salesforce設定ミスによる情報流出にNISCが注意喚起 クラウド・バイ・デフォルト時代における新たな責任の自覚
7 2021.10.21 NTTと東京オリパラ大会組織委員会、サイバーセキュリティ対策を報告 懸念されたサイバー攻撃を防御し、東京オリパラは無事終了
8 2021.01.12 ソフトバンク元社員を不正競争防止法違反で逮捕 社員による会社情報持ち出しの抑止力となるか?
9 2021.07.28 「戦争の原因になり得る」とサイバー攻撃に強い危機感 対岸は存在しないサイバー空間の攻防
10 2021.09.28 VPN狙い撃ちの被害続く中、米政府堅牢化のガイダンスを公開 攻撃は境界型防衛への最後通告か

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2009.12.29 JNSA 2009セキュリティ十大ニュース発表

| | Comments (0)

2021.12.14

アイルランド 公的病院を運営している保険サービスエグゼクティブ ランサムウェアに感染した経験を踏まえた報告書 by PwC を公開

こんにちは、丸山満彦です。

アイルランドの公的病院を運営している保険サービスエグゼクティブ (Health Service Executive: HSE [wikipedia]) がランサムウェアに感染した経験(2021.05.14)を踏まえた報告書を公開していますね。。。理事会が第三者 (PwC) に委託して作成した独立報告書です。
ページ数が多いのですが、これから読むはず(^^;;

攻撃に至る経緯やどのような攻撃だったのか、とか、どのように対応した、とか、今後の対策、とか、参考になるような気がします(特に病院関係者)。。。一部黒塗りになっていますが、詳細な情報がありそうです。。。

 

● Ireland Health Service Executive

・2021.12.10 HSE publishes independent report on Conti cyber attack

 

HSE publishes independent report on Conti cyber attack HSE、Contiサイバー攻撃に関する独立報告書を発表
The report was commissioned by the HSE Board, in conjunction with the CEO and the Executive Management Team. It was prepared by PwC. It makes a detailed series of findings in relation to the circumstances leading up to the attack and the attack itself, including the level of preparedness for and the quality of the response to the incident. The HSE has already made urgent changes to protect the organisation against a similar future attack.  It has embarked on implementing recommendations in the report and has begun engagements with the Department of Health with a view to agreeing a multi-year ICT and cybersecurity transformation programme. 本報告書は、HSE BoardがCEOおよびExecutive Management Teamと共同で作成したものです。作成はPwCが担当しました。報告書では、攻撃に至る経緯や攻撃自体について、事件に対する準備のレベルや対応の質など、一連の詳細な調査結果が示されています。HSEは、将来の同様の攻撃から組織を守るために、すでに緊急の変更を行っています。  HSEは、本報告書に記載された提言の実施に着手し、複数年にわたるICTおよびサイバーセキュリティの変革プログラムの合意に向けて、保健省との協議を開始しています。
The Chairman of the HSE Mr Ciarán Devane said: “We commissioned this urgent review following the criminal attack on our IT systems which caused enormous disruption to health and social services in Ireland, and whose impact is still being felt every day.  It is clear that our IT systems and cybersecurity preparedness need major transformation. This report highlights the speed with which the sophistication of cyber-criminals has grown, and there are important lessons in this report for public and private sector organisations in Ireland and beyond.” HSEのシアラン・デヴェーン会長は次のように述べています。「我々は、アイルランドの医療および社会サービスに甚大な混乱をもたらし、その影響が今もなお毎日続いている、HSEのITシステムに対する犯罪的攻撃を受けて、この緊急レビューを依頼しました。  我々のITシステムとサイバーセキュリティ対策に大きな変革が必要であることは明らかです。本報告書は、サイバー犯罪者の高度化のスピードを浮き彫りにしており、アイルランドのみならず世界の公共・民間企業にとって重要な教訓となっています」。
The review found that there was a lack of structures and processes in place to deal with the incident. However, the HSE was in a position to draw from prior learnings and processes used in dealing with crisis situations, such as during the Covid pandemic, to help manage the situation. レビューでは、事件に対処するための構造やプロセスが不足していたことが判明しました。しかし、HSEは、Covidパンデミックの際など、危機的状況に対処する際に用いられた過去の学習やプロセスを、状況の管理に役立てることができました。
According to Mr Devane: “The HSE has accepted the report’s findings and recommendations, and it contains many learnings for us and potentially other organisations.  We are in the process of putting in place appropriate and sustainable structures and enhanced security measures.”  デヴェーン会長によると「HSEは報告書の調査結果と提言を受け入れました。この報告書には、当社や他の組織が学ぶべき点が多く含まれています。  私たちは、適切で持続可能な構造と強化されたセキュリティ対策を導入しているところです」ということです。
The CEO of the HSE Mr Paul Reid said: “We were anxious to commission this report so that we had an independent, thorough and transparent assessment of how this cyber-attack happened and to set out the strategic and tactical actions needed. The report sets this out in quite a lot of detail. We have initiated a range of immediate actions and we will now develop an implementation plan and business case for the investment to strengthen our resilience and responsiveness in this area.” HSEのCEOであるポール・リード氏は次のように述べています。「私たちは、今回のサイバー攻撃がどのようにして起こったのかを独立した立場から徹底的に、かつ透明性を持って評価し、必要な戦略的・戦術的行動を示すために、この報告書を依頼したいと強く願っていました。この報告書では、この点についてかなり詳細に述べられています。今後は、この分野における当組織の回復力と対応力を強化するために、実施計画と投資のためのビジネスケースを作成する予定です」。
 The HSE has implemented a number of high-level security solutions to address issues raised in the report. These include a range of new cyber-security controls, monitoring and threat intelligence measures based on best international expert advice.  HSEは、報告書で指摘された問題に対処するため、多くのハイレベルなセキュリティソリューションを導入しました。その中には、国際的な専門家のアドバイスに基づいた、一連の新しいサイバーセキュリティ管理、監視、脅威情報対策が含まれています。
Notes to editors: 編集後記
Background 背景
On 14th May 2021, the HSE was subjected to a serious criminal cyberattack, through the infiltration of IT systems using Conti Ransomware.  With over 80% of IT infrastructure impacted and the loss of key patient information and diagnostics, this resulted in severe impacts on the health service and the provision of care. The HSE employed the assistance of An Garda Síochána, the National Cyber Security Centre, Interpol and the Irish Defence Forces. 2021年5月14日、HSEは、Conti Ransomwareを使用したITシステムへの侵入により、深刻な犯罪的サイバー攻撃を受けました。  ITインフラの80%以上が影響を受け、重要な患者情報や診断結果が失われたことで、医療サービスやケアの提供に深刻な影響が出ました。HSEは、An Garda Síochána、National Cyber Security Centre、インターポール、アイルランド国防軍の協力を得ました。
 Key recommendations  主な提言
ICT / Cyber governance ICT/サイバーガバナンス
Board and Executive level working groups to drive continuous assessment of cybersecurity サイバーセキュリティの継続的な評価を推進するための役員会および執行役レベルの作業部会
Technology and Transformation 技術と変革
Appoint a Chief Technology and Transformation Officer 最高技術・変革責任者の任命
Enhance our ICT Strategy and multi-year technology plan in line with Cyber recommendations サイバー関連の推奨事項に沿ったICT戦略と複数年の技術計画の強化
Develop a significant investment plan 大規模な投資計画の策定
Transformation of a legacy IT estate レガシーIT資産の変革
Build cybersecurity and resilience into IT architecture ITアーキテクチャにサイバーセキュリティとレジリエンスを組み込む
Cyber-security サイバーセキュリティ
Appoint a Chief Information Security Officer and resource a skilled cyber function 最高情報セキュリティ責任者を任命と熟練したサイバー部門のリソースの確保
Develop and implement a cyber-security transformation programme  サイバーセキュリティの変革プログラムの策定と実施 
Clinical and services continuity 臨床とサービスの継続性
Establish clinical and services transformation programme 臨床およびサービスの変革プログラムの確立
Build on HSE risk, incident, crisis and business continuity processes HSEリスク、インシデント、クライシス、事業継続のプロセスの構築
Establish Operational Policy + Resilience Steering Committee オペレーショナル・ポリシー+レジリエンス・ステアリング・コミッティの設置
Enhance crisis management capabilities 危機管理能力の強化

 

独立インシデント後のレビュー報告書(全体)

・[PDF] Conti cyber-attack on the HSE Independent Post Incident Review

20211214-62353

 

独立インシデント後のレビュー報告書(エグゼクティブサマリー)

・[PDF] Conti cyber-attack on the HSE Independent Post Incident Review Executive Summary

20211214-62440

 

| | Comments (0)

2021.12.13

Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

こんにちは、丸山満彦です。

2021年11月24日にAlibabaのクラウドセキュリティチームによってApacheに開示され、2021年12月9日に公開されたApache Log4j 2 の脆弱性の問題は、影響が大きいですよね。。。多くのソフトウェアで使われている可能性があるので、棚卸から始めなければならないでしょうね。。。で、見つかったら修正していく。。。できる範囲で。。。

利用されているソフトウェアの内容の理解というのは重要になってくるだろうなと改めて感じました。SBOMが重要なのかもしれません。。。

また、このような脆弱性情報が特定の人、組織のみに握られている状況というのも非常に良くないでしょうね。。。もちろん、攻撃の機会を与えるという意見もあるでしょうが、これから本当におそれることは、強い実行力をもった攻撃組織がその脆弱性情報を独占している状況なのかもしれません。。。

 

情報について

Logging Apache

Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0

Logo_20211213065101

 


米国

CISA

・2021.12.11 STATEMENT FROM CISA DIRECTOR EASTERLY ON “LOG4J” VULNERABILITY

NIST - ITL - NATIONAL VULNERABILITY DATABASE

・2021.12.10 CVE-2021-44228 Detail

● MITRE - CVE

CVE-2021-44228

 

中国

国家计算机网络应急技术处理协调中心 CNCERT/CC

・2021.12.10 关于Apache Log4j2存在远程代码执行漏洞的安全公告

日本

JPCERT/CC

・2021.12.11 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

Software-ISAC

・2021.12.12 Apache Log4jの任意のコード実行の脆弱性に関する緊急注意喚起 CVE-2021-44228 CVSS深刻度評価 10(最高)

(2021.12.15追記↓)

IPA

・2021.12.14 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)


 

docker Blog

・2021.12.11 Apache Log4j 2 CVE-2021-44228 by

 

piyolog

・2021.12.13 Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた



 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

| | Comments (0)

2021.12.07

日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

こんにちは、丸山満彦です。

PwCジャパンが日本企業のセキュリティの状況の調査をしています。。。

 

● PwC Japan

・2021.12.07 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換


日本のセキュリティリーダーを対象に実施した2021年のCyber IQ調査では、セキュリティ戦略・計画、体制、投資、サプライチェーン、脅威インテリジェンス、プライバシーなどの分野に関して、現在と3年後について実態を探りました。


という話です。。。

NTTのCISOの横浜執行役員、MS&ADの松田部長、経済産業省サイバーセキュリティ課の奥田課長等のコメントも興味深いです。。。

 


「機先を制する」ためには、テクニカル、ノンテクニカルの両方の情報をベースにし、いずれ求められることを先読みし「ready」にしておくということが求められるのではないでしょうか。レベルを一段あげるわけですから、当然投資やリソースが必要になります。経営の意思がないとできません。リーダーがどれだけ引っ張っていけるかが鍵を握るでしょう。

横浜 信一 氏NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
...

経営層は攻撃者の狙いを把握し、「自社にとっての脅威は何か」を見極め、予算の配分や対策の最終的な判断を実施しなければなりません。セキュリティ担当者は、経営層が攻撃ターゲットの違いや脅威トレンドの変化を理解し、「どこにどれだけの予算を配分するか、どのような対策を講じるか」を判断できる情報を提供する必要があると考えます。

松澤 寿典 氏MS&ADインシュアランスグループホールディングス データマネジメント部長/三井住友海上 データマネジメント部長
...

技術的な観点からサイバー脅威を解説し、どのような対策を講じるべきか注意喚起を促す情報は多く存在します。しかし、経営者が知りたいのは、サイバー攻撃の手法や技術的な詳細ではありません。経営者にとって重要なのは、サイバー脅威が自社のビジネス継続性や信用、知的財産に対してどの程度のダメージを与え、どう対応するかなのです。

奥田 修司 氏経済産業省 商務情報政策局 サイバーセキュリティ課長

 

参考になるところがあると思います。。。

・[PDF]  

20211207-173738

 

目次はこんな感じ...

はじめに

1. 日本企業のサイバーセキュリティを取り巻く変化の潮流
 デジタル化されたビジネスとITのサプライチェーンのつながり
 コロナをきっかけに加速したゼロトラスト
 「多重恐喝型のランサムウェア」の台頭
 成熟化するサイバー攻撃ビジネス
 レジリエンス志向が進むも道半ば

2. 機先を制するセキュリティへの転換
 機先を制するセキュリティの実現に向けた具体的なアクション
 先進企業インタビュー

3. 2021年 日本企業セキュリティ実態

おわりに

 


| | Comments (0)

2021.11.23

米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

こんにちは、丸山満彦です。

米国の財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社が共同でコンピューターセキュリティインシデント通知についての最終規則の承認していますね。。。

銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行するとしています。

また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または劣化を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントであると判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてていますね。。。

他社が同様の被害を受けないようにするためにするための情報共有は重要だと思います。

規則は、2022.04.01に施行され、2022.05.01に遵守が求められますね。。。

 

財務省通貨監督庁

DEPARTMENT OF THE TREASURY Office of the Comptroller of the Currency: OCC

・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification

・[PDF

 

連邦準備制度

FEDERAL RESERVE SYSTEM

・2021.11.18 Agencies approve final rule requiring computer-security incident notification

・[PDF]

 

連邦預金保険公社

FEDERAL DEPOSIT INSURANCE CORPORATION: FDIC

・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification

・[PDF]

20211122-182553

 

SUMMARY: The OCC, Board, and FDIC are issuing a final rule that requires a banking organization to notify its primary federal regulator of any “computer-security incident” that rises to the level of a “notification incident,” as soon as possible and no later than 36 hours after the banking organization determines that a notification incident has occurred. The final rule also requires a bank service provider to notify each affected banking organization customer as soon as possible when the bank service provider determines that it has experienced a computer-security incident that has caused, or is reasonably likely to cause, a material service disruption or degradation for four or more hours. サマリー:財務省通貨監督庁、連邦準備制度理事会、連邦預金保険公社は、銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行する。また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または稼働低下を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントを経験したと判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてている。

 


その他、インシデント報告を法制化する話も出ていますね。。。

 

まるちゃんの情報セキュリティきまぐれ日記

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

| | Comments (0)

2021.11.20

米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

こんにちは、丸山満彦です。

米下院監視改革委員会でのブライアン・A・ヴォルンドラン連邦捜査局(FBI)サイバー部門アシスタントディレクターの証言が公開されています。

ランサムウェアおよびその他のサイバーインシデントの報告義務化についても触れられています。FBIとしては歓迎の方向ですよね。。。

FBI

・2021.11.16 Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats

 

Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats Cracking Down on Ransomware: 犯罪者ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略
Statement for the Record 記録のための声明
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the invitation to provide remarks on the FBI’s role in our nation’s fight against ransomware. マロニー委員長、コマー上級委員、そして委員会のメンバーの皆様、ランサムウェアとの戦いにおけるFBIの役割について発言する機会をいただき、ありがとうございます。
Ransomware is a growing threat to the health and safety of the American people and our national and economic security, with no shortage of recent examples of ransomware’s wide-ranging effects. I am honored to lead the men and women of the FBI’s cyber program, where we are using our unique authorities to impose risk and consequences on the malicious cyber actors who are committing these crimes. But we cannot go at it alone, and as you will hear today, our strategy involves not only our partners in the federal government, but also those in the private sector and abroad. ランサムウェアは、米国民の健康と安全、そして国家と経済の安全保障に対する脅威として拡大しており、最近ではランサムウェアの広範な影響を示す例が後を絶ちません。私は、FBIのサイバープログラムを率いていることを光栄に思っています。FBIは独自の権限を駆使して、こうした犯罪を行う悪質なサイバー犯罪者にリスクと結果を与えています。しかし、FBIは単独で活動することはできません。本日ご紹介するように、FBIの戦略には、連邦政府のパートナーだけでなく、民間企業や海外のパートナーも参加しています。
The individuals who conduct cyber intrusions and ransomware campaigns, and the officials who direct or harbor them, believe they can compromise U.S. networks, steal our financial and intellectual property, and hold our critical infrastructure hostage for ransom, all without incurring risk themselves. サイバー攻撃やランサムウェアのキャンペーンを行う人物や、彼らを指示したり匿ったりする政府関係者は、米国のネットワークを危険にさらし、金融資産や知的財産を盗み、重要なインフラを人質にして身代金を要求することが、自分自身がリスクを負うことなくできると考えています。
The FBI sits at the convergence of U.S. government efforts to change this risk calculus. FBIは、このリスク計算を変えるための米国政府の取り組みの中心に位置しています。
As a member of both the law enforcement and intelligence communities, with domestic and international reach, the FBI is focusing our unique authorities, and our ability to engage with international law enforcement, domestic victims, and key technology service providers, to identify and disrupt adversaries before they compromise U.S. networks, and hold them accountable when they do. 法執行機関と情報機関の両方のコミュニティに属し、国内外で活動するFBIは、独自の権限と、国際的な法執行機関、国内の被害者、主要な技術サービスプロバイダと連携する能力を駆使して、敵対者が米国のネットワークを侵害する前に特定して混乱させ、侵害した場合にはその責任を追及しています。
Key to the FBI’s strategy is using the information and insight we develop through our investigations to support our full range of public and private sector partners. There are many countries, companies, and agencies who play roles in defending networks, sanctioning destabilizing behavior, collecting cyber threat intelligence, and conducting cyber effects operations. We seek to work with all of them, in the belief that our collective actions to combat cyber threats are most impactful when they are planned jointly and sequenced for maximum impact. FBIの戦略の鍵となるのは、捜査で得た情報や見識を活用して、官民を問わずあらゆるパートナーを支援することです。ネットワークの防御、不安定な行動への制裁、サイバー脅威情報の収集、サイバー作戦の実施などの役割を担う国、企業、機関は数多くあります。FBIは、サイバー脅威に対抗するための集団行動は、共同で計画し、最大の効果が得られるように順序立てて行うことが最も効果的であるという信念のもと、すべてのパートナーとの協力を求めています。
In coordination with our partners, the FBI has successfully disrupted numerous cybercriminal enterprises, including those deploying ransomware, but lasting impact will require joint, sequenced operations with our U.S. counterparts and foreign allies as well as a removal of the sense of impunity many of these actors currently feel. FBIは、パートナーとの連携により、ランサムウェアを配布している企業を含む数多くのサイバー犯罪企業を壊滅させることに成功していますが、その効果を持続させるためには、米国のカウンターパートや海外の同盟国との共同で順序立てた活動が必要であり、また、これらの犯罪者の多くが現在感じている免罪符の意識を取り除くことが必要です。
Just last week, we held a joint press conference with the departments of Justice, State, and Treasury to highlight our whole-of-government approach to tackling ransomware—in this case, the Sodinokibi/REvil variant responsible for thousands of ransomware attacks worldwide, including the July 2021 attack on IT management company Kaseya. Together, we announced: 先週、私たちは、司法省、国務省、財務省と共同で記者会見を開き、ランサムウェア(今回は、2021年7月にITマネジメント企業のKaseyaを狙った攻撃を含め、世界中で何千ものランサムウェア攻撃の原因となっているSodinokibi/REvil亜種)に対処するための政府全体のアプローチを強調しました。合わせて、次のことを発表しました。
1. The arrest and unsealing of charges on Ukrainian national Yaroslav Vasinskyi for deploying Sodinokibi ransomware on victims, including Kaseya’s computer systems; 1. ウクライナ国籍のヤロスラフ・ヴァシンスキーが、Kaseyaのコンピュータシステムを含む被害者にSodinokibiランサムウェアを展開した罪で逮捕され、告訴が解除されたこと。
2. The seizure of $6.1 million in funds traceable to and unsealing of charges on Yevgeniy Polyanin, a Russian national charged with conducting Sodinokibi/REvil ransomware attacks against thousands of victims; 2. 数千人の被害者に対してSodinokibi/REvilランサムウェア攻撃を行った罪で起訴されたロシア国籍のエフゲニー・ポリアニンの追跡可能な資金610万ドルを押収し、告訴状の開示を行いました。
3. OFAC sanctions against Vasinskyi and Polyanin, as well the Chatex virtual currency exchange for its part in facilitating financial transactions for ransomware actors; and 3. ランサムウェア実行者の金融取引を促進したとして、Vasinskyi、Polyanin、およびChatex仮想通貨取引所に対するOFAC制裁。
4. Two awards, totaling up to $15 million, for information leading to the identification, arrest, and/or conviction of Sodinokibi/REvil ransomware leadership or conspirators. 4. Sodinokibi/REvilランサムウェアのリーダーまたはその共謀者の特定、逮捕、有罪判決につながる情報に対して、2つの賞、合計1,500万ドルを授与。
And it is no coincidence that we announced these actions on the same day our foreign partners in Europol announced the arrest of two additional affiliates of the same group in Romania, and Eurojust made its own announcement regarding related efforts. These coordinated and sequenced operations are the culmination of close and painstaking international and federal law enforcement collaboration, across governments and with private sector companies. Yes, the cyber threat is daunting, but when we combine the right people, the right tools, and the right authorities, our adversaries are no match for what we can accomplish together. また、海外のパートナーであるユーロポールが、ルーマニアで同じグループの2つの関連会社を逮捕したことを発表したのと同じ日に、当社がこれらのアクションを発表し、ユーロジャストが関連する取り組みについて発表したのは偶然ではありません。これらの協調した一連の活動は、政府や民間企業の枠を超えた、国際的かつ連邦的な法執行機関の緊密かつ骨の折れる協力関係の集大成です。しかし、適切な人材、適切なツール、適切な権限を組み合わせれば、敵は私たちが協力して達成できることにはかないません。
What is Ransomware? ランサムウェアとは何か?
At its most basic, ransomware is a computer program created by malicious actors to 1) infect a computer or server, 2) encrypt its contents so they cannot be accessed or used, and 3) allow the malicious actors to demand that a ransom be paid in exchange for the decryption key. Victim organizations without effective backups are not able to operate until their data is restored. Ransomware can paralyze organizations, and the cost to rebuild an encrypted network can be catastrophic for small- and medium-sized businesses and municipalities. ランサムウェアとは、悪意ある者によって作成されたコンピュータプログラムで、1)コンピュータやサーバに感染し、2)コンテンツを暗号化してアクセスや使用ができないようにし、3)復号化キーと引き換えに身代金の支払いを要求できるようにするものです。有効なバックアップを持たない被害者の組織は、データが復旧するまで業務を行うことができません。ランサムウェアは組織を麻痺させ、暗号化されたネットワークを再構築するためのコストは、中小企業や自治体にとって壊滅的なものになる可能性があります。
The ransomware threat is not new, and it has been one of the FBI’s top priorities for cybercriminal investigations for some time. In 2018, for example, we eliminated the threat from a highly impactful ransomware variant called SamSam that infected victims in nearly every U.S. state, including the city of Atlanta, the Port of San Diego, and multiple major healthcare companies. Our investigation led to a November 2018 indictment of the responsible Iranian cybercriminals and sanctions against two digital currency exchanges that enabled their operations; this ransomware variant has not been seen since. ランサムウェアの脅威は目新しいものではなく、以前からFBIのサイバー犯罪捜査の最優先課題の一つとなっています。例えば2018年には、アトランタ市、サンディエゴ港、複数の大手ヘルスケア企業など、米国のほぼすべての州で被害者に感染した「SamSam」という影響力の強いランサムウェアの亜種の脅威を排除しました。私たちの調査により、2018年11月に責任者であるイランのサイバー犯罪者が起訴され、彼らの活動を可能にした2つのデジタル通貨取引所に対する制裁措置が取られ、それ以来このランサムウェアの亜種は見られなくなりました。
In a trend not unique to cybercrime, as we expand our capability to disrupt ransomware actors, criminals have adapted to increase the scale, impact, and prevalence of ransomware attacks. The increasingly sophisticated and targeted nature of ransomware campaigns has significantly increased their impacts on U.S. businesses, and ransom demands are growing larger. Simultaneously, “ransomware-as-a-service” (RaaS), in which a developer sells or leases the ransomware tools to their criminal customers, has decreased the barrier to entry and technological savvy needed to carry out and benefit from these compromises and increased the number of criminals conducting ransomware campaigns. As this has happened, the number of ransomware variants has grown; today, we have investigations into more than 100 variants, many of which have been used in multiple ransomware campaigns. Recently, we have seen “double extortion” ransomware—where actors encrypt, steal, and threaten to leak or sell victims’ data—emerge as a leading tactic for cybercriminals, raising the stakes for victims, which in turn has increased the likelihood of ransom payments being made. サイバー犯罪に特有の傾向ではありませんが、私たちがランサムウェアの行為者を破壊する能力を拡大する一方で、犯罪者はランサムウェア攻撃の規模、影響、普及率を高めるために適応しています。ランサムウェアのキャンペーンがますます洗練され、標的を絞って行われるようになったことで、米国企業への影響が大幅に増加し、身代金の要求額も大きくなっています。同時に、開発者が犯罪者の顧客にランサムウェアのツールを販売またはリースする「ランサムウェア・アズ・ア・サービス」(RaaS)により、これらの侵害を実行して利益を得るために必要な参入障壁や技術的な知識が減少し、ランサムウェアキャンペーンを行う犯罪者の数が増加しました。これに伴い、ランサムウェアの亜種の数も増加し、現在では100種類以上の亜種を調査しており、その多くが複数のランサムウェアキャンペーンで使用されています。最近では、被害者のデータを暗号化して盗み出し、それを漏洩したり販売したりすると脅す「二重恐喝」ランサムウェアがサイバー犯罪者の主要な手口として登場し、被害者の危機感を高め、その結果、身代金の支払いが行われる可能性が高くなっています。
While cybercriminals remain opportunistic, they have also become more targeted in their campaigns, purposely aiming their malware at those institutions that can least afford downtime, specifically infrastructure critical to public safety, including hospitals and emergency services. また、サイバー犯罪者は日和見的ですが、その一方で、ダウンタイムを最も回避できる機関、特に病院や救急隊などの公共の安全に関わるインフラを狙って、意図的にマルウェアを使用するようになっています。
These ransom payments are typically requested in the form of a virtual currency, like Bitcoin. Virtual currency is not governed by a central authority, and regulation of the industry is still evolving globally, which can make it difficult to find out who is behind a transaction. 身代金の支払いは、通常、ビットコインなどの仮想通貨を用いて要求されます。仮想通貨は、中央機関が管理しておらず、世界的に規制が進んでいるため、取引の背後にいる人物を突き止めることが困難な場合があります。
Cryptocurrency can be moved anywhere in the world, often more quickly than traditional currency, and these transactions frequently take place on the dark web, which presents its own set of problems. While these ransom demands often used to be just a few hundred dollars, we now see American businesses targeted with ransom demands in the millions, and in some cases tens of millions, of dollars. The statistics paint a stark picture: In 2020, the FBI’s Internet Crime Complaint Center (IC3) statistics showed a 20 percent increase in reported ransomware incidents and a 225 percent increase in reported ransom amounts. 暗号通貨は世界のどこにでも移動でき、従来の通貨よりも迅速に移動できることが多く、これらの取引はダークウェブ上で行われることが多いため、独自の問題を抱えています。このような身代金要求は、かつては数百ドル程度のものが多かったのですが、現在ではアメリカの企業が数百万ドル、場合によっては数千万ドルの身代金要求の対象となっています。統計では、このような状況が明らかになっています。2020年、FBIのInternet Crime Complaint Center(IC3)の統計によると、ランサムウェアの報告件数は20%、身代金の報告額は225%増加しています。
Unfortunately, what is reported is only a fraction of the incidents out there.1 残念ながら、報告されているのは、世の中に存在するインシデントのほんの一部に過ぎません1。
We have also seen both nation-state adversaries and cybercriminals targeting managed service providers (MSPs), whereby infecting one system, they can access the networks of hundreds of potential victims, as we saw in the Kaseya incident. But we are working to bring awareness to this method of compromise. In June, our partners at the U.S. Secret Service put together a cyber incident response simulation for companies that use MSPs, and it was my pleasure to join the Secret Service and give a unified federal message on the importance of hardening their systems and engaging with law enforcement before they are victims of an attack. また、国家レベルの敵対者とサイバー犯罪者の両方がマネージドサービスプロバイダ(MSP)を標的にしており、Kaseyaの事件で見られたように、1つのシステムに感染させることで、何百人もの潜在的な被害者のネットワークにアクセスすることができます。しかし、私たちは、このような不正アクセスの手口に対する認識を高めるために努力しています。6月には、米国シークレットサービスのパートナーが、MSPを利用している企業を対象としたサイバーインシデント対応シミュレーションを実施しました。私はシークレットサービスに参加して、攻撃の被害に遭う前にシステムを強化し、法執行機関と連携することの重要性について、連邦政府として統一的なメッセージを発信することができました。
Ransomware has become one of the most costly and destructive threats to businesses and governments. On top of this, throughout the COVID-19 pandemic, we saw callous opportunism by criminal groups who put public safety at risk by attacking health care providers during a global pandemic. These groups demonstrate no morality; they will target entities big and small, public and private, and show little care for how their actions affect vulnerable populations. ランサムウェアは、企業や政府にとって最もコストがかかり、破壊的な脅威の一つとなっています。さらに、COVID-19のパンデミックでは、世界的な大流行の際に医療機関を攻撃して公共の安全を危険にさらす犯罪グループの冷酷な日和見主義が見られました。このようなグループは、道徳心を持たず、大小、公私を問わず、自分たちの行動が弱い立場にある人々にどのような影響を与えるかをほとんど気にしません。
How the FBI’s Cyber Strategy Counters the Ransomware Threat ランサムウェアの脅威に対抗するFBIのサイバー戦略
Because this criminal activity has become more lucrative and enticing, it is our job to make it harder and more painful for hackers to do what they are doing. That is why we announced a new FBI cyber strategy last year, using our role as the lead federal agency with law enforcement and intelligence responsibilities to not only pursue our own actions, but to work seamlessly with our domestic and international partners to defend their networks, attribute malicious activity, sanction bad behavior, and take the fight to our adversaries overseas. We must impose risk and consequences on cyber adversaries and use our unique law enforcement and intelligence capabilities and authorities to do so through joint operations sequenced appropriately for maximum impact. We have to target the entire criminal ecosystem—including malware developers, money launderers, and shady infrastructure providers—and work with all relevant federal agencies like the Cybersecurity and Infrastructure Security Agency (CISA) and the Office of the National Cyber Director (ONCD), as well as victims and cybersecurity firms. All the while, we must continue to team with the Department of State to ensure our foreign partners are able and willing to cooperate in our efforts to bring the perpetrators of cybercrime to justice. このような犯罪行為は、より収益性の高い魅力的なものになっているため、ハッカーが彼らのような行為を行うことをより困難にし、より苦しめることが私たちの仕事です。昨年、FBIは新たなサイバー戦略を発表しました。法執行と諜報活動を担う連邦政府機関としての役割を活かし、自らの行動を追求するだけでなく、国内外のパートナーとシームレスに連携して、ネットワークを守り、悪意のある行為を特定し、悪質な行為に制裁を加え、海外の敵に戦いを挑んでいます。私たちは、サイバー敵対者にリスクと結果を与えなければならず、そのためには、法執行機関や情報機関の独自の能力と権限を活用し、最大の効果が得られるように適切な順序で共同作戦を行う必要があります。私たちは、マルウェア開発者、マネーロンダリングを行う者、怪しいインフラを提供する者など、犯罪のエコシステム全体を対象とし、サイバーセキュリティ・重要インフラセキュリティ庁 (CISA) 国家サイバーディレクター局 (ONCD) などの関連するすべての連邦機関や、被害者やサイバーセキュリティ企業と連携しなければなりません。その一方で、国務省と連携し、サイバー犯罪の犯人を裁くための取り組みに海外のパートナーが協力してくれるようにしなければなりません。
More specifically, and in conjunction with the Department of Justice’s recently-formed Ransomware and Digital Extortion Task Force, our strategy for countering ransomware and other complex cybercriminal schemes is focused on pursuing and disrupting 1) the actors, 2) their infrastructure, and 3) their money—all while providing help to victims and actionable intelligence to warn potential future victims. If there’s one thing the Bureau understands, it’s taking down criminal organizations, and when it comes to ransomware, we’re working with an unprecedented number of government and private sector organizations to do just that. When pursuing these actors, we work with like-minded countries to identify those responsible for damaging ransomware schemes, arrest them, and extradite them to the United States to face justice whenever possible. At the same time, taking down cybercriminals’ technical infrastructure adds to the impact, as it raises their costs, disrupts their operations, prevents new victims, and often gives us new intelligence on their operations. Lastly, since virtual currencies are so central to ransomware, we have developed our ability to trace these transactions and have been able to seize funds and shut down illicit currency exchanges in some instances. In addition to the seizure of $6.1 million from the Sodinokibi/REvil group that we announced just last week, we were also recently able to accomplish this objective in the Colonial Pipeline case, when the victim and our federal partners worked quickly and closely with us to recover a substantial portion of the cryptocurrency paid as ransom. Each of these is important, but we have the most durable impact when we do disrupt all three together. 具体的には、最近設立された司法省のランサムウェア・デジタル恐喝タスクフォースと連携して、ランサムウェアやその他の複雑なサイバー犯罪に対抗するための戦略は、1)行為者、2)インフラ、3)資金、を追求し、混乱させることに重点を置いています。ランサムウェアに関しては、これまでにない数の政府機関や民間企業と協力して、犯罪組織を壊滅させています。ランサムウェアに関しては、これまでにないほど多くの政府機関や民間企業と協力しています。また、同じ志を持つ国々と協力して、ランサムウェアの被害をもたらした犯人を特定し、逮捕し、可能な限り米国に送還して裁判にかけています。同時に、サイバー犯罪者の技術的なインフラを破壊することで、彼らのコストを上げ、業務を混乱させ、新たな被害者を出さないようにするとともに、彼らの活動に関する新たな情報を得ることができるため、影響力を高めることができます。最後に、ランサムウェアでは仮想通貨が非常に重要な役割を果たしているため、私たちはこれらの取引を追跡する能力を向上させ、場合によっては資金を差し押さえたり、不正な通貨取引所を閉鎖したりすることができました。先週発表したSodinokibi/REvilグループからの610万ドルの押収に加え、最近ではColonial Pipeline事件でも、被害者と連邦政府のパートナーが迅速かつ緊密に協力して、身代金として支払われた暗号通貨のかなりの部分を回収し、この目的を達成することができました。このように、それぞれが重要ですが、この3つを一緒に破壊することで、最も持続的なインパクトを与えることができます。
We do all this with victims at the center of our efforts. At the FBI, we aim to inform, support, and assist victims in navigating the aftermath of crime and the criminal justice process with dignity and resilience. We want to empower all victims of cyber intrusions, just as we do for victims of other crimes. In some instances, we have done this by developing or acquiring a ransomware’s decryption key to help victims recover without paying the ransom. We have also, on occasion, been able to give advance warning to vulnerable or targeted entities. While the FBI is not a remediation service, the work we do to investigate and respond to cybercrime enables us to collect information, which we share to prevent future attacks and use to assist victims if they have already been hit. 私たちは、被害者を中心に据えてこれらの活動を行っています。FBIでは、被害者が犯罪の後遺症や刑事司法プロセスを尊厳と回復力を持って乗り越えられるように、情報を提供し、支援し、サポートすることを目指しています。私たちは、他の犯罪の被害者と同じように、サイバー侵入のすべての被害者に力を与えたいと考えています。場合によっては、ランサムウェアの解読キーを開発または入手して、被害者が身代金を支払わずに回復できるようにしています。また、被害を受けやすい企業や標的となる企業に事前に警告を与えることもあります。FBIは修復サービスを提供しているわけではありませんが、サイバー犯罪の捜査と対応を行うことで情報を収集し、今後の攻撃を防ぐために共有したり、すでに被害に遭っている場合には被害者を支援するために利用しています。
As I mentioned, we have certain distinctive investigative authorities. And we have the good fortune of another domestic agency, CISA, with very different authorities and insights. Our roles complement each other, and when we work together, we strengthen our defense of cyberspace in ways we could not do if we were in competition or isolation. 先に述べたように、当社には特徴的な調査権限があります。また、幸運なことに、国内にはCISAという、まったく異なる権限と見識を持つ機関があります。それぞれの役割はお互いに補完し合い、協力し合うことで、競争したり孤立したりしていたのではできない方法で、サイバー空間の防衛を強化することができます。
To be more precise, the FBI contributes information we uniquely collect through a combination of criminal and national security authorities that are the envy of many partners overseas, and our physical presence across the U.S. enables our close engagement with victims. That engagement can yield details that unlock the secrets of who is compromising our networks, how our adversaries are succeeding, and where they may strike next because of the technical clues they leave behind. Once revealed, that information gives CISA the opportunity to identify other networks vulnerable to the same technique; it may give us, U.S. Cyber Command, or the National Security Agency a piece of the actor’s infrastructure to disrupt or exploit; and it helps the National Security Council know where to focus all the instruments of power the government might bring to bear against those responsible. These coordinated actions lead to the U.S. government’s most impactful cyber disruptions. We have also worked especially closely with CISA to share information with critical infrastructure owners and operators via FBI reports and joint advisories. より正確に言うと、FBIは、海外の多くのパートナーが羨むような犯罪と国家安全保障に関する権限を組み合わせて独自に収集した情報を提供しています。また、全米に広がるFBIの物理的な存在感は、被害者との密接な関わりを可能にします。その結果、誰がネットワークを侵害しているのか、敵はどのようにして成功しているのか、また、敵が残した技術的な手がかりから、次にどこを攻撃するのかといった秘密を解き明かすことができます。その情報が明らかになれば、CISAは同じ手法に脆弱な他のネットワークを特定することができ、我々や米国サイバー司令部、国家安全保障局は、行為者のインフラの一部を破壊したり利用したりすることができます。このような連携した行動が、米国政府の最もインパクトのあるサイバー破壊につながっているのです。また、CISAとは特に緊密に連携し、FBIの報告書や共同勧告を通じて重要インフラの所有者や運営者と情報を共有しています。
Our strategy has enabled us to land some major blows against the threat actors behind ransomware and its delivery mechanisms. But the ransomware threat is not going away, so we must carry this strategy and its momentum forward into 2022. この戦略により、ランサムウェアの背後にいる脅威の担い手とその配信メカニズムに対して大きな打撃を与えることができました。しかし、ランサムウェアの脅威がなくなることはないので、この戦略とその勢いを2022年に向けて進めていかなければなりません。
Addressing Ransomware’s Global Footprint ランサムウェアの世界的な広がりへの対応
As I mentioned earlier, without strong foreign partnerships, our cyber strategy cannot be fully implemented, and we cannot successfully counter the ransomware threat. 先に述べたように、海外との強力なパートナーシップがなければ、当社のサイバー戦略を完全に実施することはできず、ランサムウェアの脅威にうまく対抗することもできません。
We know our most significant threats come from foreign actors using global infrastructure to compromise U.S. networks. By working with friendly foreign law enforcement agencies and intelligence partners, we make it harder for these actors to conceal their activities and their whereabouts. 最も大きな脅威は、グローバルなインフラを利用して米国のネットワークを危険にさらす外国人であることがわかっています。友好的な外国の法執行機関や情報機関と協力することで、これらの行為者が自分たちの活動や居場所を隠すことを難しくしています。
Not every foreign nation helps us in this fight. While we seek to disrupt entire cybercriminal enterprises, the most impactful consequence we can impose on a malicious cyber actor is an arrest as part of comprehensive disruption. If an actor is in a country like Russia or China, an arrest is currently not a viable option. Even when an indicted cybercriminal is in another country, Russia in particular takes actions to interfere with our extraditions. To make things more difficult, the lines between nation-states and cybercriminal actors are blurred, and even though a foreign nation may not be directing a ransomware campaign, it may still be complicit by providing a safe haven to those malicious actors who are doing harm to the United States, our citizens, and our businesses. しかし、すべての国がこの戦いに協力してくれるわけではありません。私たちはサイバー犯罪者の企業全体を壊滅させることを目指していますが、悪質なサイバー犯罪者に課すことのできる最もインパクトのある結果は、包括的な壊滅の一環としての逮捕です。行為者がロシアや中国のような国にいる場合、現在のところ逮捕は実行可能な選択肢ではありません。起訴されたサイバー犯罪者が他国にいる場合でも、特にロシアは我々の身柄引き渡しを妨害する行動をとります。さらに言えば、国家とサイバー犯罪者の境界線は曖昧であり、外国がランサムウェアのキャンペーンを指揮していなくても、米国、米国市民、米国企業に害を及ぼす悪質な行為者に安全な避難場所を提供することで、加担している可能性があります。
But our allies outnumber our foes, and in just the past few months, our work with foreign partners—supported by our legal attaches overseas—has led to impactful consequences against cybercriminals and sent a strong message that the reach of the U.S. government extends beyond its borders. しかし、米国の同盟国は敵よりも数が多く、この数ヶ月間、海外のパートナーとの協力関係は、海外の法務担当者の支援を受けて、サイバー犯罪者に影響を与える結果となり、米国政府の権限は国境を越えて及ぶという強いメッセージを発信しています。
In January 2021, the FBI and others at the Department of Justice (DOJ) partnered with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, France, Lithuania, Canada, and Ukraine, with international activity coordinated by Europol and Eurojust, to disrupt the infrastructure of a highly destructive malware known as Emotet. Among other things, Emotet could also be used as a way to spread ransomware. This was one of the longest-standing professional cybercrime tools and had enabled criminals to cause hundreds of millions of dollars in damage to government, educational, and corporate networks. In this case, we used sophisticated techniques and our unique legal authorities, but it could never have happened without our international partners. 2021年1月、FBIをはじめとする司法省は、オランダ、ドイツ、英国、フランス、リトアニア、カナダ、ウクライナの法執行機関および司法当局と連携し、EuropolとEurojustが調整する国際的な活動により、「Emotet」という極めて破壊的なマルウェアのインフラを破壊しました。とりわけ、Emotetはランサムウェアを拡散する手段としても使われていました。これは古くからあるプロのサイバー犯罪ツールの一つで、犯罪者は政府、教育機関、企業のネットワークに何億ドルもの損害を与えることができました。このケースでは、高度な技術と独自の法的権限を駆使しましたが、海外のパートナーがいなければ決して実現しなかったことです。
Also this January, we worked with international partners in Canada and Bulgaria to disrupt NetWalker, a ransomware variant that affected numerous victims, including companies, municipalities, hospitals, law enforcement, emergency services, school districts, colleges, and universities. In this case, we obtained federal charges, and a subject was arrested in Canada pending extradition proceedings. In addition, we seized more than $450,000 in cryptocurrency. また、今年の1月には、カナダとブルガリアの国際的なパートナーと協力して、企業、自治体、病院、法執行機関、救急隊、学区、大学など、多くの被害者に影響を与えたランサムウェア「NetWalker」を阻止しました。この事件では、連邦政府による起訴を獲得し、対象者はカナダで逮捕され、身柄引き渡しの手続き中です。また、45万ドル以上の暗号通貨を押収しました。
In June, through coordination with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, Canada, Sweden, Italy, Bulgaria, and Switzerland, as well as Europol and Eurojust, we seized the web domains and server infrastructure of DoubleVPN, a virtual private network that allowed ransomware actors to attack their victims and hide their tracks. Thanks to this international operation, this service, which was heavily advertised on both Russian and English-speaking cybercrime forums, is no longer available to cybercriminals. 6月には、オランダ、ドイツ、英国、カナダ、スウェーデン、イタリア、ブルガリア、スイスの法執行機関および司法当局、EuropolおよびEurojustとの連携により、ランサムウェアの実行者が被害者を攻撃し、その痕跡を隠すことを可能にしていた仮想プライベートネットワーク「DoubleVPN」のウェブドメインとサーバーインフラを押収しました。この国際的な活動のおかげで、ロシア語圏と英語圏のサイバー犯罪フォーラムで大々的に宣伝されていたこのサービスは、サイバー犯罪者が利用できなくなりました。
How Victims and Potential Victims Can Help Themselves and Others 被害者および被害に遭う可能性のある人が自分自身や他人を助ける方法
We have the strategy to take action against our cyber adversaries. But the strategy will fail if we do not know about suspicious activity or that a compromise has occurred. And because of the nature of U.S. laws and network infrastructure, we will never know about most malicious activity if it is not reported to us by the private sector. 私たちは、サイバー敵対者に対して行動を起こすという戦略を持っています。しかし、不審な行動や侵害の発生を知らなければ、この戦略は失敗に終わります。米国の法律やネットワークインフラの性質上、民間企業からの報告がなければ、ほとんどの悪質な活動を知ることはできません。
We know ransomware victims, particularly large enterprises, risk negative publicity if they disclose being impacted by ransomware. As a result, ransomware incidents are often addressed by the victim directly and are never reported to the public or law enforcement. ランサムウェアの被害者、特に大企業は、ランサムウェアの影響を受けたことを公表すると、ネガティブなイメージを持たれるリスクがあることを知っています。そのため、ランサムウェアのインシデントは、被害者が直接対処することが多く、一般市民や法執行機関に報告されることはありません。
Ransomware incidents targeting public entities, such as state or local municipalities, often receive high levels of publicity. In addition to the losses reported to the IC3 that I mentioned earlier, these groups face costs associated with business disruption and remediation, which can eclipse the ransom demand itself. For example, these costs were $17 million and $18.2 million, respectively, in ransomware campaigns against Atlanta and Baltimore. 国や地方自治体などの公的機関を対象としたランサムウェアの被害は、しばしば高い評価を受けます。これらの団体は、先に述べたIC3に報告された損失に加えて、事業の中断と修復に関連するコストに直面し、身代金の要求そのものを凌駕することもあります。例えば、アトランタとボルチモアに対するランサムウェアのキャンペーンでは、これらのコストはそれぞれ1,700万ドルと1,820万ドルでした。
I would like to spend a moment on the decision of whether or not to make a ransom payment. The FBI discourages ransomware victims from paying ransom for a variety of reasons. Even if a ransom is paid, there is no guarantee the business or individual will regain access to their data. On top of this, paying a ransom does not always keep data from ultimately being leaked. Additionally, paying a ransom incentivizes future ransomware attacks and emboldens criminal actors to continue their illicit work. However, regardless of whether or not a victim chooses to pay, the FBI strongly encourages victims to report ransomware incidents to the FBI. Our goal is to identify, pursue, and impose consequences on criminal actors, not their victims. 身代金の支払いを行うかどうかの判断について、少し触れておきたいと思います。FBIは、様々な理由から、ランサムウェアの被害者に身代金の支払いを勧めています。身代金を支払ったとしても、企業や個人がデータへのアクセスを回復できる保証はありません。また、身代金を支払っても、最終的にデータが流出しないとは限りません。また、身代金を支払うことで、今後のランサムウェアの攻撃を助長し、犯罪者が不正な活動を続けることになります。しかし、被害者が身代金を支払うかどうかにかかわらず、FBIは被害者に対して、ランサムウェアの被害をFBIに報告することを強く推奨しています。私たちの目的は、被害者ではなく、犯罪者を特定し、追及し、その結果をもたらすことです。
We are pushing important threat information to network defenders, and we are making it as easy as possible for the private sector to share information with us. For example, we are emphasizing to the private sector how we keep our presence unobtrusive in the wake of a breach, how we protect information that companies and universities share with us and commit to providing useful feedback, and how we coordinate with our government partners so we speak with one voice. A call to one federal agency is a call to all federal agencies, and I hope we are sending that message by sitting as a unified front here today. 私たちは、重要な脅威の情報をネットワーク防御者に伝え、民間企業が私たちと情報を共有することができるようにしています。例えば、セキュリティ侵害が発生した際に、どのようにして私たちの存在を目立たせないようにするか、企業や大学が私たちと共有する情報をどのように保護し、有益なフィードバックを提供することをどのように約束するか、そして、どのようにして政府のパートナーと連携し、私たちが一つの声で話すことができるようにするかを、民間企業に強調しています。ある連邦政府機関への呼びかけは、すべての連邦政府機関への呼びかけであり、今日ここで一丸となって座っていることで、そのメッセージを伝えられればと思っています。
At the same time, we need the private sector to do its part. We need to be warned—quickly—when they see malicious cyber activity. We also need companies to work with us when we warn them they are being targeted. The recent examples of significant cyber incidents—SolarWinds, Microsoft Exchange, Colonial Pipeline, JBS, and Kaseya—only emphasize what Director Wray has been saying for a long time: The government cannot protect against cyber threats on its own. We need a whole-of-society approach that matches the scope of the danger. 同時に、民間企業にもその役割を果たしてもらう必要があります。悪質なサイバー活動を発見した場合には、迅速に警告を発してもらう必要があります。また、企業が標的にされていることを警告した場合、企業に協力してもらう必要があります。最近発生した重大なサイバー事件(SolarWinds、Microsoft Exchange、Colonial Pipeline、JBS、Kaseya)は、レイ長官が以前から言っていることを強調しています。政府だけでは、サイバー犯罪の脅威から守ることはできません。政府だけでは、サイバー脅威から守ることはできません。危険の範囲に合わせて、社会全体で取り組む必要があります。
There is really no other option for defending a country where nearly all of our critical infrastructure, personal data, intellectual property, and network infrastructure sit in private hands. So what specific steps can companies take to follow our guidance, protect themselves and our nation, and help themselves if ransomware strikes? 重要インフラ、個人情報、知的財産、ネットワークインフラのほぼすべてが民間の手に委ねられているこの国を守るためには、これ以外の選択肢はありません。では、ランサムウェアの被害に遭った場合、企業はどのような具体策を講じて、自社と国家を守り、自助努力をすればよいのでしょうか。
First, the public, cybersecurity professionals and system administrators, and business leaders can use threat information shared by the FBI and the rest of the federal government to strengthen their network defenses and guard against ransomware and other malicious cyber activity. まず、一般市民、サイバーセキュリティの専門家やシステム管理者、ビジネスリーダーは、FBIをはじめとする連邦政府が共有する脅威情報を利用して、ネットワークの防御を強化し、ランサムウェアやその他の悪意のあるサイバー活動から身を守ることができます。
Our reports, which are coordinated with our federal partners, are shared directly with critical infrastructure owners and operators, and when possible, are posted to our IC3 website to warn the public about the trends we are seeing and the specific threats out there. In addition to these threat advisories, CISA’s website and the new interagency site www.StopRansomware.gov have resources on how people and businesses can protect themselves. Some of the general cybersecurity practices we encourage include creating and securing offline backups of critical data, installing patches as soon as they become available, updating anti-virus software, connecting only to secure networks, employing multi-factor authentication, and ensuring the validity of all e-mails and the links they contain before clicking them. 連邦政府のパートナーと連携して作成された報告書は、重要インフラの所有者や運営者と直接共有されるほか、可能な場合はIC3のウェブサイトにも掲載され、我々が見ている傾向や具体的な脅威について一般の人々に警告を発します。これらの脅威に関する勧告に加えて、CISAのウェブサイトや新しい省庁間のサイト(www.StopRansomware.gov)には、人々や企業が自分自身を守るための情報が掲載されています。一般的なサイバーセキュリティ対策としては、重要なデータのオフラインバックアップの作成と保護、パッチが公開されたらすぐにインストール、アンチウイルスソフトウェアの更新、安全なネットワークのみへの接続、多要素認証の採用、電子メールをクリックする前にそのリンクの有効性を確認することなどが挙げられます。
Second, if you are an organization, create an incident response plan. If you are compromised, you need to know what to do. All of your leaders and security professionals need to be on the same page, and you must be able to make decisions quickly. Having worked with victims who had incident response plans versus those who did not, the difference is stark. 第二に、組織であれば、インシデントレスポンスプランを作成します。侵入された場合、何をすべきかを知っておく必要があります。組織のリーダーやセキュリティの専門家全員が同じ見解を持ち、迅速に意思決定を行うことが必要です。インシデントレスポンスプランを持っている被害者と持っていない被害者とを比較した結果、その差は歴然としています。
Victims with incident response plans are often able to respond faster and more efficiently and can significantly limit the damage caused by a ransomware incident. インシデント対応計画を持っている被害者は、多くの場合、より迅速かつ効率的に対応することができ、ランサムウェアのインシデントによる被害を大幅に抑えることができます。
Third, organizations should build relationships with their local FBI field offices. Whether you are a small organization or a large corporation, our local offices welcome making connections before anything has gone wrong. If you see us speaking at an event in your area, show up, and talk to us after—we would be thrilled to meet your CEO, chief information security officer (CISO), general counsel, or anyone who has a role in keeping your networks secure and incident response. But it cannot stop there. Continue to share information with us after that meeting, and you have my word we will do the same back to you. 第三に、企業は地元のFBI支局との関係を築くべきである。小規模な組織でも大企業でも、FBIの現地事務所は、何か問題が起きる前に関係を築くことを歓迎しています。CEO、最高情報セキュリティ責任者(CISO)、法務担当者など、ネットワークの安全性確保やインシデント対応に関わるすべての方にお会いしたいと思っています。しかし、それだけでは終わりません。お会いした後も、私たちと情報を共有してください。
Fourth, if you are compromised, or if you think you may have been, report it to us as quickly as you can. You can report these incidents via the Internet Crime Complaint Center at www.IC3.gov or by contacting your local FBI field office, hopefully to the FBI agent you already know. We will take it from there and make sure the wheels of the entire federal government incident response team are set into motion so you can focus on remediation. 第四に、もしも情報漏洩してしまった場合、あるいはその可能性がある場合には、できるだけ早く私たちに報告してください。インターネット犯罪苦情処理センター(www.IC3.gov)、または近くのFBI支局(できればお知り合いのFBI捜査官に)に連絡ください。そこから先は、連邦政府のインシデント対応チーム全体の歯車が動き出すようにして、皆さんが修復に専念できるようにします。
If an incident occurs, it may not be too late, but time is of the essence. The difference between seeking help on day one and day five is real–it can be the difference between a company reconstituting its network or declaring bankruptcy. We will always use our full range of national security authorities and criminal legal processes to investigate ransomware incidents, but many of those techniques require probable cause and prior court authorization, so there is no substitute for quick, voluntary action by private owners of U.S. networks and infrastructure in helping us act rapidly against a threat. Swift action from the private sector is an enormous public service, and we truly appreciate private sector cooperation whenever we can get it. In the Colonial Pipeline and Kaseya incidents, for example, swift reporting and response contained the impact of what could have been significantly worse events. インシデントが発生した場合、遅すぎるということはありませんが、時間は重要です。初日に助けを求めるのと、5日目に助けを求めるのとでは、企業がネットワークを再構築するか、破産を宣言するかの違いになりかねません。私たちは、ランサムウェアの事件を捜査するために、国家安全保障上のあらゆる権限と刑事法的手続きを常に駆使していますが、これらの手法の多くは、正当な理由と裁判所の事前承認を必要とするため、脅威に対する迅速な行動を支援するためには、米国のネットワークやインフラの民間所有者による迅速かつ自発的な行動に代わるものはありません。民間企業の迅速な行動は非常に大きな公共サービスであり、民間企業の協力にはいつでも心から感謝しています。例えば、Colonial PipelineとKaseyaの事件では、迅速な報告と対応により、もっとひどい事件になっていたかもしれない影響を抑えることができました。
Mandatory Reporting of Ransomware and Other Cyber Incidents ランサムウェアおよびその他のサイバーインシデントの報告義務化
The administration is supportive of legislative proposals that would require the reporting of a wider range of cyber incidents, to include ransomware and incidents that impact critical infrastructure and federal entities and their supply chain. These proposals would grant courts the authority to enjoin a greater range of botnets and other cybercrime involving damage to 100 or more computers, explicitly criminalize the sale or renting of a botnet, bring the forfeiture provisions of the Computer Fraud and Abuse Act (CFAA) in line with other federal statutes, and update the CFAA to add penalties for the crime of conspiracy. 米国政府は、ランサムウェア、重要インフラや連邦政府機関とそのサプライチェーンに影響を与えるインシデントを含む、より広範なサイバーインシデントの報告を義務付ける法案を支持しています。これらの提案は、100台以上のコンピュータに損害を与えるボットネットやその他のサイバー犯罪をより広範囲に差し止める権限を裁判所に与え、ボットネットの販売やレンタルを明確に犯罪化し、コンピュータ詐欺・乱用法(CFAA)の没収条項を他の連邦法と一致させ、CFAAを更新して共謀罪の罰則を追加するものです。
All of these legislative proposals would enhance the FBI’s ability to combat ransomware, but I would like to focus on mandatory cyber incident reporting legislation that is being considered in Congress. We welcome and applaud congressional efforts that would require the reporting of certain cyber incidents, including ransomware attacks. However, we are troubled that all legislation being considered on mandatory cyber incident reporting does not explicitly account for the essential role that federal law enforcement, and notably the Department of Justice and the FBI, plays in receiving cyber incident reporting and actioning the information to assist victims and impose risk and consequences on cybercriminals. これらの立法案はいずれもFBIのランサムウェア対策を強化するものですが、私が注目したいのは、議会で検討されているサイバーインシデント報告義務化法案です。私たちは、ランサムウェア攻撃を含む特定のサイバーインシデントの報告を義務付ける議会の取り組みを歓迎し、賞賛します。しかし、現在検討されているサイバー事件の報告義務化に関するすべての法案が、サイバー事件の報告を受け、被害者を支援し、サイバー犯罪者にリスクと結果を負わせるために情報を行動に移すという、連邦法執行機関、特に司法省とFBIが果たす本質的な役割を明示的に考慮していないことに、私たちは困っています。
The administration’s position is that the Department of Homeland Security (DHS) and DOJ – the two lead agencies respectively responsible for federal cyber incident response mitigation and investigation efforts for significant cyber incidents—should immediately receive all information mandated to be reported with appropriate protections. Cyber incidents that would have to be reported are not only digital breaches that require remediation, but also federal crimes that need to be investigated. Cyber incident reporting is crime reporting. To streamline and simplify reporting obligations, there should be one designated reporting intake mechanism for entities that are required to report, with the reports going to both DOJ and DHS. 政権の立場としては、重大なサイバーインシデントに対する連邦政府のサイバーインシデント対応の緩和と調査を担当する国土安全保障省(DHS)と司法省が、報告が義務付けられているすべての情報を適切な保護のもとで直ちに受け取るべきだと考えています。報告が必要となるサイバーインシデントは、修復が必要なデジタル侵害だけでなく、捜査が必要な連邦犯罪でもあります。サイバーインシデントの報告は、犯罪の報告です。報告義務を合理化・簡略化するために、報告義務のある事業者には指定された報告受付機構を1つ設け、その報告を司法省とDHSの両方に行うべきです。
Our need to receive all cyber incident reports is two-fold: one, to provide victims with rapid federal incident response support, and two, to disrupt ongoing harm through our unique authorities and forward-deployed capabilities. 1つは、被害者に連邦政府の迅速な事故対応支援を提供するため、もう1つは、独自の権限と前方展開された能力により、進行中の被害を阻止するためです。
Cyber threats are global, but victims need and deserve a local response. Many victims choose to report cyber incidents to the FBI because they know their local field office has a cyber squad with technically trained special agents, computer scientists, and other digital evidence and cyber threat experts who are ready to arrive on a victim’s doorstep in hours or less nationwide. But we can only move as fast as we learn about the incident. We owe it to the American people to not create any unnecessary delays to providing them with this assistance. サイバー脅威はグローバルなものですが、被害者はローカルな対応を必要としており、それに値するものです。多くの被害者は、FBIにサイバー事件を報告することを選択しています。それは、地元の支局には、技術的な訓練を受けた特別捜査官、コンピュータ科学者、その他のデジタル証拠やサイバー脅威の専門家を擁するサイバー部隊があり、全国で数時間以内に被害者のもとに到着する準備ができていることを知っているからです。しかし、私たちが動けるのは、事件の情報を知るまでの間だけです。私たちには、米国民への支援を不必要に遅らせることのないようにする義務があります。
When the FBI responds to a cyber incident report, the Bureau is not just there to collect evidence of a crime. The FBI arrives to assist victims. Our cyber threat experts rapidly analyze information that victims provide to determine if the incident resembles others that we are investigating so we can provide victims with the technical information and hands-on support they need to limit ongoing harm and prevent additional malicious activity on their networks. With the insights that we have as a member of the USIC, we are able to meld the information victims provide with the community’s holdings to fill in visibility gaps and inform victims how they can defend against active and potential threats. FBIがサイバー事件の報告に対応するとき、FBIは犯罪の証拠を集めるためだけに存在するのではありません。FBIは被害者を支援するために到着します。FBIのサイバー脅威の専門家は、被害者から提供された情報を迅速に分析し、FBIが調査している他の事件と類似しているかどうかを判断し、被害の拡大を抑え、ネットワーク上で悪意のある行為が行われないように、被害者に必要な技術情報や実地のサポートを提供します。また、USICの一員としての見識を活かし、被害者から提供された情報とコミュニティが保有する情報を融合させることで、情報の欠落を補い、現在進行中の脅威や潜在的な脅威からの防御方法を被害者に伝えることができます。
Rapid FBI responses to cyber victims has helped thwart major ongoing cyber incidents nationwide. Examples include stopping active intrusions into critical infrastructure entities, including a major healthcare facility; helping defense contractors block sensitive information from being exfiltrated from its networks; and helping a large financial institution secure terabytes of customer records, including personally identifiable information, that had been stolen from its systems. サイバー被害者に対するFBIの迅速な対応は、全国で進行中の大規模なサイバー事件を阻止するのに役立っています。例えば、大手医療施設などの重要インフラへの積極的な侵入を阻止したり、防衛関連企業がネットワークから機密情報が流出するのを防いだり、大手金融機関がシステムから盗まれた個人識別情報を含むテラバイト単位の顧客記録を保護するのに役立ったりしています。
But our rapid incident response services do not only help individual victims; they also help others who are vulnerable to similar cyber attacks. When recently assisting a major critical infrastructure victim during an ongoing incident, we identified a zero-day exploit the attackers were using, used our investigative tools to search for other victims affected by this vulnerability, and worked with CISA to provide cybersecurity assistance to these entities while a patch for the vulnerability was being developed. しかし、私たちの迅速なインシデントレスポンスサービスは、個々の被害者を助けるだけでなく、同様のサイバー攻撃にさらされている他の人々を助けることにもなります。最近では、ある重要インフラの被害者を支援した際に、攻撃者が使用していたゼロデイ・エクスプロイトを特定し、当社の調査ツールを使用してこの脆弱性の影響を受ける他の被害者を探し出し、CISAと協力して、脆弱性のパッチが開発されるまでの間、これらの企業にサイバーセキュリティの支援を行いました。
In another incident reported to the FBI, a victim reported the malicious sever that connected to its network. We used our law enforcement and intelligence authorities to quickly monitor the malicious actor’s virtual infrastructure, dispatched agents across the country to warn targeted entities that the actor planned to compromise next, provided these entities with security advice, and intercepted and corrupted some stolen information before it could be exfiltrated. また、FBIに報告された別の事件では、被害者からネットワークに接続した悪意のあるウィルスについての報告がありました。FBIは、法執行機関としての権限と情報機関としての権限を駆使して、悪意ある行為者の仮想インフラを迅速に監視し、全国に捜査官を派遣して、悪意ある行為者が次に侵害を計画していることを対象となる企業に警告し、これらの企業にセキュリティに関するアドバイスを提供し、盗まれた情報の一部が流出する前に傍受して破壊しました。
Each response feeds into our collective efforts to link intrusions to common perpetrators and virtual infrastructure, attribute incidents, and impose risk and consequences on cybercriminals. それぞれの対応は、侵入行為を共通の犯人や仮想インフラに結びつけ、インシデントを特定し、サイバー犯罪者にリスクと結果を負わせるための総合的な取り組みにつながります。
We need to track and disrupt malicious hackers’ activity, infrastructure, and illicit proceeds in as close to real-time as possible. The FBI needs to be able to receive cyber incident reporting information as soon as it is reported to facilitate the fastest federal response possible. There is simply no time to waste, especially in cyberspace. 私たちは、悪質なハッカーの活動、インフラ、不正な収益を可能な限りリアルタイムに追跡し、破壊する必要があります。FBIは、サイバー犯罪の報告を受けたらすぐにその情報を受け取り、連邦政府としての対応を迅速に行う必要があります。特にサイバー空間では、時間を無駄にすることはできません。
The administration also holds that both DHS and DOJ should be co-equal partners in developing the rules that will be used to set incident reporting requirements. However, current incident reporting legislation being considered fails to recognize the critical expertise and role that DOJ, including the FBI, play when it comes to cyber incident reporting. また、DHSとDOJは、インシデント報告の要件を定めるための規則を策定する上で、同等のパートナーであるべきだとしています。しかし、現在検討されているインシデント報告法案は、サイバーインシデント報告に関して、FBIを含むDOJが果たす重要な専門性と役割を認識していません。
Congress has previously recognized how valuable it is to have both DHS and DOJ setting standards to address cyber threats. In the Cybersecurity Information Sharing Act of 2015, Congress established joint roles for both departments to establish policies, procedures, and guidelines related to the receipt of cyber threat indicators and defensive measures. The administration believes co-equal roles for DHS and DOJ is also the right approach for cyber incident reporting rulemaking. 議会は以前から、サイバー脅威に対処するための基準をDHSとDOJの両方が設定することの価値を認めています。2015年のサイバーセキュリティ情報共有法において、議会は、サイバー脅威の指標と防御策の受領に関連する方針、手順、ガイドラインを確立するために、両省庁の共同の役割を確立しました。政権は、DHSとDOJが共同で同等の役割を果たすことが、サイバーインシデント報告の規則制定においても正しいアプローチであると考えています。
DOJ, including the FBI, bring investigative and intelligence expertise about what information law enforcement and national security agencies need to disrupt malicious cyber actors, degrade their capabilities, and ultimately hold them accountable. DOJ also has extensive experience in navigating complex privacy and civil liberties issues that will inevitably arise from new requirements and would prove to be invaluable in helping to set standards that strike the right balance to ensure that incident report information is collected, stored, and shared appropriately. FBIを含むDOJは、法執行機関や国家安全保障機関が悪意のあるサイバー犯罪者を阻止し、その能力を低下させ、最終的に責任を負わせるために必要な情報について、捜査や情報に関する専門知識を有しています。また、DOJは、新たな要件から必然的に生じる複雑なプライバシーや市民的自由の問題を解決するための豊富な経験を有しており、インシデントレポートの情報を適切に収集、保存、共有するための適切なバランスのとれた基準を設定する上で、非常に重要な役割を果たすことになるでしょう。
The FBI also brings substantial knowledge about how to manage centralized federal cyber incident reporting mechanisms based on its experience running the IC3. Each year, IC3 receives hundreds of thousands of complaints from the public, which the FBI uses to prompt response efforts and inform other agencies about intrusions. Joint DHS and DOJ rulemaking will provide for the best outcomes for the entire federal government as well as the public. また、FBIは、IC3の運営経験に基づき、連邦政府のサイバーインシデント報告機構を一元管理する方法についても豊富な知識を持っています。IC3には、毎年、何十万件もの苦情が寄せられており、FBIはこれらの苦情をもとに、対応策を講じたり、侵入について他の機関に知らせたりしています。DHSとDOJが共同でルールメイキングを行うことで、連邦政府全体と一般市民にとって最良の結果を得ることができます。
We are delighted so many in Congress are invested in passing cyber incident reporting legislation, but we have to make sure legislation explicitly empowers the agencies at the front lines of incident response. As you will hear all the witnesses at today’s hearing emphasize, cyber is the team sport, and the Department of Justice and the FBI are key players. It is time for legislation to reflect this reality. 議会の多くの議員がサイバー事件報告法の成立に尽力していることは喜ばしいことですが、事件対応の最前線にいる機関に明確な権限を与えるような法案にしなければなりません。本日の公聴会で証人の方々が強調されているように、サイバーはチームスポーツであり、司法省とFBIは重要な役割を担っています。司法省とFBIは重要な役割を担っています。今こそ、この現実を反映した法律を制定すべきです。
The Resource Demands of Malicious Cyber Activity 悪意のあるサイバー活動に必要な資源
When we do learn of a ransomware incident, our agents are in direct contact with victims and with private industry partners to share threat indicators—such as malicious IP addresses—and gather evidence that helps us identify who is compromised and who else is vulnerable. Our technically trained incident response assets throughout the country, collectively known as our Cyber Action Team (CAT), assist affected entities. Our field offices with experience in complex national security and cyber investigations are our hubs for triaging the data we acquire through legal process, from partners, and through other lawful means. And our digital forensics and intelligence personnel exploit that information for indicators and intelligence that will help us to attribute the malicious activity to those responsible. ランサムウェアの感染が判明した場合、FBI の捜査官は、被害者や民間企業のパートナーと直接連絡を取り、悪意のある IP アドレスなどの脅威の指標を共有し、誰が感染し、誰が脆弱なのかを特定するための証拠を収集します。また、技術的な訓練を受けたインシデント対応要員が全国に配置されており、「サイバー・アクション・チーム(CAT)」と総称され、被害を受けた企業を支援しています。また、複雑な国家安全保障やサイバー捜査の経験を持つフィールドオフィスは、法的手続きやパートナーからの情報提供など、合法的な手段で入手したデータのトリアージを行う拠点となっています。また、デジタルフォレンジックとインテリジェンスの担当者は、これらの情報を利用して、悪意のある活動の責任者を特定するのに役立つ指標や情報を探します。
With the growing frequency and scale of recent significant cyber incidents—in some cases involving tens of thousands of victims—we are increasingly faced with hard choices that carry risk, include moving personnel away from long-term investigations or other significant incidents so we can surge toward the immediate need. In our SolarWinds investigation alone, a single FBI field office collected more than 170 terabytes of data, about 17 times the content of the entire Library of Congress. The FBI continues to exploit and analyze intelligence and technical data to uncover adversary tactics, share our findings, and pursue actions that will prevent those responsible from striking again. 最近の重大なサイバー事件(数万人の犠牲者を出したケースもある)の頻度と規模が大きくなるにつれ、私たちはリスクを伴う難しい選択を迫られるようになっています。例えば、長期的な調査やその他の重大な事件から人員を移動させて、緊急の必要性に急行することもあります。ソーラーウインズの調査だけでも、FBIの1つの支局が収集したデータは170テラバイトを超え、これは米国議会図書館全体の約17倍に相当します。FBIは、敵の戦術を明らかにするために、情報や技術データを利用・分析し、調査結果を共有して、犯人の再犯を防ぐための行動を継続しています。
Recent ransomware campaigns have shown us the investments in time, money, and talent cybercriminals are willing to make to compromise our networks. Accordingly, it requires a teams-based approach among various departments and agencies to understand, defend against, and counter these malicious cyber actors. Congress can help us by providing the resources requested in the President’s 2022 budget request to ensure the FBI and our partners are resourced to play our respective parts as we defend the nation together. 最近のランサムウェアのキャンペーンは、サイバー犯罪者が私たちのネットワークを侵害するために、時間、資金、人材を惜しまないことを示しています。したがって、このような悪質なサイバー犯罪者を理解し、防御し、対抗するためには、さまざまな部門や機関がチームを組んで取り組むことが必要です。議会は、2022年の大統領予算要求で要求されている資源を提供することで、FBIとパートナー企業がそれぞれの役割を果たすための資源を確保し、共に国を守ることができるようにします。
Conclusion まとめ
Even more than the other criminal violations we investigate, the FBI depends on our partners—public and private, foreign and domestic—to help us keep Americans safe from the many threats posed by ransomware. As part of our strategy, we have been putting a lot of energy and resources into cultivating these partnerships. As Director Wray has put it, cyber is the ultimate team sport, and I truly believe our partners are seeing the benefits of having FBI Cyber on their team. ランサムウェアがもたらす多くの脅威からアメリカ国民の安全を守るためには、FBIが捜査する他の犯罪行為と同様に、官民、国内外のパートナーの協力が不可欠です。FBIの戦略の一環として、私たちはこのようなパートナーシップの構築に多くのエネルギーと資源を投入しています。レイ長官が言うように、サイバーは究極のチームスポーツであり、FBIサイバー部門をチームに加えることで、パートナー企業はそのメリットを実感していると思います。
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the opportunity to testify today. I am happy to answer any questions you might have and to work together with you in the nation’s fight against ransomware so the FBI can help achieve our collective cyber mission—to give the American people safety, security, and confidence in our digitally connected world. マロニー委員長、コマー委員長、そして委員会のメンバーの皆様、本日は証言の機会をいただきありがとうございます。ご質問があれば喜んでお答えします。また、ランサムウェアとの戦いにおいて皆様と協力し、FBIのサイバーミッションの達成に貢献したいと考えています。
*** ***
1 In 2019, the IC3 received 2,047 ransomware complaints with adjusted losses of more than $8.9 million. This likely represents a small fraction of the true scope of the threat because it captures only those who individually reported to the IC3. These numbers represent a nearly 40 percent increase in ransomware complaints to the IC3 and more than double the adjusted losses reported in 2018. In 2020, the IC3 received 2,474 complaints identified as ransomware with adjusted losses of over $29.1 million. 1 2019年にIC3が受け取ったランサムウェアに関する苦情は2,047件で、調整後の損失額は890万ドルを超えています。この数字は、IC3に個別に報告した人のみを対象としているため、脅威の真の範囲のごく一部を示していると思われます。これらの数字は、IC3に寄せられたランサムウェアの苦情が約40%増加したことを示しており、2018年に報告された調整後の損失額の2倍以上となっています。2020年、IC3はランサムウェアと特定される2,474件の苦情を受け、調整後の損失額は2,910万ドルを超えました。
Resources リソース
Arrest in Ransomware Attack on Kaseya Kaseyaへのランサムウェア攻撃で逮捕

 

Doj_20210608075901

 


まるちゃんの情報セキュリティ気まぐれ日記

サイバーインシデント報告に関連する法律案(Cyber Incident Nortification Act of 2021案 と Cyber Incident Reporting Act of 2021案
)については、

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

捜査機関によるランサムウェア犯罪者に対する対応例

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.06.28 Satoriの開発者に13ヶ月の刑?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

ちょっと毛色がちがいますが...

・2006.01.26 日本初 スパイウエア作成者逮捕

・2005.06.14 フィッシングで逮捕@日本

・2005.04.25 ドコモの個人情報漏えい事件で元従業員が逮捕された件と情報窃盗罪

 

国際連携

2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

大統領令 E014028 

2021.05.13 国家のサイバーセキュリティ大統領令

 

 

 

| | Comments (0)

2021.11.13

米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

こんにちは、丸山満彦です。

米国財務省の金融犯罪捜査ネットワーク (FinCEN) が、ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告を公表していますね。。。


Financial Crimes Enforcement Network

・2021.11.08 FinCEN Releases Updated Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments

・[PDF] Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments

20211113-70900

内容としては、

  • ランサムウェアの支払いを促進するための金融仲介者の役割
  • 最近のランサムウェアの攻撃例
  • ランサムウェアの財務上のレッドフラッグ指標と関連する支払いについて

といった感じです。。。

・[DOCX] 仮訳

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

過去のランサムウェアに関するこのブログの記事をまとめています。。。↓

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

| | Comments (0)

より以前の記事一覧