ウイルス

2024.09.01

米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29)

こんにちは、丸山満彦です。

CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、MS-ISAC(複数州情報共有分析センター)、HHS(保健福祉省)が共同で、既知のRansomHubランサムウェアのIOCおよびTTPを周知するためのアドバイザリーを公表していますね...

 

CISA

・2024.08.29 CISA and Partners Release Advisory on RansomHub Ransomware

CISA and Partners Release Advisory on RansomHub Ransomware CISAとパートナーがランサムウェア「RansomHub」に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), and Department of Health and Human Services (HHS)—released a joint Cybersecurity Advisory, #StopRansomware: RansomHub Ransomware. This advisory provides network defenders with indicators of compromise (IOCs), tactics, techniques, and procedures (TTPs), and detection methods associated with RansomHub activity identified through FBI investigations and third-party reporting as recently as August 2024. 本日、CISAは連邦捜査局(FBI)、多州間情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)と共同で、サイバーセキュリティに関する共同勧告「#StopRansomware: RansomHub Ransomware(ランサムウェアの阻止:RansomHubランサムウェア)」を発表した。この勧告は、2024年8月に行われたFBIの調査およびサードパーティからの報告により識別されたRansomHubの活動に関連する、侵害の兆候(IOC)、戦術、技術、手順(TTP)、および検知方法について、ネットワーク防御者に提供するものである。
RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—which has recently attracted high-profile affiliates from other prominent variants such as LockBit and ALPHV. RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、最近ではLockBitやALPHVなどの他の著名な亜種から注目度の高い関連組織を引きつけている。
CISA encourages network defenders to review this advisory and apply the recommended mitigations. See #StopRansomware and the #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including added recommended baseline protections. CISAは、ネットワークの防御担当者に本勧告を確認し、推奨される低減策を適用するよう促している。ランサムウェアの防御、検知、対応に関する追加のガイダンスについては、#StopRansomwareおよび#StopRansomwareガイドを参照のこと。推奨される追加のベースライン防御策を含むCPGの詳細については、CISAの「Cross-Sector Cybersecurity Performance Goals」を参照のこと。
CISA encourages software manufacturers to take ownership of improving the security outcomes of their customers by applying secure by design methods. For more information on Secure by Design, see CISA’s Secure by Design webpage and joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. CISAは、ソフトウェア製造事業者に対して、セキュア・バイ・デザイン手法を適用することで、顧客のセキュリティ成果の改善に責任を持つことを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインに関するウェブページおよび共同ガイド「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザインソフトウェアのための原則とアプローチ」を参照のこと。

 

 

・2024.08.29 #StopRansomware: RansomHub Ransomware

#StopRansomware: RansomHub Ransomware #StopRansomware:ランサムウェア
Alert Code : AA24-242A 警告コード:AA24-242A
Actions to take today to mitigate cyber threats from ransomware: ランサムウェアによるサイバー脅威を低減するために今日行うべき対策:
・Install updates for operating systems, software, and firmware as soon as they are released. ・オペレーティングシステム、ソフトウェア、およびファームウェアのアップデートがリリースされたら、できるだけ早くインストールする。
・Require phishing-resistant MFA (i.e., non-SMS text based) for as many services as possible. ・可能な限り多くのサービスで、フィッシングに強いMFA(SMSテキストベースではない)を要求する。
・Train users to recognize and report phishing attempts. ・ユーザーにフィッシングの試みを認識し報告するようトレーニングする。
Summary まとめ
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. 注:この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種とランサムウェアの脅威行為者を詳細に説明する勧告をネットワーク防御者に公表する、継続中の#StopRansomware活動の一部である。これらの #StopRansomware 勧告には、最近および過去に観測された戦術、技術、手順(TTP)や侵入の痕跡(IOC)が含まれており、組織がランサムウェアに対する防御を強化するのに役立つ。stopransomware.gov にアクセスすると、すべての #StopRansomware 勧告を確認できるほか、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Department of Health and Human Services (HHS) (hereafter referred to as the authoring organizations) are releasing this joint advisory to disseminate known RansomHub ransomware IOCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024. RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、複数州情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)(以下、作成組織)は、既知のRansomHubランサムウェアのIOCおよびTTPを周知するために、この共同勧告を発表する。これらは、2024年8月にもFBIの脅威対応活動やサードパーティの報告を通じて識別されている。RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、効率的で成功したサービスモデルとして確立されている(最近では、LockBitやALPHVなどの他の著名な亜種から注目度の高い提携先を引きつけている)。
Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors. 2024年2月の発足以来、RansomHubは、上下水道、IT、政府サービスおよび施設、ヘルスケアおよび公衆衛生、緊急サービス、食品および農業、金融サービス、商業施設、重要製造事業者、交通、コミュニケーションといった重要インフラ部門の少なくとも210人の被害者からデータを暗号化し、外部に持ち出している。
The affiliates leverage a double-extortion model by encrypting systems and exfiltrating data to extort victims. It should be noted that data exfiltration methods are dependent on the affiliate conducting the network compromise. The ransom note dropped during encryption does not generally include an initial ransom demand or payment instructions. Instead, the note provides victims with a client ID and instructs them to contact the ransomware group via a unique .onion URL (reachable through the Tor browser). The ransom note typically gives victims between three and 90 days to pay the ransom (depending on the affiliate) before the ransomware group publishes their data on the RansomHub Tor data leak site. このグループは、システムを暗号化しデータを外部に持ち出すという二重の恐喝モデルを活用して、被害者から金銭を脅し取っている。 データ外部流出の手法は、ネットワーク侵害を実行するグループによって異なる点に留意すべきである。 暗号化中にドロップされる身代金要求書には、通常、当初の身代金要求や支払い指示は含まれていない。代わりに、そのメモにはクライアントIDが記載されており、Torブラウザでアクセス可能な.onion URLを通じてランサムウェアグループに連絡するよう指示されている。 ランサムメモでは、通常、ランサムウェアグループがTorデータ漏洩サイトRansomHubにデータを公開する前に、被害者に3日から90日の間に身代金を支払うよう求めている(アフィリエイトによって異なる)。
The authoring organizations encourage network defenders to implement the recommendations in the Mitigations section of this cybersecurity advisory to reduce the likelihood and impact of ransomware incidents. 作成組織は、ネットワークの防御担当者に、ランサムウェアのインシデントの可能性と影響を低減するために、このサイバーセキュリティ勧告の「低減策」セクションに記載されている推奨事項を実施するよう呼びかけている。

 

・[PDF

20240901-91746

 

 

 

 

| | Comments (0)

2024.08.05

米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)

こんにちは、丸山満彦です。

GAOがブログで、ソフトウェアアップデートによるサイバー上の脆弱性について言及していますね...

意図的なかったとしても、多くの企業で利用されているソフトウェアにバグがあり、それがOS等に影響を及ぼし、バックドアが生じてしまったり、システムが正常に起動できなくなってしまうことは、社会的にも大きなリスクですよね...

かなり気にしているような気がします...

 

U.S. Government Accountability Office; GAO

・2024.07.30 CrowdStrike Chaos Highlights Key Cyber Vulnerabilities with Software Updates

CrowdStrike Chaos Highlights Key Cyber Vulnerabilities with Software Updates CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする
Earlier this month, a software update from the cybersecurity firm CrowdStrike caused Microsoft Windows operating systems to crash—resulting in potentially the largest IT outage in history. 今月初め、サイバーセキュリティ企業CrowdStrikeのソフトウェア・アップデートにより、マイクロソフト社のウィンドウズOSがクラッシュし、史上最大規模のIT障害が発生した。
Disruptions were widespread. Around the world, businesses and services were unable to operate as computers crashed, and some critical infrastructure sectors (like transportation, healthcare, and finance) were disrupted. For example, commercial flights were grounded, critical hospital care was interrupted, and financial institutions were unable to service clients. 混乱は広範囲に及んだ。世界中で、コンピューターがクラッシュしたため、ビジネスやサービスが運営できなくなり、重要なインフラ部門(交通、医療、金融など)も混乱した。例えば、民間航空便は欠航し、重要な病院医療は中断され、金融機関は顧客へのサービスができなくなった。
Here at GAO, we have long highlighted concerns for Congress about IT vulnerabilities, a lack of security awareness, poor cyber hygiene, and a need for more cyber preventative measures to combat disruptions like the CrowdStrike outage. In our prior work, we have identified risks to the nation’s critical infrastructure sectors and in the supply chain of software supporting IT systems. ここGAOでは、ITの脆弱性、セキュリティ意識の欠如、サイバー衛生の不備、そしてクラウドストライクのような障害に対抗するためのサイバー予防策の必要性について、以前から議会に対して懸念を表明してきた。また、CrowStrikeのような障害に対抗するため、より多くのサイバー予防策が必要である。私たちは、これまでの調査で、国の重要インフラ部門やITシステムを支えるソフトウェアのサプライチェーンにおけるリスクを指摘してきた。
Today’s WatchBlog post looks at this work, including our June update to the High Risk List. 本日のWatchBlogでは、6月に更新したハイリスクリストを含め、この作業について紹介する。
CrowdStrike crash caused by supply chain vulnerability similar to SolarWinds attack CrowdStrikeのクラッシュは、SolarWindsの攻撃と同様のサプライチェーンの脆弱性が原因だった
So far, what we know about the CrowdStrike crash is that it was caused by human error and not a cyberattack or malicious intent. But the crash highlights the same vulnerabilities we saw during the SolarWinds attack in 2019. Instead of attacking systems directly, malicious actors targeted the software used to support them. 今のところ、CrowdStrikeのクラッシュについてわかっていることは、サイバー攻撃や悪意ではなく、人為的なミスによるものだということだ。しかし、この事故は、2019年のSolarWinds攻撃で見られたのと同じ脆弱性を浮き彫りにしている。悪意ある行為者はシステムを直接攻撃するのではなく、システムをサポートするためのソフトウェアを標的にしたのだ。
SolarWinds attack. Beginning in September 2019, the Russian Foreign Intelligence Service led a campaign of cyberattacks, breaking into the computing networks of SolarWinds—a Texas-based network management software company. The software was widely used by the federal government to monitor activities and manage devices on federal networks. SolarWinds攻撃:2019年9月から、ロシア対外情報庁はサイバー攻撃のキャンペーンを主導し、テキサス州に拠点を置くネットワーク管理ソフトウェア会社、SolarWindsのコンピューティング・ネットワークに侵入した。このソフトウェアは連邦政府が連邦ネットワーク上の活動を監視し、デバイスを管理するために広く使用されていた。
Hackers injected trojanized (hidden) code into verified SolarWinds software updates. When SolarWinds released the software updates to its customers, the threat actor gained a “backdoor,” or remote access, to customers’ networks and systems. The attack was discovered more than a year later in November 2020. ハッカーたちは、検証済みのSolarWindsのソフトウェア・アップデートにトロイの木馬化した(隠された)コードを注入した。SolarWindsがそのソフトウェア・アップデートを顧客にリリースすると、脅威者は顧客のネットワークとシステムへの「バックドア」、つまりリモート・アクセスを獲得した。この攻撃は1年以上後の2020年11月に発見された。
We provide a timeline of these attacks and the response in our April 2021 blog post. これらの攻撃とその対応については、2021年4月のブログ記事で時系列で紹介している。
Protecting the software supply chain. As we saw with CrowdStrike and SolarWinds, faulty or manipulated software updates can have cascading, widespread impacts on IT systems. ソフトウェアのサプライチェーンを守る CrowdStrikeやSolarWindsで見られたように、欠陥のある、あるいは操作されたソフトウェアのアップデートは、ITシステムに連鎖的かつ広範囲に影響を及ぼす可能性がある。
In our prior work, we’ve identified 7 practices to manage and protect federal IT against these risks. But when we looked at how agencies (23 of them) implemented these practices, we found that few had. Learn more by listening to our podcast with GAO’s Carol Harris about supply chain risks. 私たちはこれまでの研究で、連邦政府のITをこうしたリスクから管理・保護するための7つの手法を明らかにしてきた。しかし、これらのプラクティスを連邦政府機関(23機関)がどのように実施しているかを調べたところ、実施している機関はほとんどなかった。詳しくは、GAOのキャロル・ハリスによるサプライチェーンリスクに関するポッドキャストを聞いてほしい。


Transcript
Many manufacturers of IT products and services are located overseas, which also creates vulnerabilities for the United States. The federal government needs to take action to better monitor the global supply chain against emerging threats. These threats include those against the Department of Defense, which we reported on in May 2023. IT製品やサービスの製造業者の多くは海外にあり、米国にも脆弱性がある。連邦政府は、新たな脅威に対してグローバル・サプライチェーンをよりよく監視するための行動をとる必要がある。こうした脅威には、2023年5月に報告した国防総省に対するものも含まれる。
Cybersecurity issues like these are High Risk. Here’s what needs to happen このようなサイバーセキュリティ問題はハイリスクである。必要なことは以下の通りである。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures—like that on SolarWinds, and others—are growing in number, impact, and sophistication. This issue is so significant that in June, we updated our High Risk designation for cybersecurity. This update includes descriptions of the major challenges facing the federal government in its efforts to protect against attacks. Some of these challenges are related to the vulnerabilities seen during the CrowdStrike and SolarWinds software updates and responses. SolarWinds社やその他の企業に対するサイバー攻撃のように、連邦政府や国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。この問題は非常に重大であるため、6月にサイバーセキュリティのハイリスク指定を更新した。この更新には、連邦政府が攻撃から保護するために直面している主な課題の説明が含まれている。これらの課題のいくつかは、CrowdStrikeとSolarWindsのソフトウェアのアップデートと対応で見られた脆弱性に関連している。
National Cybersecurity Strategy. Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But when we looked at the strategy, we found it needed outcome-oriented performance measures for its various initiatives. 国家サイバーセキュリティ戦略。昨年、ホワイトハウスは「国家サイバーセキュリティ戦略」を発表し、国が直面するサイバーセキュリティの長年の課題に対処するために政府が取るべき措置を概説した。しかし、この戦略を検証したところ、さまざまな取り組みに対して成果志向のパフォーマンス指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risks associated with emerging technologies—such as artificial intelligence. さらに連邦政府は、グローバルなサプライチェーンを確実に監視し、必要とされる高度なスキルを持つサイバー人材を確保し、人工知能などの新たな技術に関連するリスクに対処するための措置を講じる必要がある。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の提言のうち170件が実施されていない。
Critical infrastructure sectors remain vulnerable. Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. For example, a February attack on Change Healthcare (a health payment processor) resulted in nearly $874 million in financial loses and widespread disruptions for providers and patient care. Healthcare is just one of the 16 critical infrastructure sectors that are vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate.
重要インフラ部門は依然として脆弱である。重要インフラ部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。例えば、2月のチェンジ・ヘルスケア(医療費支払い処理会社)への攻撃は、約8億7400万ドルの金銭的損失をもたらし、医療提供者と患者ケアに広範な混乱をもたらした。ヘルスケアは、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらの部門はすべて、ITシステムに大きく依存している。
Many manufacturers of IT products and services are located overseas, which also creates vulnerabilities for the United States. The federal government needs to take action to better monitor the global supply chain against emerging threats. These threats include those against the Department of Defense, which we reported on in May 2023. IT製品やサービスの製造業者の多くは海外にあり、米国にも脆弱性がある。連邦政府は、新たな脅威に対してグローバル・サプライチェーンをよりよく監視するための行動をとる必要がある。こうした脅威には、2023年5月に報告した国防総省に対するものも含まれる。
Cybersecurity issues like these are High Risk. Here’s what needs to happen このようなサイバーセキュリティ問題はハイリスクである。必要なことは以下の通りである。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures—like that on SolarWinds, and others—are growing in number, impact, and sophistication. This issue is so significant that in June, we updated our High Risk designation for cybersecurity. This update includes descriptions of the major challenges facing the federal government in its efforts to protect against attacks. Some of these challenges are related to the vulnerabilities seen during the CrowdStrike and SolarWinds software updates and responses. SolarWinds社やその他の企業に対するサイバー攻撃のように、連邦政府や国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。この問題は非常に重大であるため、6月にサイバーセキュリティのハイリスク指定を更新した。この更新には、連邦政府が攻撃から保護するために直面している主な課題の説明が含まれている。これらの課題のいくつかは、CrowdStrikeとSolarWindsのソフトウェアのアップデートと対応で見られた脆弱性に関連している。
National Cybersecurity Strategy. Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But when we looked at the strategy, we found it needed outcome-oriented performance measures for its various initiatives. 国家サイバーセキュリティ戦略。昨年、ホワイトハウスは「国家サイバーセキュリティ戦略」を発表し、国が直面するサイバーセキュリティの長年の課題に対処するために政府が取るべき措置を概説した。しかし、この戦略を検証したところ、さまざまな取り組みに対して成果志向のパフォーマンス指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risks associated with emerging technologies—such as artificial intelligence. さらに連邦政府は、グローバルなサプライチェーンを確実に監視し、必要とされる高度なスキルを持つサイバー人材を確保し、人工知能などの新たな技術に関連するリスクに対処するための措置を講じる必要がある。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の提言のうち170件が実施されていない。
Critical infrastructure sectors remain vulnerable. Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. For example, a February attack on Change Healthcare (a health payment processor) resulted in nearly $874 million in financial loses and widespread disruptions for providers and patient care. Healthcare is just one of the 16 critical infrastructure sectors that are vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate.  重要インフラ部門は依然として脆弱である。重要インフラ部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。例えば、2月のチェンジ・ヘルスケア(医療費支払い処理会社)への攻撃は、約8億7400万ドルの金銭的損失をもたらし、医療提供者と患者ケアに広範な混乱をもたらした。ヘルスケアは、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらの部門はすべて、ITシステムに大きく依存している。
1_20240804163301
The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. 連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、我々はこれらの取り組みには持続的な欠点があると見ている。我々は、重要インフラのサイバーセキュリティをより良く保護するために126の勧告を行った。そのうちの64件については、まだ対策が必要である。
Learn more about our work on federal cybersecurity and critical infrastructure protection by reading our June High Risk update report. 連邦政府のサイバーセキュリティと重要インフラ保護に関する我々の取り組みの詳細については、6月のハイリスク最新報告書を参照されたい。
GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. GAOの事実に基づいた超党派の情報は、議会や連邦政府機関の政府改善に役立っている。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで私たちの投稿をもっとチェックしよう。

 

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.25 米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)

| | Comments (0)

2024.08.03

米国 NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化

こんにちは、丸山満彦です。

NISTが、NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化を公表しましたね...

これだけで、76ページありますが、これから続々とこのシリーズが公表されるようですね...

 

● NIST - ITL

プレス

・2024.07.30 NIST Releases SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities

NIST Releases SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities NIST、SP 800-231「Bugs Framework(BF)」をリリース: サイバーセキュリティの弱点と脆弱性を形式化する
NIST Special Publication (SP) 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities, is now available. It presents an overview of the Bugs Framework (BF) systematic approach and methodologies for the classification of bugs and faults per orthogonal by operation software and hardware execution phases, formal specification of weaknesses and vulnerabilities, definition of secure coding principles, generation of comprehensively labeled weakness and vulnerability datasets and vulnerability classifications, and development of BF-based algorithms and systems. NIST特別刊行物(SP)800-231「Bugs Framework(BF):サイバーセキュリティの弱点と脆弱性を形式化する」が公開された: サイバーセキュリティの弱点と脆弱性を形式化する)が入手可能になった。本書は、バグズ・フレームワーク(Bugs Framework:BF)の体系的なアプローチと、ソフトウェアとハードウェアの実行フェーズによる直交ごとのバグと障害の分類、弱点と脆弱性の正式な仕様化、安全なコーディング原則の定義、包括的にラベル付けされた弱点と脆弱性のデータセットと脆弱性の分類の生成、BFに基づくアルゴリズムとシステムの開発のための方法論の概要を示している。
The current state of the art in describing security weaknesses and vulnerabilities are the Common Weakness Enumeration (CWE) and the Common Vulnerabilities and Exposures (CVE). However, the CWE and CVE use a one-dimensional list approach to organizing the entries and natural language descriptions. They do not exhibit methodologies for systematic comprehensive labeling of weaknesses and vulnerabilities, tracking the weaknesses underlying a vulnerability, or root cause identification from a security failure. セキュリティの弱点と脆弱性を記述する技術の現状は、CWE(Common Weakness Enumeration)とCVE(Common Vulnerabilities and Exposures)である。しかし、CWEとCVEは、項目と自然言語の記述を整理するために、一次元のリストアプローチを使用している。これらは、弱点と脆弱性の体系的で包括的なラベリング、脆弱性の根底にある弱点の追跡、セキュリティ障害からの根本原因の特定などの方法論を示していない。
SP 800-231 presents the BF formal system (and methods) that comprises: SP 800-231 は、BF 形式システム(および方法)を提示している:
・Bugs models of distinct execution phases with orthogonal sets of operations in which specific bugs and faults could occur 特定のバグや欠陥が発生する可能性のある操作の直交するセットを持つ、明確な実行フェーズのバグモデル
・Structured, multidimensional, orthogonal, and context-free weakness taxonomies  構造化された、多次元、直交、文脈自由な脆弱性分類法 
・Vulnerability state and specification models as chains of weaknesses toward failures 故障に向かう弱点の連鎖としての脆弱性の状態と仕様モデル
・A formal language for the unambiguous causal specification of weaknesses and vulnerabilities 弱点と脆弱性の因果関係を明確に規定するための形式言語
・Tools that facilitate the generation of CWE2BF and CVE2BF mappings and formal weakness and vulnerability specifications and their graphical representations CWE2BFとCVE2BFのマッピング、弱点と脆弱性の公式仕様とそのグラフィカル表現の生成を容易にするツール。
The BF formalism guarantees precise descriptions with clear causality of weaknesses (including CWE) and vulnerabilities (including CVE) and complete, orthogonal, and context-free weakness-type coverage. It forms the basis for the formal definition of secure coding principles, such as memory safety. It also enables the creation of comprehensively labeled weakness and vulnerability datasets, vulnerability classifications, and BF-based bug identification and vulnerability detection, analysis, and resolution or mitigation systems. BFフォーマリズムは、弱点(CWEを含む)と脆弱性(CVEを含む)の因果関係を明確にした正確な記述と、完全、直交、文脈のない弱点タイプカバレッジを保証する。メモリ安全性のようなセキュアコーディング原則の形式的定義の基礎を形成する。また、包括的にラベル付けされた弱点と脆弱性のデータセット、脆弱性の分類、BFに基づくバグの特定と脆弱性の検出、分析、解決または緩和システムの作成を可能にする。

 

本文

・2024.07.30 NIST SP 800-231 Bug Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities

NIST SP 800-231 Bug Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化
Abstract 概要
The Bugs Framework (BF) is a classification of security bugs and related faults that features a formal language for the unambiguous specification of software and hardware security weaknesses and vulnerabilities. BF bugs models, multidimensional weakness and failure taxonomies, and vulnerability models define the lexis, syntax, and semantics of the BF formal language and form the basis for the definition of secure coding principles. The BF formalism supports a deeper understanding of vulnerabilities as chains of weaknesses that adhere to strict causation, propagation, and composition rules. It enables the generation of comprehensively labeled weakness and vulnerability datasets and multidimensional vulnerability classifications. It also enables the development of new algorithms for code analysis and the use of AI models and formal methods to identify bugs and detect, analyze, prioritize, and resolve or mitigate vulnerabilities. バグフレームワーク(Bugs Framework:BF)は、ソフトウェアやハードウェアのセキュリティ上の弱点や脆弱性を明確に仕様化するための形式的な言語を特徴とする、セキュリティ上のバグや関連する障害の分類である。BFのバグモデル、多次元的な弱点と故障の分類法、脆弱性モデルは、BF形式言語の語彙、構文、意味論を定義し、安全なコーディング原則の定義の基礎を形成する。BFフォーマリズムは、厳密な因果関係、伝播、合成規則に従う弱点の連鎖として、脆弱性をより深く理解することをサポートする。これにより、包括的にラベル付けされた弱点と脆弱性のデータセットと、多次元的な脆弱性の分類を生成することができる。また、コード解析のための新しいアルゴリズムの開発や、バグを特定し、脆弱性を検出、分析、優先順位付け、解決または緩和するためのAIモデルと形式的手法の利用も可能になる。

 

[PDF] NIST.SP.800-231

20240802-231533

 

目次...

1. Introducton 1. 導入
2. Current State of the Art 2. 技術の現状
3. Bugs Framework Formalism 3. バグズ・フレームワークの形式論
3.1. BF Operaton 3.1. BF演算子
3.2. BF Bug, Fault, and Weakness 3.2. BF バグ、故障、弱点
3.3. BF Vulnerability 3.3. BFの脆弱性
3.4. BF Bug Identficaton 3.4. BFバグの特定
4. BF Security Concepts 4. BFのセキュリティ概念
5. BF Bugs Models 5. BFバグのモデル
5.1. BF Input/Output Check ( INP) Bugs Model 5.1. BF入出力チェック(INP)バグ・モデル
5.2. BF Memory ( MEM) Bugs Model 5.2. BF メモリ ( MEM ) バグモデル
5.3. BF Data Type ( DAT) Bugs Model 5.3. BFデータ型(DAT)バグモデル
6. BF Taxonomy 6. BF分類法
6.1. BF Weakness Classes 6.1. BF弱点クラス
6.2. BF Failure Class 6.2. 故障クラス
6.3. BF Methodology 6.3. BFメソドロジー
7. BF Vulnerability Models 7. BF脆弱性モデル
7.1. BF Vulnerability State Model 7.1. BF脆弱性状態モデル
7.2. BF Vulnerability Specificaton Model 7.2. BF脆弱性特定化モデル
8. BF Formal Language 8. BF形式言語
8.1. BF Lexis 8.1. BFレクシス
8.2. BF Syntax 8.2. BF構文
8.3. BF Semantcs 8.3. BFの意味
9. BF Secure Coding Principles 9. BFセキュアコーディングの原則
9.1. Input/Output Check Safety 9.1. 入出力チェックの安全性
9.2. Memory Safety 9.2. メモリの安全性
9.3. Data Type Safety 9.3. データ型の安全性
10. BF Tools 10. BFツール
10.1. BFCWE Tool 10.1. BFCWEツール
10.2. BFCVE Tool 10.2. BFCVEツール
10.3. BF GUI Tool 10.3. BF GUIツール
11. BF Datasets and Systems 11. BFデータセットとシステム
11.1. BFCWE Dataset 11.1. BFCWEデータセット
11.2. BFCVE Dataset 11.2. BFCVEデータセット
11.3. BF Vulnerability Classificatons 11.3. BF脆弱性分類
11.4. BF Systems 11.4. BFシステム
12. Conclusion 12. おわりに
References 参考文献

 

 

| | Comments (0)

2024.07.27

米国 司法省 米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴

こんにちは、丸山満彦です。

米国の司法省が、米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴していますね...

合わせて、CISAから警告が、国務省から情報に対する報奨に関して公表されていますね...

あと、マイクロソフト、グーグルからも情報を出していますね...

 

U.S. Department of JusticeOffice of Public Affairs

・2024.07.25 North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers

North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers 北朝鮮政府のハッカーが米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で起訴される
Hacking Group Known as “Andariel” Used Ransom Proceeds to Fund Theft of Sensitive Information from Defense and Technology Organizations Worldwide, Including U.S. Government Agencies Andariel」として知られるハッキング・グループは、身代金収入を米国政府機関を含む世界中の防衛・技術組織からの機密情報窃盗の資金として使用していた。
NoteView the indictment here and view cryptocurrency seizure affidavit here. 注:起訴状はこちら、暗号通貨押収宣誓供述書はこちら。
A grand jury in Kansas City, Kansas, returned an indictment on Wednesday charging North Korean national Rim Jong Hyok for his involvement in a conspiracy to hack and extort U.S. hospitals and other health care providers, launder the ransom proceeds, and then use these proceeds to fund additional computer intrusions into defense, technology, and government entities worldwide. Their ransomware attacks prevented victim health care providers from providing full and timely care to patients. カンザス州カンザスシティの大陪審は2日、北朝鮮国籍のリム・ジョンヒョクを、米国の病院やその他の医療提供者をハッキングして恐喝し、身代金収入を洗浄した後、これらの収入を世界中の防衛、技術、政府機関への追加的なコンピュータ侵入の資金源にするための共謀に関与したとして起訴した。彼らのランサムウェア攻撃は、被害者である医療提供者が患者に十分かつタイムリーな治療を提供することを妨げた。
“Two years ago, the Justice Department disrupted the North Korean group using Maui ransomware to hold hostage U.S. hospitals and health care providers,” said Deputy Attorney General Lisa Monaco. “Today’s criminal charges against one of those alleged North Korean operatives demonstrates that we will be relentless against malicious cyber actors targeting our critical infrastructure. This latest action, in collaboration with our partners in the U.S. and overseas, makes clear that we will continue to deploy all the tools at our disposal to disrupt ransomware attacks, hold those responsible to account, and place victims first.” 「司法省は2年前、マウイ・ランサムウェアを使って米国の病院や医療提供者を人質に取っていた北朝鮮のグループを壊滅させた。「本日の北朝鮮工作員容疑者の一人に対する刑事起訴は、われわれが重要インフラを標的とする悪質なサイバー工作員に対して容赦なく対処することを示している。米国内外のパートナーとの協力によるこの最新の行動は、ランサムウェア攻撃を妨害し、責任者の責任を追及し、被害者を第一に考えるために、我々が自由に使えるあらゆる手段を引き続き展開することを明確にするものである。"
“Rim Jong Hyok and his co-conspirators deployed ransomware to extort U.S. hospitals and health care companies, then laundered the proceeds to help fund North Korea’s illicit activities,” said Deputy Director Paul Abbate of the FBI. “These unacceptable and unlawful actions placed innocent lives at risk. The FBI and our partners will leverage every tool available to neutralize criminal actors and protect American citizens.” 「リム・ジョンヒョクとその共謀者たちは、ランサムウェアを展開して米国の病院や医療関連企業を恐喝し、その収益を北朝鮮の不正活動の資金源とするために洗浄した」とFBIのポール・アベイト副長官は述べた。「このような容認できない違法行為により、罪のない人々の命が危険にさらされた。FBIと我々のパートナーは、犯罪者を無力化し、アメリカ市民を守るために、あらゆる手段を活用していく。
“North Korean hackers developed custom tools to target and extort U.S. health care providers and used their ill-gotten gains to fund a spree of hacks into government, technology, and defense entities worldwide, all while laundering money through China,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “The indictment, seizures, and other actions announced today demonstrate the Department’s resolve to hold these malicious actors accountable, impose costs on the North Korean cyber program, and help innocent network owners recover their losses and defend themselves.” 「北朝鮮のハッカーたちは、米国のヘルスケア・プロバイダーを標的にし、恐喝するためのカスタム・ツールを開発し、その不正に得た利益を使って、世界中の政府、技術、防衛団体へのハッキングの乱発に資金を提供し、その一方で、すべて中国を通じて資金洗浄を行っていた。「本日発表された起訴、差し押さえ、およびその他の措置は、これらの悪意ある行為者の責任を追及し、北朝鮮のサイバー・プログラムにコストを課し、無実のネットワーク所有者が損失を回復し、自己防衛できるよう支援するという司法省の決意を示すものである。
“Today’s indictment underscores our commitment to protecting critical infrastructure from malicious actors and the countries that sponsor them,” said U.S. Attorney Kate E. Brubacher for the District of Kansas. “Rim Jong Hyok and those in his trade put people’s lives in jeopardy. They imperil timely, effective treatment for patients and cost hospitals billions of dollars a year. The Justice Department will continue to disrupt nation-state actors and ensure that American systems are protected in the District of Kansas and across our nation.” 「本日の起訴は、悪意ある行為者とそれを支援する国から重要インフラを守るという我々の決意を強調するものである。「リム・ジョンヒョクとその仲間たちは、人々の命を危険にさらしている。彼らは患者のタイムリーで効果的な治療を妨げ、病院に年間何十億ドルもの損害を与えている。司法省は、カンザス地区とわが国全体において、国家的行為者を混乱させ、米国のシステムが確実に守られるようにし続ける。
“The Air Force Office of Special Investigations (OSI) will continue to work alongside our law enforcement partners to root out malicious actors who seek to degrade the Department of the Air Force’s ability to protect the nation,” said Brigadier General Amy S. Bumgarner, OSI Commander. “Multiple OSI units, including one of our newly established National Security Detachments, which were established to provide counterintelligence, law enforcement and analytical support to protect technology at the earliest stages of advanced research and development, provided support to this investigation.” 「空軍特別捜査局(OSI)は、国家を守る空軍省の能力を低下させようとする悪意ある行為者を根絶するために、法執行機関のパートナーとともに引き続き取り組んでいく」と、OSI司令官のエイミー・S・バムガーナー准将は語った。「OSIの複数のユニットは、防諜、法執行、高度な研究開発の初期段階で技術を保護するための分析支援を提供するために設立された新設の国家安全保障分遣隊の1つを含め、この調査に支援を提供した。
“While North Korea uses these types of cybercrimes to circumvent international sanctions and fund its political and military ambitions, the impact of these wanton acts have a direct impact on the citizens of Kansas,” said Special Agent in Charge Stephen A. Cyrus of the FBI Kansas City Field Office. “These actions keep our families from getting the health care they need, slowing the response of our first responders, endangering our critical infrastructure and, ultimately, costing Kansans through ransoms paid, lost productivity, and money spent to rebuild our networks following cyber attacks. Today’s charges prove these cyber actors cannot act with impunity and that malicious actions against the citizens of Kansas and the rest of the United States have severe consequences.” 「北朝鮮は、国際的制裁を回避し、政治的・軍事的野心に資金を供給するために、この種のサイバー犯罪を利用しているが、このような無謀な行為の影響は、カンザス州の市民に直接的な影響を及ぼしている」と、FBIカンザスシティ支局のスティーブン・A・サイラス特別捜査官は語った。「このような行為により、私たちの家族は必要な医療を受けられず、第一応答者の対応は遅れ、重要なインフラは危険にさらされ、最終的には、身代金の支払い、生産性の低下、サイバー攻撃後のネットワーク再構築に費やされる費用を通じて、カンザス市民に犠牲を強いている。本日の起訴は、こうしたサイバー行為者が平然と行動することはできず、カンザス州市民やその他の米国市民に対する悪意ある行為が深刻な結果をもたらすことを証明するものである。
“The indictment of individuals responsible for breaching U.S. government systems, regardless of their location, demonstrates the dedication of the National Aeronautics and Space Administration Office of Inspector General (NASA-OIG), the Justice Department, and our law enforcement partners to relentlessly investigate, prosecute, and hold accountable those who believe they can operate in the shadows,” said Assistant Inspector General for Investigations Robert Steinau of NASA-OIG. 「NASA-OIGのロバート・スタイナウ監察官補は、次のように述べた。「米国政府のシステム侵入に責任のある個人が、その所在地に関係なく起訴されたことは、米国航空宇宙局監察官室(NASA-OIG)、司法省、および法執行機関のパートナーが、影で活動できると信じている者たちを執拗に調査し、起訴し、責任を負わせることに専念していることを示している。
According to court documents, Rim and his co-conspirators worked for North Korea’s Reconnaissance General Bureau, a military intelligence agency, and are known to the private sector as “Andariel,” “Onyx Sleet,” and “APT45.” Rim and his co-conspirators laundered ransom payments through China-based facilitators and used these proceeds to purchase internet infrastructure, which the co-conspirators then used to hack and exfiltrate sensitive defense and technology information from entities across the globe. Victims of this further hacking include two U.S. Air Force bases, NASA-OIG, and entities located in Taiwan, South Korea, and China. Related Andariel activity has been the subject of private sector reporting, and a cybersecurity advisory with updated technical indicators of compromise was published by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, the Department of the Treasury, the Department of Defense’s Cyber Crime Center, the Cybersecurity and Infrastructure Security Administration, and South Korean and United Kingdom partners today. 法廷文書によると、リムとその共謀者たちは、軍事情報機関である北朝鮮の偵察総局で働いており、民間では "Andariel"、"Onyx Sleet"、"APT45 "として知られている。リムとその共謀者は、中国を拠点とするファシリテーターを通じて身代金の支払いを洗浄し、その資金でインターネット・インフラを購入した。このさらなるハッキングの犠牲者には、2つの米空軍基地、NASA-OIG、台湾、韓国、中国の事業体が含まれる。関連するアンダリエルの活動は民間部門の報告の対象となっており、侵害の技術的指標を更新したサイバーセキュリティ勧告が、FBI、国家安全保障局、米サイバー司令部のサイバー国家任務部隊、財務省、国防総省のサイバー犯罪センター、サイバーセキュリティおよびインフラセキュリティ管理局、および韓国と英国のパートナーによって本日発表された。
The Justice Department and the FBI are also announcing the interdiction of approximately $114,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions, as well as the seizure of online accounts used by co-conspirators to carry out their malicious cyber activity. The FBI previously seized approximately $500,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions. In addition to these actions, the Department of State announced today a reward offer of up to $10 million for information leading to the location or identification of Rim. The State Department’s Rewards for Justice program has a standing reward offer for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. 司法省とFBIはまた、ランサムウェア攻撃と関連するマネーロンダリング取引による仮想通貨収入約11万4000ドルの差し止めと、共謀者が悪質なサイバー活動の実行に使用したオンライン口座の押収についても発表する。FBIは以前にも、ランサムウェア攻撃および関連するマネーロンダリング取引による仮想通貨収入約50万ドルを押収している。これらの措置に加え、国務省は本日、リムの居場所や特定につながる情報に対して最高1,000万ドルの報奨金を提供することを発表した。国務省の司法のための報奨プログラムは、外国政府の指示または支配下で行動している間に、コンピュータ詐欺および乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った者の特定または所在につながる情報に対する報奨を常時提供している。
Private sector partners are also taking other voluntary actions to limit the spread of Andariel-created malware. In partnership with the Department, Microsoft developed and implemented technical measures to block Andariel actors from accessing victims’ computer networks. Additionally, Mandiant is publishing research today that highlights its unique insights into Andariel’s tactics, techniques, and procedures. These actions by Microsoft and Mandiant were a significant part of the overall effort to secure networks, and they will help cybersecurity practitioners prevent, identify, and mitigate attacks from Andariel actors. 民間部門のパートナーは、アンダリエルが作成したマルウェアの拡散を制限するために、他の自主的な行動も取っている。マイクロソフト社は、同省との協力の下、アンダリエル行為者が被害者のコンピュータ・ネットワークにアクセスするのをブロックする技術的手段を開発し、実施した。さらに、Mandiantは本日、アンダリエルの戦術、技術、手順に関する独自の洞察に焦点を当てた調査結果を発表している。マイクロソフトとマンディアントによるこれらの措置は、ネットワークを保護するための全体的な取り組みの重要な一部であり、サイバーセキュリティの実務者がアンダリエル行為者からの攻撃を防止、特定、緩和するのに役立つだろう。
Maui Ransomware and Money Laundering マウイ・ランサムウェアとマネーロンダリング
As alleged in the indictment, Rim worked for North Korea’s Reconnaissance General Bureau (RGB), a military intelligence agency, and participated in the conspiracy to target and hack computer networks of U.S. hospitals and other health care providers, encrypt their electronic files, extort a ransom payment from them, launder those payments, and use the laundered proceeds to hack targets of interest to the North Korean regime. 起訴状で主張されているように、Rimは軍事諜報機関である北朝鮮の偵察総局(RGB)で働き、米国の病院やその他の医療提供者のコンピュータ・ネットワークを標的にしてハッキングし、その電子ファイルを暗号化して身代金の支払いを強要し、その支払いを洗浄し、洗浄された収益を使って北朝鮮の政権が関心を持つ標的をハッキングするという陰謀に参加した。
The Andariel actors used custom malware, developed by the RGB, known as “Maui.” After running the maui.exe program to encrypt a ransomware victim’s computer network, the North Korean co-conspirators would extort the organization by leaving a note with a cryptocurrency address for a ransom payment. アンダリエルの行為者は、RGBが開発した "マウイ "として知られるカスタムマルウェアを使用した。maui.exeプログラムを実行してランサムウェア被害者のコンピュータネットワークを暗号化した後、北朝鮮の共謀者は身代金支払いのための暗号通貨アドレスを記したメモを残すことで組織を恐喝した。
The Andariel actors received ransom payments in a virtual currency and then laundered the payments with the assistance of Hong Kong-based facilitators. In at least one case, these Hong Kong facilitators converted ransom funds from cryptocurrency to Chinese yuan. The yuan was then accessed from an ATM in China in the immediate vicinity of the Sino-Korean Friendship Bridge, which connects Dandong, China, and Sinuiju, North Korea. アンダリエルの実行犯は、身代金の支払いを仮想通貨で受け取り、香港に拠点を置く仲介業者の支援を受けて支払いを洗浄した。少なくとも1つのケースでは、この香港のファシリテーターが身代金の資金を暗号通貨から中国人民元に変換していた。人民元はその後、中国の丹東と北朝鮮の新義州を結ぶ中韓友好橋のすぐ近くにある中国のATMからアクセスされた。
Exfiltration of Sensitive Data from Companies and Government Agencies 企業や政府機関からの機密データの流出
Rim and his co-conspirators used ransom proceeds to lease virtual private servers that were used to launch attacks against defense, technology, and other organizations, and to steal information from them. Victims of this further hacking included U.S. defense contractors, two U.S. Air Force bases, NASA-OIG, South Korean and Taiwanese defense contractors, and a Chinese energy company. The Andariel actors obtained initial access to victims’ networks by exploiting known vulnerabilities that had not been patched by the victims, including the widespread Log4Shell vulnerability. (Additional tactics, techniques, and procedures are available in the joint cybersecurity advisory released today.) The Andariel actors stole terabytes of information, including unclassified U.S. government employee information, old technical information related to military aircraft, intellectual property, and limited technical information pertaining to maritime and uranium processing projects. リムとその共謀者たちは、身代金収入を使って仮想プライベートサーバーをリースし、防衛、技術、その他の組織に対する攻撃を開始し、それらの組織から情報を盗んだ。このさらなるハッキングの被害者には、米国の防衛請負業者、2つの米空軍基地、NASA-OIG、韓国と台湾の防衛請負業者、中国のエネルギー会社が含まれていた。Andarielの行為者は、被害者がパッチを適用していない既知の脆弱性(広範に存在するLog4Shellの脆弱性を含む)を悪用することで、被害者のネットワークへの最初のアクセスを得た。(その他の戦術、技術、手順については、本日発表された共同サイバーセキュリティ勧告を参照されたい)。アンダリエルの行為者は、機密扱いのない米国政府職員情報、軍用機に関する古い技術情報、知的財産、海事およびウラン処理プロジェクトに関する限定的な技術情報など、テラバイト単位の情報を盗んだ。
Assistant U.S. Attorneys Ryan Huschka and Chris Oakley for the District of Kansas and Trial Attorneys Neeraj Gupta and George Brown of the National Security Division’s National Security Cyber Section are prosecuting the case. カンザス地区担当のライアン・ハシュカおよびクリス・オークリー両米国弁護士補と、国家安全保障部国家安全保障サイバー課のニーラジ・グプタおよびジョージ・ブラウン両裁判官がこの事件を起訴している。
The FBI continues to investigate Andariel’s hacking and money laundering activities. The Air Force Office of Special Investigations, the Department of Defense Cyber Crime Center, and NASA-OIG provided valuable assistance. FBIは引き続きアンダリエルのハッキングとマネーロンダリング活動を捜査している。空軍特別捜査局、国防総省サイバー犯罪センター、NASA-OIGは貴重な援助を提供した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt. 起訴は単なる申し立てに過ぎない。すべての被告は、合理的な疑いを超えて有罪が証明されるまでは無罪と推定される。
View previous joint cybersecurity advisories from CISA here. CISAによる過去の共同サイバーセキュリティ勧告はこちらで閲覧できる。
View previous joint cybersecurity advisories from Department of Defense here. 国防総省による過去の共同サイバーセキュリティ勧告はこちら。
View previous cryptocurrency seizure announcement here. 過去の暗号通貨押収に関する発表はこちら。

 

起訴状

・[PDF] indictment

20240726-232557

 

暗号通貨押収宣誓供述書

・[PDF] cryptocurrency seizure affidavit

20240726-232645

 


 

CISA

・2024.07.25 North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs 北朝鮮のサイバー集団が政権の軍事・核プログラムを推進するため世界的なスパイキャンペーンを実施
Alert Code AA24-207A アラートコード AA24-207A
Summary 概要
The U.S. Federal Bureau of Investigation (FBI) and the following authoring partners are releasing this Cybersecurity Advisory to highlight cyber espionage activity associated with the Democratic People’s Republic of Korea (DPRK)’s Reconnaissance General Bureau (RGB) 3rd Bureau based in Pyongyang and Sinuiju: 米国連邦捜査局(FBI)と以下の認可パートナーは、平壌と新義州に拠点を置く朝鮮民主主義人民共和国(DPRK)の偵察総局(RGB)第3局に関連するサイバースパイ活動に焦点を当てるため、このサイバーセキュリティ勧告を発表する:
U.S. Cyber National Mission Force (CNMF) 米サイバー国家任務部隊(CNMF)
U.S. Cybersecurity and Infrastructure Security Agency (CISA) 米サイバーセキュリティ・インフラセキュリティ庁(CISA)
U.S. Department of Defense Cyber Crime Center (DC3) 米国防総省サイバー犯罪センター(DC3)
U.S. National Security Agency (NSA) 米国国家安全保障局(NSA)
Republic of Korea’s National Intelligence Service (NIS) 大韓民国国家情報院(NIS)
Republic of Korea’s National Police Agency (NPA) 韓国の警察庁(NPA)
United Kingdom’s National Cyber Security Centre (NCSC) 英国国家サイバーセキュリティセンター(NCSC)
The RGB 3rd Bureau includes a DPRK (aka North Korean) state-sponsored cyber group known publicly as Andariel, Onyx Sleet (formerly PLUTONIUM), DarkSeoul, Silent Chollima, and Stonefly/Clasiopa. The group primarily targets defense, aerospace, nuclear, and engineering entities to obtain sensitive and classified technical information and intellectual property to advance the regime’s military and nuclear programs and ambitions. The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various industry sectors worldwide, including but not limited to entities in their respective countries, as well as in Japan and India. RGB 3rd Bureau actors fund their espionage activity through ransomware operations against U.S. healthcare entities. RGB第3局には、Andariel、Onyx Sleet(旧PLUTONIUM)、DarkSeoul、Silent Chollima、Stonefly/Clasiopaとして公に知られているDPRK(別名北朝鮮)国家支援サイバーグループが含まれている。このグループは、主に防衛、航空宇宙、原子力、エンジニアリングの事業体を標的にし、政権の軍事・核プログラムや野望を推進するための機密技術情報や知的財産を入手している。認可機関は、このグループとサイバー技術は、それぞれの国や日本、インドの事業体を含むがこれに限定されない、世界中の様々な産業部門に対する継続的な脅威であり続けていると考えている。RGB第3局の行為者は、米国の医療事業体に対するランサムウェアの操作を通じてスパイ活動の資金を調達している。
The actors gain initial access through widespread exploitation of web servers through known vulnerabilities in software, such as Log4j, to deploy a web shell and gain access to sensitive information and applications for further exploitation. The actors then employ standard system discovery and enumeration techniques, establish persistence using Scheduled Tasks, and perform privilege escalation using common credential stealing tools such as Mimikatz. The actors deploy and leverage custom malware implants, remote access tools (RATs), and open source tooling for execution, lateral movement, and data exfiltration.  この行為者は、Log4jのようなソフトウェアの既知の脆弱性を利用したウェブサーバーの広範な悪用を通じて最初のアクセスを獲得し、ウェブシェルを展開し、さらなる悪用のために機密情報やアプリケーションへのアクセスを獲得する。その後、標準的なシステム発見と列挙のテクニックを採用し、スケジュールされたタスクを使用して永続性を確立し、Mimikatzのような一般的な資格情報窃取ツールを使用して特権の昇格を実行する。行為者は、カスタムマルウェアインプラント、リモートアクセスツール(RAT)、オープンソースツールなどを展開し、実行、横展開、データ流出などに活用する。
The actors also conduct phishing activity using malicious attachments, including Microsoft Windows Shortcut File (LNK) files or HTML Application (HTA) script files inside encrypted or unencrypted zip archives. 行為者はまた、暗号化または非暗号化zipアーカイブ内のMicrosoft Windowsショートカットファイル(LNK)ファイルやHTMLアプリケーション(HTA)スクリプトファイルなど、悪意のある添付ファイルを使用したフィッシング活動を行う。
The authoring agencies encourage critical infrastructure organizations to apply patches for vulnerabilities in a timely manner, protect web servers from web shells, monitor endpoints for malicious activities, and strengthen authentication and remote access protections. While not exclusive, entities involved in or associated with the below industries and fields should remain vigilant in defending their networks from North Korea state-sponsored cyber operations: 認可機関は、重要インフラ組織に対し、脆弱性に対するパッチを適時に適用すること、ウェブシェルからウェブサーバーを保護すること、悪意のある行為についてエンドポイントを監視すること、認証とリモートアクセスの保護を強化することを奨励している。排他的なものではないが、以下の産業や分野に関わる事業体は、北朝鮮の国家支援によるサイバー活動からネットワークを守るために警戒を怠らないべきである:
For additional information on DPRK state-sponsored malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 北朝鮮が支援する悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF] AA24-207A North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

20240726-233731

 


 

国務省...

U.S. Department of State

・2024.07.25 Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure

 

Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure 司法のための報奨金 - 米国の重要インフラを標的とする北朝鮮の悪質なサイバー行為者に関する情報に対する報奨金の提供について
The U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. 外交安全保障局(Diplomatic Security Service)が運営する米国国務省の司法報奨(Rewards for Justice:RFJ)プログラムは、外国政府の指示または支配下で行動しながら、コンピューター詐欺・乱用防止法(Computer Fraud and Abuse Act)に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った人物の特定または所在につながる情報に対して、最高1000万ドルの報奨金を提供する。
Rim Jong Hyok is a national of the Democratic People’s Republic of Korea (DPRK) who is associated with a malicious cyber group known as Andariel. The Andariel group is controlled by the DPRK’s military intelligence agency, the Reconnaissance General Bureau, which has primary responsibility for the DPRK’s malicious cyber activities and is also involved in the DPRK’s illicit arms trade. リム・ジョンヒョクは朝鮮民主主義人民共和国(DPRK)の国民であり、アンダリエルとして知られる悪質なサイバー集団に関係している。アンダリエル・グループは朝鮮民主主義人民共和国の軍事情報機関である偵察総局によって全般統制されており、同総局は朝鮮民主主義人民共和国の悪質なサイバー活動の主要な責任を負うとともに、朝鮮民主主義人民共和国の不正武器取引にも関与している。
Andariel’s targets include foreign businesses, government entities, and the defense industry. アンダリエルの標的は、外国企業、政府事業体、防衛産業などである。
Rim and others conspired to hack into the computer systems of U.S. hospitals and other healthcare providers, install Maui ransomware, and extort ransoms. The ransomware attacks encrypted victims’ computers and servers used for medical testing or electronic medical records and disrupted healthcare services. These malicious cyber actors then used the ransom payments to fund malicious cyber operations targeting U.S. government entities and U.S. and foreign defense contractors, among others. In one computer intrusion operation that began in November 2022, the malicious cyber actors hacked a U.S.-based defense contractor from which they extracted more than 30 gigabytes of data, including unclassified technical information regarding material used in military aircraft and satellites, much of which was from 2010 or earlier. リムらは共謀して、米国の病院やその他の医療プロバイダのコンピュータシステムに侵入し、マウイ・ランサムウェアをインストールし、身代金を要求した。ランサムウェア攻撃は、医療検査や電子カルテに使われる被害者のコンピューターやサーバーを暗号化し、医療サービスを妨害した。これらの悪意あるサイバー行為者はその後、身代金の支払いを資金源として、米国政府事業体や米国内外の防衛関連企業などを標的とした悪意あるサイバー作戦を展開した。2022年11月に始まったあるコンピューターへの抽出作戦では、悪意のあるサイバー行為者は米国を拠点とする防衛請負業者をハッキングし、そこから軍用機や人工衛星に使用される材料に関する未分類の技術情報を含む30ギガバイト以上のデータを抽出したが、その多くは2010年以前のものであった。
U.S. law enforcement investigators have documented that Andariel actors victimized five healthcare providers, four U.S.-based defense contractors, two U.S. Air Force bases, and the National Aeronautics and Space Administration’s Office of Inspector General. 米国の法執行機関の調査官によると、アンダリエルの行為者は5つの医療プロバイダ、4つの米国を拠点とする防衛請負業者、2つの米空軍基地、および米航空宇宙局監察官室を被害者としている。
This action underscores the United States’ continued efforts to address the DPRK’s malicious cyber activity against critical infrastructure as well as prevent and disrupt the DPRK’s ability to generate illicit revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. 今回の措置は、重要なインフラに対する北朝鮮の悪質なサイバー活動に対処するとともに、悪質なサイバー活動を通じて不正な収入を得る北朝鮮の能力を阻止し、混乱させ、それを違法な大量破壊兵器や弾道ミサイル計画の資金源とする米国の継続的な取り組みを強調するものである。
We encourage anyone with information on the malicious cyber activity of Rim Jong Hyok, Andariel, and associated individuals, entities, and activities to contact Rewards for Justice via the Tor-based tips-reporting channel at: [onion] (Tor browser required). 我々は、リム・ジョンヒョク、アンダリエル、および関連する個人、事業体、活動の悪質なサイバー活動に関する情報を持つ人は誰でも、Torベースの情報報告チャンネル[onion] (Torブラウザが必要)を通じて、司法のための報奨に連絡することを奨励する。
More information about this reward offer is located on the Rewards for Justice website at [web]. この報奨オファーの詳細は、Rewards for Justiceのウェブサイト [web] に掲載されている。
Since its inception in 1984, RFJ has paid in excess of $250 million to more than 125 people across the globe who provided actionable information that helped resolve threats to U.S. national security. Follow us on Twitter at [web]. 1984年の創設以来、RFJは米国の国家安全保障に対する脅威の解決に役立つ実用的な情報を提供した世界中の125人以上に2億5000万ドル以上を支払ってきた。ツイッター [web] でフォローしてほしい。

 

 


 

マイクロソフト

Microsoft - Blog

・2024.07.25 Onyx Sleet uses array of malware to gather intelligence for North Korea

Onyx Sleet uses array of malware to gather intelligence for North Korea Onyx Sleet、北朝鮮の情報収集にマルウェアの数々を使う
On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet’s activity to assess changes following the indictment. 2024年7月25日、米国司法省(DOJ)は、マイクロソフトがOnyx Sleetとして追跡している北朝鮮の脅威行為者に関連する個人を起訴した。Microsoft Threat Intelligenceは、Onyx Sleetに関連する活動の追跡において連邦捜査局(FBI)と協力した。我々は、起訴後の変化を評価するために、Onyx Sleetの活動を注意深く監視し続ける。
First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet’s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. 2014年にマイクロソフトによって初めて観測されたOnyx Sleetは、情報収集を目的としたグローバルな標的を狙った数々のキャンペーンを通じて、サイバースパイ活動を行ってきた。最近では、その目標を金銭的な利益にも拡大している。この脅威行為者は、広範なカスタムツールとマルウェアのセットで活動し、かなり均一な攻撃パターンを維持しながら、新しい機能を追加し、検出を回避するために定期的にツールセットを進化させている。Onyx Sleetは、試行錯誤を重ねた攻撃チェーンを展開するために、さまざまなツールを開発する能力を備えているため、特に防衛、エンジニアリング、エネルギー分野の組織など、北朝鮮の諜報機関が関心を寄せるターゲットにとって、持続的な脅威となっている。
Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. In this blog, we will share intelligence about Onyx Sleet and its historical tradecraft and targets, as well as our analysis of recent malware campaigns, with the goal of enabling the broader community to identify and respond to similar campaigns. We also provide protection, detection, and hunting guidance to help improve defenses against these attacks. マイクロソフトは、Onyx Sleetに関連するキャンペーンを追跡し、標的や侵害を受けた顧客に直接通知することで、顧客の環境を保護するために必要な情報を提供している。このブログでは、Onyx Sleetとその過去の手口や標的に関するインテリジェンス、および最近のマルウェアキャンペーンの分析を共有し、より広範なコミュニティが同様のキャンペーンを特定し、対応できるようにすることを目的としている。また、このような攻撃に対する防御の改善を支援するため、防御、検知、ハンティングに関するガイダンスも提供する。

 

 


 

グーグル...

Google Cloud - Blog

・2024.07.26 APT45: North Korea’s Digital Military Machine

APT45: North Korea’s Digital Military Machine APT45:北朝鮮のデジタル軍事マシン
Executive Summary エグゼクティブサマリー
・APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009. ・APT45は、2009年の時点でスパイキャンペーンを実施していた、長期にわたって活動する中程度に洗練された北朝鮮のサイバーオペレーターである。
・APT45 has gradually expanded into financially-motivated operations, and the group’s suspected development and deployment of ransomware sets it apart from other North Korean operators.  ・APT45は徐々に金銭的な動機に基づく活動へと拡大しており、ランサムウェアの開発と展開が疑われていることから、他の北朝鮮工作員とは一線を画している。
・APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.  ・APT45および同グループとの関連が疑われる活動クラスターは、TEMP.HermitやAPT43のような北朝鮮の同業者とは別のマルウェアファミリーの明確な系譜と強く関連している。
・Among the groups assessed to operate from the Democratic People's Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure. ・朝鮮民主主義人民共和国(DPRK)から活動するとアセスメントされたグループの中で、APT45は重要インフラを標的とした活動が最も頻繁に観測されている。
Overview 概要
Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group's earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities. Mandiantは、APT45は朝鮮民主主義人民共和国の利益を支援する中程度に洗練されたサイバーオペレーターであると高い信頼性をもってアセスメントしている。少なくとも2009年以降、APT45は北朝鮮国家の地政学的利益の変化に沿ったさまざまなサイバー作戦を実施してきた。APT45の初期の活動は、政府機関や防衛産業に対するスパイキャンペーンであったが、APT45は金融業界を標的とするなど、金融を動機とする活動へとその範囲を拡大している。さらに、COVID-19のパンデミックの初期段階では、複数のDPRK関連グループがヘルスケアと医薬品に焦点を当てていたが、APT45は他のグループよりも長くこの分野をターゲットにし続けており、関連情報を収集する継続的な任務があることを示唆している。これとは別に、同グループは核関連事業体に対する作戦も実施しており、北朝鮮の優先事項を支援する役割を明確にしている。

 

 

| | Comments (0)

2024.06.13

米国 White House サイバーセキュリティの強化を通じたアメリカ人の医療へのアクセスの保護の強化 (2024.06.10)

こんにちは、丸山満彦です。

ホワイトハウスからサイバーセキュリティの強化を通じたアメリカ人の医療へのアクセスの保護の強化に関するファクトシートが公表されていますね。。。

日本でも、医療機関へのランサム攻撃により、病院の診療に影響が出ていますね。。。ITがなくてもできる医療はできるという側面もあるのですが、ITが使えなければできない治療や、ITがあればより多くの治療ができるという面もあるし、今後はますますそうなっていくでしょうね...

¥マイクロソフト、グーグルがいろいろと支援しているようですね...クラウド事業者がある国は選択肢が広いですね...

 

日本の場合は、大きめの病院グループであっても、企業規模的には中小企業のようなもので、十分なリソース(予算、人、ツール)等をサイバーセキュリティに使えていないのが、より課題かもしれませんね...

 

U.S. White House

・2024.06.10 ACT SHEET: Biden-⁠Harris Administration Bolsters Protections for Americans’ Access to Healthcare Through Strengthening Cybersecurity

FACT SHEET: Biden-⁠Harris Administration Bolsters Protections for Americans’ Access to Healthcare Through Strengthening Cybersecurity ファクトシート:バイデン-ハリス政権は、サイバーセキュリティの強化を通じて、米国人の医療へのアクセスの防御を強化する。
Recent cyberattacks targeting the nation’s healthcare system have demonstrated the vulnerability of our hospitals and payment systems.  Providers across the health system had to scramble for funding after one attack on a key payment system. And some hospitals had to redirect care after another.  These disruptions can take too long to resolve before full access to needed health care services or payment systems is restored.  Cyberattacks against the American healthcare system rose 128% from 2022 to 2023.  米国の医療システムを標的とした最近のサイバー攻撃は、病院と支払いシステムの脆弱性を実証した。 医療システム全体のプロバイダは、ある重要な支払いシステムへの攻撃の後、資金繰りに奔走しなければならなかった。また、ある病院では、別の攻撃を受けて、診療の方向転換を余儀なくされた。 このような混乱は、必要な医療サービスや支払いシステムへの完全なアクセスが回復するまでに、解決に時間がかかりすぎることがある。 アメリカの医療システムに対するサイバー攻撃は、2022年から2023年にかけて128%増加した。
In February and March of 2024 alone, the United States experienced one of the most significant healthcare-related cyberattacks to date. During the attack, providers reported that one out of every three health care claims in the United States were impacted, leading to disruptions in timely payment to healthcare providers. 2024年の2月と3月だけで、米国はこれまでで最も重大な医療関連のサイバー攻撃を経験した。この攻撃でプロバイダは、米国内の医療費請求の3件に1件が影響を受け、医療提供者へのタイムリーな支払いに支障が出たと報告した。
Recognizing that effective cybersecurity is critical to Americans accessing the care they need, the Biden-Harris Administration is working relentlessly to improve the resilience of the healthcare sector to cyberattacks. Many healthcare companies are private sector owned and operated, so private sector uptake and partnership is key to meaningful improvements in the sector’s ability to withstand attacks.  効果的なサイバーセキュリティが、米国人が必要な医療を受けるために不可欠であることを認識し、バイデン-ハリス政権は、医療部門のサイバー攻撃に対するレジリエンスを改善するために、たゆまぬ努力を続けている。ヘルスケア企業の多くは民間企業であるため、民間企業の参加と協力が、同部門の攻撃に対する耐性を有意義に改善する鍵となる。
In January of 2024, the Department of Health and Human Services launched a healthcare cybersecurity gateway website to simplify access to the Department’s healthcare-specific cybersecurity information and resources and published voluntary Healthcare and Public Health Cybersecurity Performance Goals designed to help healthcare institutions plan and prioritize high-impact cybersecurity practices. ・2024年1月、保健社会福祉省は、同省の医療に特化したサイバーセキュリティ情報とリソースへのアクセスを簡素化するための医療サイバーセキュリティ・ゲートウェイ・ウェブサイトを開設し、医療機関が影響力の高いサイバーセキュリティの実践を計画し、優先順位をつけるのに役立つよう設計された自主的な医療・公衆衛生サイバーセキュリティ・パフォーマンス目標を発表した。
・In May of 2024, the White House convened Chief Information Security Officers and other high-level executives from across the healthcare sector – spanning care delivery organizations, medical technology companies, and industry associations – to advance cybersecurity solutions across the industry. Participants shared their organization’s views on cybersecurity challenges and the need to work together with government to better share threat intelligence and adopt secure-by-design solutions for the technologies underpinning the healthcare system.    ・2024年5月、ホワイトハウスは、医療提供機関、医療技術企業、業界団体など、ヘルスケア・セクター全体から最高情報セキュリティ責任者(CIO)をはじめとするハイレベルの幹部を招集し、業界全体のサイバーセキュリティ・ソリューションの推進を図った。参加者は、サイバーセキュリティの課題に対する各組織の見解や、脅威インテリジェンスをよりよく共有し、医療システムを支える技術にセキュア・バイ・デザインのソリューションを採用するために政府と協力する必要性を共有した。  
・In May of 2024, the Advanced Research Projects Agency for Health (ARPA-H) announced the launch of the Universal Patching and Remediation for Autonomous Defense (UPGRADE) program, a cybersecurity effort that will invest more than $50 million to create tools for information technology (IT) teams to better defend the hospital environments they are tasked with securing. ・2024年5月、国防高等研究計画局(ARPA-H)は、情報技術(IT)チームが病院環境をより安全に守るためのツールを作成するために5,000万ドル以上を投資するサイバーセキュリティの取り組み、Universal Patching and Remediation for Autonomous Defense(UPGRADE)プログラムの開始を発表した。
Healthcare-related cyber disruptions can be particularly disruptive to rural hospitals, which serve over 60 million Americans. Most rural hospitals are critical access hospitals, meaning they are located more than 35 miles from another hospital, which makes diversions of patients and staffing-intensive manual workarounds in response to attacks more difficult. Recognizing the critical role these hospitals play in the communities they serve, the White House worked with and received commitments from leading U.S. technology providers to provide free and low-cost resources for all 1,800-2,100 rural hospitals across the nation. 医療関連のサイバー攻撃は、6,000万人以上のアメリカ人にサービスを提供している地方の病院にとって、特に大きな打撃となる可能性がある。ほとんどの地方病院はクリティカル・アクセス病院であり、他の病院から35マイル以上離れているため、攻撃に対応するための患者の転換やスタッフの負担が大きい手作業による回避策が難しくなる。こうした病院が地域社会で果たしている重要な役割を認識し、ホワイトハウスは米国の大手技術プロバイダと協力し、全米の1,800~2,100の地方病院すべてに無料または低コストのリソースを提供することを約束した。
As part of this initiative to improve security and resilience of our rural hospital system, our private sector partners have committed to the following: 地方の病院システムのセキュリティとレジリエンスを改善するこのイニシアチブの一環として、民間セクターのパートナーは以下のことを約束した:
・For independent Critical Access Hospitals and Rural Emergency Hospitals, Microsoft is extending its nonprofit program to provide grants and up to a 75% discount on security products optimized for smaller organizations. For participating larger rural hospitals already using eligible Microsoft solutions, Microsoft is providing its most advanced security suite at no additional cost for one year. Microsoft will also provide free cybersecurity assessments by qualified technology security providers and free training for frontline and IT staff at eligible rural hospitals throughout the country to deepen our resiliency to malicious cyberattacks.  Additionally, Microsoft will extend security updates for Window 10 to participating hospitals for one year at no cost. ・独立したクリティカル・アクセス病院と地方の救急病院に対して、マイクロソフトは非営利プログラムを拡張し、小規模な組織向けに最適化されたセキュリティ製品に補助金を提供し、最大75%の割引を行う。すでにマイクロソフトの適格なソリューションを使用している地方の大規模病院に対しては、マイクロソフトは最先端のセキュリティ・スイートを1年間追加費用なしでプロバイダとして提供する。マイクロソフトはまた、悪質なサイバー攻撃に対するレジリエンスを高めるため、資格を有するテクノロジーセキュリティプロバイダによる無料のサイバーセキュリティアセスメントと、全国の対象となる地方病院の現場スタッフおよびITスタッフ向けの無料トレーニングも提供する。 さらにマイクロソフトは、参加病院に対し、ウィンドウズ10のセキュリティ更新プログラムを1年間無償で提供する。
・Google will provide endpoint security advice to rural hospitals and non-profit organizations at no cost, and eligible customers can get discounted pricing for communication and collaboration tools and security support and a pool of funding to support software migration. In addition, Google is committing to launch a pilot program with rural hospitals to develop a packaging of security capabilities that fit these hospitals’ unique needs.  ・グーグルは、地方の病院や非営利団体にエンドポイントセキュリティのアドバイスを無償で提供し、対象となる顧客は、コミュニケーション・コラボレーションツールやセキュリティサポートの割引価格や、ソフトウェアの移行を支援するための資金プールを得ることができる。さらにグーグルは、地方の病院を対象としたパイロット・プログラムを開始し、これらの病院独自のニーズに合ったセキュリティ機能のパッケージを開発することを約束している。

 

 

Fig1_20210802074601

 

 

| | Comments (0)

2024.05.15

米国 MITRE 連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設 (2024.05.07)

こんにちは、丸山満彦です。

MITREが連邦政府機関向けの新たなAI実験・プロトタイピング機能を創設したようですね...

NVIDIA DGX SuperPOD™だそうです...

 

MITRE

・2024.05.07 MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies

MITRE to Establish New AI Experimentation and Prototyping Capability for U.S. Government Agencies MITRE、米国政府機関向けに新たなAI実験およびプロトタイピング能力を確立する
MITRE Federal AI Sandbox to be Powered by NVIDIA DGX SuperPOD  MITRE Federal AI SandboxはNVIDIA DGX SuperPODを搭載する 
McLean, Va., May 7, 2024 – MITRE is building a new capability intended to give its artificial intelligence (AI) researchers and developers access to a massive increase in computing power. The new capability, MITRE Federal AI Sandbox, will provide better experimentation of next generation AI-enabled applications for the federal government. The Federal AI Sandbox is expected to be operational by year’s end and will be powered by an NVIDIA DGX SuperPOD™ that enables accelerated infrastructure scale and performance for AI enterprise work and machine learning. ヴァージニア州マクリーン、2024年5月7日 - MITREは、人工知能(AI)の研究者と開発者が膨大なコンピューティング・パワーを利用できるようにすることを目的とした新機能を構築している。この新機能「MITRE Federal AI Sandbox」は、連邦政府向けの次世代AI対応アプリケーションの実験を改善する。連邦AIサンドボックスは年内に運用を開始する予定で、AIエンタープライズ業務と機械学習のためのインフラ規模の拡大と性能の加速を可能にするNVIDIA DGX SuperPOD™を搭載する。
As U.S. government agencies seek to apply AI across their operations, few have adequate access to supercomputers and the deep expertise required to operate the technology and test potential applications on secure infrastructure.  米国政府機関が業務全体にAIを適用しようとしている中、スーパーコンピュータへの十分なアクセスや、安全なインフラ上で技術を運用し、潜在的なアプリケーションをテストするのに必要な深い専門知識を持っているところはほとんどない。
"The recent executive order on AI encourages federal agencies to reduce barriers for AI adoptions, but agencies often lack the computing environment necessary for experimentation and prototyping," says Charles Clancy, MITRE, senior vice president and chief technology officer. "Our new Federal AI Sandbox will help level the playing field, making the high-quality compute power needed to train and test custom AI solutions available to any agency ."  MITREのチャールズ・クランシー上級副社長兼最高技術責任者(CTO)は次のように述べている。「AIに関する最近の大統領令は、連邦政府機関に対してAI導入の障壁を減らすよう促しているが、政府機関には実験やプロトタイピングに必要なコンピューティング環境がないことが多い。我々の新しいFederal AI Sandboxは、カスタムAIソリューションの訓練とテストに必要な高品質の計算能力をどのような機関でも利用できるようにし、競争の場を平準化するのに役立つだろう。」
MITRE will apply the Federal AI Sandbox to its work for federal agencies in areas including national security, healthcare, transportation, and climate. Agencies can gain access to the benefits of the Federal AI Sandbox through existing contracts with any of the six federally funded research and development centers MITRE operates. MITREは連邦AIサンドボックスを、国家安全保障、ヘルスケア、交通、気候などの分野で連邦政府機関向けの業務に適用する。各省庁は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、Federal AI Sandboxの恩恵にアクセスすることができる。
Sandbox capabilities offer computing power to train cutting edge AI applications for government use including large language models (LLMs) and other generative AI tools. It can also be used to train multimodal perception systems that can understand and process information from multiple types of data at once such as images, audio, text, radar, and environmental or medical sensors, and reinforcement learning decision aids that learn by trial and error to help humans make better decisions. サンドボックスの機能は、大規模言語モデル(LLM)やその他の生成的AIツールを含む、政府用の最先端AIアプリケーションを訓練するためのコンピューティングパワーを提供する。また、画像、音声、テキスト、レーダー、環境・医療センサーなど、複数の種類のデータからの情報を一度に理解・処理できるマルチモーダル知覚システムや、人間がより良い意思決定を行えるよう試行錯誤しながら学習する強化学習意思決定支援システムの訓練にも利用できる。
"MITRE’s purchase of a DGX SuperPOD to assist the federal government in its development of AI initiatives will turbocharge the U.S. federal government’s efforts to leverage the power of AI," says Anthony Robbins, vice president of public sector, NVIDIA. "AI has enormous potential to improve government services for citizens and solve big challenges, like transportation and cyber security."  NVIDIAの公共部門担当副社長であるアンソニー・ロビンズ氏は、次のように述べている。「MITREがDGX SuperPODを購入し、連邦政府のAIイニシアチブの開発を支援することで、AIのパワーを活用するための米国連邦政府の取り組みが加速するでしょう。AIは、市民のための政府サービスを改善し、交通やサイバーセキュリティのような大きな課題を解決する大きな可能性を秘めている。」
The NVIDIA DGX SuperPOD powering the sandbox is capable of an exaFLOP of performance to train and deploy custom LLMs and other AI solutions at scale. サンドボックスを駆動するNVIDIA DGX SuperPODは、カスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、エクサFLOPの性能を発揮する。

 

・2024.05.07 Federal AI Sandbox

Federal AI Sandbox 連邦AIサンドボックス
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI model 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を備えたセキュアなサンドボックス環境が必要である。
AI has the potential to drive transformational advances in fields including healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets. AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、このインパクトを活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITREの新しいフラッグシップAIスーパーコンピューターは、最新のAIを推進するハイエンド・コンピューティングへの政府アクセスを合理化し、拡大する。この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。

 

 

・[PDF

20240515-04359

 

 

MITRE is investing in a massive AI supercomputer to power a new federal AI sandbox.  MITREは、連邦政府の新しいAIサンドボックスを動かすために、巨大なAIスーパーコンピューターに投資している。
AI has the potential to drive transformational advances in fields like healthcare, cybersecurity, transportation, finance, climate, and national security—but to harness this impact the nation must accelerate safe and secure prototyping of new AI solutions built around government datasets.  AIは、ヘルスケア、サイバーセキュリティ、交通、金融、気候、国家安全保障などの分野で変革をもたらす可能性を秘めているが、この影響力を活用するためには、政府は政府のデータセットを基に構築された新しいAIソリューションの安全かつセキュアなプロトタイピングを加速させなければならない。
Today, few federal agencies have adequate access to large-scale computing infrastructure. This situation inhibits public sector innovation by limiting the creation and evaluation of customized AI tools like large language models (LLMs) similar to ChatGPT. MITRE’s new flagship AI supercomputer will streamline and expand government access to the high-end computing that drives modern AI. The NVIDIA DGX SuperPOD system powering the sandbox is capable of an exaFLOP of 8-bit AI compute, meaning it performs a quintillion math operations each second to train and deploy custom LLMs and other AI solutions at scale.  今日、大規模なコンピューティング・インフラに十分アクセスできる連邦機関はほとんどない。この状況は、ChatGPTのような大規模言語モデル(LLM)のようなカスタマイズされたAIツールの作成と評価を制限することで、公共部門のイノベーションを阻害している。MITREの新しいフラッグシップAIスーパーコンピュータは、最新のAIを駆動するハイエンドコンピューティングへの政府アクセスを合理化し、拡大する。サンドボックスを駆動するNVIDIA DGX SuperPODシステムは、8ビットAIコンピュートのエクサFLOPが可能であり、これはカスタムLLMやその他のAIソリューションを大規模に訓練・展開するために、毎秒5億回の数学演算を実行することを意味する。
Federal agencies can gain access to the benefits of MITRE’s AI sandbox through existing contracts with any of the six federally funded research and development centers that MITRE operates. The sandbox, which launches in late 2024, will substantially augment MITRE’s AI Platform—increasing compute power by two orders of magnitude.  連邦政府機関は、MITREが運営する6つの連邦政府出資の研究開発センターとの既存の契約を通じて、MITREのAIサンドボックスのメリットを利用できる。2024年後半に開始されるサンドボックスは、MITREのAIプラットフォームを大幅に増強し、計算能力を2桁増加させる。
An AI supercomputer at this scale is ideal for training new, government-specific large frontier AI models, including LLMs, other generative AI, machine vision and multimodal perception systems, and reinforcement learning decision aids. MITRE continues to invest in innovation and resources that enable our experts, often in collaboration with government, industry, and academia, to solve complex problems in the public interest. この規模のAIスーパーコンピューターは、LLM、その他の生成的AI、マシンビジョン、マルチモーダル知覚システム、強化学習意思決定支援など、政府固有の新しい大規模フロンティアAIモデルのトレーニングに最適である。MITREは、我々の専門家が政府、産業界、学界としばしば協力し、公共の利益のために複雑な問題を解決することを可能にするイノベーションとリソースへの投資を続けている。
To realize the incredible potential of AI within the federal government, a secure sandbox environment with significant computational power is needed for prototyping, training, and testing complex AI models. 連邦政府内でAIの驚異的な可能性を実現するためには、複雑なAIモデルのプロトタイピング、トレーニング、テストのために、大きな計算能力を持つ安全なサンドボックス環境が必要である。

 

 

| | Comments (0)

2024.05.01

ドイツ BSI AIがサイバー脅威の状況をどう変えるか

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) が、人工知能(AI)が現在のサイバー脅威の状況にどのような影響を与えているかを分析した報告書を公表していますね...

生成的AIなら、あちこちですでに言われていますが、フィッシングメール文、悪意のあるコード生成といったところが得意分野でしょうかね...これからは、AIを使ったサイバー攻撃の自動化でしょうかね...

今年初めに英国でも似た報告書を公表して、このブログでも取り上げていますね...

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2024.04.30 BSI-Untersuchung: Wie KI die Cyberbedrohungslandschaft verändert

BSI-Untersuchung: Wie KI die Cyberbedrohungslandschaft verändert BSI調査:AIがサイバー脅威の状況をどのように変えているか
In einem aktuellen Forschungsbeitrag hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht, wie sich Künstliche Intelligenz (KI) auf die aktuelle Cyberbedrohungslage auswirkt. Die Untersuchung beleuchtet, wie sich Cyberangriffe durch die neu verfügbare Technologie verändern. Dazu identifiziert der Bericht KI-gestützte Anwendungen, die bereits heute für den offensiven Einsatz zugänglich sind und bewertet, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten. ドイツ連邦情報セキュリティ局(BSI)は最近の研究論文で、人工知能(AI)が現在のサイバー脅威の状況にどのような影響を与えているかを分析した。この研究は、新たに利用可能になった技術の結果としてサイバー攻撃がどのように変化しているかに光を当てている。この目的のため、報告書は、今日すでに攻撃的な用途で利用可能なAI支援アプリケーションを特定し、これらの脅威が近い将来どのように発展するかを評価している。
So genannte generative KI, insbesondere große Sprachmodelle, senkt die Einstiegshürden für Cyberangriffe und erhöht Umfang, Geschwindigkeit und Schlagkraft schadhafter Handlungen im digitalen Raum. Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure stellt das BSI derzeit eine maligne Nutzung vor allem im Bereich des Social Engineering und bei der Generierung von Schadcode fest. いわゆる生成的AI、特に大規模な言語モデルは、サイバー攻撃への参入障壁を低くし、デジタル空間における悪意ある活動の範囲、スピード、影響力を増大させる。悪意のある行為者の一般的な生産性向上に加え、BSIは現在、特にソーシャルエンジニアリングと悪意のあるコードの生成の分野で悪意のある利用を目にしている。
KI ermöglicht es Angreifenden mit geringsten Fremdsprachenkenntnissen, qualitativ hochwertige Phishing-Nachrichten zu erstellen: Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten wie die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch reichen zur Erkennung von Phishing-Angriffen damit nicht mehr aus. AIによって、外国語の知識がほとんどない攻撃者でも高品質のフィッシング・メッセージを作成できるようになった: そのため、スペルミスや型にはまった言葉の使い方をチェックするといった従来の不正メッセージの認識方法では、フィッシング攻撃を検知するにはもはや十分ではない。
Einen Schritt weiter als die Unterstützung von Cyberangriffen, die durch Menschen ausgeführt werden, geht die Erstellung von Malware durch KI: Große Sprachmodelle sind bereits heute in der Lage, einfachen Schadcode zu schreiben. Darüber hinaus existieren erste Proofs of Concept, nach denen KI für die automatische Generierung und Mutation von Malware eingesetzt werden kann. Allerdings sind bösartige KI-Agenten, die vollkommen eigenständig IT-Infrastrukturen kompromittieren können – also Künstliche Intelligenz, die zur vollständigen Angriffsautomatisierung führt – aktuell nicht verfügbar und werden mit hoher Wahrscheinlichkeit auch in naher Zukunft nicht verfügbar sein. Allerdings ist KI bereits heute in der Lage, Teile eines Cyberangriffs zu automatisieren. AIによるマルウェアの作成は、人間によるサイバー攻撃をサポートするよりも一歩進んでいる。大規模な言語モデルはすでに単純な悪意のあるコードを書くことができる。さらに、マルウェアの自動生成と変異にAIを利用できるという最初の概念実証も存在する。しかし、完全に独立してITインフラを侵害できる悪意のあるAIエージェント、すなわち完全な攻撃の自動化につながる人工知能は、現在のところ利用できないし、近い将来利用できるようになる可能性も極めて低い。しかし、AIはすでにサイバー攻撃の一部を自動化することができる。
BSI-Präsidentin Claudia Plattner: „Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von großen Sprachmodellen, geben wird. Als Cybersicherheitsbehörde des Bundes sind und bleiben wir am Puls der Forschung und raten insbesondere Unternehmen und Organisationen dazu, Cybersicherheit höchste Priorität einzuräumen. Es wird für uns alle darauf ankommen, mit den Angreifenden Schritt zu halten, also die Geschwindigkeit und den Umfang der Abwehrmaßnahmen zu erhöhen: indem wir schneller patchen, unsere IT-Systeme härten und nahende Angriffe noch früher als bisher erkennen. Dabei hilft KI uns heute schon. Insbesondere für Open-Source-Projekte wird es von entscheidender Bedeutung sein, KI-Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. Des weiteren ist es mit Blick auf den Fachkräftemangel maßgeblich, dass Wirtschaft, Wissenschaft und Politik ihre Kompetenzen bündeln – über Landes- und Ländergrenzen hinweg.“ BSIのクラウディア・プラットナー会長:「サイバー脅威の状況に対するAIの影響に関する我々の現在の評価では、近い将来、AI、特に大規模な言語モデルの開発に大きなブレークスルーはないと想定している。連邦政府のサイバーセキュリティ当局として、我々は今後も研究の動向を注視し、特に企業や組織がサイバーセキュリティを最優先事項とするよう助言していく。攻撃者と歩調を合わせること、すなわち、より早くパッチを当て、ITシステムを強化し、差し迫った攻撃を以前よりも早く検知することによって、防御策のスピードと範囲を拡大することは、我々全員にとって重要である。AIは、今日すでにその手助けをしてくれている。特にオープンソース・プロジェクトでは、悪意ある行為者より先にAIツールを積極的に活用することが重要になるだろう。さらに、熟練労働者の不足を考慮すると、ビジネス、科学、政治が、国や国境を越えて、それぞれの専門知識を結集することが極めて重要である。
Auch Cyberverteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von KI – z. B. bei der Codegenerierung, zur Analyse von Quellcode auf Schwachstellen, zur Detektion von Malware oder der Erstellung von Lagebildern. Wie Künstliche Intelligenz im Detail die Cyberabwehr unterstützen kann, wird die BSI-Untersuchung im Rahmen einer Fortschreibung thematisieren. In einer weiteren Untersuchung informiert das BSI über Chancen und Risiken generativer KI-Sprachmodelle für Industrie und Behörden. サイバー擁護者はまた、AIの使用による生産性の一般的な向上から利益を得ている。例えば、コード生成、脆弱性のソースコード分析、マルウェアの検出、状況認識の作成などである。BSIの調査では、人工知能がサイバー防衛をどのようにサポートできるのか、アップデートの一環として詳しく取り上げる予定である。さらなる調査で、BSIは産業界と当局に対して、生成的AI言語モデルの機会とリスクに関する情報を提供する予定である。

 

・[PDF] Einfluss von KI auf die Cyberbedrohungslandschaft

20240501-00022

Einfluss von KI auf die Cyberbedrohungslandschaft サイバー脅威の状況におけるAIの影響
1 Einleitung  1 はじめに 
Mit dem Aufkommen von Anwendungen, die auf großen Sprachmodellen (eng. „large language models“, LLM) basieren, ist KI auch in der Öffentlichkeit wieder ein viel diskutiertes Thema. Die Grenzen dieser neuen Modelle müssen noch erforscht werden und es ist unklar, welche bleibenden Veränderungen der aktuelle KITrend mit sich bringt. Zweifelsohne gibt es Bedenken hinsichtlich der Auswirkungen von KI auf die Cybersicherheit, da sie bereits jetzt die Cyberbedrohungslandschaft sowohl für Angreifer als auch für Verteidiger verändert. Wir untersuchen, wie sich Angriffe und Tätigkeiten von Angreifern durch die neu verfügbare Technologie verändern, wobei wir uns auf die offensive Nutzung von KI konzentrieren. Während generative KI bereits die Qualität und Quantität von Social-Engineering-Angriffen steigert (z. B. Deepfakes oder personalisiertes Phishing in großem Maße), fokussieren wir unsere Diskussion mehr auf technische Angriffsvektoren und weniger auf den menschlichen Faktor. Es sollte jedoch erwähnt werden, dass SocialEngineering-Angriffe zu den häufigsten Angriffen gehören und KI auf diese Art von Angriff starke Auswirkungen hat.  大規模言語モデル(LLM)に基づくアプリケーションの出現により、AIは再び一般社会で話題となっている。これらの新しいモデルの限界はまだ解明されておらず、現在のAIのトレンドがどのような永続的な変化をもたらすかは不明である。AIがサイバーセキュリティに与える影響について懸念があるのは間違いない。なぜなら、AIはすでに攻撃者と防御者の双方にとってサイバー脅威の状況を変えつつあるからだ。新たに利用可能になった技術の結果、攻撃や攻撃者の活動がどのように変化しているのか、AIの攻撃的利用に焦点を当てて検証する。生成的AIはすでにソーシャル・エンジニアリング攻撃の質と量を高めているが(大規模なディープフェイクやパーソナライズされたフィッシングなど)、ここでは技術的な攻撃ベクトルに重点を置き、人的要因にはあまり触れない。しかし、ソーシャル・エンジニアリング攻撃は最も一般的な攻撃の一つであり、AIがこの種の攻撃に強い影響を与えていることは言及しておく。
Konkret geht es uns nicht darum, alle Möglichkeiten in diesem weiten Feld zu erörtern. Ziel dieses Berichts ist es, KI-gestützte Anwendungen zu identifizieren, die bereits für den offensiven Einsatz verfügbar sind und zu bewerten, wie sich diese Bedrohungen in naher Zukunft entwickeln könnten. Dazu gehören auch Tools und Anwendungen mit doppeltem Verwendungszweck (sog. Dual-Use-Güter), wie z. B. Penetrationstests, die sowohl beim ethischen Red-Teaming als auch bei kriminellen Aktivitäten helfen können. Wir befassen uns auch mit den Sorgen hinsichtlich einer autonomen Hacker-KI, die gelegentlich in den Medien geäußert werden (1) (2).  具体的には、この広範な分野におけるすべての可能性を議論することには興味がない。本報告書の目的は、すでに攻撃的利用が可能なAI搭載アプリケーションを特定し、近い将来、これらの脅威がどのように進化するかを評価することである。これには、倫理的なレッドチーミングと犯罪活動の両方に役立つ侵入テストなどのデュアルユースツールやアプリケーションも含まれる。また、メディア(1)(2)で時折指摘される自律型ハッカーAIに関する懸念にも対処する。
In diesem Kapitel stellen wir unsere wichtigsten Ergebnisse und Empfehlungen vor. In den folgenden Kapiteln geben wir einen Überblick über verschiedene Bereiche offensiver KI-Anwendungen.  本章では、我々の主な発見と提言を紹介する。以下の章では、攻撃的AIのさまざまな応用分野について概観する。
1.1 Ergebnisse  1.1 調査結果 
Auf der Grundlage einer Literaturrecherche und der Bewertung verschiedener Tools und Projekte fassen wir die wichtigsten Ergebnisse wie folgt zusammen:  文献調査と様々なツールやプロジェクトの評価に基づき、主な発見を以下にまとめる: 
    KI, insbesondere LLMs, senkt die Einstiegshürden und erhöht Umfang und Geschwindigkeit bösartiger Handlungen, einschließlich der Erstellung von Malware, Social-Engineering-Angriffen und der Datenanalyse im Rahmen von Angriffen. Dies führt zu fähigeren Angreifern und qualitativ besseren Angriffen.      AI、特にLLMは、マルウェアの作成、ソーシャル・エンジニアリング攻撃、攻撃内のデータ分析など、悪意のある行為への参入障壁を低くし、その規模と速度を向上させる。これにより、攻撃者の能力が高まり、攻撃の質が向上する。
    Angreifer und Verteidiger profitieren von allgemeinen Produktivitätssteigerungen durch den Einsatz von LLMs, z. B. für die Aufklärung und Open-Source-Intelligenz (z. B. durch das Crawlen und Analysieren von Websites und sozialen Medien) oder die Codegenerierung (z. B. Programmierassistenten).      攻撃者と防御者は、偵察やオープンソースインテリジェンス(ウェブサイトやソーシャルメディアのクロールと分析など)やコード生成(プログラミングウィザードなど)のためにLLMを使用することで、一般的な生産性向上の恩恵を受ける。
    Es gibt Proof of Concepts (PoC) und Projekte, die KI für die autonome Generierung und Mutation von Malware einsetzen. Öffentlich verfügbaren Modelle sind bisher allerdings noch nicht „produktionsreif“.      マルウェアの自律的な生成や変異にAIを利用する概念実証(PoC)やプロジェクトが存在する。しかし、一般に利用可能なモデルはまだ「量産可能」ではない。
    Tools, die Angriffe oder Exfiltrationspfade optimieren, werden derzeit auf einzelne Netzwerke trainiert. Sie sind bis heute nicht verallgemeinerbar und existieren (öffentlich verfügbar) nur als PoCs.     攻撃や流出経路を最適化するツールは現在、個々のネットワークで訓練されている。現在までのところ、一般化することはできず、PoCとしてのみ存在する(公開されている)。
    Agenten, die eigenständig beliebige Infrastrukturen kompromittieren, sind noch nicht verfügbar und werden es wahrscheinlich auch in naher Zukunft nicht sein. LLM-basierte Agenten, die Teile eines Angriffs automatisieren, werden jedoch in naher Zukunft verfügbar sein.      独立してあらゆるインフラを侵害できるエージェントは、まだ利用可能ではないし、近い将来そうなる可能性も低い。しかし、攻撃の一部を自動化するLLMベースのエージェントは、近い将来利用可能になるだろう。
    KI kann bei der automatischen Erkennung von Sicherheitslücken eingesetzt werden. Dies ist ein aktives Forschungsgebiet und es sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. In Zukunft wird es für Open-Source-Projekte von entscheidender Bedeutung sein, diese Art von Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun.      AIは、セキュリティ脆弱性の自動検出に利用できる。これは活発な研究分野であり、商用製品だけでなく、オープンソースのツールもいくつかある。将来的には、オープンソースプロジェクトが、悪意ある行為者に先んじて、この種のツールを積極的に活用することが重要になるだろう。
Unsere wichtigsten Ergebnisse stimmen insgesamt mit einem kürzlich veröffentlichten Bericht des britischen National Cyber Security Centre überein (3).  全体として、我々の主要な調査結果は、英国国立サイバー・セキュリティ・センター(National Cyber Security Centre)が最近発表した報告書(3)と一致している。
1.2 Empfehlungen  1.2 提言 
Angesichts der sich verändernden Bedrohungslandschaft ist es wichtig, der Cybersicherheit höchste Priorität einzuräumen. Es wird entscheidend sein, die Geschwindigkeit und den Umfang der Abwehrmaßnahmen zu erhöhen, insbesondere, aber nicht ausschließlich, durch  脅威の状況の変化を考えると、サイバーセキュリティを優先することが重要である。防御のスピードと範囲を向上させることが重要であり、特に以下が重要である。
・    Verbesserung des Patchmanagements,  ・    パッチ管理を改善する、 
・    Aufbau einer resilienten IT-Infrastruktur,  ・    回復力のあるITインフラを構築する、 
・    Verbesserung der Angriffserkennung,  ・    攻撃検知能力の向上 
    Verstärkung der Social-Engineering-Prävention (z. B. Sensibilisierungsschulung, Multi-FaktorAuthentifizierung, Zero-Trust-Architektur) sowie      ソーシャル・エンジニアリング対策の強化(意識向上トレーニング、多要素認証、ゼロ・トラスト・アーキテクチャーなど)。
    Nutzung der allgemeinen Vorteile der KI für Verteidigungsmaßnahmen (z. B. Erkennung von Bedrohungen und Schwachstellen).      AIの一般的な利点を防御対策に活用する(脅威や脆弱性の検出など)。
Da KI häufig klassische Angriffe verstärkt, fallen auch diese Maßnahmen weitgehend in den Bereich der klassischen IT-Sicherheit.  AIは伝統的な攻撃を強化することが多いため、これらの対策も大部分が伝統的なITセキュリティの範囲に含まれる。
1.3 Limitierungen  1.3 制限事項 
Sowohl Cybersicherheit als auch Künstliche Intelligenz unterliegen einem ständigen Wandel, weshalb es wichtig ist, Veränderungen und neue Entwicklungen bezüglich der Bedrohungslandschaft weiterhin zu beobachten. Zwar gibt es noch keine autonomen Hackeragenten, aber es ist schwierig, Programme fähiger Akteure zuverlässig zu bewerten oder technische Durchbrüche vorherzusagen. Bei unserer derzeitigen Bewertung der Auswirkungen von KI auf die Cyberbedrohungslandschaft gehen wir davon aus, dass es in naher Zukunft keine bedeutenden Durchbrüche bei der Entwicklung von KI, insbesondere von LLMs, geben wird. Sollte sich diese Annahme nicht bewahrheiten, müssen die Auswirkungen neu bewertet werden.  サイバーセキュリティも人工知能も常に変化しており、脅威の状況の変化や新たな展開を監視し続けることが重要な理由である。自律的なハッキング・エージェントはまだ存在しないが、有能な行為者のプログラムを確実に評価したり、技術的なブレークスルーを予測したりすることは難しい。サイバー脅威の状況に対するAIの影響に関する我々の現在の評価では、近い将来、AI、特にLLMの開発に大きなブレークスルーは起きないと仮定している。この仮定が実現しない場合は、影響を再評価する必要がある。
2  Auswirkungen großer Sprachmodelle  2 大規模言語モデルの影響 
Mit der Veröffentlichung von ChatGPT im November 2022 hat ein Wettbewerb um die Führung auf dem Markt für Chatbots begonnen. Es werden ständig neue Produkte und Sprachmodelle veröffentlicht, die erhebliche Leistungssprünge versprechen. Infolgedessen ist es nun für praktisch jedermann möglich, auf leistungsstarke Sprachmodelle zuzugreifen, welche Ergebnisse von bisher unerreichter Qualität liefern. Die Leistung und Verfügbarkeit dieser Sprachmodelle hat inzwischen verschiedene Branchen beeinflusst und wird auch den Cybersicherheitssektor nachhaltig beeinflussen.  2022年11月にChatGPTがリリースされ、チャットボット市場における主導権争いが始まった。パフォーマンスの大幅な飛躍を約束する新製品や言語モデルが次々とリリースされている。その結果、前例のない品質の結果をもたらす強力な言語モデルに、事実上誰でもアクセスできるようになった。こうした言語モデルの性能と利用可能性は、今やさまざまな業界に影響を及ぼしており、サイバーセキュリティ分野にも永続的な影響を与えるだろう。
Für cybersicherheitsrelevante Anwendungen können LLMs hilfreich sein, indem sie direkt über eine Web oder mobile App (in der Regel als Chatbot) aufgerufen werden. Es ist auch möglich, den API-Zugang zu nutzen, um LLMs in bestehende Tools (z. B. Reverse-Engineering-Tools oder Penetrationtestframeworks) zu integrieren oder neue Anwendungen zu entwickeln. Methoden und Anwendungen im Bereich der Cybersicherheit weisen Dual-Use-Eigenschaften auf, wobei ihre ethische Anwendung von den Absichten des Nutzers abhängt. Dieser Grundsatz gilt auch für die Verwendung von LLMs im Bereich der Cybersicherheit. Ob die Verwendung gutartig oder bösartig ist, hängt von der Absicht des Benutzers ab. Leider ist es für Benutzer mit schlechten Absichten leicht, die Fähigkeiten von LLMs zu missbrauchen. Neben allgemeinen Produktivitätsgewinnen für böswillige Akteure sehen wir derzeit eine böswillige Nutzung vor allem in zwei Bereichen: Social Engineering und Generierung von bösartigem Code.  サイバーセキュリティ関連のアプリケーションでは、LLMをウェブやモバイルアプリ(通常はチャットボットとして)を介して直接呼び出すことで役立てることができる。また、APIアクセスを利用して、LLMを既存のツール(リバースエンジニアリングツールや侵入テストフレームワークなど)に統合したり、新しいアプリケーションを開発したりすることも可能だ。サイバーセキュリティ分野の手法やアプリケーションは、倫理的な適用が利用者の意図に依存するという二重使用の特性を持つ。この原則は、サイバーセキュリティにおける LLM の使用にも適用される。使用が良性か悪性かは、使用者の意図に依存する。残念ながら、悪意のあるユーザーがLLMの機能を悪用することは容易である。悪意のある行為者の一般的な生産性向上に加え、現在、ソーシャル・エンジニアリングと悪意のあるコード生成という2つの主要分野で悪意のある利用が見られる。
Der einfache Zugang zu hochwertigen LLMs ermöglicht es, selbst mit geringen oder gar keinen Fremdsprachenkenntnissen automatisch überzeugende Phishing-Nachrichten von hoher Qualität zu erstellen. Die Anweisungen können mit zusätzlichem Kontext ergänzt werden, um die Nachrichten zu personalisieren oder einen bestimmten Schreibstil zu verwenden, was zu überzeugenden Nachrichten führt. Herkömmliche Methoden zur Erkennung betrügerischer Nachrichten, wie z. B. die Prüfung auf Rechtschreibfehler und unkonventionellen Sprachgebrauch, reichen daher nicht mehr aus. LLMs können auch eingesetzt werden, um die Erfolgsquote von Phishingangriffen weiter zu erhöhen, indem beispielsweise plausible Domainnamen und URLs generiert werden. Die Kombination eines LLM mit anderen generativen KI-Techniken, wie z. B. Deepfakes für Bild- und Audioinhalte, ermöglicht es böswilligen Akteuren, SocialEngineering-Angriffe von noch nie dagewesener Qualität durchzuführen.  高品質のLLMに簡単にアクセスできるため、外国語の知識がほとんどなくても、説得力のある高品質のフィッシング・メッセージを自動的に作成することができる。メッセージをパーソナライズしたり、特定の文体を使用したりするために、追加の文脈で指示を補足することができ、説得力のあるメッセージを作成することができる。そのため、スペルミスや型にはまった言葉の使い方をチェックするといった従来の詐欺メッセージの認識方法ではもはや不十分である。LLMはまた、例えばもっともらしいドメイン名やURLを生成することで、フィッシング攻撃の成功率をさらに高めるために使用することもできる。LLMと、画像や音声コンテンツに対するディープフェイクのような他の生成AI技術を組み合わせることで、悪意のある行為者は、これまでにない質のソーシャル・エンジニアリング攻撃を行うことができる。
Es ist in der Regel schwierig, einen bestimmten Angriff mit der Verwendung eines LLM in Verbindung zu bringen, da dies eng mit dem Problem der Erkennung von KI-generierten Inhalten im Allgemeinen verbunden ist. Berichte in den Medien, von Sicherheitsberatungsunternehmen und Regierungsbehörden sowie Untersuchungen auf Marktplätzen liefern jedoch eindeutige Beweise für die Verwendung von LLMs durch böswillige Akteure, einschließlich sog. Advanced Persistent Threats (4).  これはAIが生成したコンテンツ全般を認識する問題と密接に関連しているため、特定の攻撃とLLMの使用を結びつけることは通常困難である。しかし、メディア、セキュリティ・コンサルタント会社、政府機関からの報告や、市場における調査から、高度持続的脅威(Advanced Persistent Threats)(4)を含む悪意のある行為者がLLMを使用している明確な証拠が得られている。
Die Fähigkeit von LLM, schädlichen Code zu generieren, verändert auch die Cyberbedrohungslandschaft, da sie insbesondere die Einstiegshürden für Personen, die bösartige Aktivitäten durchführen wollen, senkt, indem sie es auch Personen mit begrenzten technischen Kenntnissen ermöglicht, anspruchsvollen schädlichen Code zu produzieren (5). Auch bereits fähige Akteure profitieren von Produktivitätssteigerungen. Die Anbieter von Chatbots oder offenen LLMs treffen in der Regel Vorkehrungen um sicherzustellen, dass ihre Produkte nicht missbraucht werden können. Es werden Filtersysteme eingesetzt, um unerwünschte Ausgaben zu verhindern. Diese Systeme sind in der Regel nützlich, um einfache Aufforderungen mit böswilligen Absichten, wie z. B. „Erstelle mir Code für Ransomware“, abzufangen. Es ist jedoch oft nur wenig Aufwand und Wissen über die Domäne erforderlich, um diese Systeme zu umgehen. Da die Filterung immer ein Kompromiss zwischen der Verhinderung unerwünschter Ausgaben und der gleichzeitigen Bereitstellung eines Systems mit hohem Nutzen ist, ist es fraglich, inwieweit solche Filterungen Missbrauch wirksam verhindern können.  LLMが悪意のあるコードを生成できるようになったことで、サイバー脅威の状況も変化している。特に、技術的な知識に乏しい者でも洗練された悪意のあるコードを生成できるようになったことで、悪意のある活動を行おうとする者の参入障壁が低くなった(5)。すでに能力のある行為者も、生産性の向上から利益を得ている。チャットボットやオープンLLMのプロバイダーは通常、製品が悪用されないように予防措置を講じている。不要な出力を防ぐためにフィルタリングシステムが使用される。これらのシステムは通常、「ランサムウェアのコードを作って」といった悪意のある単純なリクエストを傍受するのに役立つ。しかし、これらのシステムをバイパスするためには、少しの努力とドメインの知識が必要であることが多い。フィルタリングは常に、不要なアウトプットを防ぐことと、同時に高い実用性を持つシステムを提供することの妥協点であるため、このようなフィルタリングがどの程度まで効果的に悪用を防ぐことができるかは疑問である。
Die Nutzung eines Chatbots, der von einem Onlinedienst bereitgestellt wird, der ein System zur Verhinderung unethischer Ausgaben einsetzt, ist nicht die einzige Möglichkeit, auf ein LLM zuzugreifen. Weitere Möglichkeiten sind die Verwendung von „Jailbreaks“ (Nutzereingaben, die bestehende Filter und Anweisungen außer Kraft setzen), die Verwendung von Diensten, die die Ausgabe nicht rigoros filtern oder die Verwendung „unzensierter“ öffentlicher Modelle. Zusätzliche Schritte zur Umgehung der Filter, wie sie oben erwähnt wurden, sind hier nicht erforderlich. 非倫理的な支出を防止するシステムを利用するオンライン・サービスが提供するチャットボットを利用することだけが、LLMにアクセスする唯一の方法ではない。他の可能性としては、「ジェイルブレイク」(既存のフィルタリングや指示を上書きするユーザー入力)の使用、出力を厳密にフィルタリングしないサービスの使用、「検閲されていない」公開モデルの使用などがある。上記のようなフィルターを迂回するための追加ステップは、ここでは必要ない。
3 KI-basierte Schadcodegenerierung  3 AIベースの悪意あるコード生成 
Malware ist der Sammelbegriff für schädliche Software, wie z.B. Ransomware, Würmer oder Trojaner. Oft ist es das Ziel von Angreifern, Malware auf einem Zielcomputer zu platzieren, sei es über Exploits oder durch Social Engineering. Maßnahmen wie Virenscanner bekämpfen solche Software, indem sie Schadcode erkennen und das Ausführen unterbinden. Dies führt zu einem Wettrüsten zwischen den Angreifern, die neue Malware entwickeln, und den Verteidigern, die ihre Verteidigungsmaßnahmen anpassen, um neue Bedrohungen abzuwehren.  マルウェアとは、ランサムウェア、ワーム、トロイの木馬などの悪意のあるソフトウェアの総称である。攻撃者は多くの場合、エクスプロイトやソーシャル・エンジニアリングによって、標的のコンピューターにマルウェアを仕掛けることを目的としている。ウイルススキャナーなどの対策は、悪意のあるコードを認識し、その実行を阻止することで、このようなソフトウェアに対抗する。これは、新たなマルウェアを開発する攻撃者と、新たな脅威を撃退するために防御を適応させる防御者との間の軍拡競争につながる。
Daher ist es interessant zu untersuchen, wie KI die Erstellung und Verwendung von Malware beeinflusst. Im Rahmen unserer Recherchen haben wir mehrere Möglichkeiten gefunden, wie KI in diesem Bereich eingesetzt wird. Die Modelle reichen von LLMs über GANs (Generative Adversial Networks) bis hin zu Reinforcement-Learning-Systemen und sie werden für verschiedene Zwecke eingesetzt.  したがって、AIがマルウェアの作成と使用にどのような影響を与えるかを調査することは興味深い。我々の調査では、この分野でAIが使用されているいくつかの方法を発見した。そのモデルは、LLMからGAN(Generative Adversial Networks:生成逆行ネットワーク)、強化学習システムまで多岐にわたり、それぞれ異なる目的で使用されている。
Erstens ermöglicht KI Akteuren mit geringen oder gar keinen technischen Kenntnissen, Malware einfacher zu erstellen. Sie brauchen kein tiefes Verständnis für die Programmierung oder die Funktionsweise von Malware und können ihre Anfrage in natürlicher Sprache stellen.  第一に、AIによって、技術的な知識がほとんどない、あるいはまったくない行為者でも、より簡単にマルウェアを作成できるようになる。彼らはプログラミングやマルウェアの仕組みについて深く理解する必要がなく、自然言語で要求することができる。
Weiterhin besteht die Sorge, dass KI dazu verwendet werden könnte, eigenständig Malware zu schreiben. Dies geht einen Schritt weiter als die bloße Unterstützung menschlicher Akteure. LLMs können bereits einfache Malware schreiben, aber wir haben keine KI gefunden, die eigenständig in der Lage ist, fortgeschrittene, bisher unbekannte Malware zu schreiben (z. B. mit komplizierten Verschleierungsmethoden oder Zero-DayExploits). Die erforderlichen Trainingsdaten über Malware und Schwachstellen wären zudem nur sehr schwer und teuer zu erstellen.  また、AIが単独でマルウェアの作成に利用されることも懸念されている。これは、単に人間の行為者を支援するよりも一歩進んでいる。LLMはすでに単純なマルウェアを作成することができるが、高度で未知のマルウェアを自力で作成できるAIは見つかっていない(複雑な難読化手法やゼロデイ・エクスプロイトなど)。マルウェアや脆弱性に関する必要な学習データを作成するのも、非常に困難でコストがかかるだろう。
Als nächstes kann KI dabei helfen, Malware zu modifizieren. Dies ist realistischer als Malware von Grund auf neu zu erstellen und es existieren bereits mehrere Forschungsarbeiten über die Modifizierung von Malware durch KI. Dies geschieht meist in einem Featureraum, nicht auf der eigentlichen Codeebene, und mit dem Ziel, eine Entdeckung zu vermeiden. Allerdings findet dies bislang in einem eher akademischen Umfeld statt und wir haben keine Hinweise darauf gefunden, dass diese Modelle bereits eingesetzt werden. Außerdem gibt es kein ausgefeiltes Tool, sondern nur PoCs und Forschungsprojekte. Dieser Ansatz eignet sich nur für hochqualifizierte Akteure, sowohl im Bereich Malware als auch KI, zudem ist für das Training solcher Tools ist eine gute Datenbasis erforderlich.  次に、AIはマルウェアの改変を支援することができる。これは、ゼロからマルウェアを作成するよりも現実的であり、AIによるマルウェアの改変に関する研究論文もすでにいくつかある。これは通常、実際のコードレベルではなくフィーチャー・ルームで行われ、検知を回避することを目的としている。しかし、これまでのところ、これはよりアカデミックな環境で行われており、これらのモデルがすでに使用されているという証拠は見つかっていない。さらに、洗練されたツールはなく、PoCと研究プロジェクトのみである。このアプローチは、マルウェアとAIの両方において、高度に熟練した行為者にのみ適しており、そのようなツールを訓練するには優れたデータベースが必要である。
Schließlich möchten wir noch KI als Teil der Malware erwähnen. Hier erstellt die KI nicht die Malware an sich, sondern ist in die Funktionalität der Malware integriert. Oft ist das Ziel, die Malware zu verschleiern und damit zu verhindern, dass sie entdeckt wird. Um einer Entdeckung zu entgehen, existieren so genannte polymorphe Engines, die den Code der Malware verändert, während ihre Funktionalität erhalten bleibt. Eine Anwendung von KI in diesem Bereich ist zumindest denkbar. Dabei würde die Manipulation des Codes durch ein KI-Modell bestimmt werden. Zum jetzigen Zeitpunkt gibt es keine Hinweise darauf, dass ein solches Modell im Einsatz ist, obwohl es viele Warnungen vor einer solchen theoretischen Möglichkeit gibt. Eine andere Möglichkeit wäre, ein KI-Modell so zu trainieren, dass es das Benutzerverhalten nachahmt, so dass die Aktionen der Malware weniger auffällig sind.  最後に、マルウェアの一部としてのAIについて触れておきたい。この場合、AIはマルウェア自体を作成するのではなく、マルウェアの機能に組み込まれる。その目的は多くの場合、マルウェアを偽装し、検知されないようにすることである。検知を回避するために、マルウェアの機能を保持したままコードを変更する、いわゆるポリモーフィック・エンジンが存在する。この分野にAIを応用することは、少なくとも考えられる。コードの操作はAIモデルによって決定される。現段階では、そのようなモデルが使用されているという証拠はないが、そのような理論的可能性については多くの警告がなされている。もう一つの可能性は、マルウェアの行動が目立たないように、ユーザーの行動を模倣するAIモデルを訓練することだろう。
4 KI-basierte Angriffe  4 AIベースの攻撃 
Das interessanteste Tool für cyberkriminelle Aktivitäten wäre eine KI, die das Ziel als Eingabe erhält (sei es ein IP-Bereich oder ein Name) und alle Schritte eines Cyberangriffs völlig selbstständig durchführt. Die Strategie- und Abstraktionsfähigkeiten der neusten KI-Technologien machen sie zu erstklassigen Kandidaten für die Entwicklung eines solchen Tools. Aus der Sicht eines Penetrationstesters wäre dies ein nützliches Werkzeug, um Systeme zu härten und den Zeitaufwand für die Durchführung von Penetrationstests zu verringern. Hierbei handelt es sich um ein aktuelles Forschungsfeld und es werden Anstrengungen unternommen, ein solches Tool zu entwickeln.  サイバー犯罪活動にとって最も興味深いツールは、ターゲット(IPレンジであれ名前であれ)を入力として受け取り、サイバー攻撃のすべてのステップを完全に自律的に実行するAIだろう。最新のAI技術の戦略性と抽象化能力は、そのようなツールの開発に最適な候補となる。侵入テスト実施者の観点からすれば、これはシステムを堅牢化し、侵入テストに要する時間を短縮するための有用なツールとなるだろう。これは現在の研究分野であり、このようなツールを開発するための努力がなされている。
In diesem Bereich sind Reinforcement-Learning-Systeme ein gängiger Ansatz, da diese in der Lage sind, mit einer Umgebung zu interagieren, daraus zu lernen und langfristige Strategien zu entwickeln. Kürzlich wurden auch LLMs als Lösung für dieses Problem vorgeschlagen. In unserer Forschung haben wir kein Werkzeug gefunden, das diese Aufgabe vollständig lösen kann. Es gibt jedoch einige Tools, die Teile des Prozesses automatisieren. Meistens handelt es sich bei diesen Tools um akademische Projekte oder PoCs, die nicht besonders benutzerfreundlich oder ausgefeilt sind. Oft ist der Anwendungsbereich dieser Tools entweder sehr groß oder sehr klein. Im großen Maßstab betrachten beispielsweise Tools zur Planung von Angriffswegen eine abstrakte Version eines Zielnetzes und planen einen optimalen Angriffsweg. Ein aktiver Angriff findet dabei nicht statt. Ähnlich verhält es sich mit Modellen, die optimale Exfiltrationspfade für Systeme finden.  この分野では、環境と相互作用し、そこから学習し、長期的な戦略を立てることができる強化学習システムが一般的なアプローチである。最近では、LLMもこの問題の解決策として提案されている。我々の研究では、この課題を完全に解決できるツールは見つかっていない。しかし、プロセスの一部を自動化するツールはいくつかある。ほとんどの場合、これらのツールは学術的なプロジェクトやPoCであり、特にユーザーフレンドリーでも洗練されているわけでもない。多くの場合、これらのツールの適用範囲は非常に大きいか小さいかのどちらかである。大規模なものでは、例えば攻撃経路計画ツールはターゲット・ネットワークの抽象的なバージョンを見て、最適な攻撃経路を計画する。能動的な攻撃は行われない。システムの最適な流出経路を見つけるモデルも状況は似ている。
Auf der anderen Seite gibt es Tools, die explizit auf ein einzelnes, spezifisches Netzwerk trainiert sind und versuchen, dort einen erfolgreichen Angriff zu starten. Dies erfordert Kenntnisse über das Zielnetzwerk, sowie eine Trainingsphase, die kaum unbemerkt bleiben wird. Außerdem lässt sich ein trainierter Agent nicht ohne weiteres auf andere Netze verallgemeinern. Die Umgebungen verschiedener Systeme und Netze unterscheiden sich stark in Größe und verfügbaren Aktionen. Das macht eine Verallgemeinerung sehr schwierig. Außerdem ist eine sehr große Trainingsdatenmenge erforderlich, um die Fülle der Optionen abzudecken. Diese Probleme machen den Schritt von einem Konzeptnachweis zu einer realen, allgemeinen Anwendung zu einem schwierigen, wahrscheinlich derzeit ungelösten Problem. LLMs könnten ein Ansatz sein, um die Verallgemeinerbarkeit zu verbessern.  一方、単一の特定のネットワークに対して明示的に学習させ、そこで攻撃を成功させようとするツールもある。これにはターゲット・ネットワークに関する知識と、気付かれにくい訓練段階が必要となる。さらに、訓練されたエージェントを単純に他のネットワークに一般化することはできない。異なるシステムやネットワークの環境は、規模も利用可能なアクションも大きく異なる。そのため、汎化は非常に困難である。さらに、豊富な選択肢をカバーするためには、非常に大量の学習データが必要となる。これらの問題により、概念実証から実際の一般化されたアプリケーションへのステップアップは困難であり、おそらく現在のところ未解決の問題である。LLMは、汎化可能性を向上させる1つのアプローチとなり得る。
Es gibt mehrere Tools, die das Pentesting durch KI-Assistenten unterstützen. Nach Tests haben wir festgestellt, dass diese Tools vor allem als Unterstützung für Personen dienen, die versuchen, einen Angriff zu starten und dadurch die Einstiegsschwelle senken.  AIアシスタントによるペンテストをサポートするツールはいくつかある。テストした結果、これらのツールは主に攻撃を開始しようとする人のサポートとして機能し、それによって参入の敷居を下げていることがわかった。
Ein anderer Ansatz für LLMs ist, ähnlich wie bei den oben genannten Tools, bestimmte Teile der Angriffskette zu automatisieren. Hier ist vor allem die Aufklärungsphase zu nennen, aber auch andere Schritte wie die Analyse von Serverantworten. Die Anwendung von KI als vollautomatisches Angriffswerkzeug ist ein Bereich, der intensiv erforscht wird. Wir erwarten weitere Projekte und Tools in diesem Bereich, insbesondere solche, die sich auf die Verwendung von LLMs und generativer KI konzentrieren.  LLMのもう一つのアプローチは、上述のツールと同様、攻撃チェーンの特定の部分を自動化することである。これには主に偵察段階が含まれるが、サーバー応答の分析など他の段階も含まれる。完全に自動化された攻撃ツールとしてのAIの使用は、現在、集中的に研究されている分野である。この分野では、特にLLMや生成的AIの利用に焦点を当てたプロジェクトやツールの増加が期待される。
5 Weitere Schnittstellen zwischen KI und Cybersicherheit  5 AIとサイバーセキュリティのさらなるインターフェース 
In diesem Abschnitt geben wir einen Überblick über andere Bereiche, in denen sich KI und Cybersicherheitsanwendungen überschneiden. Der sichtbarste davon die Integration von LLMs in diverse Tools, wie sie auch in anderen Bereichen stattfindet.  このセクションでは、AIとサイバーセキュリティ・アプリケーションが交差するその他の分野の概要を説明する。その中で最も目につくのは、他の分野でも起こっているように、LLMを様々なツールに統合することである。
LLMs wurden bereits in IDEs (integrierte Entwicklungsumgebungen) integriert und es gibt Plugins für Reverse-Engineering- oder Penetrationstest-Tools. Diese Plugins rufen in der Regel die API eines LLMAnbieters mit einer vorgefertigten Anweisung und Inhalten aus der jeweiligen Anwendung auf, das Ergebnis wird dann innerhalb der Anwendung angezeigt. Der Nutzen im Vergleich zur direkten Verwendung des LLM, beispielsweise im Browser (zusammen mit dem Kopieren und Einfügen des jeweiligen Inhalts), ist derzeit noch begrenzt.  LLMはすでにIDE(統合開発環境)に統合されており、リバースエンジニアリングや侵入テストツール用のプラグインもある。これらのプラグインは通常、LLMプロバイダーのAPIを、それぞれのアプリケーションから用意された命令とコンテンツで呼び出し、その結果をアプリケーション内に表示する。LLMを直接、例えばブラウザで(それぞれのコンテンツをコピー・アンド・ペーストして)使用するのに比べ、利点は今のところまだ限られている。
KI wird auch bei der automatischen Erkennung von Sicherheitslücken eingesetzt. Aufgrund ihrer Vorteile für die Softwareentwicklung ist dies ein aktives Forschungsgebiet und es sind mehrere Open-Source-Tools sowie kommerzielle Produkte verfügbar. Die Analyse von Open-Source-Anwendungen mit diesen Tools ist sehr einfach durchführbar. Daher ist es für Open-Source-Projekte von entscheidender Bedeutung, diese Art von Tools proaktiv zu nutzen, bevor böswillige Akteure dies tun. Obwohl für die Analyse in der Regel der Quellcode benötigt wird, ist es in Kombination mit Reverse-Engineering-Tools bis zu einem gewissen Grad möglich, Methoden zur Erkennung von Schwachstellen bei Closed-Source-Anwendungen einzusetzen. Es gibt Projekte, die diesen Prozess mithilfe eines LLM automatisieren. Die Ergebnisse sind jedoch je nach Komplexität des Codes und der Verschleierungstechniken sehr unterschiedlich.  AIは、セキュリティ脆弱性の自動検出にも使われている。ソフトウェア開発にとって有益であるため、これは活発な研究分野であり、商用製品だけでなく、いくつかのオープンソースツールも利用可能である。これらのツールを使ってオープンソースのアプリケーションを分析することは非常に簡単である。したがって、オープンソースプロジェクトにとって、悪意のある行為者が行う前に、この種のツールを積極的に活用することは極めて重要である。分析には通常ソースコードが必要であるが、リバースエンジニアリングツールと組み合わせて、クローズドソースアプリケーショ ンの脆弱性検出手法を使用することはある程度可能である。LLMを使ってこのプロセスを自動化するプロジェクトもある。しかし、結果はコードの複雑さや難読化技術によって大きく異なる。
Captchas werden allgegenwärtig eingesetzt, um zwischen automatisierten Bots und echten menschlichen Nutzern durch verschiedene Aufgaben wie verzerrte Text- oder Bilderkennungsaufgaben zu unterscheiden und so bösartige Aktivitäten wie Spamming, Brute-Force-Angriffe und Data Scraping zu verhindern, indem sie menschenähnliche Antworten verlangen. Methoden zur Umgehung von Captchas gibt es jedoch schon seit ihrer Erfindung. Heutzutage wird auch KI für diesen Zweck eingesetzt und die Auswahl an solchen Tools und Online-Diensten, die gute Ergebnisse liefern, ist groß.  キャプチャは、偏ったテキストや画像認識タスクなどの様々なタスクを通じて、自動化されたボットと実際の人間ユーザーを区別するためにユビキタスに使用されており、人間のような応答を要求することで、スパム、総当たり攻撃、データスクレイピングなどの悪意のある行為を防止している。しかし、キャプチャを回避する方法は、発明当初から存在していた。現在では、AIもこの目的に使用され、良い結果をもたらすそのようなツールやオンラインサービスが幅広く存在する。
KI wird auch zum Erraten von Passwörtern eingesetzt. Ausgehend von der Annahme, dass bestimmte Arten von Passwörtern mit größerer Wahrscheinlichkeit von Menschen verwendet werden, werden die Regeln für Passwortkandidaten aus Daten gelernt, im Gegensatz zu bestehenden Tools zum Erraten von Passwörtern, bei denen diese Regeln von Hand ausgearbeitet werden. Durch diverse Leaks existieren hierfür viele Trainingsdaten.  AIはパスワードの推測にも使われる。ある種のパスワードは人間が使用する可能性が高いという仮定に基づき、パスワードの候補のルールはデータから学習される。このための学習データは、様々なリークによって数多く存在する。
Da jeder bestrebt ist, KI in seine Prozesse zu integrieren, wird die Gefahr von eingebetteter Malware in der KI oder in Daten immer größer. Es gibt bereits Fälle, in denen Malware in den Parametern neuronaler Netze verschlüsselt ist, wobei die Nutzbarkeit des Modells kaum verändert ist. Schädlicher Code kann auch in trainierten Modellen versteckt sein, die häufig auf bestimmten Plattformen verbreitet werden (6). Außerdem können LLMs und das dazugehörige Ökosystem dazu missbraucht werden, bösartige Software an die Nutzer zu verteilen.  誰もがAIをプロセスに組み込もうとする中、AIやデータにマルウェアが埋め込まれるリスクは高まっている。マルウェアがニューラルネットワークのパラメータにエンコードされ、モデルの使い勝手がほとんど変わらないケースはすでにある。また、特定のプラットフォームで配布されることの多い学習済みモデルにも、悪意のあるコードが隠されている可能性がある(6)。さらに、LLMと関連するエコシステムが悪用されて、悪意のあるソフトウェアがユーザーに配布される可能性もある。
Auf der Hardwareseite der Angriffe sind Seitenkanalangriffe ein bekannter Angriffsvektor. Sie erfordern jedoch ein hohes Maß an technischem Können und Knowhow. Es gibt PoCs über KI-Modelle, die bei Seitenkanalangriffen helfen und diese möglicherweise für weniger erfahrene Angreifer leichter zugänglich machen.  ハードウェア側の攻撃としては、サイドチャネル攻撃が知られている。しかし、これには高度な技術力と専門知識が必要とされる。サイドチャネル攻撃を支援するAIモデルのPoCがあり、経験の浅い攻撃者でもアクセスしやすくなる可能性がある。
Seriöse Softwareanbieter haben damit begonnen, LLMs für den Kundensupport zu nutzen. In ähnlicher Weise könnten auch böswillige Akteure LLMs nutzen, um Malware-as-a-Service-Nutzern Unterstützung zu bieten. Technisch weniger versierte Opfer von Ransomwareangriffen sind oft mit der Beschaffung der für die Zahlung des Lösegelds erforderlichen Kryptowährung überfordert. Cyberkriminelle bieten bereits Unterstützung bei der Beschaffung und Zahlung an. Dieser Prozess kann durch den Einsatz von LLMs automatisiert und in verschiedenen Sprachen angeboten werden, um die Erfolgsquote zu erhöhen. 評判の良いソフトウェアベンダーは、カスタマーサポートにLLMを活用し始めている。同様に、悪意ある行為者もLLMを利用して、マルウェア・アズ・ア・サービスのユーザーにサポートを提供する可能性がある。ランサムウェア攻撃の被害者は、身代金の支払いに必要な暗号通貨の入手に追われることが多い。サイバー犯罪者はすでに、調達と支払いの支援を提供している。このプロセスをLLMを利用して自動化し、さまざまな言語で提供することで、成功率を高めることができる。

 

 


 

類似の報告書...

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.06 英国 NCSC AIによるサイバー脅威への短期的影響 - ランサムウェアの脅威はAIによって増加すると警告 (2024.01.24)

 

| | Comments (0)

2024.04.19

米国 欧州 オランダ Akiraランサムウェアについてのアラート

こんにちは、丸山満彦です。

米国のFBI、CISA、欧州のEuropol欧州サイバー犯罪センター (EC3)オランダのサイバーセキュリティセンター(NCSC-NL)が共同で、Akiraランサムウェアについてのアラートを公表していますね。。。

 

Cybersecurity and Infrastructure Security Agency; CISA

・2024.04.18 #StopRansomware: Akira Ransomware (AA24-109A)

 

#StopRansomware: Akira Ransomware #ランサムウェアを阻止せよ Akira・ランサムウェア
ACTIONS TO TAKE TODAY TO MITIGATE CYBER THREATS FROM AKIRA RANSOMWARE: Akira・ランサムウェアによるサイバー脅威を軽減するために、今日取るべき行動:
1. Prioritize remediating known exploited vulnerabilities. 1. 既知の悪用された脆弱性の修正を優先する。
2. Enable multifactor authentication (MFA) for all services to the extent possible, particularly for webmail, VPN, and accounts that access critical systems. 2. 可能な限りすべてのサービス、特にウェブメール、VPN、および重要なシステムにアクセスするアカウントについて、多要素認証(MFA)を有効にする。
3. Regularly patch and update software and applications to their latest version and conduct regular vulnerability assessments. 3. ソフトウェアやアプリケーションに定期的にパッチを当て、最新版に更新し、脆弱性評価を定期的に実施する。
SUMMARY 概要
Note: This joint Cybersecurity Advisory (CSA) is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. 注:この共同サイバーセキュリティ勧告(CSA)は、さまざまなランサムウェアの亜種やランサムウェアの脅威行為者について詳述した勧告をネットワーク防御者向けに公表する継続的な取り組み#StopRansomwareの一環である。これらの #StopRansomware アドバイザリには、組織がランサムウェアから保護するのに役立つ、最近および過去に観測された戦術、技術、手順(TTP)、および侵害の指標(IOC)が含まれている。stopransomware.govにアクセスして、すべての#StopRansomwareアドバイザリを参照し、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The United States’ Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), Europol’s European Cybercrime Centre (EC3), and the Netherlands’ National Cyber Security Centre (NCSC-NL) are releasing this joint CSA to disseminate known Akira ransomware IOCs and TTPs identified through FBI investigations and trusted third party reporting as recently as February 2024. 米国連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ局(CISA)、欧州刑事警察機構(Europol)の欧州サイバー犯罪センター(EC3)、オランダ国家サイバーセキュリティセンター(NCSC-NL)は、2024年2月の時点でFBIの調査および信頼できる第三者の報告を通じて特定された既知のAkiraランサムウェアのIOCおよびTTPを普及させるため、この共同CSAを発表する。
Since March 2023, Akira ransomware has impacted a wide range of businesses and critical infrastructure entities in North America, Europe, and Australia. In April 2023, following an initial focus on Windows systems, Akira threat actors deployed a Linux variant targeting VMware ESXi virtual machines. As of January 1, 2024, the ransomware group has impacted over 250 organizations and claimed approximately $42 million (USD) in ransomware proceeds. 2023年3月以降、Akiraランサムウェアは、北米、欧州、およびオーストラリアの広範な企業や重要インフラ事業体に影響を及ぼしている。2023年4月、Akiraの脅威当事者は、当初Windowsシステムに焦点を当てた後、VMware ESXi仮想マシンを標的とするLinuxの亜種を展開した。2024年1月1日の時点で、このランサムウェアグループは250以上の組織に影響を与え、ランサムウェアの収益として約4,200万ドル(米ドル)を請求している。
Early versions of the Akira ransomware variant were written in C++ and encrypted files with a .akira extension; however, beginning in August 2023, some Akira attacks began deploying Megazord, using Rust-based code which encrypts files with a .powerranges extension.  Akira threat actors have continued to use both Megazord and Akira, including Akira_v2 (identified by trusted third party investigations) interchangeably. Akiraランサムウェアの初期バージョンはC++で記述され、.akira拡張子でファイルを暗号化したが、2023年8月以降、一部のAkira攻撃は、.powerranges拡張子でファイルを暗号化するRustベースのコードを使用するMegazordを展開し始めた。 Akiraの脅威行為者は、Akira_v2(信頼できる第三者の調査によって特定された)を含むMegazordとAkiraの両方を互換的に使い続けている。
The FBI, CISA, EC3, and NCSC-NL encourage organizations to implement the recommendations in the Mitigations section of this CSA to reduce the likelihood and impact of ransomware incidents. FBI、CISA、EC3、NCSC-NL は、ランサムウェアインシデントの可能性と影響を低減するために、本 CSA の「緩和策」のセクションにある推奨事項を実施することを組織に推奨する。

 

・[PDF

20240419-83514

 

 

| | Comments (0)

2024.04.13

米国 CISA 次世代マルウェア解析サービスを提供 (2024.04.10)

こんにちは、丸山満彦です。

米国のCISAが次世代のマルウェア解析サービスを提供するようですよ...

米国の話ですが...「すべての組織、セキュリティ研究者、個人は、CISAの解析のために、この新しい自動化システムに登録し、疑わしいマルウェアを提出することが推奨される。」とのことです...

このシステムは米国連邦政府のシステムなので、米国連邦政府にマルウェアの情報が集まることにまりますかね...

 

Cybersecurity & Infrastructure Security Agency; CISA

1_20240413110501

プレス...

・2024.04.10 CISA Announces Malware Next-Gen Analysis

CISA Announces Malware Next-Gen Analysis CISA、マルウェア次世代解析を発表
Updated analysis system enhances scalability, streamlines workflow and empowers threat hunts  更新された解析システムにより、拡張性が強化され、ワークフローが合理化され、脅威ハントが強化される 
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) announces today a new release of our malware analysis system, called Malware Next-Gen, which allows any organization to submit malware samples and other suspicious artifacts for analysis. Malware Next-Gen allows CISA to more effectively support our partners by automating analysis of newly identified malware and enhancing the cyber defense efforts. ワシントン - サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、マルウェア解析システムの新リリース「Malware Next-Gen」を発表した。Malware Next-Genにより、CISAは新たに識別されたマルウェアの解析を自動化し、サイバー防御の取り組みを強化することで、パートナーをより効果的にサポートできるようになる。
Timely, actionable intelligence on malware, such as how it works and what it is designed to do, is crucial to network defenders conducting potential cyber incident response and/or threat hunts.  Malware Next-Gen provides advanced and reliable malware analysis on a scalable platform, capable of meeting the increasing demands of future workloads. The integrated system provides CISA analysts and operations community members with multilevel containment capabilities for the automatic analysis of potentially malicious files or uniform resource locators (URLs). マルウェアがどのように動作し、何をするように設計されているかなど、マルウェアに関するタイムリーで実用的なインテリジェンスは、潜在的なサイバーインシデント対応や脅威ハントを行うネットワーク防御者にとって極めて重要である。 Malware Next-Genは、スケーラブルなプラットフォーム上で高度で信頼性の高いマルウェア解析をプロバイダする。この統合システムは、潜在的に悪意のあるファイルやユニフォーム・リソース・ロケータ(URL)の自動解析のためのマルチレベルの封じ込め機能をCISAアナリストやオペレーション・コミュニティのメンバーに提供する。
“Effective and efficient malware analysis helps security professionals detect and prevent malicious software from enabling adversary access to persistence within an organization. Malware Next-Gen is a significant leap forward in CISA's commitment to enhancing national cybersecurity,” said CISA Executive Assistant Director for Cybersecurity Eric Goldstein. “Our new automated system enables CISA’s cybersecurity threat hunting analysts to better analyze, correlate, enrich data, and share cyber threat insights with partners. It facilitates and supports rapid and effective response to evolving cyber threats, ultimately safeguarding critical systems and infrastructure.” 「効果的かつ効率的なマルウェア解析は、セキュリティ専門家が悪意のあるソフトウェアを検知し、敵のアクセスから組織内での永続化を防ぐのに役立つ。CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタイン氏は、「マルウェアNext-Genは、国家のサイバーセキュリティ強化に対するCISAのコミットメントを大きく前進させるものだ。「我々の新しい自動化されたシステムによって、CISAのサイバーセキュリティ脅威調査アナリストは、データをより良く解析し、相関させ、充実させ、サイバー脅威に関する洞察をパートナーと共有することができる。これにより、進化するサイバー脅威への迅速かつ効果的な対応が促進・支援され、最終的に重要なシステムやインフラを守ることができる。
Since November, Malware Next-Gen has been available to .gov and .mil organizations. Nearly 400 registered users have submitted more than 1,600 files resulting in the identification of approximately 200 suspicious or malicious files and URLs, which were quickly shared with partners. While members of the public may submit a malware sample; only authorized, registered users are able to receive analytical results from submissions. 11月以来、Malware Next-Genは.govと.milの組織で利用可能になっている。約400人の登録ユーザーが1,600以上のファイルを提出した結果、約200の不審なファイルや悪質なファイル、URLが特定され、これらはすぐにパートナーと共有された。一般ユーザーもマルウェアサンプルを提出できるが、提出された解析結果を受け取ることができるのは、認可を受けた登録ユーザーのみである。
All organizations, security researchers and individuals are encouraged to register and submit suspected malware into this new automated system for CISA analysis. For more information, visit: Malware Next-Generation Analysis. すべての組織、セキュリティ研究者、個人は、CISAの解析のために、この新しい自動化システムに登録し、疑わしいマルウェアを提出することが推奨される。詳細については、以下を参照のこと: マルウェア次世代解析。

 

 

Malware Next-Generation Analysis

Malware Next-Generation Analysis マルウェア次世代解析
Description 説明
OMB Control No.: 1670-0037; Expiration Date: 10/31/2024 OMB管理番号:1670-0037、有効期限:2024年10月31日
CISA's Malware Next-Generation "Next-Gen" Analysis platform provides automated malware analysis support for all U.S. federal, state, local, tribal, and territorial government agencies. Analysis is performed by a combination of static and dynamic analysis tools in a secure environment and results are available in PDF and STIX 2.1 data formats.  CISAのマルウェア次世代「Next-Gen」解析プラットフォームは、米国のすべての連邦政府、州政府、地方政府、部族政府、および準州政府機関に自動マルウェア解析サポートを提供する。解析は、セキュアな環境で静的および動的解析ツールを組み合わせて実行され、解析結果はPDFおよびSTIX 2.1データ形式で入手できる。
Please note, the Malware Next-Gen Analysis platform is a U.S. government computer and information system. To receive analysis of any malware samples you submit to this system, you will need to create a user account and consent to monitoring of your activities. Access to this system is restricted to authorized users only and subject to rules of behavior.  Anyone who accesses this system without authorization, exceeds authorized access, or violates system rules of behavior could be subject to punitive actions, such as being barred from Malware Next Gen, as well as civil or criminal penalties. DO NOT PROCESS CLASSIFIED INFORMATION ON THIS SYSTEM. なお、Malware Next-Gen Analysisプラットフォームは米国政府のコンピュータおよび情報システムである。このシステムに提出したマルウェアサンプルの解析を受けるには、ユーザーアカウントを作成し、活動の監視に同意する必要がある。このシステムへのアクセスは認可ユーザーのみに制限され、行動規範に従う。 認可を受けずにこのシステムにアクセスした者、認可されたアクセスを超えた者、またはシステムの行動規則に違反した者は、民事上または刑事上の罰則だけでなく、Malware Next Genからのアクセス禁止などの懲罰的措置の対象となる可能性がある。このシステムで機密情報を処理しないこと。
User Acknowledgement on Login ログイン時のユーザー確認
Registered users accessing Malware Next Gen acknowledge and consent to the following terms:  Malware Next Genにアクセスする登録ユーザーは、以下の条項を認識し、同意するものとする: 
You are accessing a U.S. government information system, which includes (1) this computer, (2) this computer network, (3) all computers connected to this network, and (4) all devices and storage media attached to this network or to a computer on this network. This information system is provided for U.S. government-authorized use only. (1)このコンピュータ、(2)このコンピュータネットワーク、(3)このネットワークに接続されているすべてのコンピュータ、(4)このネットワークまたはこのネットワーク上のコンピュータに接続されているすべてのデバイスおよび記憶媒体を含む米国政府の情報システムにアクセスしている。本情報システムは、米国政府認可の使用目的にのみ提供される。
Unauthorized or improper use of this system may result in disciplinary action, as well as civil and criminal penalties. 本システムを無許可または不適切に使用した場合、懲戒処分を受けるだけでなく、民事上および刑事上の処罰を受ける可能性がある。
By using this information system, you understand and consent to the following: 本情報システムを利用することにより、利用者は以下を理解し、これに同意するものとする:
You have no reasonable expectation of privacy regarding communications or data transiting or stored on this information system. 利用者は、本情報システムに転送または保存されるコミュニケーションまたはデータに関して、プライバシーを合理的に期待することはできない。
At any time, and for any lawful government purpose, the government may monitor, intercept, and search any communication or data transiting or stored on this information system. 政府は、いつでも、合法的な政府の目的のために、本情報システムに転送または保存されるコミュニケーションまたはデータを監視、傍受、検索することができる。
Any communications or data transiting or stored on this information system may be disclosed or used for any lawful government purpose. 本情報システムに転送または保存されたコミュニケーションまたはデータは、政府の合法的な目的のために開示または使用される場合がある。
Login.gov Login.gov
Access to the Malware Next-Gen Analysis platform requires a login.gov account to complete a one-time registration to access the system. The Malware Next-Gen login page incorporates login.gov to authenticate or create an account.  Malware Next-Gen解析プラットフォームへのアクセスには、login.govアカウントが必要であり、システムにアクセスするための1回限りの登録を完了する必要がある。Malware Next-Genのログインページにはlogin.govが組み込まれており、本人認証またはアカウントの作成ができる。
Anonymous Submissions 匿名での提出
Users who wish to submit malware samples without registering may use Anonymous submission. Unregistered users are not required to provide any contact information; however, users who use this submission method will not have access to analysis results. 登録せずにマルウェア検体を提出したいユーザーは、匿名提出を使用することができる。未登録のユーザーは連絡先情報を提供する必要はないが、この提出方法を使用するユーザーは解析結果にアクセスできない。

 

 

| | Comments (0)

2024.02.12

Five Eyes 中華人民共和国の支援を受けたサイバーアクターが米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断... (2024.02.07)

こんにちは、丸山満彦です。

Five Eyesのサイバーセキュリティ機関(オーストラリアACSCカナダCCCSニュージーランドNCSC英国NCSC米国CISA)等が、共同で、中華人民共和国の支援を受けたサイバーアクター (Volt Typhoon) が米国の重要インフラに潜伏し、攻撃できる体制を整えていると判断し、警告と対策を公表していますね。。。

このブログでも紹介しましたが、2024.01.31 に米国司法省が、民間と協力してVolt Typhoonのボットネットを破壊したと公表していましたが(このブログ)、その関係ですかね。。。昨年2023.05.24にVolt TyphoonについてのアラートをFive Eyesで公表していますね(このブログ)。。。米国はVolt Typhoonの動きは相当気にしているようですね...

‘living off the land; LOTL’ という用語がキーワードなんですが、訳語が難しいですね。。。私は「現地調達」としたのですが、「自給自足」、「環境寄生型」と訳しているケースもありますね。。。自給自足が近いですかね。。。

 

まずは、米国から...その後はアルファベット順に...

CISA

・2024.02.07 CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

CISA and Partners Release Advisory on PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance CISAとパートナーは、中国が支援するボルト台風の活動に関する勧告と現地調達手法の識別と低減のためのガイドラインの補足を発表した。
Today, CISA, the National Security Agency (NSA), and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory (CSA), PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure alongside supplemental Joint Guidance: Identifying and Mitigating Living off the Land Techniques. 本日、CISA、国家安全保障局(NSA)、連邦捜査局(FBI)は、共同サイバーセキュリティ・アドバイザリ(CSA)「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」を、補足的な共同ガイダンスとともに発表した: 現地調達手法の識別と低減」と併せて発表した。
The following federal agencies and international organizations are additional co-authors on the joint advisory and guidance: 以下の連邦政府機関および国際機関は、共同勧告およびガイダンスの追加共著者である:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS) a part of the Communications Security Establishment (CSE) ・カナダ・サイバーセキュリティセンター(CCCS)(コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
Volt Typhoon actors are seeking to pre-position themselves—using living off the land (LOTL) techniques—on IT networks for disruptive or destructive cyber activity against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. The advisory provides actionable information from U.S. incident response activity that can help all organizations: ボルト・タイフーンの行動主体は、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー活動のために、現地調達(LOTL)技術を用いてITネットワーク上に事前に配置しようとしている。この勧告は、米国のインシデント対応活動から、すべての組織に役立つ実用的な情報を提供する:
1. Recognize Volt Typhoon techniques, 1. ボルト・タイフーンのテクニックを認識する、
2. Assess whether Volt Typhoon techniques have compromised your organization, 2. ボルト・タイフーンのテクニックがあなたの組織を危険にさらしているかどうかを評価する、
3. Secure your networks from these adversarial techniques by implementing recommended mitigations. 3. 推奨される低減策を実施することにより、これらの敵対的手法からネットワークを保護する。
To supplement the advisory, the Joint Guidance provides threat detection information and mitigations applicable to LOTL activity, regardless of threat actor. Additionally, CISA has published Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers, which provides technology manufactures guidance on protecting their products from Volt Typhoon compromises
.
この勧告を補足するために、共同ガイダンスは、脅威行為者に関係なく、LOTL の活動に適用可能な脅威検知情報と低減策を提供している。さらに、CISA は「Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers(設計による安全確保:SOHO 機器製造者のためのセキュリティ設計改善)」を発表し、Volt Typhoon による侵害から自社製品を保護するための技術製造者向けガイダンスを提供している。
CISA and its partners strongly urge critical infrastructure organizations and technology manufacturers to read the joint advisory and guidance to defend against this threat. For more information on People’s Republic of China (PRC) state-sponsored actors, visit People's Republic of China Cyber Threat. To learn more about secure by design principles and practices, visit Secure by Design. CISAとそのパートナーは、重要インフラ組織と技術製造者がこの脅威から身を守るために共同勧告とガイダンスを読むよう強く求めている。中華人民共和国(PRC)の国家支援行為者の詳細については、中華人民共和国のサイバー脅威を参照のこと。セキュア・バイ・デザインの原則と実践の詳細については、セキュア・バイ・デザインを参照のこと。

 

アドバイザリー...

・2024.02.07 PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure

AA24-038A

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure 中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する
ACTIONS TO TAKE TODAY TO MITIGATE VOLT TYPHOON ACTIVITY: 台風の活動を軽減するために、今すぐ取るべき行動
1. Apply patches for internet-facing systems. Prioritize patching critical vulnerabilities in appliances known to be frequently exploited by Volt Typhoon. 1. インターネットに接続するシステムにパッチを適用する。ボルト・タイフーンに頻繁に悪用されることが知られているアプライアンスの重要な脆弱性に優先的にパッチを適用する。
2. Implement phishing-resistant MFA. 2. フィッシングに強いMFAを導入する。
3. Ensure logging is turned on for application, access, and security logs and store logs in a central system. 3. アプリケーション・ログ、アクセス・ログ、セキュリティ・ログを確実に記録し、中央システムに保存する。
SUMMARY 概要
The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) assess that People’s Republic of China (PRC) state-sponsored cyber actors are seeking to pre-position themselves on IT networks for disruptive or destructive cyberattacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. サイバーセキュリティ・インフラ・セキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)は、中華人民共和国(PRC)の国家に支援されたサイバー・アクターが、米国との間で重大な危機や紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のために、ITネットワーク上に事前に配置しようとしていると評価している。
CISA, NSA, FBI and the following partners are releasing this advisory to warn critical infrastructure organizations about this assessment, which is based on observations from the U.S. authoring agencies’ incident response activities at critical infrastructure organizations compromised by the PRC state-sponsored cyber group known as Volt Typhoon (also known as Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite, and Insidious Taurus): CISA、NSA、FBI、および以下のパートナーは、ボルト・タイフーン(別名Vanguard Panda、BRONZE SILHOUETTE、Dev-0391、UNC3236、Voltzite、およびInsidious Taurus)として知られるPRC国家支援サイバー・グループによって侵害された重要インフラ組織における米国認可機関のインシデント対応活動からの観察に基づくこの評価について、重要インフラ組織に警告するためにこの勧告を発表する:
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Administration (TSA) ・米国運輸保安局(TSA)
・Australian Signals Directorate’s (ASD’s) Australian Cyber Security Centre (ACSC) ・オーストラリア信号総局(ASD)のオーストラリア・サイバー・セキュリティ・センター(ACSC)
・Canadian Centre for Cyber Security (CCCS), a part of the Communications Security Establishment (CSE) ・コミュニケーション・セキュリティ・エスタブリッシュメント(CSE)の一部であるカナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The U.S. authoring agencies have confirmed that Volt Typhoon has compromised the IT environments of multiple critical infrastructure organizations—primarily in CommunicationsEnergyTransportation Systems, and Water and Wastewater Systems Sectors—in the continental and non-continental United States and its territories, including Guam. Volt Typhoon’s choice of targets and pattern of behavior is not consistent with traditional cyber espionage or intelligence gathering operations, and the U.S. authoring agencies assess with high confidence that Volt Typhoon actors are pre-positioning themselves on IT networks to enable lateral movement to OT assets to disrupt functions. The U.S. authoring agencies are concerned about the potential for these actors to use their network access for disruptive effects in the event of potential geopolitical tensions and/or military conflicts. CCCS assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. ASD’s ACSC and NCSC-NZ assess Australian and New Zealand critical infrastructure, respectively, could be vulnerable to similar activity from PRC state-sponsored actors. 米国の認可機関は、ボルト・タイフーンが米国本土および非大陸、グアムを含むその領土にある、主にコミュニケーション、エネルギー、輸送システム、上下水道システム部門の複数の重要インフラ組織のIT環境を侵害したことを確認した。ヴォルト・タイフーンの標的の選択と行動パターンは、伝統的なサイバースパイ活動や情報収集活動とは一致せず、米国の認可機関は、ボルト・タイフーンの行為者は、機能を混乱させるためにOT資産への横方向の移動を可能にするために、ITネットワーク上にあらかじめ配置されていると高い確信をもって評価している。米国の認可機関は、潜在的な地政学的緊張や軍事衝突が発生した場合に、これらの行為者がネットワークアクセスを破壊的効果のために利用する可能性を懸念している。CCCSは、カナダの重要インフラに対するPRCの国家支援行為者の直接的脅威は、米国のインフラに対する脅威より低い可能性が高いが、米国のインフラが中断された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。ASDのACSCとNCSC-NZは、それぞれオーストラリアとニュージーランドの重要インフラを評価しているが、PRCの国家支援者による同様の活動に対して脆弱性を持つ可能性がある。
As the authoring agencies have previously highlighted, the use of living off the land (LOTL) techniques is a hallmark of Volt Typhoon actors’ malicious cyber activity when targeting critical infrastructure. The group also relies on valid accounts and leverage strong operational security, which combined, allows for long-term undiscovered persistence. In fact, the U.S. authoring agencies have recently observed indications of Volt Typhoon actors maintaining access and footholds within some victim IT environments for at least five years. Volt Typhoon actors conduct extensive pre-exploitation reconnaissance to learn about the target organization and its environment; tailor their tactics, techniques, and procedures (TTPs) to the victim’s environment; and dedicate ongoing resources to maintaining persistence and understanding the target environment over time, even after initial compromise. 認可機関が以前に強調したように、現地調達(LOTL)テクニックの使用は、重要インフラを標的にしたときのVolt Typhoon行為者の悪意あるサイバー活動の特徴である。このグループはまた、有効なアカウントに依存し、強力な運用セキュリティを活用することで、発見されずに長期的に存続することを可能にしている。実際、米国の認可機関は最近、ヴォルト・タイフーン活動家が少なくとも5年間は被害者のIT環境にアクセスし、その足場を維持している兆候を観察している。Volt Typhoonの行為者は、標的の組織とその環境について知るために、大規模な事前偵察を行い、被害者の環境に合わせて戦術、技術、手順(TTP)を調整し、最初の侵害後でさえ、長期にわたって標的の環境を理解し、持続性を維持するために継続的なリソースを費やしている。
The authoring agencies urge critical infrastructure organizations to apply the mitigations in this advisory and to hunt for similar malicious activity using the guidance herein provided, along with the recommendations found in joint guide Identifying and Mitigating Living Off the Land Techniques. These mitigations are primarily intended for IT and OT administrators in critical infrastructure organizations. Following the mitigations for prevention of or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 認可機関は、重要インフラ組織が本勧告の軽減策を適用し、共同ガイド「現地調達手法の特定と軽減」に記載されている推奨事項とともに、本指針に記載されているガイダンスを使用して同様の悪意ある活動を狩ることを強く推奨する。これらの低減は、主に重要インフラ組織の IT および OT 管理者を対象としている。インシデントの発生を防止するため、あるいはインシデントに対応するための低減策に従うことは、ボルト・タイフーン のアクセスを妨害し、重要インフラ事業体への脅威を低減するのに役立つ。
If activity is identified, the authoring agencies strongly recommend that critical infrastructure organizations apply the incident response recommendations in this advisory and report the incident to the relevant agency (see Contact Information section). 活動が確認された場合、重要インフラ組織は、本勧告のインシデント対応に関する推奨事項を適用し、関連機関(「連絡先情報」セクションを参照)にインシデントを報告することを強く推奨する。
For additional information, see joint advisory People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection and U.S. Department of Justice (DOJ) press release U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage. 追加情報については、共同勧告「中華人民共和国が現地調達して検知を逃れるサイバー行為者」および米国司法省(DOJ)のプレスリリース「米国政府、重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊」を参照のこと。中華人民共和国が国家をスポンサーとする悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照のこと。

 

・[PDF

20240211-175420

 

ボルト・タイフーンの活動例

1_20240211183201

 

 

・2023.02.07 MAR-10448362-1.v1 Volt Typhoon

MAR-10448362-1.v1 Volt Typhoon MAR-10448362-1.v1 ボルト・タイフーン
Summary 概要
Description 説明
CISA received three files for analysis obtained from a critical infrastructure compromised by the People’s Republic of China (PRC) state-sponsored cyber group known as Volt Typhoon. CISAは、ボルト・タイフーンとして知られる中華人民共和国(PRC)国家支援サイバー・グループによって侵害された重要インフラから入手した3つの分析用ファイルを受け取った。
The submitted files enable discovery and command-and-control (C2): (1) An open source Fast Reverse Proxy Client (FRPC) tool used to open a reverse proxy between the compromised system and a Volt Typhoon C2 server; (2) a Fast Reverse Proxy (FRP) that can be used to reveal servers situated behind a network firewall or obscured through Network Address Translation (NAT); and (3) a publicly available port scanner called ScanLine. (1)侵害されたシステムとボルト・タイフーンのC2サーバーとの間にリバース・プロキシを開くために使用されるオープン・ソースのFast Reverse Proxy Client (FRPC)ツール、(2)ネットワーク・ファイアウォールの背後にある、またはネットワーク・アドレス変換(NAT)によって隠されているサーバーを明らかにするために使用できるFast Reverse Proxy (FRP)、(3)ScanLineと呼ばれる一般に入手可能なポート・スキャナー。
For more information on Volt Typhoon see, joint Cybersecurity Advisory PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure. For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories, webpage. ボルト・タイフーンの詳細については、共同サイバーセキュリティ・アドバイザリー「PRC State-Sponsored Actors Compromise, and Maintain Persistent Access to, U.S. Critical Infrastructure」を参照のこと。中国国家が支援する悪質なサイバー活動の詳細については、CISAの「中国サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF]

20240211-182507

 


 

オーストラリア

Australian Signal Directorete - Cyber Security Centre

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

Identifying and Mitigating Living Off the Land Techniques 現地調達手法の識別と低減
Summary 概要
Introduction 序文
Living off the Land 現地調達
Network Defense Weaknesses ネットワーク防御の弱点
Best Practice Recommendations ベストプラクティスの推奨
Detection and Hunting Recommendations 検知とハンティングのすすめ
Remediation 修復
Secure by Design: Recommendations for Software Manufacturers セキュア・バイ・デザイン ソフトウェア製造事業者への提言
Resources リソース
References 参考文献
Disclaimer 免責事項
Acknowledgements 謝辞
Appendix A: LOTL in WIndows, Linux, MacOS, and Hybrid Environments 附属書 A: Windows、Linux、MacOS、およびハイブリッド環境における LOTL
Appendix B: Third-Party Tools for LOTL 附属書 B: LOTL 用サードパーティ製ツール
Appendix C: Known Lolbins Used Maliciously 附属書C:悪意を持って使用されている既知のLolbins
Summary 概要
This Guide, authored by the U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), and the following agencies (hereafter referred to as the authoring agencies), provides information on common living off the land (LOTL) techniques and common gaps in cyber defense capabilities. 本ガイドは、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、連邦捜査 局(FBI)、及び以下の機関(以下、認可機関と呼ぶ)によって作成され、現地調達(LOTL)の一般的な手 法及びサイバー防御能力における一般的なギャップに関する情報を提供する。
・U.S. Department of Energy (DOE) ・米国エネルギー省(DOE)
・U.S. Environmental Protection Agency (EPA) ・米国環境保護庁(EPA)
・U.S. Transportation Security Agency (TSA) ・米国運輸保安庁(TSA)
・Australian Signals Directorate’s Australian Cyber Security Centre (ASD's ACSC) ・オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ASD's ACSC)
・Canadian Centre for Cyber Security (CCCS) ・カナダ・サイバーセキュリティセンター(CCCS)
・United Kingdom National Cyber Security Centre (NCSC-UK) ・英国国家サイバーセキュリティセンター(NCSC-UK)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
The joint guide for network defenders focuses on how to mitigate identified gaps and to detect and hunt for LOTL activity. The information in this joint guide is derived from a previously published joint advisory; incident response engagements undertaken by several of the authoring agencies; red team assessments by several of the authoring agencies using LOTL for undetected, persistent access; and collaborative efforts with industry. ネットワーク防衛者のための共同ガイドは、識別されたギャップを軽減し、LOTL の活動を検知し、ハントする方法に重点を置いている。この共同ガイドの情報は、以前に発表された共同アドバイザリ、認可機関のいくつかによって実施されたインシデント対応業務、未検出の持続的アクセスに LOTL を使用する認可機関のいくつかによるレッドチーム評価、および産業界との共同作業から得られたものである。
The authoring agencies have observed cyber threat actors, including the People’s Republic of China (PRC) [1],[2] and Russian Federation [3] state-sponsored actors, leveraging LOTL techniques to compromise and maintain persistent access to critical infrastructure organizations. The authoring agencies are releasing this joint guide for network defenders (including threat hunters) as the malicious use of LOTL techniques is increasingly emerging in the broader cyber threat environment. 認可機関は、中華人民共和国(PRC)[1]、[2]、ロシア連邦[3]などの国家に支援されたサイバー脅威行為者が、LOTL 技術を活用し て重要インフラ組織を侵害し、持続的なアクセスを維持していることを確認している。認可機関は、ネットワーク防御者(脅威ハンターを含む)のために、LOTL 手法の悪意ある利用が広範なサイ バー脅威環境においてますます顕在化していることから、この共同ガイドを公開する。
Cyber threat actors leveraging LOTL abuse native tools and processes on systems, often using “living off the land binaries” (LOLBins). They use LOTL in multiple IT environments, including on-premises, cloud, hybrid, Windows, Linux, and macOS environments. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behavior, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブなツールやプロセスを悪用し、多くの場合「現地調達バイナリ」(LOLBin)を使用する。彼らは、オンプレミス、クラウド、ハイブリッド、Windows、Linux、macOS 環境など、複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避できる可能性がある。
LOTL is particularly effective because: LOTL が特に効果的な理由は以下の通りである:
・Many organizations lack effective security and network management practices (such as established baselines) that support detection of malicious LOTL activity—this makes it difficult for network defenders to discern legitimate behavior from malicious behavior and conduct behavioral analytics, anomaly detection, and proactive hunting. ・多くの組織では、悪意のある LOTL アクティビティの検知をサポートする効果的なセキュリティおよびネットワーク管理の実践(確立されたベースラインなど)が欠如しているため、ネットワーク防御者が正当な挙動と悪意のある挙動を識別し、行動分析、異常検知、プロアクティブ・ハンティングを実施することが困難である。
・There is a general lack of conventional indicators of compromise (IOCs) associated with the activity, complicating network defenders’ efforts to identify, track, and categorize malicious behavior. ・一般的に、この活動に関連する従来の侵害指標(IOC)が欠如しているため、悪意のある行動を識別、追跡、分類するネットワーク防御者の取り組みが複雑になっている。
・It enables cyber threat actors to avoid investing in developing and deploying custom tools. ・これにより、サイバー脅威行為者はカスタムツールの開発・導入への投資を避けることができる。
Even for organizations adopting best practices, distinguishing malicious LOTL activity from legitimate behavior is challenging because network defenders often: ベスト・プラクティスを採用している組織であっても、悪意のある LOTL アクティビティと正当なアクティビティを区別することは困難である:
・Operate in silos separate from IT teams and their operational workflows; ・IT チームやその運用ワークフローから切り離されたサイロの中で運用されている;
・Rely predominantly on untuned endpoint detection and response (EDR) systems, which may not alert to LOTL activity, and discrete IOCs that attackers can alter or obfuscate to avoid detection; ・LOTL アクティビティに警告を発しない可能性のある、チューニングされていないエンドポイント検知・対 応(EDR)システムや、攻撃者が検知を回避するために変更または難読化できる個別の IOC に主に依存している;
・Maintain default logging configurations, which do not comprehensively log indicators of LOTL techniques or sufficiently detailed information to differentiate malicious activity from legitimate IT administrative activity; and ・LOTL 手法の指標や、悪意のある活動と正当な IT 管理活動を区別するための十分詳細な情報を包括的に記録しない、デフォルトのロギング設定を維持している。
・Have difficulty in identifying a relatively small volume of malicious activity within large volumes of log data. ・大量のログデータの中から比較的少量の悪意のある活動を識別することが困難である。
The authoring agencies strongly urge critical infrastructure organizations to apply the following prioritized best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. There is no foolproof solution to fully prevent or detect LOTL activity, but by applying these best practices organizations can best position themselves for more effective detection and mitigation. 認可機関は、重要なインフラストラクチャ組織に対し、以下の優先順位の高いベストプラクティスと検 出ガイダンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの推奨事項は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。LOTL 活動を完全に防止または検知するための確実な解決策は存在しないが、これらのベストプラクティスを適用することで、組織はより効果的な検知と低減のための最適なポジションを確保することができる。
Detection Best Practices: 検知のベストプラクティス:
1. Implement detailed logging and aggregate logs in an out-of-band, centralized location that is write-once, read-many to avoid the risk of attackers modifying or erasing logs. 1. 攻撃者がログを変更または消去するリスクを回避するため、詳細なロギングを実施し、ログを帯域外の一元化された場所に集約する。
2. Establish and continuously maintain baselines of network, user, administrative, and application activity and least privilege restrictions. 2. ネットワーク、ユーザー、管理者、アプリケーションのアクティビティと最小権限制限のベースラインを確立し、継続的に維持する。
3. Build or acquire automation (such as machine learning models) to continually review all logs to compare current activities against established behavioral baselines and alert on specified anomalies. 3. 機械学習モデルなどの)自動化を構築または導入し、すべてのログを継続的にレビューして、確立された行動ベースラインと現在のアクティビティを比較し、指定された異常についてアラートを発する。
4. Reduce alert noise by fine-tuning via priority (urgency and severity) and continuously review detections based on trending activity. 4. 優先度(緊急度と重要度)を微調整してアラートのノイズを減らし、傾向のあるアクティビティに基づいて検知を継続的にレビューする。
5. Leverage user and entity behavior analytics (UEBA). 5. ユーザーと事業体の行動分析(UEBA)を活用する。
Hardening Best Practices: ハードニングのベストプラクティス
1. Apply and consult vendor-recommended guidance for security hardening. 1. ベンダが推奨するセキュリティ堅牢化ガイダンスを適用し、参照する。
2. Implement application allowlisting and monitor use of common LOLBins. 2. アプリケーションの許可リストを実装し、一般的な LOLBIN の使用を監視する。
3. Enhance IT and OT network segmentation and monitoring. 3. IT および OT ネットワークのセグメンテーションと監視を強化する。
4. Implement authentication and authorization controls for all human-to-software and software-to-software interactions regardless of network location. 4. ネットワークの場所に関係なく、本人からソフトウエア、ソフトウエアからソフトウエアへのすべてのインタラクションに対して認証と認可の管理を実施する。
For details and additional recommendations, see the Best Practice Recommendations and Detection and Hunting Recommendations sections. If LOTL activity is identified, defenders should report the activity to the relevant agencies, as applicable, and apply the remediation guidance in this guide. 詳細とその他の推奨事項については、「ベスト・プラクティスの推奨事項」と「検知とハンティングの 推奨事項」のセクションを参照のこと。LOTL の活動が確認された場合、識別は、該当する場合、その活動を関連機関に報告し、本ガイドの修正ガイダンスを適用する。
Additionally, this guide provides recommendations for software manufacturers to reduce the prevalence of exploitable flaws in software that enable LOTL. In many cases, software defects or unsecure default configurations allow cyber threat actors to carry out malicious cyber activity using LOTL techniques. The authoring agencies strongly encourage software manufacturers to take ownership of their customers’ security outcomes by applying the secure by design recommendations in this guide and in CISA’s joint secure by design guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. さらに、本ガイドは、LOTL を可能にするソフトウェアの悪用可能な欠陥の蔓延を減少させるために、ソフ トウェア製造事業者に対する勧告を提供する。多くの場合、ソフトウェアの欠陥や安全でない初期設定により、サイバー脅威行為者は LOTL の技法を用いて悪意あるサイバー活動を行うことができる。認可機関は、ソフトウェア製造事業者に対し、本ガイド及び CISA の共同セキュア・バイ・デザイン・ガイド「サイバーセキュリティ・リスクのバランスをシフトする:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のセキュア・バイ・デザインの推奨事項を適用することで、顧客のセキュリティ成果にオーナーシップを持つことを強く推奨する。
Technology manufacturers can reduce the effectiveness of LOTL techniques by producing products that are secure by design, including by: 技術製造事業者は、以下のようなセキュア・バイ・デザインの製品を製造することで、LOTL 手法の有効性を低減することができる:
・Disabling or removing unnecessary protocols by default. ・不要なプロトコルをデフォルトで無効化または削除する。
・Limiting network reachability to the extent feasible. ・実現可能な範囲でネットワークへの到達性を制限する。
・Limiting processes and programs running with elevated privileges. ・昇格した権限で実行されるプロセスやプログラムを制限する。
・Enabling phishing-resistant MFA as a default feature. ・フィッシングに強いMFAをデフォルトの機能として有効にする。
・Providing high-quality secure logging at no additional charge beyond processing and storage costs. ・高品質で安全なロギングを、処理コストや保管コスト以上の追加料金なしでプロバイダが提供する。
・Eliminating default passwords and credentials when installing software. ・ソフトウェアをインストールする際のデフォルトのパスワードや認証情報をなくす。
・Limiting or removing dynamic code execution. ・動的なコード実行を制限または削除する。

 

・2024.02.08 Identifying and Mitigating Living Off the Land Techniques

 

・2024.02.08 PRC state-sponsored actors compromise and maintain persistent access to U.S. critical infrastructure

 

 


 

カナダ...

・2024.02.07 Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land

Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land 米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告、および現地調達の特定と低減に関する共同ガイダンス
The Canadian Centre for Cyber Security  (the Cyber Centre) has joined the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA) and the following international partners in releasing a cyber security advisory on PRC state-sponsored actors malicious cyber activity targeting critical infrastructure  using living off the land (LOTL) techniques: カナダ・サイバーセキュリティセンター(以下、サイバーセンター)は、サイバーセキュリティ・インフラセキュリティ庁(以下、CISA)、国家安全保障局(以下、NSA)、および以下の国際的パートナーとともに、LOTL(Living Off the Land:現地調達)技術を使用して重要インフラを標的とするPRC国家支援行為者の悪質なサイバー活動に関するサイバーセキュリティ勧告を発表した:
・Australian Cyber Security Centre (ACSC) ・オーストラリア・サイバーセキュリティセンター(ACSC)
・New Zealand National Cyber Security Centre (NCSC-NZ) ・ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)
・United Kingdom (UK) National Cyber Security Centre (NCSC-UK) ・英国(UK)国家サイバーセキュリティセンター(NCSC-UK)
This joint cyber security advisory, PRC State-Sponsored Actors Compromise  and Maintain Persistent Access to U.S. Critical Infrastructure, warns that PRC state-sponsored cyber actors are seeking to pre-position for disruptive or destructive cyber attacks against U.S. critical infrastructure in the event of a major crisis or conflict with the United States. CISA and the Cyber Centre have released this guidance alongside the ASCS and the NCSC-UK. この共同サイバーセキュリティ勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、PRCの国家支援を受けているサイバー・アクターが、米国との重大な危機または紛争が発生した場合に、米国の重要インフラに対する破壊的または破壊的なサイバー攻撃のための事前準備を行おうとしていることを警告している。CISAとサイバーセンターは、ASCSとNCSC-UKとともにこのガイダンスを発表した。
The Cyber Centre assesses that the direct threat to Canada's critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well, due to cross-border integration. サイバーセンターは、中国の国家支援行為者がカナダの重要インフラに与える直接的脅威は、米国のインフラに与える脅威よりも低い可能性が高いが、米国のインフラが破壊された場合、国境を越えた統合により、カナダも影響を受ける可能性が高いと評価している。
Accompanying guidance has also been released by CISA, NSA, ACSC, and NCSC-UK. Identifying and Mitigating Living Off the Land provides insight into techniques and common gaps in network defence capabilities. CISA、NSA、ACSC、NCSC-UKからも付随するガイダンスが発表されている。現地調達手法の識別と低減」は、ネットワーク防御能力におけるテクニックと一般的なギャップについての洞察を提供する。
Cyber threat  actors leveraging LOTL abuse native tools and processes on systems. They use LOTL in multiple IT environments, including on-premises, cloud and hybrid. LOTL enables cyber threat actors to conduct their operations discreetly as they can camouflage activity with typical system and network behaviour, potentially circumventing basic endpoint security capabilities. LOTL を活用するサイバー脅威行為者は、システム上のネイティブ・ツールやプロセスを悪用する。彼らは、オンプレミス、クラウド、ハイブリッドを含む複数の IT 環境で LOTL を使用する。LOTL は、典型的なシステムやネットワークの動作で活動をカモフラージュできるため、サイバー脅威行為者が目立たないように活動を行うことを可能にし、基本的なエンドポイントセキュリティ機能を回避する可能性がある。
We are releasing this joint guidance for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organizations. 中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、我々はネットワーク防御者(脅威ハンターを含む)向けにこの共同ガイダンスを発表する。
Read the joint guidance and advisory: 共同ガイダンスと勧告を読む:
・Identifying and Mitigating Living Off the Land ・現地調達手法の識別と低減」を読む。
・PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure ・中華人民共和国の国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持する

 

 


 

ニュージーランド...

National Cyber Security Centre; NCSC

・2024.02.08  Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance

 

Joint Advisory: PRC-sponsored Volt Typhoon Activity and Supplemental Living Off the Land Guidance 共同勧告 PRCが支援するボルト台風の活動と現地調達手法の識別と低減のためのガイドラインの補足
Today, the National Cyber Security Centre (NCSC) has joined international partners in publishing joint guidance titled, ‘Identifying and Mitigating Living Off the Land' and a cyber security advisory titled, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’.  本日、米国サイバーセキュリティセンター(NCSC)は、国際的なパートナーとともに、「現地調達手法の識別と低減」と題する共同ガイダンスと、「PRC国家支援行為者が米国の重要インフラを侵害し、持続的なアクセスを維持」と題するサイバーセキュリティ勧告を発表した。
The joint guidance, ‘Identifying and Mitigating Living Off the Land’ (LOTL) provides information on common LOTL techniques and gaps in cyber defense capabilities. It also provides guidance for network defenders to mitigate identified gaps and to detect and hunt for LOTL activity. The authoring agencies are releasing this joint advisory for network defenders (including threat hunters) due to the identification of cyber threat actors, including the People’s Republic of China (PRC) and Russian Federation state-sponsored actors, using LOTL in compromised critical infrastructure organisations. The authoring agencies strongly urge critical infrastructure organisations to apply the prioritised security best practices and detection guidance to hunt for potential LOTL activity. These recommendations are part of a multifaceted cybersecurity strategy that enables effective data correlation and analysis. 共同ガイダンスの「現地調達(LOTL)手法の識別と低減」は、一般的なLOTLテクニックとサイバー防衛能力のギャップに関する情報を提供している。また、識別されたギャップを軽減し、LOTL 活動を検知し、狩猟するためのネットワーク防衛者向けのガイダンスも提供している。認可機関は、中華人民共和国(PRC)やロシア連邦の国家支援行為を含むサイバー脅威行為者が、侵害された重要インフラ組織で LOTL を使用していることが確認されたため、ネットワーク防御者(脅威ハンターを含む)向けにこの共同勧告を発表する。認可機関は、重要インフラ組織に対し、優先順位の高いセキュリティのベストプラクティスと検知ガイダ ンスを適用し、潜在的な LOTL 活動を探索するよう強く要請する。これらの勧告は、効果的なデータ相関と分析を可能にする多面的なサイバーセキュリティ戦略の一部である。
The joint advisory, ‘PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure’ urges critical infrastructure organisations to apply the mitigations and hunt for similar malicious activity using the guidance within this advisory in parallel to the Identifying and Mitigating Living Off the Land guidance. These mitigations are intended for IT and OT administrators in critical infrastructure organisations to reduce risk and impact of future compromise or detect and mitigate if malicious activity is discovered. Following the mitigations for prevention or in response to an incident will help disrupt Volt Typhoon’s accesses and reduce the threat to critical infrastructure entities. 共同勧告「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure」は、重要インフラ組織に対し、現地調達手法の識別と低減のためのガイドラインと並行して、本勧告内のガイダンスを使用して、低減策を適用し、同様の悪意ある活動を探すよう促している。これらの低減策は、重要インフラ組織のITおよびOT管理者が、将来の侵害のリスクと影響を低減すること、または悪意のある活動が発見された場合にそれを検知し低減することを目的としている。予防のため、あるいはインシデントに対応するために、これらの軽減策に従うことで、ボルト・タイフーンのアクセスを妨害し、重要インフラ事業体への脅威を軽減することができる。
If activity is identified, we strongly recommend that critical infrastructure organisations apply the incident response recommendations in this advisory and report the incident to [mail] 活動が確認された場合、重要インフラ組織はこの勧告にあるインシデント対応の推奨事項を適用し、インシデントを [mail]
に報告することを強く推奨する。

 


 

最後はUK...

National Cyber Security Centre

・2024.02.07 NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks

 

NCSC and partners issue warning about state-sponsored cyber attackers hiding on critical infrastructure networks NCSCとパートナーは、重要インフラネットワークに潜伏する国家支援のサイバー攻撃者について警告を発している。
GCHQ’s National Cyber Security Centre and partners share details of how threat actors are using built-in tools to camouflage themselves on victims’ systems. GCHQのナショナル・サイバー・セキュリティ・センターとパートナーは、脅威行為者が被害者のシステム上でカモフラージュするために内蔵ツールを使用している方法の詳細を共有する。
・New joint advisory and guidance reveal state-sponsored actors are among attackers using ‘living off the land’ techniques to persist on critical infrastructure networks ・新たな共同勧告とガイダンスにより、重要インフラ・ネットワークに潜伏する「現地調達」テクニックを使用する攻撃者の中に、国家の支援を受けた行為者が含まれていることが明らかになった。
・UK critical infrastructure operators urged to follow advice to help detect and mitigate malicious activity ・英国の重要インフラ事業者は、悪意のある活動を検知・軽減するための助言に従うよう要請された。
The UK and allies have issued a fresh warning to critical infrastructure operators today (Wednesday) about the threat from cyber attackers using sophisticated techniques to camouflage their activity on victims’ networks. 英国と同盟国は本日(水曜日)、重要インフラ事業者に対し、被害者のネットワーク上での活動をカモフラージュする高度なテクニックを使用するサイバー攻撃者の脅威について、新たな警告を発した。
The National Cyber Security Centre – a part of GCHQ – and agencies in the US, Australia, Canada and New Zealand have detailed how threat actors have been exploiting native tools and processes built into computer systems to gain persistent access and avoid detection. GCHQの一部である国家サイバーセキュリティセンターと米国、オーストラリア、カナダ、ニュージーランドの国家安全保障局は、脅威行為者がコンピュータシステムに組み込まれたネイティブツールやプロセスを悪用して、持続的なアクセスを獲得し、検知を回避していることを詳述した。
This kind of tradecraft, known as ‘living off the land’, allows attackers to operate discreetly, with malicious activity blending in with legitimate system and network behaviour making it difficult to differentiate – even by organisations with more mature security postures. このような手口は「現地調達」と呼ばれ、攻撃者が目立たないように活動することを可能にし、悪意のある活動が正当なシステムやネットワークの動作に紛れ込むことで、より成熟したセキュリティ体制を持つ組織であっても区別が難しくなる。
The NCSC assesses it is likely this type of activity poses a threat to UK critical national infrastructure and so all providers are urged to follow the recommended actions to help detect compromises and mitigate vulnerabilities. NCSCは、この種の活動が英国の重要な国家インフラに脅威を与えている可能性が高いと評価しており、すべてのプロバイダに対して、侵害を検知し脆弱性を軽減するために推奨されるアクションに従うよう求めている。
The new ‘Identifying and Mitigating Living Off The Land’ guidance warns that China state-sponsored and Russia state-sponsored actors are among the attackers that have been observed living off the land on compromised critical infrastructure networks . 新しい「現地調達手法の識別と低減」ガイダンスは、侵害された重要インフラ・ネットワーク上で現地調達していることが確認されている攻撃者の中には、中国国家とロシア国家に支援された行為者が含まれていると警告している。
Meanwhile, a separate advisory shares specific details about China state-sponsored actor Volt Typhoon which has been observed using living off the land techniques to compromise US critical infrastructure systems. 一方、別の勧告では、米国の重要インフラシステムを侵害するために現地調達のテクニックを使用していることが確認されている中国国家支援行為者ボルト・タイフーンについて、具体的な詳細を共有している。
The Deputy Prime Minister Oliver Dowden said: オリバー・ダウデン副首相は次のように述べた:
“In this new dangerous and volatile world where the frontline is increasingly online, we must protect and future proof our systems. 「この危険で不安定な新しい世界では、最前線はますますオンライン化されており、我々はシステムを保護し、将来に備えなければならない。
“Earlier this week, I announced an independent review to look at cyber security as an enabler to build trust, resilience and unleash growth across the UK economy.” 「今週初め、私は、信頼とレジリエンスを構築し、英国経済全体の成長を解き放つための手段として、サイバーセキュリティを検討する独立したレビューを発表した。
By driving up the resilience of our critical infrastructure across the UK we will defend ourselves from cyber attackers that would do us harm.” 英国全体の重要インフラのレジリエンスを向上させることで、我々に危害を加えるサイバー攻撃者から身を守ることができる。
Paul Chichester, NCSC Director of Operations, said: NCSCのディレクターであるポール・チチェスター氏は、次のように述べた:
“It is vital that operators of UK critical infrastructure heed this warning about cyber attackers using sophisticated techniques to hide on victims’ systems. 「英国の重要インフラの運営者は、被害者のシステムに隠れるために洗練されたテクニックを使うサイバー攻撃者に関するこの警告に耳を傾けることが不可欠である。
“Threat actors left to carry out their operations undetected present a persistent and potentially very serious threat to the provision of essential services. 「脅威行為者が発見されないまま作戦を遂行することは、重要なサービスの提供に対する持続的かつ潜在的に非常に深刻な脅威となる。
“Organisations should apply the protections set out in the latest guidance to help hunt down and mitigate any malicious activity found on their networks.” 「組織は、最新のガイダンスに示された防御を適用し、ネットワーク上で発見された悪意のある活動を追跡し、軽減するのに役立てるべきである。
The new advisory and joint guidance provide an update to a warning issued last May about China state-sponsored activity seen against critical infrastructure networks in the US that could be used against networks worldwide. この新しい勧告と共同ガイダンスは、昨年5月に発表された、米国内の重要インフラ・ネットワークに対する中国の国家支援活動に関する警告を更新したもので、世界中のネットワークに対して使用される可能性がある。
They include the latest advice to help network defenders identify living off the land activity and to mitigate and remediate if a compromise is detected. これらのガイダンスには、ネットワーク防御者が現地調達の活動を特定し、侵害が検知された場合に低減と修復を行うのに役立つ最新のアドバイスが含まれている。
While organisations should ensure they adopt a defence-in-depth approach as part of cyber security best practice, the 'Identifying and Mitigating Living Off The Land' guidance provides priority recommendations, which include: 組織は、サイバーセキュリティのベストプラクティスの一環として、徹底的な防御アプローチを確実に採用すべきであるが、「現地調達の識別と低減」ガイダンスは、以下を含む優先順位の高い推奨事項を提供している:
・Implementing logging and aggregate logs in an out-of-band, centralised location ・ロギングを実施し、帯域外の一元化された場所にログを集約する。
・Establishing a baseline of network, user and application activity and use automation to continually review all logs and compare activity ・ネットワーク、ユーザー、アプリケーションのアクティビティのベースラインを確立し、自動化を使用してすべてのログを継続的にレビューし、アクティビティを比較する。
・Reducing alert noise ・アラートノイズを減らす
・Implementing application allow listing ・アプリケーションの許可リストを実装する
・Enhancing network segmentation and monitoring ・ネットワークのセグメンテーションと監視を強化する
・Implementing authentication controls ・本人認証の導入
・Leveraging user and entity behaviour analytics (UEBA) ・ユーザーと事業体の行動分析(UEBA)の活用
Both products can be read on the CISA website: どちらの製品もCISAのウェブサイトで読むことができる:
Identifying and Mitigating Living Off The Land ・現地調達の識別と低減
PRC State-Sponsored Actors Compromise and Maintain Persistent Access to US Critical Infrastructure ・中国国家支援機関が米国の重要インフラを侵害し、持続的なアクセスを維持する

 


 

 ● まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

・2023.08.20 CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

 

 

 

| | Comments (0)

より以前の記事一覧