ウイルス

2023.03.30

大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書

こんにちは、丸山満彦です。

2022.10.04にランサムウェア攻撃で被害にあった、大阪急性期・総合医療センター が、情報セキュリティインシデント調査委員会報告書を公表していますね。。。

医療業務の事業継続についても、評価が高かったのですが、報告書もよくできているように思います。委員長は、猪俣先生です。。。お疲れ様でしたです。。。委員には、LACの西本さん(2000年に京都の会社で生じたインシデント対応をお願いした時からの付き合いです。。。)や医療関係経営者、医療システムの有識者、法律家等と、委員も本物ならば、業務、法律、システムとそれらをつなげられる方とバランスも良く、良い報告書ができるでしょう。。。という感じですね。。。

 

⚫︎ 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター

・2023.03.28 情報セキュリティインシデント調査委員会報告書について

報告書...

・[PDF] 情報セキュリティインシデント調査委員会報告書 [downloaded]

20230330-75800 

 

・[PDF] 情報セキュリティインシデント調査委員会報告書概要版 [downloaded]

20230330-81332 

 

 

 

| | Comments (0)

2023.03.29

米国 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令

こんにちは、丸山満彦です。

バイデン大統領が、国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令を出しています。米国政府職員の携帯電話が商用スパイウェアにより狙われていたことがきっかけになったようですね。。。また、このタイミングというのは、第2回民主主義サミットが今週開催されるということもありますね。。。

安全保障という背景もあるのでしょうが、第2回民主主義サミットが開催されるということから、人権、民主主義ということが強調されているように思います。。。商用スパイウェアの利用については、人権団体からも批判がありましたからね。。。

で、これは、すべての行政機関に対してなので、法執行機関(例えば、FBI)、諜報(例えば、CIA)、防衛関連省庁も含みますね。。。ということは、諜報機関も商用のスパイウェアを使って諜報活動をするということはできないということになりますね。。。

また、中国製品狙いと思うかもしれませんが、国として限定されていないことから、米国製品であっても同じということですね。。。(人権と民主主義ですから。。。)ブラックリスト(機密情報指定される)をつくるようです。

一方、例外も認められるような記述がありますね。。。

Fig1_20210802074601

⚫︎ The White House

・2023.03.27 Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security

Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令について
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:  合衆国憲法および合衆国法により大統領として私に与えられた権限により、ここに次のように命ずる: 
     Section 1.  Policy.  Technology is central to the future of our national security, economy, and democracy.  The United States has fundamental national security and foreign policy interests in (1) ensuring that technology is developed, deployed, and governed in accordance with universal human rights; the rule of law; and appropriate legal authorization, safeguards, and oversight, such that it supports, and does not undermine, democracy, civil rights and civil liberties, and public safety; and (2) mitigating, to the greatest extent possible, the risk emerging technologies may pose to United States Government institutions, personnel, information, and information systems.      第1条  方針:技術は、我が国の安全保障、経済および民主主義の将来にとって中心的なものである。  米国は、(1)技術が、普遍的人権、法の支配、適切な法的認可、保障措置、監視に従って開発、展開、管理され、民主主義、市民権、市民自由、公共の安全を支援し、損なうことがないようにすること、(2)新興技術が米国政府の機関、人員、情報、情報システムに与える可能性があるリスクを可能な限り軽減すること、について国家安全保障と外交政策の基本的利益を有する。
     To advance these interests, the United States supports the development of an international technology ecosystem that protects the integrity of international standards development; enables and promotes the free flow of data and ideas with trust; protects our security, privacy, and human rights; and enhances our economic competitiveness.  The growing exploitation of Americans’ sensitive data and improper use of surveillance technology, including commercial spyware, threatens the development of this ecosystem.  Foreign governments and persons have deployed commercial spyware against United States Government institutions, personnel, information, and information systems, presenting significant counterintelligence and security risks to the United States Government.  Foreign governments and persons have also used commercial spyware for improper purposes, such as to target and intimidate perceived opponents; curb dissent; limit freedoms of expression, peaceful assembly, or association; enable other human rights abuses or suppression of civil liberties; and track or target United States persons without proper legal authorization, safeguards, or oversight.       これらの利益を促進するため、米国は、国際標準開発の完全性を保護し、信頼に基づくデータとアイデアの自由な流れを可能にし促進し、私たちのセキュリティ、プライバシー、人権を保護し、経済競争力を強化する国際技術エコシステムの開発を支持する。  米国人の機密データの搾取の拡大や、商用スパイウェアを含む監視技術の不適切な使用は、このエコシステムの発展を脅かしている。  外国政府および個人は、米国政府の機関、職員、情報および情報システムに対して商用スパイウェアを展開し、米国政府に対して重大な防諜およびセキュリティリスクを提示している。  外国政府および個人はまた、認識された反対者を標的にして脅迫する、反対意見を抑制する、表現、平和的集会または結社の自由を制限する、その他の人権侵害または市民的自由の抑圧を可能にする、適切な法的認可、保護措置または監視なしに米国人を追跡または標的化するなど、不適切な目的で商用スパイウェアを使っている。 
     The United States has a fundamental national security and foreign policy interest in countering and preventing the proliferation of commercial spyware that has been or risks being misused for such purposes, in light of the core interests of the United States in protecting United States Government personnel and United States citizens around the world; upholding and advancing democracy; promoting respect for human rights; and defending activists, dissidents, and journalists against threats to their freedom and dignity.  To advance these interests and promote responsible use of commercial spyware, the United States must establish robust protections and procedures to ensure that any United States Government use of commercial spyware helps protect its information systems and intelligence and law enforcement activities against significant counterintelligence or security risks; aligns with its core interests in promoting democracy and democratic values around the world; and ensures that the United States Government does not contribute, directly or indirectly, to the proliferation of commercial spyware that has been misused by foreign governments or facilitate such misuse.      米国は、世界中の米国政府要員および米国市民の保護、民主主義の支持と推進、人権の尊重の促進、活動家、反体制派、ジャーナリストの自由と尊厳に対する脅威からの擁護という米国の基本的利益に照らし、このような目的で悪用されてきた、またはその危険性がある商用スパイウェアの拡散に対抗し防止することについて、国家安全保障および外交政策の基本的利益を有している。  これらの利益を促進し、商用スパイウェアの責任ある使用を促進するために、米国は、米国政府による商用スパイウェアの使用が、その情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから保護し、世界中の民主主義と民主的価値の促進という米国の中核的利益に合致し、米国政府が外国政府によって悪用された商用スパイウェアの拡散に直接または間接的に寄与せず、その悪用が促進されることを確実にする、強固な保護と手順を確立しなければならない。
     Therefore, I hereby establish as the policy of the United States Government that it shall not make operational use of commercial spyware that poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.  In furtherance of the national security and foreign policy interests of the United States, this order accordingly directs steps to implement that policy and protect the safety and security of United States Government institutions, personnel, information, and information systems; discourage the improper use of commercial spyware; and encourage the development and implementation of responsible norms regarding the use of commercial spyware that are consistent with respect for the rule of law, human rights, and democratic norms and values.  The actions directed in this order are consistent with the policy objectives set forth in section 6318 of the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 (NDAA FY 2023) (Public Law 117-263) and section 5502 of the National Defense Authorization Act for Fiscal Year 2022 (NDAA FY 2022) (Public Law 117-81).       したがって、私は、米国政府にとって重大な防諜または安全保障上のリスク、あるいは外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアを業務上使用しないことを、米国政府の方針としてここに確立する。  米国の国家安全保障および外交政策の利益を促進するため、この命令は、この政策を実施し、米国政府の機関、職員、情報、および情報システムの安全およびセキュリティを保護し、商用スパイウェアの不適切な使用を阻止し、法の支配、人権、および民主主義の規範と価値の尊重と一致する、商用スパイウェアの使用に関する責任規範の策定と実施を奨励する措置を指示するものである。  この命令で指示された行動は、2023会計年度ジェームズ・M・インホーフ国防権限法(NDAA 2023年度)(公法117-263)の第6318条および2022会計年度国防権限法(NDAA 2022年度)(公法117-81)の第5502条に定められた政策目標に合致している。 
     Sec. 2.  Prohibition on Operational Use.  (a)  Executive departments and agencies (agencies) shall not make operational use of commercial spyware where they determine, based on credible information, that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person.  For the purposes of this use prohibition:      第 2 条  業務上の使用の禁止: (a) 行政府および政府機関(以下、機関)は、信頼できる情報に基づき、その使用が米国政府にとって重大な防諜または安全保障上のリスクをもたらすと判断した場合、またはその商用スパイウェアが外国政府または外国人によって不適切に使用される重大なリスクをもたらすと判断した場合には、商用スパイウェアを業務上使用してはならない。この使用禁止の目的のために
          (i)    Commercial spyware may pose counterintelligence or security risks to the United States Government when:           (i) 商業用スパイウェアは、以下の場合に、合衆国政府に対して防諜上または安全保障上のリスクをもたらす可能性がある:
               (A)  a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to United States Government computers or the computers of United States Government personnel without authorization from the United States Government; or                (A) 外国政府または外国人が、合衆国政府のコンピュータまたは合衆国政府職員のコンピュータに、合衆国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した場合。
               (B)  the commercial spyware was or is furnished by an entity that:                (B) 商用スパイウェアが、以下の事業者によって提供された、または提供された場合:
                    (1)  maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the United States Government;                     (1) ライセンスを受けたエンドユーザまたは合衆国政府の許可なく、商用スパイウェアから得られたデータを維持、転送、または使用する;
                    (2)  has disclosed or intends to disclose non-public United States Government information or non-public information about the activities of the United States Government without authorization from the United States Government; or                     (2) 米国政府からの許可なく、米国政府の非公開情報または米国政府の活動に関する非公開情報を開示した、または開示する予定である。
                    (3)  is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities, including surveillance or espionage, directed against the United States.                     (3) 米国に向けられた監視またはスパイ活動を含む諜報活動に従事する外国政府または外国人の直接的または実効的な管理下にある。
          (ii)   Commercial spyware may pose risks of improper use by a foreign government or foreign person when:           (ii) 商用スパイウェアは、以下の場合に、外国政府または外国人による不適切な使用のリスクをもたらす可能性がある:
               (A)  the commercial spyware, or other commercial spyware furnished by the same vendor, has been used by a foreign government or foreign person for any of the following purposes:                (A) 商業用スパイウェア、または同じベンダーが提供する他の商業用スパイウェアが、外国政府または外国人によって以下のいずれかの目的で使用されたことがある:
                    (1)  to collect information on activists, academics, journalists, dissidents, political figures, or members of non-governmental organizations or marginalized communities in order to intimidate such persons; curb dissent or political opposition; otherwise limit freedoms of expression, peaceful assembly, or association; or enable other forms of human rights abuses or suppression of civil liberties; or                     (1) 活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織または疎外されたコミュニティのメンバーに関する情報を収集し、これらの人々を脅迫し、反対意見や政治的反対を抑制し、表現、平和的集会、または結社の自由を制限し、または他の形態の人権侵害または市民の自由の抑圧を可能にするために使用すること、または
                    (2)  to monitor a United States person, without such person’s consent, in order to facilitate the tracking or targeting of the person without proper legal authorization, safeguards, and oversight; or                     (2) 適切な法的認可、保護措置、監視なしに、米国人の追跡または標的化を促進するために、当該人の同意なしに、米国人を監視すること。
               (B)  the commercial spyware was furnished by an entity that provides commercial spyware to governments for which there are credible reports in the annual country reports on human rights practices of the Department of State that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights, consistent with any findings by the Department of State pursuant to section 5502 of the NDAA FY 2022 or other similar findings.                (B) 国務省の人権慣行に関する年次国別報告書において、恣意的な逮捕または拘留、拷問、超法規的または政治的動機による殺害、またはその他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して、2022年度NDAA第5502条に基づく国務省による所見またはその他の同様の所見と一致する商用スパイウェアが提供された事業者である。
          (iii)  In determining whether the operational use of commercial spyware poses significant counterintelligence or security risks to the United States Government or poses significant risks of improper use by a foreign government or foreign person, such that operational use should be prohibited, agencies shall consider, among other relevant considerations, whether the entity furnishing the commercial spyware knew or reasonably should have known that the spyware posed risks described in subsections (a)(i) or (ii) of this section, and whether the entity has taken appropriate measures to remove such risks, such as canceling relevant licensing agreements or contracts that present such risks; taking other verifiable action to prevent continuing uses that present such risks; or cooperating in United States Government efforts to counter improper use of the spyware.           (iii) 市販のスパイウェアの運用上の使用が、米国政府にとって重大な防諜または安全保障上のリスクをもたらすか、あるいは運用上の使用を禁止すべきような外国政府または外国人による不正使用の重大なリスクをもたらすかを判断するにあたり、機関は、他の関連する考慮事項の中でも、以下を考慮しなければならない、 商用スパイウェアを提供する事業者が、当該スパイウェアが本節(a)(i)または(ii)に記載されたリスクをもたらすことを知っていたか、または合理的に知るべきだったか、および当該事業者が、当該リスクをもたらす関連ライセンス契約または契約を取り消すなど、リスクを取り除くための適切な措置をとったかどうか; そのようなリスクをもたらす継続的な使用を防止するための他の検証可能な行動をとること、又はスパイウェアの不適切な使用に対抗する合衆国政府の努力に協力すること。
     (b)  An agency shall not request or directly enable a third party to make operational use of commercial spyware where the agency has determined that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person, as described in subsection (a) of this section.  For purposes of this order, the term “operational use” includes such indirect use.      (b) 機関は、そのような使用が合衆国政府にとって重大な防諜または安全保障上のリスクをもたらすと機関が判断した場合、あるいは、その商用スパイウェアが本節の(a)項に記載されているように外国政府または外国人による不正使用の重大なリスクをもたらすと機関が判断した場合には、第三者に商用スパイウェアの運用を要請したり直接可能にしたりしてはならない。 この命令の目的上、「運用上の使用」という用語は、このような間接的な使用を含む。
     (c)  To facilitate effective interagency coordination of information relevant to the factors set forth in subsection (a) of this section and to promote consistency of application of this order across the United States Government, the Director of National Intelligence (DNI) shall, within 90 days of the date of this order, and on a semiannual basis thereafter, issue a classified intelligence assessment that integrates relevant information — including intelligence, open source, financial, sanctions-related, and export controls-related information — on foreign commercial spyware or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section.  The intelligence assessment shall incorporate, but not be limited to, the report and assessment required by section 1102A(b) of the National Security Act of 1947, 50 U.S.C. 3001 et seq., as amended by section 6318(c) of the NDAA FY 2023.  In order to facilitate the production of the intelligence assessment, the head of each agency shall, on an ongoing basis, provide the DNI all new credible information obtained by the agency on foreign commercial spyware vendors or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section.  Such information shall include intelligence, open source, financial, sanctions-related, export controls-related, and due diligence information, as well as information relevant to the development of the list of covered contractors developed or maintained pursuant to section 5502 of the NDAA FY 2022 or other similar information.      (c) 本項(a)に規定する要因に関連する情報の効果的な省庁間調整を促進し、合衆国政府全体における本命令の適用の一貫性を促進するため、国家情報長官(DNI)は、本令の日付から90日以内に、またその後半期ごとに、次のことを行う、 本節の第(a)項に定める要因に関連する外国の商用スパイウェアまたは外国政府もしくは外国人の商用スパイウェアの使用に関する情報、オープンソース、金融、制裁関連および輸出管理関連の情報を含む関連情報を統合した機密情報評価を発行する。  情報評価は、2023年度NDAA第6318条(c)により改正された1947年国家安全保障法(50 U.S.C. 3001 et seq)の1102A条(b)により求められる報告及び評価を取り入れるものとするが、これに限定されない。  情報評価の作成を促進するため、各機関の長は、継続的に、外国の商用スパイウェアのベンダーまたは外国政府もしくは外国人の商用スパイウェアの使用に関して当該機関が得たすべての新しい信頼できる情報を、本節の第(a)項に規定する要因に関連させてDNIに提供しなければならない。  当該情報には、情報、オープンソース、金融、制裁関連、輸出管理関連、デューディリジェンス情報のほか、2022年度NDAA第5502条に従って作成または維持される対象業者のリストの作成に関連する情報またはその他の同様の情報を含むものとする。
     (d)  Any agency that makes a determination of whether operational use of a commercial spyware product is prohibited under subsection (a) of this section shall provide the results of that determination and key elements of the underlying analysis to the DNI.  After consulting with the submitting agency to protect operational sensitivities, the DNI shall incorporate this information into the intelligence assessment described in subsection (c) of this section and, as needed, shall make this information available to other agencies consistent with section 3(b) of this order.       (d) 本節の第(a)項に基づき、市販のスパイウェア製品の運用利用が禁止されているか否かの判断を行った機関は、その判断結果および基礎となる分析の主要要素をDNIに提供する。  DNIは、作戦上の機密を保護するために提出機関と協議した後、この情報を本節の(c)項に記載の情報評価に組み込み、必要に応じて、この情報を本命令の第3項(b)に従って他機関に提供しなければならないものとする。 
     (e)  The Assistant to the President for National Security Affairs (APNSA), or a designee, shall, within 30 days of the issuance of the intelligence assessment described in subsection (c) of this section, and additionally as the APNSA or designee deems necessary, convene agencies to discuss the intelligence assessment, as well as any other information about commercial spyware relevant to the factors set forth in subsection (a) of this section, in order to ensure effective interagency awareness and sharing of such information.      (e) 国家安全保障問題担当大統領補佐官(APNSA)またはその被指名者は、本項(c)に記載された情報評価の発行から30日以内に、またAPNSAまたは被指名者が必要と考える場合には、省庁間の認識と情報の共有を効果的に行うために、情報評価、および本項(a)に定める要因に関連する商用スパイウェアに関するその他の情報についても話し合うために省庁を招集するものとする。
     (f)  For any commercial spyware intended by an agency for operational use, a relevant official, as provided in section 5(k) of this order, shall certify the determination that the commercial spyware does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person based on the factors set forth in subsection (a) of this section.  The obligation to certify such a determination shall not be delegated, except as provided in section 5(k) of this order.      (f) 機関が運用目的で使用する商用スパイウェアについては、本命令の第5条(k)に定める関係当局者が、本条(a)に定める要因に基づき、商用スパイウェアが合衆国政府に対する重大な防諜・セキュリティ上のリスク、または外国政府もしくは外国人による不正使用の著しいリスクをもたらさないという決定を証明するものとする。 このような決定を証明する義務は、本命令の第5条(k)に規定される場合を除き、委任されないものとする。
     (g)  If an agency decides to make operational use of commercial spyware, the head of the agency shall notify the APNSA of such decision, describing the due diligence completed before the decision was made, providing relevant information on the agency’s consideration of the factors set forth in subsection (a) of this section, and providing the reasons for the agency’s determination.  The agency may not make operational use of the commercial spyware until at least 7 days after providing this information or until the APNSA has notified the agency that no further process is required.       (g) ある機関が市販のスパイウェアを運用することを決定した場合、当該機関の長は、APNSAに当該決定を通知し、決定前に完了したデューディリジェンスを説明し、本項(a)に規定する要因の検討に関する関連情報を提供し、当該機関の決定の理由を提供するものとする。  当該機関は、この情報を提供してから少なくとも7日後、またはAPNSAがこれ以上の処理を必要としないことを当該機関に通知するまで、商用スパイウェアの運用利用を行うことはできない。 
     (h)  Within 90 days of the issuance of the intelligence assessment described in subsection (c) of this section, each agency shall review all existing operational uses of commercial spyware and discontinue, as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, operational use of any commercial spyware that the agency determines poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to subsection (a) of this section.      (h) 本項(c)に記載された情報評価の発行から90日以内に、各機関は、商用スパイウェアの既存の運用上の使用をすべて見直し、本項(a)に従って、米国政府に対する重大な防諜またはセキュリティ上のリスクまたは外国政府もしくは外国人による不正使用の著しいリスクがあると機関長が判断する商用スパイウェアの運用上の使用を、進行中の業務を損なわずに合理的に可能と判断した時点で停止しなければならない。
     (i)  Within 180 days of the date of this order, each agency that may make operational use of commercial spyware shall develop appropriate internal controls and oversight procedures for conducting determinations under subsection (a) of this section, as appropriate and consistent with applicable law.      (i) この命令の日付から180日以内に、市販のスパイウェアを運用上使用する可能性のある各機関は、本条第(a)項に基づく判断を行うための適切な内部統制および監視手順を、適切かつ適用法と一致するように開発するものとする。
     (j)  At any time after procuring commercial spyware for operational use, if the agency obtains relevant information with respect to the factors set forth in subsection (a) of this section, the agency shall determine whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, and, if so, shall terminate such operational use as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, and shall notify the DNI and the APNSA.      (j) 業務用スパイウェアを調達した後いつでも、本条(a)項に定める要因に関して関連情報を入手した場合、当該機関は、当該商用スパイウェアが合衆国政府にとって重大な防諜またはセキュリティ上のリスクをもたらすかどうか、または外国政府もしくは外国人による不適切な使用の重大なリスクをもたらすかを判断し、その場合は、継続中の業務を損なわずに機関の長が合理的に可能と判断した時点で当該業務使用を終了し、DNI及びAPNSAに通知しなければならない。
     (k)  The Federal Acquisition Security Council shall consider the intelligence assessment described in subsection (c) of this section in evaluating whether commercial spyware poses a supply chain risk, as appropriate and consistent with applicable law, including 41 C.F.R. Part 201-1 and 41 U.S.C. 1323.      (k) 連邦調達安全委員会は、商業用スパイウェアがサプライチェーンのリスクをもたらすかどうかを評価する際に、適切かつ41CFR Part 201-1および41U.S.C. 1323を含む適用法と一致するように、本節(c)に記載の情報評価を考慮しなければならない。
     (l)  The prohibitions contained in this section shall not apply to the use of commercial spyware for purposes of testing, research, analysis, cybersecurity, or the development of countermeasures for counterintelligence or security risks, or for purposes of a criminal investigation arising out of the criminal sale or use of the spyware.      (l) 本条に含まれる禁止事項は、試験、研究、分析、サイバーセキュリティ、または防諜もしくはセキュリティ・リスクに対する対策の開発を目的とした商用スパイウェアの使用、またはスパイウェアの犯罪的販売もしくは使用から生じる犯罪捜査の目的には適用されないものとする。
     (m)  A relevant official, as provided in section 5(k) of this order, may issue a waiver, for a period not to exceed 1 year, of an operational use prohibition determined pursuant to subsection (a) of this section if the relevant official determines that such waiver is necessary due to extraordinary circumstances and that no feasible alternative is available to address such circumstances.  This authority shall not be delegated, except as provided in section 5(k) of this order.  A relevant official may, at any time, revoke any waiver previously granted.  Within 72 hours of making a determination to issue or revoke a waiver pursuant to this subsection, the relevant official who has issued or revoked the waiver shall notify the President, through the APNSA, of this determination, including the justification for the determination.  The relevant official shall provide this information concurrently to the DNI.      (m) 本命令第5条(k)に規定される関係当局は、本条(a)項に従って決定された運用使用禁止の放棄が異常事態により必要であり、当該状況に対処するために実行可能な代替手段がないと関係当局が判断した場合、1年を超えない期間、当該放棄を行うことができます。 この権限は、本令第5条(k)に規定される場合を除き、委任されないものとする。 関係者は、いつでも、以前に付与された免除を取り消すことができる。  本項に従って免除を発行または取り消す決定を下してから 72 時間以内に、免除を発行または取り消した関係当局は、APNSA を通じて、決定の正当性を含むこの決定を大統領に通知するものとする。  関係当局は、この情報を DNI に同時に提供しなければならない。
     Sec. 3.  Application to Procurement.  An agency seeking to procure commercial spyware for any purpose other than for a criminal investigation arising out of the criminal sale or use of the spyware shall, prior to making such procurement and consistent with its existing statutory and regulatory authorities:       第 3 条  調達への適用:スパイウェアの犯罪的販売または使用に起因する犯罪捜査以外の目的で市販のスパイウェアを調達しようとする機関は、当該調達を行う前に、既存の法令および規制上の権限に基づき、以下のことを行うものとする: 
     (a)  review the intelligence assessment issued by the DNI pursuant to section 2(c) of this order;      (a) この命令の第2条(c)に従ってDNIが発行した情報評価を検討すること;
     (b)  request from the DNI any additional information regarding the commercial spyware that is relevant to the factors set forth in section 2(a) of this order;      (b) この命令の第2条(a)に規定する要因に関連する商用スパイウェアに関する追加情報をDNIに要求すること;
     (c)  consider the factors set forth in section 2(a) of this order in light of the information provided by the DNI; and      (c) DNIから提供された情報に照らして、本命令の第2条(a)に規定する要因を検討すること。
     (d)  consider whether any entity furnishing the commercial spyware being considered for procurement has implemented reasonable due diligence procedures and standards — such as the industry-wide norms reflected in relevant Department of State guidance on business and human rights and on transactions linked to foreign government end-users for products or services with surveillance capabilities — and controls that would enable the entity to identify and prevent uses of the commercial spyware that pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.      (d) 調達が検討されている商用スパイウェアを提供する事業者が、合理的なデューディリジェンスの手順と基準(ビジネスと人権に関する国務省の関連ガイダンスや監視機能を有する製品またはサービスに関する外国政府のエンドユーザと関連する取引に反映される業界全体の規範など)および米国政府にとって重大な防諜またはセキュリティ上のリスクをもたらす商用スパイウェアや外国政府または外国人によって不正使用する著しいリスクの用途を特定および防止できる統制を実施しているかを検討する。
     Sec. 4.  Reporting Requirements.  (a)  The head of each agency that has procured commercial spyware, upon completing the review described in section 2(h) of this order, shall submit to the APNSA a report describing the review’s findings.  If the review identifies any existing operational use of commercial spyware, as defined in this order, the agency report shall include:      第4条  報告要件: (a) 商用スパイウェアを調達した各機関の長は、本命令の第2項(h)に記載されたレビューを完了した時点で、レビューの結果を記載した報告書をAPNSAに提出する。  レビューにより、本命令で定義される商用スパイウェアの既存の業務上の使用が確認された場合、当該機関の報告書には、以下が含まれるものとする:
          (i)    a description of such existing operational use;           (i) 当該既存の業務上の使用に関する記述;
          (ii)   a determination of whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, along with key elements of the underlying analysis, pursuant to section 2(a) of this order; and           (ii) 本命令の第2条(a)に従い、商業用スパイウェアが、米国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による不適切な使用の重大なリスクをもたらすかどうかの判断と、その基礎となる分析の主要要素。
          (iii)  in the event the agency determines that the commercial spyware poses significant risks pursuant to section 2(a) of this order, what steps have been taken to terminate its operational use.             (iii) 本命令の第2項(a)に従って商用スパイウェアが重大なリスクをもたらすと機関が判断した場合、その業務上の使用を終了させるためにどのような措置が取られたのか。 
     (b)  Within 45 days of an agency’s procurement of any commercial spyware for any use described in section 2(l) of this order except for use in a criminal investigation arising out of the criminal sale or use of the spyware, the head of the agency shall notify the APNSA of such procurement and shall include in the notification a description of the purpose and authorized uses of the commercial spyware.      (b) スパイウェアの犯罪的な販売または使用に起因する犯罪捜査における使用を除き、本注文の第2項(l)に記載された用途で機関が商用スパイウェアを調達した日から45日以内に、機関の長は、APNSAに当該調達を通知し、通知には、商用スパイウェアの目的および許可された用途の説明を含めなければならない。
     (c)  Within 6 months of the date of this order, the head of each agency that has made operational use of commercial spyware or has procured commercial spyware for operational use shall submit to the APNSA a report on the actions that the agency has taken to implement this order, including the internal controls and oversight procedures the agency has developed pursuant to section 2(i) of this order.      (c) 本命令の日付から6か月以内に、商用スパイウェアを業務上の目的で使用した、または業務上の目的で商用スパイウェアを調達した各機関の長は、本命令の第2項(i)に従って機関が開発した内部統制および監視手続を含め、当該機関が実施した措置に関する報告書をAPNSAに提出する。
     (d)  Within 1 year of the date of this order, and on an annual basis thereafter, the head of each agency that has procured commercial spyware for operational use shall provide the APNSA a report that identifies:      (d) 本命令の日付から1年以内、およびその後毎年、業務用の商用スパイウェアを調達している各機関の長は、APNSAに対し、以下を特定する報告書を提出する:
          (i)    any existing operational use of commercial spyware and the reasons why it does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to section 2(a) of this order;           (i) 本命令の第2条(a)に従い、商用スパイウェアの既存の運用上の使用と、それが合衆国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による重大な不正使用のリスクを引き起こさない理由;
          (ii)   any operational use of commercial spyware that was terminated during the preceding year because it was determined to pose significant risks pursuant to section 2(a) of this order, the circumstances under which this determination was made, and the steps taken to terminate such use; and           (ii) この命令の第2条(a)に従って重大なリスクをもたらすと判断されたため、前年度に終了した商用スパイウェアの運用上の使用、この判断が下された状況、および当該使用を終了するために講じた措置。
          (iii)  any purchases made of commercial spyware, and whether they were made for operational use, during the preceding year.           (iii) 前年の間に、市販のスパイウェアを購入したこと、及びそれが業務用であったかどうか。
     Sec. 5.  Definitions.  For purposes of this order:       第5条  定義 :本命令の目的上、以下のとおりとする: 
     (a)  The term “agency” means any authority of the United States that is an “agency” under 44 U.S.C. 3502(1), other than those considered to be independent regulatory agencies, as defined in 44 U.S.C. 3502(5).      (a) 「機関」とは、44 U.S.C. 3502(1)に基づく「機関」である米国の当局をいい、44 U.S.C. 3502(5)に定義される独立規制機関とみなされるものは除きます。
     (b)  The term “commercial spyware” means any end-to-end software suite that is furnished for commercial purposes, either directly or indirectly through a third party or subsidiary, that provides the user of the software suite the capability to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:      (b) 「商用スパイウェア」とは、第三者または子会社を通じて直接的または間接的に商用目的で提供されるエンド・ツー・エンドのソフトウェア・スイートであって、当該ソフトウェアスイートの使用者に、当該コンピュータの使用者、管理者または所有者の同意なしに、以下の目的でコンピュータにリモートアクセスする機能を提供するものをいう:
          (i)    access, collect, exploit, extract, intercept, retrieve, or transmit content, including information stored on or transmitted through a computer connected to the Internet;           (i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含むコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること;
          (ii)   record the computer’s audio calls or video calls or use the computer to record audio or video; or           (ii) コンピュータの音声通話またはビデオ通話を記録すること、または音声またはビデオを記録するためにコンピュータを使用すること、または。
          (iii)  track the location of the computer.           (iii) コンピュータの場所を追跡すること。
     (c)  The term “computer” shall have the same meaning as it has in 18 U.S.C. 1030(e)(1).      (c) 「コンピュータ」という用語は、合衆国法律集第 18 編第 1030 条(e)(1)における意味と同じ意味を有するものとする。
     (d)  The term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization.      (d) 「事業体」という用語は、パートナーシップ、協会、信託、ジョイントベンチャー、企業、グループ、サブグループ、またはその他の組織を意味する。
     (e)  The term “foreign entity” means an entity that is not a United States entity.      (e) 「外国企業」とは、米国の企業でない企業を意味する。
     (f)  The term “foreign government” means any national, state, provincial, or other governing authority, any political party, or any official of any governing authority or political party, in each case of a country other than the United States.      (f) 「外国政府」とは、国、州、地方、その他の統治当局、政党、統治当局または政党の役人をいい、いずれの場合も、米国以外の国のものをいう。
     (g)  The term “foreign person” means a person that is not a United States person.      (g) 「外国人」とは、合衆国人でない者をいう。
     (h)  The term “furnish,” when used in connection with commercial spyware, means to develop, maintain, own, operate, manufacture, market, sell, resell, broker, lease, license, repackage, rebrand, or otherwise make available commercial spyware.      (h)「提供する」という用語は、商用スパイウェアに関連して使用される場合、商用スパイウェアを開発、維持、所有、運用、製造、販売、再販、仲介、リース、ライセンス、再パッケージ、再ブランド、その他利用可能にすることを意味する。
     (i)  The term “operational use” means use to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:      (i) 「業務上の使用」とは、以下の目的で、コンピュータの使用者、管理者または所有者の同意を得ずに、コンピュータにリモートアクセスするための使用をいいる:
          (i)    access, collect, exploit, extract, intercept, retrieve, or transmit the computer’s content, including information stored on or transmitted through a computer connected to the Internet;           (i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含む、コンピュータのコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること;
          (ii)   record the computer’s audio calls or video calls or use the computer to otherwise record audio or video; or           (ii) コンピュータの音声通話またはビデオ通話を記録すること、あるいはコンピュータを使用して音声またはビデオを記録すること、または。
          (iii)  track the location of the computer.            (iii) コンピュータの位置を追跡すること。 
     The term “operational use” does not include those uses described in section 2(l) of this order.      運用上の使用」という用語には、本注文の第2項(l)に記載される使用は含まれない。
     (j)  The term “person” means an individual or entity.      (j) 「人」という用語は、個人または団体を意味する。
     (k)  The term “relevant official,” for purposes of sections 2(f) and 2(m) of this order, refers to any of the following:  the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, the DNI, the Director of the Central Intelligence Agency, or the Director of the National Security Agency.  The Attorney General’s obligation under section 2(f) of this order and authority under section 2(m) of this order may be delegated only to the Deputy Attorney General.      (k) 本命令第2条(f)および第2条(m)における「関係当局者」とは、国防長官、司法長官、国土安全保障省長官、DNI、中央情報局長官、国家安全保障局長官のいずれかを意味するものとする。  本命令第2条(f)に基づく司法長官の義務および本命令第2条(m)に基づく権限は、司法長官代理にのみ委任することができます。
     (l)  The term “remote access,” when used in connection with commercial spyware, means access to a computer, the computer’s content, or the computer’s components by using an external network (e.g., the Internet) when the computer is not in the physical possession of the actor seeking access to that computer.      (l) 「リモート・アクセス」という用語は、商用スパイウェアに関連して使用される場合、コンピュータへのアクセスを求める行為者がそのコンピュータを物理的に所有していないときに、外部ネットワーク(例えば、インターネット)を使用してコンピュータ、コンピュータのコンテンツ、またはコンピュータのコンポーネントにアクセスすることを意味する。
     (m)  The term “United States entity” means any entity organized under the laws of the United States or any jurisdiction within the United States (including foreign branches).      (m) 「米国企業」とは、米国法または米国内の司法権に基づき組織された企業(外国支店を含む)をいいる。
     (n)  The term “United States person” shall have the same meaning as it has in Executive Order 12333 of December 4, 1981 (United States Intelligence Activities), as amended.      (n) 「合衆国人」という用語は、1981年12月4日の大統領令12333(合衆国諜報活動)において修正されたものと同じ意味を有するものとする。
     (o)  The term “United States Government personnel” means all United States Government employees as defined by 5 U.S.C. 2105.      (o)「合衆国政府職員」とは、5 U.S.C. 2105に規定されるすべての合衆国政府職員をいう。
     Sec. 6.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect:       第6条 一般規定:  (a) 本命令のいかなる条項も、以下の事項を損なう、またはその他の影響を与えるものと解釈してはならない: 
          (i)   the authority granted by law to an executive department or agency, or the head thereof; or           (i) 行政機関またはその長に法律で認められた権限。
          (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.           (ii) 予算、行政、または立法案に関する行政管理予算局長の機能。
     (b)  Nothing in this order shall be construed to limit the use of any remedies available to the head of an agency or any other official of the United States Government.      (b) 本命令のいかなる内容も、省庁の長または米国政府の他の職員が利用できる救済措置の利用を制限するものと解釈してはならない。
     (c)  This order shall be implemented consistent with applicable law, including section 6318 of the NDAA FY 2023, as well as applicable procurement laws, and subject to the availability of appropriations.      (c) 本命令は、2023年度NDAA第6318条、適用される調達法を含む適用法と一致し、かつ、充当可能な予算に応じて実施されるものとする。
     (d)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.      (d) 本命令は、実体的または手続き的に、いかなる当事者も米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して法律上または衡平法上強制できる権利または利益を創出することを意図しておらず、また創出しない。
                             JOSEPH R. BIDEN JR.                              ジョセフ・R・バイデン Jr.
THE WHITE HOUSE, ホワイトハウス
   March 27, 2023.    2023年3月27日

 

 

・2023.03.27 FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security

FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security ファクトシート:バイデン大統領、国家安全保障に危険を及ぼす商用スパイウェアの米国政府使用を禁止する大統領令に署名
Presidential Directive Will Serve as a Cornerstone Initiative During the Second Summit for Democracy 大統領令は、第2回民主主義のためのサミットにおける基軸となるイニシアティブとなる
Today, President Biden signed an Executive Order that prohibits, for the first time, operational use by the United States Government of commercial spyware that poses risks to national security or has been misused by foreign actors to enable human rights abuses around the world. 本日、バイデン大統領は、国家安全保障に危険を及ぼす、あるいは外国人行為者によって世界中の人権侵害を可能にするために悪用されてきた商用スパイウェアの米国政府による運用利用を初めて禁止する大統領令に署名した。
Commercial spyware – sophisticated and invasive cyber surveillance tools sold by vendors to access electronic devices remotely, extract their content, and manipulate their components, all without the knowledge or consent of the devices’ users – has proliferated in recent years with few controls and high risk of abuse. 商用スパイウェアとは、電子機器に遠隔からアクセスし、そのコンテンツを抽出し、そのコンポーネントを操作するための、ベンダーが販売する高度で侵襲的なサイバー監視ツールで、すべて機器のユーザーの知識や同意なしに、制御がほとんどなく、悪用のリスクが高い状態で近年拡散している。
The proliferation of commercial spyware poses distinct and growing counterintelligence and security risks to the United States, including to the safety and security of U.S. Government personnel and their families. U.S. Government personnel overseas have been targeted by commercial spyware, and untrustworthy commercial vendors and tools can present significant risks to the security and integrity of U.S. Government information and information systems. 商用スパイウェアの拡散は、米国政府関係者とその家族の安全やセキュリティを含め、米国に明確かつ増大する防諜・安全保障上のリスクをもたらす。海外の米国政府関係者は、商用スパイウェアに狙われており、信頼できない商用ベンダーやツールは、米国政府の情報および情報システムのセキュリティと完全性に重大なリスクをもたらす可能性がある。
A growing number of foreign governments around the world, moreover, have deployed this technology to facilitate repression and enable human rights abuses, including to intimidate political opponents and curb dissent, limit freedom of expression, and monitor and target activists and journalists. Misuse of these powerful surveillance tools has not been limited to authoritarian regimes. Democratic governments also have confronted revelations that actors within their systems have used commercial spyware to target their citizens without proper legal authorization, safeguards, and oversight.  さらに、世界中のますます多くの外国政府が、政治的反対者を脅迫し、反対意見を抑制し、表現の自由を制限し、活動家やジャーナリストを監視し標的とするなど、抑圧を促進し人権侵害を可能にするためにこの技術を導入している。こうした強力な監視ツールの悪用は、権威主義的な政権に限ったことではない。民主的な政府もまた、自国のシステム内の行為者が、適切な法的認可、保護措置、監視なしに、市民を標的にするために商用スパイウェアを使用していることが明らかになったことに直面している。 
In response, the Biden-Harris Administration has mobilized a government-wide effort to counter the risks posed by commercial spyware. Today’s Executive Order builds on these initiatives, and complementary bipartisan congressional action, to establish robust protections against misuse of such tools. これに対し、バイデン-ハリス政権は、商用スパイウェアがもたらすリスクに対抗するため、政府を挙げての取り組みを行いました。本日の大統領令は、こうした取り組みと超党派の議会活動を補完するものであり、こうしたツールの悪用に対する強固な保護を確立するものである。
This Executive Order will serve as a cornerstone U.S. initiative during the second Summit for Democracy on March 29-30, 2023, which President Biden will co-host with the leaders of Costa Rica, the Netherlands, the Republic of Korea, and the Republic of Zambia. In furtherance of President Biden’s National Security Strategy, this Executive Order demonstrates the United States’ leadership in, and commitment to, advancing technology for democracy, including by countering the misuse of commercial spyware and other surveillance technology.  This Executive Order will also serve as a foundation to deepen international cooperation to promote responsible use of surveillance technology, counter the proliferation and misuse of such technology, and spur industry reform. この大統領令は、バイデン大統領がコスタリカ、オランダ、大韓民国、ザンビア共和国の首脳と共同開催する、2023年3月29~30日の第2回民主化サミットにおける米国の重要なイニシアティブとして機能することになるでしょう。バイデン大統領の国家安全保障戦略を推進するため、この大統領令は、商業用スパイウェアやその他の監視技術の悪用に対抗することを含め、民主主義のための技術の進歩における米国のリーダーシップとそのコミットメントを示すものである。  また、この大統領令は、監視技術の責任ある使用を促進し、そのような技術の拡散や悪用に対抗し、業界の改革を促進するための国際協力を深めるための基盤としても機能する。
*** ***
In particular, the Executive Order signed by President Biden today: 特に、本日バイデン大統領が署名した大統領令では
Applies to U.S. federal government departments and agencies, including those engaged in law enforcement, defense, or intelligence activities, and encompasses spyware tools furnished by foreign or domestic commercial entities. ・法執行、防衛、諜報活動に従事するものを含む、米国連邦政府の部局および機関に適用され、外国または国内の商業団体が提供するスパイウェアツールを包含する。
Prohibits departments and agencies across the federal government from operationally using commercial spyware tools that pose significant counterintelligence or security risks to the U.S. Government or significant risks of improper use by a foreign government or foreign person, including to target Americans or enable human rights abuses. ・連邦政府内の各省庁が、米国政府に対する重大な防諜・安全保障上のリスク、または米国人を標的にしたり人権侵害を可能にするなど、外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアツールを業務上、使用することを禁止する。
・Establishes key counterintelligence, security, and improper use factors that indicate such risks, including if
:
・以下の場合を含め、そのようなリスクを示す重要な防諜、安全保障、不適切な使用の要因を確立する:
・・a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to U.S. Government electronic devices, or those of U.S. Government personnel, without authorization from the U.S. Government; 外国政府または外国人が、米国政府の電子デバイスまたは米国政府職員の電子デバイスに、米国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した;
・・the commercial spyware was or is furnished by an entity that (1) maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the U.S. Government; (2) has disclosed or intends to disclose non-public information about the U.S. Government or its activities without authorization from the U.S. Government; or (3) is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities directed against the United States; ・・(1)ライセンスされたエンドユーザまたは米国政府の許可なく、商用スパイウェアから取得したデータを維持、転送または使用する、(2)米国政府またはその活動に関する非公開情報を米国政府の許可なく開示したまたは開示しようとする、(3)米国に向けた情報活動を行う外国政府または外国人の直接的または実効支配下にある事業者によって提供された、または提供されていた;
・・a foreign actor uses the commercial spyware against activists, dissidents, or other actors to intimidate; to curb dissent or political opposition; to otherwise limit freedoms of expression, peaceful assembly or association; or to enable other forms of human rights abuses or suppression of civil liberties; ・・外国の行為者が、活動家、反体制派、またはその他の行為者に対して、威嚇するため、反対意見や政治的反対を抑制するため、表現、平和的集会または結社の自由を制限するため、またはその他の形態の人権侵害や市民的自由の抑圧を可能にするために商業用スパイウェアを使用する;
・・a foreign actor uses the commercial spyware to monitor a United States person, without consent, in order to track or target them without proper legal authorization, safeguards, and oversight; and ・・外国の行為者が、適切な法的認可、保護措置、および監視なしに、米国人を追跡または標的とするために、同意なしに、商業用スパイウェアを使用して米国人を監視する場合、および
・・the commercial spyware is furnished to governments for which there are credible reports that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights. This ensures application of the Executive Order in situations when foreign actors may not yet have committed specific abuses through the use of commercial spyware, but have engaged in other serious abuses and violations of human rights.  ・・商業用スパイウェアは、恣意的な逮捕や拘留、拷問、超法規的または政治的動機による殺害、その他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して提供されます。これにより、外国の行為者が商業用スパイウェアの使用を通じて特定の虐待をまだ行っていないかもしれないが、他の重大な虐待や人権侵害に関与している状況においても、大統領令の適用が保証される。 
・Identifies concrete remedial steps that commercial spyware vendors can take to reduce identified risks, such as cancelling relevant licensing agreements or contracts that present such risks. ・商業用スパイウェアのベンダーが、そのようなリスクをもたらす関連ライセンス契約や契約の取り消しなど、特定されたリスクを軽減するために取ることのできる具体的な改善策を特定する
Directs important new reporting and information-sharing requirements within the Executive Branch to ensure departments and agencies can make informed and consistent determinations based on up-to-date all-source information, including a semi-annual comprehensive intelligence assessment. ・半年ごとの包括的な情報評価を含む最新の全情報源情報に基づき、各省庁が情報に基づいた一貫した判断を下せるように、行政機関内で重要な新しい報告および情報共有の要件を指示する
The Executive Order, therefore, seeks to ensure that any U.S. Government use of commercial spyware aligns with the United States’ core national security and foreign policy interests in upholding and advancing democratic processes and institutions, and respect for human rights; does not contribute, directly or indirectly, to the proliferation and misuse of commercial spyware; and helps protect U.S. Government personnel and U.S. Government information systems and intelligence and law enforcement activities against significant counterintelligence or security risks.  したがって、この大統領令は、米国政府による商用スパイウェアの使用が、民主的プロセスと制度、人権の尊重を支持・促進するという米国の国家安全保障と外交政策の中核的利益に合致し、商用スパイウェアの拡散と悪用に直接的または間接的に寄与せず、米国政府職員、米国政府の情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから守るのに役立つことを保証しようとする。 
*** ***
The Executive Order complements concrete actions the Biden-Harris Administration and Congress have taken to confront the threat posed by the proliferation and misuse of commercial spyware:  この大統領令は、バイデン=ハリス政権と議会が、商用スパイウェアの拡散と悪用によってもたらされる脅威に立ち向かうためにとった具体的な行動を補完するものである: 
・Congress enacted new statutory authorities and requirements related to commercial spyware in the Intelligence Authorization Acts for Fiscal Years 2022 and 2023, including new restrictions and reporting requirements for Intelligence Community (IC) employees’ post-service employment with foreign governments or companies, to include foreign commercial spyware entities. Last week, the Director of National Intelligence issued binding guidance to the U.S. Intelligence Community to implement these statutory requirements, which set an international standard that we hope will be followed by other countries. ・議会は、2022年度および2023年度の情報認可法において、商業スパイウェアに関連する新たな法的権限と要件を制定した。これには、情報コミュニティ(IC)職員の勤務後の外国政府または企業との雇用に関する新たな制限と報告要件(外国の商業スパイウェア事業体を含む)が含まれている。先週、国家情報長官は、これらの法定要件を実施するために、米国の情報コミュニティに対して拘束力のあるガイダンスを発行した。これは、他の国々が追随することを期待する国際標準を設定するものである。 
・The Department of Commerce’s Bureau of Industry and Security (BIS) has placed foreign entities on the Entity List to address foreign policy concerns related to surveillance technologies. In November 2021, BIS added four commercial entities to the Entity List for engaging in the proliferation and misuse of cyber intrusion tools contrary to the national security or foreign policy interests of the United States. ・商務省産業安全保障局(BIS)は、監視技術に関連する外交政策の懸念に対処するため、外国の事業者を事業者リストに載せている。2021年11月、BISは、米国の国家安全保障または外交政策の利益に反するサイバー侵入ツールの拡散と悪用に関与したとして、4つの商業団体をEntity Listに追加した。 
・The Department of Commerce has implemented technology-based controls to address digital surveillance tools. In October 2021, the Department implemented multilateral Wassenaar Arrangement export controls on certain cybersecurity items that could be used for surveillance, espionage or other actions that disrupt, deny, or degrade a network or devices on the network. The final rule has been in effect since May 2022. ・商務省は、デジタル監視ツールに対処するため、技術に基づく管理を実施した。2021年10月、同省は、監視、スパイ活動、またはネットワークやネットワーク上の機器を混乱、拒否、劣化させるその他の行為に使用される可能性のある特定のサイバーセキュリティ品目について、多国間ワッセナー・アレンジメント輸出規制を実施した。最終ルールは2022年5月から施行されている。
・In January 2022, the Department of State and the Office of the Director of National Intelligence’s National Counterintelligence and Security Center issued an advisory for the broader public on how to protect oneself from commercial surveillance tools. ・2022年1月、国務省と国家情報長官室の国家防諜・セキュリティセンターは、より広範な国民に向けて、商用監視ツールから身を守る方法に関する勧告を発表した。
At the direction of Congress, the Department of State, in consultation with the Office of the Director of National Intelligence, has submitted to appropriate oversight committees a classified report on contractors that have knowingly assisted or facilitated certain cyberattacks or conducted surveillance activities on behalf of relevant foreign governments against the United States or for the purposes of suppressing dissent or intimidating critics.   議会の指示により、国務省は国家情報長官室と協議の上、関連する外国政府のために米国に対する特定のサイバー攻撃を故意に支援または促進したり、監視活動を行ったりした業者、または反対意見の弾圧や批判者の威嚇を目的とした業者に関する機密報告書を適切な監視委員会に提出した。  
・In June 2021, Secretary Blinken announced that the Department of State, on behalf of the Biden-Harris Administration, will update the United States’ National Action Plan on Responsible Business Conduct. This builds on prior U.S. government guidance, including the U.S. Department of State guidance on implementing business and human rights principles for “Transactions Linked to Foreign Government End-Users for Products or Services with Surveillance Capabilities". ・2021年6月、ブリンケン長官は、バイデン=ハリス政権に代わり、国務省が「責任ある企業行動に関する米国の国家行動計画」を更新することを発表した。これは、"監視機能を有する製品またはサービスに関する外国政府のエンドユーザーと連携した取引 "に対するビジネスおよび人権原則の実施に関する米国務省のガイダンスなど、これまでの米国政府のガイダンスに基づくものである。
In parallel, the Biden-Harris Administration continues to undertake a concerted effort to assess the extent to which commercial spyware has been directed against U.S. Government personnel serving overseas and mitigate the counterintelligence and security risks posed by these tools. これと並行して、バイデン-ハリス政権は、商用スパイウェアが海外で勤務する米国政府関係者に向けられた程度を評価し、これらのツールがもたらす防諜およびセキュリティリスクを軽減するための協調的な取り組みを続けている。
Taken together, these efforts aim to reduce the improper use of new technological tools to facilitate repression and human rights abuses, mitigate the counterintelligence threats these tools can pose to the U.S. Government, ensure that U.S. companies and former U.S. Government personnel are not facilitating authoritarian or repressive practices abroad, and provide tools to Americans and civil society to better protect themselves. これらの努力は、抑圧や人権侵害を助長する新しい技術ツールの不適切な使用を減らし、これらのツールが米国政府にもたらす防諜上の脅威を軽減し、米国企業や元米国政府職員が海外で権威主義的または抑圧的な行為を助長しないようにし、米国人や市民社会がよりよく自衛できるツールを提供することを目的としている。

 

まだ掲載されていないが、ここに載るはず...

⚫︎ Federal Registor

2023 Joseph R. Biden Jr. Executive Orders

 


ニュース...

[UK]

⚫︎ Computing
・2023.03.28 50 US government staff targeted with commercial spyware

[Germany]

⚫︎AFX News
・2023.03.28 Government Use Of Risky Commercial Spyware Banned In US

[U.S.]

⚫︎ Tech Crunchz
・2023.03.28 Biden executive order bans federal agencies from using commercial spyware

⚫︎ Engadget
・2023.03.27 Biden administration bans federal agencies from using commercial spyware

⚫︎ The Star
・2023.03.28 US to adopt new restrictions on using commercial spyware

⚫︎ US Today
・2023.03.27 As part of ongoing effort to beef up cybersecurity, Biden turns gaze to commercial spyware

⚫︎ CBS News
・2023.03.27 Biden signs executive order restricting government's use of commercial spyware

⚫︎ Gizmodo
・2023.03.27 U.S. Rolls Out Strict Rules for Commercial Spyware Use, Amidst Rash of Hacks

⚫︎ PBS News
・2023.03.27 U.S. to adopt new restrictions on the use of commercial spyware

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

| | Comments (0)

2023.03.12

一般社団法人ソフトウェア協会 医療機関向けセキュリティ教育支援ポータルサイト

こんにちは、丸山満彦です。

一般社団法人ソフトウェア協会が厚生労働省の委託事業として、医療機関向けセキュリティ教育支援ポータルサイトを開設していますね。。。

必ずしも大きくない病院にも参考になるように工夫されていますが、診療所レベルではちょっとしんどいかもしれません。。。

 

(このサイトって予算の切れ目がサイトの切れ目なんでしょうかね。。。だとするとちょっともったいないなぁ。。。)

 

さて、医療機関は重要インフラとして、震災やパンデミックを想定したBCPを策定し、その計画にそった訓練等を実施していたりしますが、ランサムウェアを事象とした対応というのを十分にしていなかったかもしれません。

本来BCPは、どのような事象がおこってもある程度対応できるように、リソースベースで作るべきですが、日本では震災やパンデミックという具体的な脅威が明らかなこともあり、震災やパンデミックを想定したBCPが多く、想定外の事象に対応できない場合が多いのかもしれません。それゆえ、今回のランサムウェアにシステムが感染すると、医療がとまらなかったとしても、縮退運用をそれなりの期間継続せざるをなくなり、地域社会に一定の影響を及ぼしてしまうという事態になったのだろうと思います。

これを機会にリソースベースのBCPに作り直した上で、想定できる事象にそった訓練を実施することが重要となるのではないかと思います。。。

 

一般社団法人ソフトウェア協会

1_20230311064101

医療機関向けセキュリティ教育支援ポータルサイト

20230311-64423

 

 

| | Comments (0)

2023.02.25

NISC インターネットの安全・安心ハンドブックVer 5.00 (2023.01.31)

こんにちは、丸山満彦です。

NISCが「インターネットの安全・安心ハンドブック」を改訂し、発表していました。。。改訂のメンバーには、主査として猪俣先生のほか、データの宮本さんなどが入っていますね。。。

表紙入れて208ページの大部です。振り返ってみると、このブログではあまり取り上げていなかったですね。。。なぜだろう...

一般国民を意識したこの手の啓発資料は、各省庁で出すのではなく、テーマ毎に省庁横断で整理したほうがわかりやすいかもしれませんね。。。英国政府のように(ただ、英国政府も全体感がわかりにくいという問題はありますが。。。)

あと、PDFでの発行というのは従にして、基本はHTMLで公表するというのが良いと思います。(これも英国政府を参考にしてみてくださいませ。。。)

 

NISC

インターネットの安全・安心ハンドブック

・2023.01.31 [PDF] インターネットの安全・安心ハンドブックVer 5.00

20230225-135144

 

目次的...部分版(各章別)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2020.04.21 IPA テレワークを行う際のセキュリティ上の注意事項

 

| | Comments (0)

2023.02.24

米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言

こんにちは、丸山満彦です。

2023.02.16にバージニア州のクリストファー・ニューポート大学で開催された「国土安全保障シンポジウム・エキスポ」でクリストファー・レイFBI長官が講演をしていますが、サイバー関連のテーマで話をしていますね。。。


● FBI

・2023.02.16 Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo

Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo 2023年国土安全保障シンポジウム・エキスポにおけるレイ長官の発言について
Introduction  序文 
Thank you. ありがとうございます。
If you take a look at the topics for the conference today, each panel discusses something the FBI is heavily involved in right now—cyber intrusions and ransomware attacks, risks posed by unmanned systems, domestic and international terrorism, and vulnerable supply chains that run through China and everywhere else. So, I appreciate the opportunity to kick off these discussions and share a little bit about how the FBI is working with critical partners like many of you in this room to combat these threats. 今日の会議のトピックをご覧いただくと、サイバー侵入やランサムウェア攻撃、無人システムがもたらすリスク、国内および国際テロ、中国やその他の地域を経由する脆弱なサプライチェーンなど、各パネルでFBIが現在深く関わっている事柄が取り上げられています。そこで、このような議論を始める機会をいただき、ここにお集まりの多くの皆様のような重要なパートナーとともに、FBI がどのようにこれらの脅威と闘っているかについて、少しお話しさせていただきます。
Cyberattacks and ransomware. Unmanned systems. Domestic and international terrorism. Supply chain vulnerabilities. サイバー攻撃とランサムウェア。無人システム。国内および国際的なテロリズム サプライチェーンの脆弱性。
It’s hard not to get overwhelmed by the enormity of those topics and these threats. And, frankly, that’s a lot for one day. これらのテーマと脅威の大きさに圧倒されるのは無理もありません。正直なところ、1日では足りないくらいです。
And, of course, I should add, those are just some of the threats we’re focused on at the FBI, where we’re also tackling the trafficking and exploitation of children, alarming levels of violent crime and hate crimes, the epidemic of deadly narcotics, and malign foreign influence aimed at undermining our government, just to name a few others. もちろん、これらは私たちがFBIで重点的に取り組んでいる脅威の一部に過ぎません。他にも、子どもの人身売買や搾取、憂慮すべきレベルの暴力犯罪や憎悪犯罪、劇薬の蔓延、政府の弱体化を狙った外国の悪意ある影響など、いくつかの例を挙げればきりがありません。
As I like to say: A lot of people seem to have ideas about things they think the FBI should be doing more of, but I haven’t heard any responsible suggestions for things we could be doing less of. 私はこう言いたいのです。多くの人が、FBIはもっとやるべきことがある、と考えているようですが、私は、FBIはもっとやるべきことがあるのではないか、という責任ある提案を聞いたことがありません。
So, in order for the FBI to be at the forefront and stay ahead of all these threats, we rely on the partnerships we’ve developed with folks in the private sector—including many of you represented here today—and across all levels of government, both here at home and abroad. FBIがこうした脅威の最前線に立ち、先手を打つためには、今日ここにお集まりの多くの方々を含む民間部門の人々、そして国内外のあらゆるレベルの政府機関との協力関係が欠かせません。
And the importance of those partnerships is really the core of the message I hope you’ll take away from my time with you here today. このようなパートナーシップの重要性こそが、本日私が皆さんにお伝えしたいメッセージの核心です。
Cyber Threats サイバーの脅威
So, what are we dealing with? では、私たちは何に対処しているのでしょうか。
In cyberspace, the threats only seem to evolve, and the stakes have never been higher. サイバースペースでは、脅威は進化する一方であり、そのリスクはかつてないほど高まっています。
One bad actor targeting a single supply chain can cause cascading effects across multiple sectors and communities. 1つのサプライチェーンを狙った悪質な行為によって、複数のセクターやコミュニティに連鎖的な影響が及ぶ可能性があります。
One unpatched vulnerability can mean the difference between business as usual and a scramble to get scores of systems back online. パッチを適用していない脆弱性が1つでもあれば、通常通りのビジネスができるか、多数のシステムをオンラインに戻すために奔走しなければならないかの分かれ目になります。
And over the past few years, we’ve increasingly seen cybercriminals using ransomware against U.S. critical infrastructure sectors. In 2021, we saw ransomware incidents against 14 of the 16 U.S. critical infrastructure sectors. また、ここ数年、サイバー犯罪者が米国の重要インフラ部門に対してランサムウェアを使用する事例が増加しています。2021年には、米国の重要インフラ16分野のうち14分野に対してランサムウェアのインシデントが発生しました。
In a perverse way, that makes sense, right? 裏を返せば、これは理にかなっていると言えますよね。
If you want someone to quickly pay a ransom, you threaten the very basic things they rely on for their day-to-day lives—something like an oil pipeline, an elementary school, or an electrical grid. Malicious actors assume—and, perhaps, rightly so—that if they attack these things we depend on every day, they can inflict more pain, and people will pay more quickly.  身代金をすぐに支払わせたいのであれば、石油パイプライン、小学校、電力網など、日常生活で頼りにしている基礎的なものを脅かすのです。悪意のある行為者は、私たちが日々依存しているこれらのものを攻撃すれば、より多くの苦痛を与えることができ、人々はより早く代金を支払うだろうと考えています。 
And these actors have demonstrated there’s really no bar too low. They have no problem, for instance, threatening to shut down a children’s hospital to make a quick buck. そして、悪意ある行為者たちは、ハードルが低すぎるということがないことを実証しています。 たとえば、手っ取り早く金を稼ぐために子どもの病院を閉鎖すると脅しても、何の問題もないのです。
Let me be clear: That’s not a hypothetical example. これは仮定の話ではないので、誤解のないようにお願いします。
And while you would expect that cybercriminals are focused on operations for their own financial gain, really, any malicious cyber actor could also be trying to steal information or conduct influence operations, or laying the groundwork to disrupt our critical infrastructure. And those threats are not only proliferating, but becoming more complex. サイバー犯罪者は金銭的な利益を得るための作戦に集中していると思われますが、実際には、悪意のあるサイバー行為者は、情報を盗んだり、影響力を行使したり、重要なインフラを破壊するための土台を築いたりすることも可能なのです。このような脅威は、急増するだけでなく、より複雑化しています。
There is no bright line where cybercriminal activity ends and hostile government activity begins, which both compounds and complicates the threat landscape. サイバー犯罪者の活動がどこで終わり、政府の敵対的な活動がどこで始まるかという明確な線はなく、それが脅威の状況を複雑にしているのです。
We’re seeing blended threats where—for instance—the Iranian government has sponsored cybercriminals to perpetuate attacks to gather intelligence or gain access. 例えば、イラン政府がサイバー犯罪者のスポンサーとなり、情報収集やアクセス権を得るために攻撃を継続させているような脅威が混在しています。
In other instances, hostile governments have attempted to make their cyberattacks look like criminal activity, which caused whole operations to go sideways. また、敵対する政府がサイバー攻撃を犯罪行為に見せかけようとし、その結果、作戦全体がうまくいかなくなるケースもあります。
That’s what we saw in 2017, when the Russian military used the NotPetya malware to hit Ukrainian critical infrastructure. The attack was supposed to look like a criminal heist, but was actually designed to destroy any systems it infected. They targeted Ukraine, but ended up also hitting systems throughout Europe, plus the U.S. and Australia, and even some systems within their own borders. They shut down a big chunk of global logistics, and, ultimately, their recklessness ended up causing more than $10 billion in damages—maybe the most damaging cyberattack in history. 2017年にロシア軍がマルウェア「NotPetya」を使ってウクライナの重要インフラを攻撃したのがそうでした。この攻撃は、犯罪的な強盗のように見えるはずでしたが、実際には、感染したシステムを破壊するように設計されていました。ウクライナをターゲットにした攻撃でしたが、最終的にはヨーロッパ全域、さらに米国とオーストラリアのシステム、そして自国内のシステムにも被害が及びました。世界の物流の大部分を停止させ、最終的に100億ドル以上の損害を与えました。これは、おそらく史上最も大きなサイバー攻撃です。
Add to that, cyber adversaries have also obtained an increasing capacity for stealth in recent years, facilitating more comprehensive access to U.S. networks. They’ve demonstrated the ability to maintain persistent access across various networks and environments by using seemingly legitimate credentials, accessing administrator accounts, and laterally traversing networks. They will park on a system quietly and then just wait for the right opportunity. さらに、近年、サイバー敵対者はステルス能力を高め、米国のネットワークへのアクセスをより包括的なものにしました。彼らは、一見正当な認証情報を使用し、管理者アカウントにアクセスし、ネットワークを横断することで、様々なネットワークや環境に持続的にアクセスする能力を実証しています。彼らは、ひっそりとシステムに潜伏し、適切な機会を待つだけなのです。
So, to sum up the cyber threat picture: There’s a persistent, multi-vector, blended threat that’s constantly evolving and a continual challenge to assess, so we’re battling back against a constant barrage of attacks. つまり、サイバー脅威の全体像をまとめると、次のようになります。このような脅威は常に進化しており、その評価も難しいため、私たちは常に攻撃の嵐に対抗しています。
China 中国
In this cyber threat landscape, China is the most dangerous actor to industry. このようなサイバー脅威の状況において、産業界にとって最も危険な存在なのが中国です。
The Chinese government sees cyber as the pathway to cheat and steal on a massive scale, and more broadly, there’s simply no country that presents a broader or more severe threat to our ideas, innovation, and economic security than the Chinese government because they’ve shown themselves willing to lie, cheat, and steal to dominate major technology and economic sectors, crushing and putting companies from other nations out of business. 中国政府は、サイバーは大規模な不正行為や窃盗を行うための手段だと考えています。もっと広く言えば、中国政府ほど、私たちのアイデア、イノベーション、経済の安全保障に対して広範かつ深刻な脅威を与えている国はありません。なぜなら、彼らは主要技術や経済分野を支配し、他の国の企業を潰して廃業させるために嘘や不正行為、窃盗も辞さないことを示しているのです。
The Chinese government’s hacking program is bigger than that of every other major nation combined, and Chinese government hackers have stolen more of our personal and corporate data than all other countries—big and small—combined. 中国政府のハッキングプログラムは、他のすべての主要国のハッキングプログラムを合わせたよりも大規模であり、中国政府のハッカーは、大小の国を合わせたよりも多くの個人および企業データを盗んでいます。
But the threat from the PRC [People's Republic of China] government is particularly dangerous because they use that massive cyber effort in concert with every other tool in their government’s toolbox. What makes the Chinese government’s strategy so insidious is the way it exploits multiple avenues at once, and often in seemingly innocuous ways. しかし、PRC(中華人民共和国)政府の脅威は特に危険です。なぜなら、彼らは大規模なサイバー活動を、政府の道具箱にある他のあらゆるツールと協調して使っているからです。中国政府の戦略が非常に陰湿なのは、複数の手段を同時に、しかも多くの場合、一見無害に見える方法で利用するからです。
They identify key technologies to target. Their “Made in China 2025” plan, for example, lists ten broad areas—spanning industries like robotics, green energy production and vehicles, aerospace, and biopharma. 中国政府は、ターゲットとなる重要な技術を特定します。例えば、「Made in China 2025」計画では、ロボット工学、グリーンエネルギー生産と自動車、航空宇宙、バイオ医薬品など、10の大分野を挙げています。
Then, they throw every tool in their arsenal at stealing the technology in those areas. And they are fine with causing indiscriminate damage to get to what they want, like in the Microsoft Exchange hack—the Hafnium attack—from 2021, which compromised the networks of more than 10,000 companies in just a single campaign. そして、その分野の技術を盗むために、あらゆる手段を講じるのです。例えば、2021年に起きたMicrosoft Exchangeのハッキング(Hafnium攻撃)では、たった1回のキャンペーンで1万社以上のネットワークが危険にさらされましたが、彼らは欲しいものを手に入れるために無差別に損害を与えることも平気で行います。
At the same time, the Chinese government uses intelligence officers to target the same information. 同時に、中国政府は諜報部員を使って、同じ情報を狙っています。
And to knock down a few misconceptions about what it’s like to be targeted by Chinese intelligence, first of all, most Chinese spies aren’t just targeting people with government secrets. They’re after people with accesses to innovation, trade secrets, and intellectual property they feel would give them an advantage—economically or militarily. そして、中国の情報機関に狙われるとはどういうことなのか、いくつかの誤解を打ち砕くために、まず第一に、ほとんどの中国のスパイは、政府の秘密を持つ人だけを狙っているわけではありません。経済的、軍事的に有利になると思われる技術革新、企業秘密、知的財産へのアクセス権を持つ人物を狙っているのです。
Second, many U.S. citizens who are compromised don’t realize they are working for the Chinese government. Chinese intelligence officers often use co-opted staff from Chinese universities or national businesses—effectively contract intelligence officers—to contact targets and develop what seems like a “collaborative” relationship, and the Chinese intelligence officer actually running the operation might never personally be in contact with the target. 第二に、情報漏洩した米国人の多くは、自分たちが中国政府のために働いていることに気づいていない。中国の諜報員はしばしば、中国の大学や国営企業の共同スタッフ(事実上の諜報員契約)を使ってターゲットと接触し、「協力」関係のようなものを構築しているのですが、実際に作戦を実行している中国の諜報員はターゲットと個人的に接触することはないかもしれません。
Third, and finally: With Chinese intelligence, the spy may not ever ask for information, but may, instead, just be looking for access to people and to networks, and that access may, in turn, be just enough to create a vulnerability for a cyber intrusion. So, their intelligence and cyber efforts are working hand-in-hand. 第三に、最後に。中国の諜報機関では、スパイは情報を求めず、単に人やネットワークへのアクセスを求め、そのアクセスがサイバー侵入のための脆弱性を作り出すのに十分な場合もあります。つまり、彼らの諜報活動とサイバー活動は密接に関係しているのです。
They also use elaborate shell games to disguise their efforts—both from our companies, and from our government investment screening program CFIUS, the Committee on Foreign Investment in the United States. また、彼らは手の込んだ偽装工作を行い、私たちの企業からも、政府の投資審査プログラムであるCFIUS(Committee on Foreign Investment in the United States)からも、その努力を隠蔽しています。
And for non-Chinese companies operating in China, the Chinese government takes advantage of its laws and regulations to enable its stealing. また、中国で活動する非中国企業に対しては、中国政府はその法律や規制を利用して窃盗を可能にします。
For example, in 2022, we learned that a number of U.S. companies operating in China had malware delivered into their networks through tax software the Chinese government required them to use. To put it plainly: By complying with Chinese laws, these companies unwittingly installed backdoors for Chinese state hackers. The overall result of PRC efforts like these is deep, job-destroying damage across a wide range of industries—and it’s damage that hits across the country, too, which is why we’re running 2,000 or so PRC-related counterintelligence investigations, out of every one of our 56 field offices. 例えば、2022年、中国で活動する多くの米国企業が、中国政府が使用を義務付けた税務ソフトウェアを通じて、マルウェアをネットワークに配信されていたことが分かりました。分かりやすく言えば 中国の法律に従うことで、これらの企業は知らず知らずのうちに、中国国家のハッカーのためのバックドアを設置していたのです。このようなPRCの取り組みの結果、幅広い産業分野で雇用を奪う深刻な被害が発生しており、その被害は国内にも及んでいます。そのため、私たちは56の支局すべてから、PRC関連の防諜調査を約2,000件実施しています。
Disrupting the Threat 脅威を断ち切る
In the cyber and espionage realm, just as in our other programs, our goal is disruption: getting ahead of and thwarting cyberattacks as early as possible, seizing infrastructure, and denying hackers the benefit of their crimes. サイバーとスパイの分野でも、他のプログラムと同様、私たちの目標は破壊です。サイバー攻撃をできるだけ早く先回りして阻止し、インフラを押収し、ハッカーが犯罪の利益を得るのを阻止することです。
Just a few weeks ago, we announced the success we’ve had with the year-and-a-half-long disruption campaign against the Hive ransomware group, dismantling their infrastructure and taking it offline. つい数週間前、私たちはランサムウェアグループ「Hive」に対する1年半に及ぶ破壊活動で、彼らのインフラを解体し、オフラインにすることに成功したことを発表したばかりです。
Since 2021, they’ve been one of the larger and more active ransomware groups we know of, targeting businesses and other victims in over 80 countries, and demanding hundreds of millions of dollars in ransom. 2021年以降、彼らは私たちが知る限り、より大規模で活発なランサムウェアグループの1つで、80カ国以上の企業やその他の被害者を標的にし、数億ドルの身代金を要求しています。
Last July, the FBI gained clandestine, persistent access to Hive’s control panel—essentially, hacking the hackers. 昨年7月、FBIはHiveのコントロールパネルに秘密裏に持続的にアクセスし、ハッカーをハッキングすることに成功しました。
From last July to this January, we repeatedly exploited that access to get Hive’s decryption keys and identify victims, and we offered those keys to more than 1,300 victims around the world so they could decrypt their infected networks—preventing at least $130 million in ransom payments—all without Hive catching on. 昨年7月から今年1月にかけて、このアクセス権を悪用してHiveの復号化キーを入手し、被害者を特定しました。そして、世界中の1300人以上の被害者にこのキーを提供し、感染したネットワークを復号化することで、少なくとも1億3000万ドルの身代金の支払いを防ぎましたが、すべてHiveに気づかれずにすんだのです。
The victims targeted by the Hive group reinforced what we know—that ransomware groups don’t discriminate. They went after big and small businesses. Hiveが標的とした被害者たちは、ランサムウェアグループが差別をしないことを改めて認識させられました。彼らは大企業も中小企業もターゲットにしています。
We rushed an FBI case agent and computer scientist to one specialty medical clinic that was so small, the doctor there also managed the clinic’s IT security. We helped larger companies, and we also shared keys with victims overseas through our foreign-based legal attaché offices—like when we gave a foreign hospital a decryptor, which they used to get their systems back up before ransom negotiations even began, possibly saving lives. 私たちはFBIの捜査官とコンピュータサイエンティストを、ある専門医院に急行させました。その医院は非常に小規模で、医師が医院のITセキュリティも管理していました。例えば、海外の病院に暗号解読機を提供したところ、身代金交渉が始まる前にシステムを復旧させ、人命を救うことができたのです。
As we consider how best to focus our efforts at disrupting the hackers, we’re not only providing intelligence to current victims to help them quickly recover from an attack, but also on preventing attacks before they happen. ハッカーを阻止するためにどのような取り組みを行うのが最善かを検討する中で、私たちは攻撃から迅速に回復するための情報を現在の被害者に提供するだけでなく、攻撃を未然に防ぐための取り組みも行っています。
So, for example, while on Hive’s systems, when we saw the initial stages of one attack against a university, we notified the school and gave their IT staff the technical information they needed to kick Hive off of their network before ransomware was deployed. 例えば、ハイブのシステムで、ある大学に対する攻撃の初期段階を確認したとき、学校に通知し、ITスタッフに必要な技術情報を提供し、ランサムウェアが展開される前にハイブをネットワークから追い出しました。
But our ability to help often hinges on victims—both private and public—reaching out to us when they are attacked. しかし、私たちの支援は、民間企業や公的機関の被害者が攻撃を受けた際に、私たちに連絡をくれるかどうかにかかっていることが多いのです。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported to law enforcement they had been attacked, which means we wouldn’t have been able to help 80% of their victims if we hadn’t managed to get into Hive’s infrastructure, seeing what was happening from the bad guys’ side. So, while an important success, the Hive disruption was somewhat unusual. 残念ながら、この7ヵ月間、Hiveの被害者のうち、警察当局に攻撃を受けたと報告したのはわずか20%でした。つまり、Hiveのインフラに侵入し、悪者側から何が起こっているかを確認できなければ、80%の被害者を助けることはできなかったのです。つまり、重要な成功ではありましたが、Hiveの妨害はやや異例だったのです。
We can’t count on that level of visibility into adversaries’ systems, so we’re counting on our relationships with the private sector to let us know about a problem in time to fix or mitigate it. 私たちは、敵のシステムをそこまで見通すことはできないので、問題を修正・緩和するのに間に合うように問題を知らせてくれる民間企業との関係を頼りにしています。
As part of those relationships, we share threat intelligence to help companies fortify their defenses, and we rely on organizations in the private and public sector to let us know when they’ve been attacked, because once we learn about an attack, we work with our partners to broadly share what we can with public and private industry partners and international security agencies to improve overall network defense and prevent attacks. このような関係の一環として、私たちは企業の防御を強化するために脅威情報を共有しています。また、攻撃を受けた際には、民間および公共部門の組織から私たちに知らせてもらうようにしています。攻撃について知った後は、ネットワーク防御全体の改善と攻撃防止のために、パートナーと協力して、公共および民間業界のパートナーや国際セキュリティ機関とできることを幅広く共有しています。
Dissemination of attack information helps overcome typical silos that thwart recovery efforts, and in many instances, public and private sector partners provide us information in return that we can take back and use to help you with your recovery efforts. 攻撃情報の発信は、復旧作業を妨げる典型的なサイロを克服するのに役立ち、多くの場合、官民のパートナーは、私たちが持ち帰って復旧作業に役立てることができる情報を見返りに提供してくれます。
For example, in 2021, the Port of Houston was attacked by cybercriminals.  Because the Port reached out to us quickly, we were able to get technically trained agents out to the scene. There, they discovered a brand-new, zero-day exploit used to commit the attack—that is, a vulnerability and means of exploiting it that no one knew about yet. We immediately deployed our investigative tools to search for other victims where the same exploit was being deployed, and by the time the software provider developed a patch, we’d already enlisted our partners at CISA [the Cybersecurity and Infrastructure Security Agency] to work with us to help victims already being targeted, for whom that fix would otherwise have been too late. And, of course, the Port—and Houston—benefited greatly, too. 例えば、2021年、ヒューストン港がサイバー犯罪者の攻撃を受けました。  このとき、ヒューストン港はすぐに私たちに連絡し、技術的な訓練を受けたエージェントを現場に派遣することができました。そこで、攻撃に使われた全く新しいゼロデイ脆弱性、つまり、まだ誰も知らない脆弱性とその悪用方法を発見したのです。そして、ソフトウェア・プロバイダーがパッチを開発する頃には、すでにCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ局)のパートナーに協力を要請し、すでに標的とされていた被害者のために、手遅れになる前にパッチを提供するよう働きかけていました。そしてもちろん、港やヒューストンも大きな恩恵を受けました。
The FBI is determined to use all of our tools and resources to help victims, whether we’re talking about single individuals or whether they number in the thousands. FBIは、被害者が一人であろうと数千人であろうと、あらゆる手段や資源を駆使して被害者を救済することを決意しています。
When the FBI determined the Chinese had executed the Hafnium attack to install backdoors into at least 10,000 U.S. and international partner networks and computers, we worked with a private sector partner to conduct the arduous task of identifying those victims using only IP addresses, including developing a custom tool for the task. We then employed advanced analytics to geolocate victims to specific field offices and legal attaché offices, and triaged over 1,700 victim notifications. And when some system owners weren’t able to remove the Chinese government’s backdoors themselves, we executed a first-of-its-kind, surgical, court-authorized operation, copying and removing the harmful code from hundreds of vulnerable computers—slamming those backdoors shut. FBI は、中国が少なくとも 1 万台の米国および海外のパートナーのネットワークとコンピュータにバックドアをインストールするために Hafnium 攻撃を実行したと判断したとき、民間部門のパートナーと協力して、IP アドレスのみを使用してこれらの被害者を特定する困難な作業を行いました。そして、高度な分析を用いて被害者を特定の現地事務所や法務局に地理的に特定し、1,700件を超える被害者通知のトリアージにあたりました。さらに、中国政府のバックドアを自分で削除できないシステム所有者がいたため、裁判所が承認した初の外科手術を実施し、数百台の脆弱なコンピュータから有害なコードをコピーして削除し、バックドアを閉鎖しました。
That example illustrates how today’s FBI views success: disruption of our adversaries by leveraging our capabilities, tools, and resources to get ahead of and thwart cyber attacks as early as possible. この例は、今日の FBI が成功をどのように捉えているかを示しています。つまり、私たちの能力、ツール、リソースを活用してサイバー攻撃に先手を打ち、できるだけ早く阻止することにより、敵対者を混乱させるということです。
As these examples demonstrate, a lot of good can come from mutual trust and working together—from strong partnership. And strong public and private sector partners not only help us at the FBI get ahead of the threat and aid in recovery, but they also help us leverage our traditional law enforcement authorities to further our disruption goals—not just arresting and extraditing more hackers, but dismantling their infrastructure and seizing their funds. Through seizures, we can also help a company recover funds that would otherwise be lost. これらの例が示すように、相互の信頼と協力、つまり強力なパートナーシップから、多くの良いことが生まれます。官民の強力なパートナーは、私たち FBI が脅威を先取りして復旧を支援するだけでなく、従来の法執行機関の権限を活用して、より多くのハッカーを逮捕して送還するだけでなく、彼らのインフラを解体して資金を押収するなど、破壊工作の目標を達成するのにも役立っています。ハッカーの逮捕や引き渡しだけでなく、インフラを破壊し、資金を押収することができます。押収によって、企業が失われるはずの資金を回収することもできます。
For instance, from January through November 2022, our Internet Crime Complaint Center’s Recovery Asset Team used the Financial Fraud Kill Chain over two thousand times, successfully freezing more than $328 million—a 74% success rate—that could then be returned to individuals and businesses who had been defrauded. 例えば、2022年1月から11月にかけて、インターネット犯罪相談センターのリカバリー・アセット・チームは、金融詐欺のキル・チェーンを2000回以上使用し、3億2800万ドル以上の凍結に成功しました(成功率74%)。
Greed is a primary motivator of the cyber threat, and by hitting cyber actors where it hurts—their wallets—we can disincentivize more attacks before they occur. サイバー脅威の主な動機は貪欲さですが、サイバー犯罪者の財布という痛いところを突くことで、攻撃が起こる前にその意欲をそぐことができるのです。
A few weeks ago, we announced the arrest of a Russian national who administered the Bitzlato Limited cryptocurrency exchange, which laundered over $15 million in ransomware proceeds and over $700 million in darknet illicit transactions. At the same time, we worked with our international law enforcement partners to seize Bitzlato’s servers and execute additional arrests. Cryptocurrency exchanges like Bitzlato are a vital part of the infrastructure cybercriminals use to launder the funds extorted from their victims. In thinking about how we, at the FBI, can have the most durable disruptive impact, our goal is not only to take away the motivation for ransomware attacks, but also to deprive ransomware groups of the resources they need to successfully conduct these attacks. 数週間前、私たちはBitzlato Limitedという暗号通貨取引所を管理していたロシア人を逮捕したと発表しました。この取引所では、1500万ドル以上のランサムウェアの収益と7億ドル以上のダークネット不正取引が洗浄されていました。同時に、当社は国際的な法執行機関のパートナーと協力して、Bitzlatoのサーバーを押収し、追加の逮捕を実行しました。Bitzlatoのような暗号通貨取引所は、サイバー犯罪者が被害者から強奪した資金を洗浄するために使用するインフラの重要な部分です。私たちFBIが最も持続的な破壊的インパクトを与える方法を考える上で、私たちの目標は、ランサムウェア攻撃の動機を奪うだけでなく、ランサムウェアグループがこれらの攻撃を成功させるために必要なリソースを奪うことでもあります。
Conclusion and Partnerships まとめとパートナーシップ
Bottom line: We believe in using every tool we’ve got to protect American innovation and critical infrastructure, but, as I said before, that’s not something the FBI can do alone. 結論です。私たちは、アメリカのイノベーションと重要なインフラを守るために、あらゆる手段を講じることを信条としています。
That’s a big reason conferences like this—focused on building a dialogue between the public and private sector on current and emerging threats—are so important to the Bureau. They build the partnerships necessary for us to understand and stay ahead of the threat. このような会議が FBI にとって非常に重要なのは、現在および将来の脅威について官民の対話を促進することに重点を置いているためです。このような会議は、私たちが脅威を理解し、その先を行くために必要なパートナーシップを構築するものです。
So, again, thank you for inviting me to kickstart the discussions today. Now, let’s turn this into a conversation. 本日のディスカッションを始めるにあたり、お招きいただきありがとうございました。 では、この議論を会話に発展させていきましょう。

 

Fbi_20230224122301

 

 

| | Comments (0)

2023.02.13

米国・韓国「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」から身代金は払うなよ...

こんにちは、丸山満彦です。

米国の国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ局(CISA)、保健福祉省(HHS)、韓国の国家情報院(NIS)、国防安全保障局(DSA)が共同で、「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」というサイバーセキュリティの助言(CSA)を発出していますね。。。要は、身代金払うなよ...ということだと思います。。。


CISA

・2023.02.09 #StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities

#StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities #StopRansomware - 重要インフラへのランサムウェア攻撃はDPRKのスパイ活動の資金源になる
CISA, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Department of Health and Human Services (HHS), and Republic of Korea’s Defense Security Agency and National Intelligence Service have released a joint Cybersecurity Advisory (CSA), Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities, to provide information on ransomware activity used by North Korean state-sponsored cyber to target various critical infrastructure sectors, especially Healthcare and Public Health (HPH) Sector organizations. CISA、国家安全保障局(NSA)、連邦捜査局(FBI)、保健福祉省(HHS)、韓国の国防安全保障局および国家情報院は、北朝鮮の国家支援によるサイバーがさまざまな重要インフラ部門、特に医療・公衆衛生(HPH)部門の組織を標的にしているランサムウェア活動に関する情報を提供する共同サイバーセキュリティ勧告(CSA)、重要インフラに対するランサムウェア攻撃が北朝鮮のスパイ活動の資金源となる、を発表した。
The authoring agencies urge network defenders to examine their current cybersecurity posture and apply the recommended mitigations in this joint CSA, which include: 作成機関は、ネットワーク防御者が現在のサイバーセキュリティの姿勢を調査し、この共同CSAの推奨する緩和策を適用することを強く求める。
・Train users to recognize and report phishing attempts. ・フィッシングの試みを認識し、報告するようユーザーを教育する。
・Enable and enforce phishing-resistant multifactor authentication.  ・フィッシングに強い多要素認証を導入する。 
・Install and regularly update antivirus and antimalware software on all hosts.  ・すべてのホストにアンチウイルスおよびアンチマルウェアソフトウェアをインストールし、定期的に更新する。 
See Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities for ransomware actor’s tactics, techniques, and procedures, indicators of compromise, and recommended mitigations. Additionally, review StopRansomware.gov for more guidance on ransomware protection, detection, and response. ランサムウェアの行為者の戦術、技術、手順、侵害の指標、推奨される緩和策については、「重要インフラ資金北朝鮮スパイ活動に対するランサムウェア攻撃」を参照すること。また、StopRansomware.govでは、ランサムウェアの保護、検出、対応に関するガイダンスが掲載されている。
For more information on state-sponsored North Korean malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動の詳細については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。

 

・2023.02.09 Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities

Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities アラート(AA23-040A) #StopRansomware: 重要インフラへのランサムウェア攻撃は北朝鮮の悪意あるサイバー活動を資金源としている
Summary 概要

Note: This Cybersecurity Advisory (CSA) is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and various ransomware threat actors. These #StopRansomware advisories detail historically and recently observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn about other ransomware threats and no-cost resources.

注:このサイバーセキュリティアドバイザリ(CSA)は、ネットワーク防御者向けに、さまざまなランサムウェアの亜種とさまざまなランサムウェアの脅威要因について詳述したアドバイザリを公開する、#StopRansomware の継続的な取り組みの一部である。これらの #StopRansomware アドバイザリでは、ランサムウェアから組織を保護するために、歴史的および最近観測された戦術、技術、手順 (TTPs) と侵害の指標 (IOCs) について詳しく説明している。stopransomware.gov であるべての #StopRansomware アドバイザリーを参照し、その他のランサムウェアの脅威や無償のリソースについて学ぶこと。
The United States National Security Agency (NSA), the U.S. Federal Bureau of Investigation (FBI), the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the U.S. Department of Health and Human Services (HHS), the Republic of Korea (ROK) National Intelligence Service (NIS), and the ROK Defense Security Agency (DSA) (hereafter referred to as the “authoring agencies”) are issuing this joint Cybersecurity Advisory (CSA) to highlight ongoing ransomware activity against Healthcare and Public Health Sector organizations and other critical infrastructure sector entities. 米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラセキュリティ局(CISA)、米国保健福祉省(HHS)、韓国国家情報院(NIS)、韓国国防安全保障局(DSA)(以下、「作成機関」という)は、医療・公衆衛生分野の組織やその他の重要インフラ部門に対するランサムウェアの進行状況を明らかにするため、この共同サイバーセキュリティアドバイザリー(CSA)を発出する。
This CSA provides an overview of Democratic People’s Republic of Korea (DPRK) state-sponsored ransomware and updates the July 6, 2022, joint CSA North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector. This advisory highlights TTPs and IOCs DPRK cyber actors used to gain access to and conduct ransomware attacks against Healthcare and Public Health (HPH) Sector organizations and other critical infrastructure sector entities, as well as DPRK cyber actors’ use of cryptocurrency to demand ransoms. 本CSAは、朝鮮民主主義人民共和国(DPRK)国家支援型ランサムウェアの概要を説明し、2022年7月6日の共同CSA「北朝鮮国家支援型サイバーアクターがマウイランサムウェアを使用してヘルスケアおよび公衆衛生セクターを標的に」を更新している。この勧告では、北朝鮮のサイバー行為者が医療・公衆衛生(HPH)セクターの組織やその他の重要インフラストラクチャ・セクターの事業体にアクセスしランサムウェア攻撃を行うために使用した TTP と IOC、および北朝鮮のサイバー行為者が身代金を要求するために暗号通貨を使用したことを明らかにする。
The authoring agencies assess that an unspecified amount of revenue from these cryptocurrency operations supports DPRK national-level priorities and objectives, including cyber operations targeting the United States and South Korea governments—specific targets include Department of Defense Information Networks and Defense Industrial Base member networks. The IOCs in this product should be useful to sectors previously targeted by DPRK cyber operations (e.g., U.S. government, Department of Defense, and Defense Industrial Base). The authoring agencies highly discourage paying ransoms as doing so does not guarantee files and records will be recovered and may pose sanctions risks. 作成機関は、これらの暗号通貨操作による不特定多数の収益が、米国および韓国政府を標的としたサイバー操作など、北朝鮮の国家レベルの優先事項および目的を支えていると評価している。具体的な標的には、国防総省の情報ネットワークおよび国防産業基盤のメンバーネットワークが含まれている。本製品に含まれる IOC は、過去に北朝鮮のサイバー作戦の標的となったセクター(米国政府、国防総省、国防産業基地など)にとって有用であるはずである。身代金の支払いは、ファイルや記録の復元を保証するものではなく、制裁リスクをもたらす可能性があるため、作成機関は強く推奨しない。
For additional information on state-sponsored DPRK malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。

 

・[PDF]

20230212-214555

 

韓国側も...

 

National Intelligence Services: NIS

・2023.02.10  [PDF] 국정원, 북한의 세계 각국 중요 인프라 대상 랜섬웨어 공격 관련 ‘韓美 합동 사이버 보안 권고문’ 발표

20230213-11449

 

・2023.02.10 국정원, '韓美 합동 사이버 보안 권고문' 발표

・[PDF]

20230213-00041

 

 

 

| | Comments (0)

2023.02.12

JNSA 20+3周年記念講演資料公開 「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」

こんにちは、丸山満彦です。

2023.02.02に開催されました「JNSA設立20+3周年記念イベント講演会」で講演をさせていただきましたが、その時の資料がJNSAからPDFで公開されております。。。

JNSA設立から23年ということで概ね四半世紀経ったわけですが、これからの世代のかたに、その当時のことを少し紹介しながら、これからのJNSAの運営のヒントに少しでもなればということで、お話をさせていただきました。

ネットワークセキュリティですが、ゼロトラストとか言われている時代ですからね、、、本当にJNSAで良いのか?という話もあるとは思うんですよね。。。それで表題を、「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」といたしました。

JNSAの前の時代は、コンピュータセキュリティ、データセキュリティと言われていた時代でしたからね。。。それが、インターネットの時代になったので、ネットワークセキュリティ、、、でも、これからはどういう時代?ということです。。。

 

おっちゃん、おばちゃんたちが通ってきた道を少し振り返ってもらい、これからの世代の皆さんが進む道を少し考えてもらえたらいいね、という感じです(^^)

 

JNSA

・2023.02.02 JNSA設立20+3周年記念イベント講演会

・[PDF] 丸山 満彦 氏(PwCコンサルティング合同会社パートナー/情報セキュリティ大学院大学客員教授)講演資料
「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ、情報セキュリティ、サイバーセキュリティ、そして・・・」
(2023年2月2日)(PDF:2.3MB)

 

20230211-225554

 

 

 


 

個人的には、2020年8月に第24回 サイバー犯罪に関する白浜シンポジウムで発表した、『スマートサイバー AI活用時代のサイバーリスク管理』の資料も参考になると思いますので、是非是非...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)

Title

 

 

 

| | Comments (0)

2023.02.11

米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

こんにちは、丸山満彦です。

米国と英国が協力して、ロシアの7名のランサムウェア犯罪者として指定したようですね。。。捜査当局の国際連携は重要ですね。。。

01_20230211004601

U.S. Department of State

・2023.02.09 Taking Joint Action Against Cybercriminals

Taking Joint Action Against Cybercriminals サイバー犯罪者に対して共同行動を起こす
The United States and the United Kingdom are taking coordinated action today targeting cybercriminals who launched assaults against our critical infrastructure.  We will continue to work with the United Kingdom and with other international partners to expose and disrupt cybercrime emanating from Russia. 米国と英国は本日、重要インフラに対する攻撃を開始したサイバー犯罪者を標的とした協調行動をとった。  我々は、ロシアから行われたサイバー犯罪を摘発し、混乱させるために、英国や他の国際的なパートナーとの協力を続けていくつもりである。
The United States is designating seven individuals who are part of the Russia-based cybercrime gang Trickbot.  We are taking this action pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for the individuals’ involvement in a cyber-enabled activity that poses a significant threat to the national security, foreign policy, or economic health or financial stability of the United States. 米国は、ロシアを拠点とするサイバー犯罪組織「Trickbot」の一員である7人の個人を指定する。  我々は、大統領令(E.O.)13694(E.O.13757により改正)に基づき、米国の国家安全保障、外交政策、経済的健全性や財政的安定性に対する重大な脅威となるサイバー対応行為にこれらの個人が関わっているとして、この行動を起こしている。
Russia is a safe haven for cybercriminals, where groups such as Trickbot freely perpetrate malicious cyber activities against the United States, the United Kingdom, and our allies and partners.  These activities have targeted critical infrastructure, including hospitals and medical facilities. ロシアはサイバー犯罪者の安住の地で、Trickbotのようなグループが米国、英国、そして我々の同盟国やパートナーに対して悪質なサイバー活動を自由に行っている。  これらの活動は、病院や医療施設などの重要なインフラを標的にしている。
The United States and the United Kingdom are leaders in the global fight against cybercrime and are committed to using all available authorities to defend against cyber threats.  Today’s action, the first under the UK’s new cyber sanctions authority, demonstrates our continued commitment to collaborating with partners and allies to address Russia-based cybercrime, and to countering ransomware attacks and their perpetrators.  As Russia’s illegal war against Ukraine continues, cooperation with our allies and partners is more critical than ever to protect our national security. 米国と英国は、サイバー犯罪との世界的な闘いにおけるリーダーであり、サイバー脅威から身を守るために利用可能なあらゆる権限を行使することを約束する。  本日の措置は、英国の新たなサイバー制裁権限に基づく最初の措置であり、パートナーや同盟国と協力してロシアを拠点とするサイバー犯罪に対処し、ランサムウェア攻撃とその実行犯に対抗するという我々の継続的なコミットメントを示すものである。  ロシアのウクライナに対する違法な戦争が続く中、同盟国やパートナーとの協力は、我々の国家安全を守るためにこれまで以上に重要である。
For more information about these designations, please see the Department of the Treasury’s press release. これらの指定の詳細については、財務省のプレスリリースを参照すること。

 

・2023.02.09 United States and United Kingdom Sanction Members of Russia-Based Trickbot Cybercrime Gang

United States and United Kingdom Sanction Members of Russia-Based Trickbot Cybercrime Gang 米国と英国がロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す
The United States and United Kingdom issue historic joint cyber sanctions 米国と英国が歴史的な共同サイバー制裁を発動
WASHINGTON — Today, the United States, in coordination with the United Kingdom, is designating seven individuals who are part of the Russia-based cybercrime gang Trickbot. This action represents the very first sanctions of their kind for the U.K., and result from a collaborative partnership between the U.S. Department of the Treasury’s Office of Foreign Assets Control and the U.K.’s Foreign, Commonwealth, and Development Office; National Crime Agency; and His Majesty’s Treasury to disrupt Russian cybercrime and ransomware. ワシントン - 本日、米国は英国との協力の下、ロシアを拠点とするサイバー犯罪組織「Trickbot」の一員である7人の個人を指定した。今回の措置は、米国財務省外国資産管理局と英国の外務英連邦開発局、国家犯罪対策庁、英国財務省が、ロシアのサイバー犯罪とランサムウェアを阻止するために協力した結果、英国にとって初めての制裁となる。
“Cyber criminals, particularly those based in Russia, seek to attack critical infrastructure, target U.S. businesses, and exploit the international financial system,” said Under Secretary Brian E. Nelson.  “The United States is taking action today in partnership with the United Kingdom because international cooperation is key to addressing Russian cybercrime.” ブライアン・E・ネルソン次官は、次のように述べている。「サイバー犯罪者、特にロシアに拠点を置く犯罪者は、重要インフラを攻撃し、米国企業を標的にし、国際金融システムを悪用しようとしている。 ロシアのサイバー犯罪に対処するためには国際協力が重要であるため、米国は英国との協力のもと、本日行動を起こした。」
Russia is a haven for cybercriminals, where groups such as Trickbot freely perpetrate malicious cyber activities against the U.S., the U.K., and allies and partners. These malicious cyber activities have targeted critical infrastructure, including hospitals and medical facilities during a global pandemic, in both the U.S. and the U.K. Last month, Treasury’s Financial Crimes Enforcement Network (FinCEN) identified a Russia-based virtual currency exchange, Bitzlato Limited, as a “primary money laundering concern” in connection with Russian illicit finance.  The United States and the United Kingdom are leaders in the global fight against cybercrime and are committed to using all available authorities and tools to defend against cyber threats. ロシアはサイバー犯罪者の天国であり、Trickbotのようなグループが米国、英国、および同盟国やパートナーに対して悪意のあるサイバー活動を自由に行っている。これらの悪質なサイバー活動は、世界的なパンデミック時に、米国と英国の病院や医療施設などの重要なインフラを標的にしている。先月、財務省の金融犯罪取締ネットワーク(FinCEN)は、ロシアに拠点を置く仮想通貨取引所であるBitzlato Limitedを、ロシアの不正金融に関連する「主たるマネーロンダリングの懸念」として特定した。 米国と英国は、サイバー犯罪に対する世界的な闘いのリーダーであり、利用可能なすべての権限とツールを用いて、サイバー脅威から防衛することを約束する。
This action follows other recent sanctions actions taken jointly by the U.S. and the U.K. including in the Russia and Burma programs, as well as last year’s multilateral action against the Kinahan Crime Group. It also reflects the finding from the 2021 Sanctions Review that sanctions are most effective when coordinated with international partners and highlights the deepened partnership between OFAC and the UK’s Office of Financial Sanctions Implementation. 今回の措置は、ロシアやビルマプログラム、昨年のキナハン犯罪グループに対する多国間措置など、米国と英国が最近共同で実施した制裁措置に続くものである。また、制裁は国際的なパートナーとの協調が最も効果的であるという2021年制裁見直しの所見を反映し、OFACと英国の金融制裁実施局とのパートナーシップの深化を強調するものである。
TRICKBOT: A NOTORIOUS CYBER GANG IN RUSSIA Trickbot:ロシアにおける悪名高いサイバーギャング
Trickbot, first identified in 2016 by security researchers, was a trojan virus that evolved from the Dyre trojan. Dyre was an online banking trojan operated by individuals based in Moscow, Russia, that began targeting non-Russian businesses and entities in mid-2014.  Dyre and Trickbot were developed and operated by a group of cybercriminals to steal financial data. The Trickbot trojan viruses infected millions of victim computers worldwide, including those of U.S. businesses, and individual victims. It has since evolved into a highly modular malware suite that provides the Trickbot Group with the ability to conduct a variety of illegal cyber activities, including ransomware attacks. During the height of the COVID-19 pandemic in 2020, Trickbot targeted hospitals and healthcare centers, launching a wave of ransomware attacks against hospitals across the United States. In one of these attacks, the Trickbot Group deployed ransomware against three Minnesota medical facilities, disrupting their computer networks and telephones, and causing a diversion of ambulances. Members of the Trickbot Group publicly gloated over the ease of targeting the medical facilities and the speed with which the ransoms were paid to the group. 2016年にセキュリティ研究者によって初めて確認されたTrickbotは、Dyreトロイの木馬から進化したトロイの木馬ウイルスであった。Dyreは、ロシアのモスクワに拠点を置く個人によって運営されていたオンラインバンキングのトロイの木馬で、2014年半ばからロシア以外の企業や団体を標的にするようになった。  DyreとTrickbotは、金融データを盗むためにサイバー犯罪者グループによって開発・運用されていた。トロイの木馬ウイルス「Trickbot」は、米国企業のコンピュータを含む世界中の数百万台の被害者コンピュータ、および個人の被害者に感染した。その後、高度にモジュール化されたマルウェア群に進化し、ランサムウェア攻撃など、さまざまな違法なサイバー活動を行う能力をTrickbotグループに提供している。2020年のCOVID-19パンデミックの最中、Trickbotは病院やヘルスケアセンターを標的にし、米国中の病院に対してランサムウェア攻撃を相次いで仕掛けた。このうち、ミネソタ州の3つの医療施設に対して、Trickbot グループがランサムウェアを展開し、コンピュータネットワークと電話を麻痺させ、救急車を迂回させるという攻撃を行った。Trickbotグループのメンバーは、医療施設を容易に攻撃できたこと、そして身代金の支払いが迅速であったことを公の場で賞賛している。
Current members of the Trickbot Group are associated with Russian Intelligence Services. The Trickbot Group’s preparations in 2020 aligned them to Russian state objectives and targeting previously conducted by Russian Intelligence Services. This included targeting the U.S. government and U.S. companies. Trickbotグループの現在のメンバーは、ロシア諜報機関と関係がある。2020年におけるTrickbotグループの準備は、ロシアの国家目標や、ロシア諜報機関が以前に行った標的設定と一致していた。これには、米国政府および米国企業を標的としたものも含まれていた。
Vitaly Kovalev was a senior figure within the Trickbot Group. Vitaly Kovalev is also known as the online monikers “Bentley” and “Ben”. Today, an indictment was unsealed in the U.S. District Court for the District of New Jersey charging Kovalev with conspiracy to commit bank fraud and eight counts of bank fraud in connection with a series of intrusions into victim bank accounts held at various U.S.-based financial institutions that occurred in 2009 and 2010, predating his involvement in Dyre or the Trickbot Group. Vitaly Kovalevは、Trickbotグループの幹部であった。Vitaly Kovalevは、オンラインでは「Bentley」および「Ben」というニックネームでも知られている。本日、ニュージャージー州連邦地方裁判所で、Dyre や Trickbot グループ に関与する以前の 2009 年と 2010 年に発生した、米国に拠点を置く様々な金融機関の被害者銀行口座への一連の侵入に関して、Kovalev を銀行詐欺を行うための陰謀および 8 件の銀行詐欺で告発する起訴状が発行された。
Maksim Mikhailov has been involved in development activity for the Trickbot Group. Maksim Mikhailov is also known as the online moniker “Baget”. Maksim Mikhailov は、Trickbot グループ の開発活動に関与してきた。Maksim Mikhailovは、オンラインでは「Baget」というニックネームでも知られている。
Valentin Karyagin has been involved in the development of ransomware and other malware projects. Valentin Karyagin is also known as the online moniker “Globus”. Valentin Karyaginは、ランサムウェアやその他のマルウェアのプロジェクト開発に携わってきた。Valentin Karyaginは、オンライン・モノコック「Globus」としても知られている。
Mikhail Iskritskiy has worked on money-laundering and fraud projects for the Trickbot Group. Mikhail Iskritskiy is also known as the online moniker “Tropa”. Mikhail Iskritskiy 氏は、Trickbot グループ のマネーロンダリングおよび詐欺プロジェクトに携わってきた。Mikhail Iskritskiyは、オンラインでは「Tropa」というニックネームでも知られている。
Dmitry Pleshevskiy worked on injecting malicious code into websites to steal victims’ credentials. Dmitry Pleshevskiy is also known as the online moniker “Iseldor”. Dmitry Pleshevskiyは、ウェブサイトに悪質なコードを注入し、被害者の認証情報を盗むことに取り組んでいた。Dmitry Pleshevskiyは、「Iseldor」というオンライン・モノマネでも知られている。
Ivan Vakhromeyev has worked for the Trickbot Group as a manager. Ivan Vakhromeyev is also known as the online moniker “Mushroom”. Ivan Vakhromeyev は、Trickbot グループ でマネージャーとして働いていたことがある。Ivan Vakhromeyevは、オンラインでは「Mushroom」というニックネームでも知られている。
Valery Sedletski has worked as an administrator for the Trickbot Group, including managing servers. Valery Sedletski is also known as the online moniker “Strix”. Valery Sedletskiは、Trickbot グループの管理者として働いており、サーバーの管理も行っている。ヴァレリー・セドレツキーは、オンライン上の「Strix」というニックネームでも知られている。
OFAC is designating each of these individuals pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for having materially assisted, sponsored, or provided material, or technological support for, or goods or services to or in support of, an activity described in subsection (a)(ii) of section 1 of E.O. 13694, as amended. OFACは、E.O. 13757によって改正された大統領令(E.O.)13694に従って、E.O. 13694の改正後の第1節の(a)(ii)項に記載されている活動を実質的に支援、後援、または材料、技術支援、あるいは物品またはサービスを提供したとしてこれらの各人を指定するものである。
SANCTIONS IMPLICATIONS 制裁措置への影響
As a result of today’s action, all property and interests in property of the individuals that are in the United States or in the possession or control of U.S. persons must be blocked and reported to OFAC. OFAC’s regulations generally prohibit all dealings by U.S. persons or within the United States (including transactions transiting the United States) that involve any property or interests in property of blocked or designated persons. 本日の措置の結果、米国内にある、あるいは米国人の所有または管理下にある当該個人の財産および財産の権利はすべて封鎖し、OFACに報告する必要がある。OFACの規制は、一般に、ブロックされた又は指定された人物の財産又はその持分に関わる、米国人による又は米国内の全ての取引(米国を通過する取引を含む)を禁止する。
In addition, persons that engage in certain transactions with the individuals designated today may themselves be exposed to designation. Furthermore, any foreign financial institution that knowingly facilitates a significant transaction or provides significant financial services for any of the individuals or entities designated today could be subject to U.S. correspondent or payable-through account sanctions. また、本日指定された人物と特定の取引を行う者は、自らも指定の対象となる可能性がある。さらに、本日指定された個人または団体のいずれに対しても、故意に重要な取引を促進したり、重要な金融サービスを提供したりする外国金融機関は、米国のコルレス口座またはペイスルー口座制裁の対象となる可能性がある。
The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please refer to OFAC’s website. OFAC の制裁の威力と完全性は、特別指定国民及び阻止者(SDN)リストの指定・追加能力だけでなく、法に基づき SDN リストから人物を削除する意思からも導き出されるものである。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのFrequently Asked Question 897を参照してください。OFAC制裁リストからの削除要請を提出するためのプロセスの詳細については、OFACのウェブサイトを参照すること。
See OFAC’s Updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments  for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry . See also the UK’s Office of Financial Sanctions Implementation’s recently issued Guidance on Financial Sanctions and Ransomware. 制裁リスクのあるランサムウェアの支払いに関わる関連執行措置においてOFACが緩和要因と見なす行為に関する情報については、ランサムウェアの支払いを促進するための潜在的制裁リスクに関するOFACの最新アドバイザリーを参照すること。仮想通貨に適用される制裁を遵守するための情報については、OFACのSanctions Compliance Guidance for the Virtual Currency Industry(仮想通貨業界向け制裁遵守ガイダンス) を参照すること。また、英国の金融制裁実施局が最近発行した「金融制裁とランサムウェアに関するガイダンス」も参照すること。
For more information on the individuals designated today, click here. 本日指定された個人に関する詳細については、こちらを参照すること。
For more information on the United Kingdom’s action, click here. 英国の措置の詳細については、こちらを参照すること。

 


 

Gov U.K.

・2023.02.09 UK cracks down on ransomware actors

UK cracks down on ransomware actors 英国はランサムウェアの行為者を取り締まる
The UK has sanctioned 7 Russian cyber criminals through coordinated actions with the US government. 英国は、米国政府との協調行動により、ロシアのサイバー犯罪者7名に制裁を加えた。
・seven Russian nationals have assets frozen and travel bans imposed ・7人のロシア人の資産が凍結され、渡航禁止措置がとられた
・ransomware is a tier 1 national security threat, with attacks against businesses and public sector organisations increasingly common. Recent victims include UK schools, local authorities and firms – whilst internationally the Irish Health Service Executive, Costa Rican government and American healthcare providers were targeted ・ランサムウェアは、国家安全保障上の脅威(Tier1)であり、企業や公共機関に対する攻撃がますます一般化している。最近の被害者には、英国の学校、地方自治体、企業などが含まれ、国際的には、アイルランド保健サービス庁、コスタリカ政府、米国のヘルスケアプロバイダーが標的にされた。
・new campaign of concerted action is being coordinated with the US, after 149 British victims of ransomware known as Conti and Ryuk were identified by the National Crime Agency (NCA) ・英国犯罪捜査局(NCA)により、ContiおよびRyukと呼ばれるランサムウェアの被害者149人が確認された後、米国と協調して新たなキャンペーンを展開中である。
Seven Russian cyber criminals have today (Thursday 9 February) been sanctioned by the UK and US in the first wave of new coordinated action against international cyber crime. These individuals have been associated with the development or deployment of a range of ransomware strains which have targeted the UK and US. 2月9日(木)、国際的なサイバー犯罪に対する新たな協調行動の第一弾として、ロシアのサイバー犯罪者7人が英国と米国から制裁を受けました。これらの犯罪者は、英国および米国を標的としたさまざまなランサムウェアの開発または展開に関与している。
Foreign Secretary James Cleverly said: ジェームズ・クレバリー外務大臣は次のように述べている。
「By sanctioning these cyber criminals, we are sending a clear signal to them and others involved in ransomware that they will be held to account. 「これらのサイバー犯罪者に制裁を加えることで、彼らやランサムウェアに関わる他の人々に、責任を取らせるという明確なシグナルを送ることができる。
These cynical cyber attacks cause real damage to people’s lives and livelihoods. We will always put our national security first by protecting the UK and our allies from serious organised crime – whatever its form and wherever it originates.」 このような冷笑的なサイバー攻撃は、人々の生活や生命に大きな損害を与える。私たちは常に国家の安全を第一に考え、その形態や発生源がどこであれ、深刻な組織犯罪から英国や同盟国を守っていく。」
Ransomware criminals specifically target the systems of organisations they judge will pay them the most money and time their attacks to cause maximum damage, including targeting hospitals in the middle of the pandemic. ランサムウェアによる犯罪者は、最も高い金額を支払うと判断した組織のシステムを特に標的とし、パンデミックの最中に病院を標的にするなど、最大の被害を引き起こすために時間を計って攻撃を行う。
Ransomware groups known as Conti, Wizard Spider, UNC1878, Gold Blackburn, Trickman and Trickbot have been responsible for the development and deployment of: Trickbot, Anchor, BazarLoader, BazarBackdoor as well as the ransomware strains Conti and Diavol. They are also involved in the deployment of Ryuk ransomware. Conti、Wizard Spider、UNC1878、Gold Blackburn、Trickman、Trickbotとして知られるランサムウェアグループは、その開発と配備を担ってきた。Trickbot、Anchor、BazarLoader、BazarBackdoor、およびランサムウェアのContiとDiavolの開発・配備に関与している。また、Ryuk ランサムウェアの配備にも関与している。
The ransomware strains known as Conti and Ryuk affected 149 UK individuals and businesses. The ransomware was responsible for extricating at least an estimated £27 million. There were 104 UK victims of the Conti strain who paid approximately £10 million and 45 victims of the Ryuk strain who paid approximately £17 million. ContiとRyukとして知られるランサムウェア株は、149人の英国の個人と企業に影響を与えました。このランサムウェアは、少なくとも推定2700万ポンドを引き出す役割を担いた。Contiの被害者は英国で104名、約1000万ポンドを支払い、Ryukの被害者は45名、約1,700万ポンドを支払った。
Conti was behind attacks that targeted hospitals, schools, businesses and local authorities, including the Scottish Environment Protection Agency.  The group behind Conti extorted $180 million in ransomware in 2021 alone, according to research from Chainalysis. Contiは、病院、学校、企業、スコットランド環境保護局を含む地方自治体を標的とした攻撃の背後にありました。  Chainalysis社の調査によると、Contiの背後にいるグループは、2021年だけでランサムウェアで1億8000万ドルを強奪している。
Conti was one of the first cyber crime groups to back Russia’s war in Ukraine, voicing their support for the Kremlin within 24 hours of the invasion. Contiは、ロシアのウクライナ戦争を支持した最初のサイバー犯罪グループの1つで、侵攻から24時間以内にクレムリンへの支持を表明している。
Although the ransomware group responsible for Conti disbanded in May 2022, reporting suggests members of the group continue to be involved in some of the most notorious new ransomware strains that dominate and threaten UK security. Contiを担当するランサムウェアグループは2022年5月に解散したが、報告によると、同グループのメンバーは、英国のセキュリティを支配し脅かす最も悪名高い新種のランサムウェアのいくつかに関与し続けていることが示唆されている。
Security Minister Tom Tugendhat said: セキュリティ大臣のTom Tugendhatは次のように述べている。
”We’re targeting cyber criminals who have been involved in some of the most prolific and damaging forms of ransomware. Ransomware criminals have hit hospitals and schools, hurt many and disrupted lives, at great expense to the taxpayer. 「私たちは、最も多発し、被害が大きい形態のランサムウェアに関与しているサイバー犯罪者を標的にしている。ランサムウェアの犯罪者は、病院や学校を襲い、多くの人々を傷つけ、生活を混乱させ、納税者に多大な犠牲を強いてきた。
Cyber crime knows no boundaries and threatens our national security. These sanctions identify and expose those responsible.” サイバー犯罪に国境はなく、私たちの国家安全保障を脅かしている。この制裁は、責任者を特定し、暴露するものである。」
A wide range of organisations have been targeted by ransomware criminals, including at least 10 schools and universities in the UK, as well as hospitals, a forensic laboratory and local authorities. The Government of Costa Rica was also targeted last year. 英国では、少なくとも10校の学校や大学、病院、科学捜査研究所、地方自治体など、さまざまな組織がランサムウェア犯の標的になっている。昨年は、コスタリカ政府も標的にされた。
Ireland’s Health Service Executive were targeted by ransomware actors during the COVID pandemic, leading to disruption to blood tests, x-rays, CT scans, radiotherapy and chemotherapy appointments over 10 days. アイルランドでは、COVIDの流行時に医療サービス機関がランサムウェアの標的となり、10日間にわたって血液検査、X線検査、CTスキャン、放射線治療、化学療法の予約に支障をきたした。
Another recent ransomware attack included Harrogate-based transportation and cold storage firm Reed Boardall whose IT systems were under attack for nearly a week in 2021. また、最近のランサムウェア攻撃では、ハロゲートに拠点を置く輸送・冷蔵倉庫会社リード・ボーダルが2021年に1週間近くITシステムの攻撃を受けている。
These sanctions follow a complex, large-scale and ongoing investigation led by the NCA, which will continue to pursue all investigative lines of enquiry to disrupt the ransomware threat to the UK in collaboration with partners. 今回の制裁は、NCAが主導する複雑かつ大規模で継続的な捜査を受けたもので、今後もパートナーと協力しながら、英国におけるランサムウェアの脅威を打破するため、あらゆる捜査方針を追求していく予定である。
National Crime Agency Director-General Graeme Biggar said: 国家犯罪対策庁のグレーム・ビガー長官は、次のように述べている。
”This is a hugely significant moment for the UK and our collaborative efforts with the US to disrupt international cyber criminals. 「今回の制裁は、英国、そして国際的なサイバー犯罪者を撲滅するための米国との協力体制にとって、非常に重要な時である。
The sanctions are the first of their kind for the UK and signal the continuing campaign targeting those responsible for some of the most sophisticated and damaging ransomware that has impacted the UK and our allies. They show that these criminals and those that support them are not immune to UK action, and this is just one tool we will use to crack down on this threat and protect the public. 今回の制裁措置は、英国にとって初めてのものであり、英国や同盟国に影響を与えた最も巧妙で有害なランサムウェアの犯人を標的としたキャンペーンを継続することを示すものである。このような犯罪者やそれを支援する者たちが、英国の行動に対して免疫がないことを示すものであり、これはこの脅威を取り締まり、国民を保護するための一つの手段に過ぎない。
This is an excellent example of the dedication and expertise of the NCA team who have worked closely with partners on this complex investigation. We will continue to deploy our unique capabilities to expose cyber criminals and work alongside our international partners to hold those responsible to account, wherever they are in the world.” これは、この複雑な捜査でパートナーと緊密に協力したNCAチームの献身と専門知識を示す素晴らしい例である。私たちは、サイバー犯罪者を摘発するために独自の能力を展開し続け、国際的なパートナーとともに、世界のどこにいても責任者の責任を追及していく。」
UK and US authorities will continue to expose these cyber criminals and crack down on their activities. This announcement of sanctions against 7 individuals marks the start of a campaign of coordinated action against ransomware actors being led by the UK and US. 英国と米国の当局は、今後もサイバー犯罪者を摘発し、その活動を取り締まる。今回の7名に対する制裁措置の発表は、英米が主導するランサムウェアの犯人に対する協調行動の始まりとなるものである。
The National Cyber Security Centre (NCSC), a part of GCHQ, has assessed that: GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、次のように評価している。
・it is almost certain that the Conti group were primarily financially motivated and chose their targets based on the perceived value they could extort from them ・Contiグループは、主に金銭的な動機からターゲットを選び、そこから得られる価値に基づいて行動していることがほぼ確実である。
・key group members highly likely maintain links to the Russian Intelligence Services from whom they have likely received tasking. The targeting of certain organisations, such as the International Olympic Committee, by the group almost certainly aligns with Russian state objectives ・グループの主要メンバーは、ロシア諜報機関とつながりを持ち、彼らから任務を受けた可能性が高い。国際オリンピック委員会のような特定の組織をターゲットにしたことは、ほぼ間違いなくロシアの国家目標に合致している。
・it is highly likely that the group evolved from previous cyber organised crime groups and likely have extensive links to other cyber criminals, notably EvilCorp and those responsible for Ryuk ransomware ・このグループは、以前のサイバー組織犯罪グループから発展した可能性が高く、他のサイバー犯罪者、特にEvilCorpやRyukランサムウェアの責任者と幅広いつながりを持っている可能性が高い。
NCSC Chief Executive Officer Lindy Cameron said: NCSCの最高経営責任者であるLindy Cameronは次のように述べている。
"Ransomware is the most acute cyber threat facing the UK, and attacks by criminal groups show just how devastating its impact can be. 「ランサムウェアは、英国が直面している最も深刻なサイバー脅威であり、犯罪グループによる攻撃は、その影響がいかに壊滅的なものであるかを示している。
The NCSC is working with partners to bear down on ransomware attacks and those responsible, helping to prevent incidents and improve our collective resilience. NCSCは、パートナーと協力して、ランサムウェアの攻撃とその実行者を取り締まり、事件の防止と私たちの集団的なレジリエンスの向上に貢献している。
It is vital organisations take immediate steps to limit their risk by following the NCSC’s advice on how to put robust defences in place to protect their networks." 企業は、自社のネットワークを保護するために強固な防御策を講じる方法について、NCSCのアドバイスに従って、リスクを抑えるための措置を直ちに講じることが重要である。」
Victims of ransomware attacks should use the UK government’s Cyber Incident Signposting Site as soon as possible after an attack. ランサムウェアの被害者は、攻撃後できるだけ早く英国政府のサイバー・インシデント・シグナリングサイトを利用する必要がある。
Today, the UK’s Office of Financial Sanctions Implementation (OFSI) are also publishing new public guidance which sets out the implications of these new sanctions in ransomware cases. 本日、英国金融制裁実施局(OFSI)は、ランサムウェアのケースにおけるこれらの新しい制裁措置の意味を示す新しい公開ガイダンスも発表している。
The individuals designated today are: 本日指定された個人は以下の通りである。
・Vitaliy Kovalev ・Vitaliy Kovalev
・Valery Sedletski ・Valery Sedletski
・Valentin Karyagin ・Valentin Karyagin
・Maksim Mikhailov ・Maksim Mikhailov
・Dmitry Pleshevskiy ・Dmitry Pleshevskiy
・Mikhail Iskritskiy ・Mikhail Iskritskiy
・Ivan Vakhromeyev ・Ivan Vakhromeyev
Making funds available to the individuals such as paying ransomware, including in crypto assets, is prohibited under these sanctions. Organisations should have or should put in place robust cyber security and incident management systems in place to prevent and manage serious cyber incidents. 暗号資産を含むランサムウェアの支払いなど、個人に対して資金を提供することは、これらの制裁で禁止されている。組織は、深刻なサイバーインシデントを防止・管理するために、堅牢なサイバーセキュリティおよびインシデント管理システムを導入しているか、導入する必要がある。
Read further guidance on UK sanctions relating to cyber activity and view the full UK Sanctions List. サイバー活動に関連する英国の制裁に関するさらなるガイダンスを読み、英国の制裁リストの全容を確認する。

 

 

 

| | Comments (0)

2023.02.10

米国 CISA FBI 「ESXiArgs」の復旧ガイダンスを公開

こんにちは、丸山満彦です。

パッチが適用されていないVMware ESXiソフトウェアの既知の脆弱性等を悪用して、ESXiサーバにアクセスし、ESXiArgsランサムウェアを展開している可能性があり、ESXiサーバーの設定ファイルが暗号化されると仮想マシンが使用不能になるかもしれないですよね。。。被害は米国・カナダ・ドイツ・フランスが中心のようですね。。。米国、ドイツ、フランスで警告が出ています。。。日本もJPCERT/CCから警告が出ています。。。

 

Fig01_20230209181601

 

 

CISA

Fig01_20230209182101

・2023.02.08 CISA and FBI Release ESXiArgs Ransomware Recovery Guidance

CISA and FBI Release ESXiArgs Ransomware Recovery Guidance CISA と FBI が ESXiArgs ランサムウェアの復旧ガイダンスを公開
Today, CISA and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory, ESXiArgs Ransomware Virtual Machine Recovery Guidance. This advisory describes the ongoing ransomware campaign known as “ESXiArgs.” Malicious cyber actors may be exploiting known vulnerabilities in unpatched and out-of-service or out-of-date versions of VMware ESXi software to gain access to ESXi servers and deploy ESXiArgs ransomware. The ransomware encrypts configuration files on ESXi servers, potentially rendering virtual machines unusable. 本日、CISAとFBIは、サイバーセキュリティアドバイザリ「ESXiArgs Ransomware Virtual Machine Recovery Guidance」を共同で発表した。この勧告は、"ESXiArgs "として知られる進行中のランサムウェア・キャンペーンについて説明している。悪意のあるサイバーアクターは、パッチが適用されていないVMware ESXiソフトウェアの既知の脆弱性やサービス停止または古いバージョンの脆弱性を悪用して、ESXiサーバにアクセスし、ESXiArgsランサムウェアを展開している可能性がある。このランサムウェアは、ESXiサーバーの設定ファイルを暗号化し、仮想マシンを使用不能にする可能性がある。
As detailed in the advisory, CISA has created and released an ESXiArgs recovery script at [web]. CISA and FBI encourage organizations that have fallen victim to ESXiArgs ransomware to consider using the script to attempt to recover their files. 勧告に詳述されているように、CISAはESXiArgs回復スクリプトを作成し、[web] で公開している。CISA と FBI は、ESXiArgs ランサムウェアの被害に遭った組織に対し、このスクリプトを使用してファイルの復元を試みることを検討するよう推奨している。
Additionally, CISA and FBI encourage all organizations to review the advisory and incorporate the recommendations for protecting against ESXiArgs ransomware. また、CISA と FBI は、すべての組織がこの勧告を確認し、ESXiArgs ランサムウェアから保護するための推奨事項を取り入れることを推奨している。

 

・2023.02.07 CISA Releases ESXiArgs Ransomware Recovery Script

CISA Releases ESXiArgs Ransomware Recovery Script CISA、ESXiArgsランサムウェアの回復スクリプトをリリース
CISA has released a recovery script for organizations that have fallen victim to ESXiArgs ransomware. The ESXiArgs ransomware encrypts configuration files on vulnerable ESXi servers, potentially rendering virtual machines (VMs) unusable. CISAは、ESXiArgsランサムウェアの被害に遭った組織向けに、回復スクリプトを公開した。ESXiArgsランサムウェアは、脆弱なESXiサーバー上の設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。
CISA recommends organizations impacted by ESXiArgs evaluate the script and guidance provided in the accompanying README file to determine if it is fit for attempting to recover access to files in their environment. CISAは、ESXiArgsの影響を受けた組織が、添付のREADMEファイルに記載されているスクリプトとガイダンスを評価し、環境内のファイルへのアクセス回復を試みるのに適しているかどうかを判断することを推奨する。

 

・・[github] 回復スクリプト

 

・2023.02.08 Alert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance

Alert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance アラート (AA23-039A) ESXiArgs ランサムウェア仮想マシンの回復ガイダンス
Summary 概要
The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) are releasing this joint Cybersecurity Advisory (CSA) in response to the ongoing ransomware campaign, known as “ESXiArgs.” Malicious actors may be exploiting known vulnerabilities in VMware ESXi servers that are likely running unpatched and out-of-service or out-of-date versions of VMware ESXi software to gain access and deploy ransomware. The ESXiArgs ransomware encrypts configuration files on ESXi servers, potentially rendering virtual machines (VMs) unusable.  サイバーセキュリティ・重要インフラ庁 (CISA) と 連邦捜査局 (FBI) は、「ESXiArgs」として知られるランサムウェアのキャンペーンが進行していることを受け、この共同サイバーセキュリティアドバイザリ (CSA) を発表する。悪意のある行為者は、パッチが適用されておらず、サービス停止中または古いバージョンのVMware ESXiソフトウェアを実行していると思われるVMware ESXiサーバの既知の脆弱性を悪用して、アクセスを試み、ランサムウェアを展開している可能性がある。ESXiArgsランサムウェアは、ESXiサーバー上の設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。 
CISA has released an ESXiArgs recovery script at [github]. Organizations that have fallen victim to ESXiArgs ransomware can use this script to attempt to recover their files. This CSA provides guidance on how to use the script. ESXiArgs actors have compromised over 3,800 servers globally. CISA and FBI encourage all organizations managing VMware ESXi servers to:  CISAは、ESXiArgsの復旧スクリプトを[github]で公開している。ESXiArgs ランサムウェアの被害に遭った組織は、このスクリプトを使用してファイルの復元を試みることができる。ESXiArgs の感染者は、全世界で 3,800 台を超えるサーバに侵入している。CISA と FBI は、VMware ESXi サーバを管理するすべての組織に対して、次のことを推奨する。
ESXiArgs actors have compromised over 3,800 servers globally. CISA and FBI encourage all organizations managing VMware ESXi servers to:  ESXiArgs の感染者は、全世界で 3,800 台を超えるサーバに侵入している。CISAとFBIは、VMware ESXiサーバを管理するすべての組織に対して、次のことを推奨する。 
・Update servers to the latest version of VMware ESXi software,  ・サーバーを最新バージョンのVMware ESXiソフトウェアにアップデートする。 
・Harden ESXi hypervisors by disabling the Service Location Protocol (SLP) service, and  ・ESXiハイパーバイザーのSLP(Service Location Protocol)サービスを無効にし、ESXiハイパーバイザーを強化する。 
・Ensure the ESXi hypervisor is not exposed to the public internet.  ・ESXiハイパーバイザーが公衆インターネットに公開されていないことを確認する。 
If malicious actors have compromised your organization with ESXiArgs ransomware, CISA and FBI recommend following the script and guidance provided in this CSA to attempt to recover access to your files.   CISA と FBI は、悪意ある者が ESXiArgs ランサムウェアを使用して組織に侵入した場合、本 CSA で提供するスクリプトとガイダンスに従って、ファイルへのアクセスを回復するよう試みることを推奨する。 

 

・[PDF

20230209-174025

 


 

ドイツでは...

 

Bundesamt für Sicherheit in der Informationstechnik

Fig01_20230209182201

・2023.02.06 Weltweiter Ransomware-Angriff

Weltweiter Ransomware-Angriff 世界的なランサムウェアの攻撃
Laut Medienberichten tausende ESXi-Server verschlüsselt 数千台のESXiサーバーが暗号化されたとメディアが報じる
Bei einem weltweit breit gestreuten Ransomware-Angriff wurden laut Medienberichten tausende ESXi-Server, die u. a. zur Virtualisierung von IT-Fachverfahren genutzt werden, verschlüsselt. Der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada, auch weitere Länder sind betroffen. 報道によると、ITプロセスの仮想化などに使用されている数千台のESXiサーバーが、世界中に広く分散したランサムウェア攻撃により暗号化された。地域的にはフランス、米国、ドイツ、カナダに集中しており、その他の国でも被害を受けている。
Nach derzeitigem Kenntnisstand wird davon ausgegangen, dass dabei die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor ausgenutzt wird. Das BSI hatte zu dieser Zeit vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt. Zum aktuellen IT-Sicherheitsvorfall hat das BSI nun eine Cyber-Sicherheitwarnung mit entsprechenden Schutzmaßnahmen veröffentlicht. 現在の知見では、2021年2月に既にパッチが適用されている脆弱性「CVE-2021-21974」が攻撃ベクトルとして悪用されていると推測される。その際、BSIは該当製品の脆弱性を悪用しないよう警告を発していた。今回のITセキュリティ事件については、BSIがサイバーセキュリティ警告を発表し、それに対応する保護対策を発表している。
Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich. これまでの調査結果によると、ドイツでは3桁の中程度の数のシステムが影響を受けているようである。被災状況や被害の可能性について、より具体的な説明はまだできていない。
Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im engen Austausch mit seinen internationalen Partnern. Das BSI wird über aktuelle Erkenntnisse informieren. BSIは、このITセキュリティ事件を集中的に分析し、国際的なパートナーと緊密に連絡を取り合っている。BSIは、現在の知見に関する情報を提供する。
* ESX und ESXi sind Bezeichnungen von Hypervisoren von VMware zur Virtualisierung von Servern, Rechenzentren und Rechnersystemen. ESX steht hierbei für "Elastic Sky X", ESXi bedeutet "Elastic Sky X integrated". * ESXとESXiは、サーバー、データセンター、コンピューターシステムを仮想化するためのVMware社のハイパーバイザーの名称である。ESXは「Elastic Sky X」の略で、ESXiは「Elastic Sky X integrated」の意味である。

 

 


 

フランス... (最初はここから始まったようですね。。。)

 

CERT-FR

Fig01_20230209182401

 

・2023.02.03 Objet: [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi

Objet: [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi 件名: 【更新】VMware ESXiに影響する脆弱性を悪用するキャンペーンについての通知
RISQUE(S) リスク
Exécution de code arbitraire à distance リモートでの任意のコード実行
RÉSUMÉ 概要
[Mise à jour du 05 février 2023] Mise à jour du résumé et de la section 'Solution'. [2023年02月05日更新】概要・解決編を更新した。
Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer un rançongiciel. 2023年2月3日、CERT-ENは、ランサムウェアを展開するためにVMware ESXiハイパーバイザーを標的とした攻撃キャンペーンについて認識した。
Dans l'état actuel des investigations, ces campagnes d'attaque semblent avoir tiré parti de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour des correctifs de sécurité suffisamment rapidement. En particulier, le service SLP semble avoir été visé, service pour lequel plusieurs vulnérabilités avaient fait l'objet de correctifs successifs (notamment les vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. section Documentation). Ces vulnérabilités permettent à un attaquant de réaliser une exploitation de code arbitraire à distance. Des codes d'exploitation sont disponibles en source ouverte depuis au moins mai 2021. 現在の調査状況によると、これらの攻撃キャンペーンは、セキュリティパッチが迅速に更新されていないESXiハイパーバイザーの露出を利用したものと思われる。特に、SLP サービスは、複数の脆弱性(特に CVE-2020-3992 と CVE-2021-21974 脆弱性、ドキュメントのセクションを参照)が順次修正されているサービスであり、このサービスが狙われたと思われる。これらの脆弱性により、攻撃者はリモートで任意のコードの搾取を行うことができる。エクスプロイトコードは、少なくとも2021年5月以降、オープンソースで公開されている。
Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. 現在、対象となるシステムは、バージョン 6.x および 6.7 より前の ESXi ハイパーバイザーである。
Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLP concernent les systèmes suivants : しかし、CERT-FRは、SLPに影響を与える脆弱性は、以下のシステムに関係するものである。
ESXi versions 7.x antérieures à ESXi70U1c-17325551 ESXiバージョン7.x(ESXi70U1c-17325551以前)
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG ESXiバージョン6.7.x(ESXi670-202102401-SG以前)
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG ESXiバージョン6.5.x(ESXi650-202102101-SG以前)
SOLUTION 解決方法
[Mise à jour du 05 février 2023] [2023年02月05日更新)。
Le CERT-FR a la confirmation qu'il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (.vmdk) sont chiffrés et renommés avec une extension .args. En effet, dans ce cas, le fichier contenant le disque virtuel (fichier -flat.vmdk) n'est pas chiffré. Plusieurs procédures testées avec succès sont documentées [1]. CERT-ENでは、仮想マシンの設定ファイル(.vmdk)を暗号化し、拡張子を.argsに変更した場合、ディスクの復旧が可能であることを確認している。 確かにこの場合、仮想ディスクを含むファイル(ファイル -flat.vmdk)は暗号化されていない。テストに成功したいくつかの手順が文書化されている[1]。
Le CERT-FR recommande fortement de : CERT-FRは、以下のことを強く推奨する。
isoler le serveur affecté ; 影響を受けるサーバーを隔離する。
dans la mesure du possible, effectuer une analyse des systèmes afin de détecter tout signe de compromission [2], l'application seule des correctifs n'est pas suffisante, un attaquant a probablement déjà déposé un code malveillant ; 可能であれば、システムスキャンを実行し、侵害の兆候を検出する [2]。パッチだけでは不十分で、攻撃者はすでに悪意のあるコードを書き込んでいる可能性がある。
privilégier une réinstallation de l'hyperviseur dans une version supportée par l'éditeur (ESXi 7.x ou ESXi 8.x) ; ハイパーバイザーをベンダーがサポートするバージョン(ESXi 7.xまたはESXi 8.x)で再インストールする。
appliquer l'ensemble des correctifs de sécurité et de suivre les futurs avis de sécurité de l'éditeur ; すべてのセキュリティパッチを適用し、ベンダーの今後のセキュリティ勧告に従う。
désactiver les services inutiles sur l'hyperviseur (tel que le service SLP [3]) ; ハイパーバイザー上の不要なサービス(SLPサービス[3]など)を無効化する。
bloquer l'accès aux différents services d'administration, soit par un pare-feu dédié, soit par le pare-feu intégré à l'hyperviseur et mettre en œuvre un réseau local d'administration ainsi qu'une capacité d'administration distante si elle est requise (via réseau privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP de confiance). 専用のファイアウォールまたはハイパーバイザーのビルトインファイアウォールを介して、さまざまな管理サービスへのアクセスをブロックし、ローカル管理ネットワークと、必要に応じてリモート管理機能(VPN経由、またはそれができない場合は信頼できるIPアドレスフィルタリング)を実装する。
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version. 製品やソフトウェアのアップデートは繊細な作業であるため、慎重に行う必要がある。特に、テストは可能な限り実施することを推奨する。また、パッチやバージョンアップなどの更新の適用が困難な場合にも、サービスの継続を確保できるように手配しておく必要がある。

 

 


 

日本でも...

JPCERT/CC

Fig01_20230209182501

 

・2023.02.07 VMware ESXiを標的としたランサムウェア攻撃について

 

 

 

| | Comments (0)

2023.01.31

米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)

こんにちは、丸山満彦です。

米国司法省が、ランサムウェアの亜種「Hive」を駆除したと公表していますね。。。

ニュースではざっと読んでいましたが、ブログに紹介する時間がなく...遅くなりました...

 

Fig2_20230206012001

 

U.S. Department of Justice

・2023.01.26 U.S. Department of Justice Disrupts Hive Ransomware Variant - FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands

U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省がランサムウェアの亜種「Hive」を駆除
FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands FBIがHiveのネットワークに潜入し、1億3千万ドルを超える身代金要求を阻止
The Justice Department announced today its months-long disruption campaign against the Hive ransomware group that has targeted more than 1,500 victims in over 80 countries around the world, including hospitals, school districts, financial firms, and critical infrastructure. 司法省は本日、病院、学区、金融企業、重要インフラなど、世界80カ国以上で1,500人以上の被害者を対象にしたランサムウェアグループ「Hive」に対する数カ月にわたる破壊キャンペーンを発表した。
Since late July 2022, the FBI has penetrated Hive’s computer networks, captured its decryption keys, and offered them to victims worldwide, preventing victims from having to pay $130 million in ransom demanded. Since infiltrating Hive’s network in July 2022, the FBI has provided over 300 decryption keys to Hive victims who were under attack. In addition, the FBI distributed over 1,000 additional decryption keys to previous Hive victims. Finally, the department announced today that, in coordination with German law enforcement (the German Federal Criminal Police and Reutlingen Police Headquarters-CID Esslingen) and the Netherlands National High Tech Crime Unit, it has seized control of the servers and websites that Hive uses to communicate with its members, disrupting Hive's ability to attack and extort victims. 2022年7月下旬以降、FBIはHiveのコンピュータネットワークに侵入し、その解読キーを捕獲して世界中の被害者に提供し、被害者が要求された1億3千万ドルの身代金を支払う必要がないようにした。2022年7月にHiveのネットワークに侵入して以来、FBIは攻撃を受けていたHiveの被害者に300以上の復号鍵を提供した。さらにFBIは、これまでのHive被害者に1,000個以上の追加の復号化キーを配布した。最後に、同省は本日、ドイツの法執行機関(ドイツ連邦刑事警察およびロイトリンゲン警察本部-CIDエスリンゲン)およびオランダ国家ハイテク犯罪ユニットと連携し、ハイブがメンバーとの通信に使用しているサーバーとウェブサイトを掌握し、ハイブが被害者を攻撃し恐喝する能力を停止させたことを発表した。
“Last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world,” said Attorney General Merrick B. Garland. “Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack. We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks.” Merrick B. Garland司法長官は、次のように述べた。「昨夜、司法省は、米国および世界中の被害者から数億ドルを恐喝したり、恐喝しようとした国際的なランサムウェアネットワークを解体した。サイバー犯罪は常に進化し続ける脅威である。しかし、以前から申し上げているように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。私たちは、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。また、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊し続ける。」
“The Department of Justice’s disruption of the Hive ransomware group should speak as clearly to victims of cybercrime as it does to perpetrators,” said Deputy Attorney General Lisa O. Monaco. “In a 21st century cyber stakeout, our investigative team turned the tables on Hive, swiping their decryption keys, passing them to victims, and ultimately averting more than $130 million dollars in ransomware payments. We will continue to strike back against cybercrime using any means possible and place victims at the center of our efforts to mitigate the cyber threat.” 司法省副長官リサ・O・モナコは次のように述べている。「司法省によるランサムウェアグループ「Hive」の破壊は、サイバー犯罪の被害者に対しても、加害者に対してと同様に明確に語りかけるべきものである。21世紀のサイバー張り込みにおいて、私たちの捜査チームはHiveに対抗し、彼らの復号化キーを盗んで被害者に渡し、最終的に1億3000万ドル以上のランサムウェアの支払いを回避することができた。私たちは、今後もあらゆる手段を使ってサイバー犯罪に反撃し、被害者を中心に据えてサイバー脅威を軽減していく。」
“The coordinated disruption of Hive’s computer networks, following months of decrypting victims around the world, shows what we can accomplish by combining a relentless search for useful technical information to share with victims with investigation aimed at developing operations that hit our adversaries hard,” said FBI Director Christopher Wray. “The FBI will continue to leverage our intelligence and law enforcement tools, global presence, and partnerships to counter cybercriminals who target American business and organizations." FBI長官クリストファー・レイは、次のように述べた。「数カ月にわたる世界中の被害者の解読に続き、Hiveのコンピュータネットワークを組織的に破壊したことは、被害者と共有すべき有益な技術情報の絶え間ない探索と、敵対者を徹底的に叩く作戦展開を目指した捜査を組み合わせることで、我々が何を達成できるかを示している。FBIは今後も、情報および法執行手段、グローバルな存在感、そしてパートナーシップを活用して、米国の企業や組織を標的とするサイバー犯罪者に対抗していく」。
“Our efforts in this case saved victims over a hundred million dollars in ransom payments and likely more in remediation costs,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Justice Department’s Criminal Division. “This action demonstrates the Department of Justice’s commitment to protecting our communities from malicious hackers and to ensuring that victims of crime are made whole.  Moreover, we will continue our investigation and pursue the actors behind Hive until they are brought to justice.” 司法省刑事局の Kenneth A. Polite, Jr. 司法長官補佐官は、次のように述べた。「この事件における我々の努力により、被害者は身代金の支払いで1億ドル以上、修復費用でさらに多くの金額を節約することができた。今回の措置は、悪質なハッカーから地域社会を守り、犯罪被害者の救済を確保するという司法省の取り組みを示すものである。 さらに、我々は捜査を継続し、Hiveの背後にいる行為者が裁判にかけられるまで追及していく。」
“Cybercriminals utilize sophisticated technologies to prey upon innocent victims worldwide,” said U.S. Attorney Roger Handberg for the Middle District of Florida. “Thanks to the exceptional investigative work and coordination by our domestic and international law enforcement partners, further extortion by HIVE has been thwarted, critical business operations can resume without interruption, and millions of dollars in ransom payments were averted.”  フロリダ州中部地区連邦検事ロジャー・ハンドバーグは、次のように述べた。「サイバー犯罪者は高度な技術を駆使して、世界中の罪のない被害者を食い物にしている。国内外の法執行機関のパートナーによる卓越した捜査活動と連携のおかげで、HIVEによるさらなる恐喝は阻止され、重要な業務が中断なく再開でき、数百万ドルの身代金の支払いも回避された 。」 
Since June 2021, the Hive ransomware group has targeted more than 1,500 victims around the world and received over $100 million in ransom payments.   2021年6月以降、Hiveランサムウェアグループは、世界中の1,500人以上の被害者を標的とし、1億ドル以上の身代金の支払いを受けた。 
Hive ransomware attacks have caused major disruptions in victim daily operations around the world and affected responses to the COVID-19 pandemic. In one case, a hospital attacked by Hive ransomware had to resort to analog methods to treat existing patients and was unable to accept new patients immediately following the attack.    Hiveランサムウェアの攻撃は、世界中の被害者の日常業務に大きな混乱をもたらし、COVID-19パンデミックへの対応にも影響を及ぼした。Hiveランサムウェアの攻撃を受けた病院では、既存の患者を治療するためにアナログな方法に頼らざるを得ず、攻撃直後から新しい患者を受け入れることができなくなったケースもある。   
Hive used a ransomware-as-a-service (RaaS) model featuring administrators, sometimes called developers, and affiliates. RaaS is a subscription-based model where the developers or administrators develop a ransomware strain and create an easy-to-use interface with which to operate it and then recruit affiliates to deploy the ransomware against victims. Affiliates identified targets and deployed this readymade malicious software to attack victims and then earned a percentage of each successful ransom payment. Hiveは、開発者と呼ばれることもある管理者とアフェリエイトを特徴とするランサムウェア・アズ・ア・サービス(RaaS)モデルを使用していた。RaaSは、サブスクリプション型のモデルで、開発者や管理者がランサムウェアの株を開発し、それを操作するための使いやすいインターフェースを作成し、被害者に対してランサムウェアを展開するアフィリエイトをリクルートするものである。アフィリエイトは、ターゲットを特定し、この既製の悪意のあるソフトウェアを展開して被害者を攻撃し、成功した身代金の支払いに応じて一定の利益を得ていた。
Hive actors employed a double-extortion model of attack. Before encrypting the victim system, the affiliate would exfiltrate or steal sensitive data. The affiliate then sought a ransom for both the decryption key necessary to decrypt the victim’s system and a promise to not publish the stolen data. Hive actors frequently targeted the most sensitive data in a victim’s system to increase the pressure to pay. After a victim pays, affiliates and administrators split the ransom 80/20. Hive published the data of victims who do not pay on the Hive Leak Site. Hiveの攻撃者は、二重の恐喝モデルを採用している。被害者のシステムを暗号化する前に、アフィリエイトは、機密データを流出させたり、盗み出したりする。そして、被害者のシステムを復号するために必要な復号キーと、盗まれたデータを公開しないことを約束させるために身代金を要求する。ハイブアクターは、被害者のシステム内の最も機密性の高いデータを標的とすることが多く、支払いへの圧力を高めることができる。被害者が支払った後、アフィリエイトと管理者は身代金を80/20で分配する。Hiveは、支払わない被害者のデータをHive Leak Siteで公開する。
According to the U.S. Cybersecurity and Infrastructure Security Agency (CISA), Hive affiliates have gained initial access to victim networks through a number of methods, including: single factor logins via Remote Desktop Protocol (RDP), virtual private networks (VPNs), and other remote network connection protocols; exploiting FortiToken vulnerabilities; and sending phishing emails with malicious attachments. For more information about the malware, including technical information for organizations about how to mitigate its effects, is available from CISA, visit [link] 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)によると、Hiveのアフェリエイトは、RDP(Remote Desktop Protocol)、VPN(仮想プライベートネットワーク)、その他のリモートネットワーク接続プロトコルによる単一要素ログイン、FortiTokenの脆弱性の利用、悪質な添付ファイルを含むフィッシングメールの送信など、さまざまな方法によって被害者のネットワークへの初期アクセスを獲得しているとのことである。マルウェアの影響を軽減する方法に関する組織向けの技術情報など、マルウェアに関する詳細については、CISAが提供している [link]。
Victims of Hive ransomware should contact their local FBI field office for further information.  Hiveランサムウェアの被害者は、最寄りのFBI支局に連絡してください。 
The FBI Tampa Field Office, Orlando Resident Agency is investigating the case. FBIタンパ支局オーランド常駐機関がこの事件を捜査している。
Trial Attorneys Christen Gallagher and Alison Zitron of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Chauncey Bratt for the Middle District of Florida are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課のChristen Gallagher、Alison Zitron両裁判官とフロリダ州中部地区連邦検事補のChauncey Bratt氏がこの事件を起訴している。
The Justice Department also recognizes the critical cooperation of the German Reutlingen Police Headquarters-CID Esslingen, the German Federal Criminal Police, Europol, and the Netherlands Politie, and significant assistance was provided by the U.S. Secret Service, U.S. Attorney’s Office for the Eastern District of Virginia, and U.S. Attorney’s Office for the Central District of California. The Justice Department’s Office of International Affairs and the Cyber Operations International Liaison also provided significant assistance. Additionally, the following foreign law enforcement authorities provided substantial assistance and support: the Canadian Peel Regional Police and Royal Canadian Mounted Police, French Direction Centrale de la Police Judiciaire, Lithuanian Criminal Police Bureau, Norwegian National Criminal Investigation Service in collaboration with the Oslo Police District, Portuguese Polícia Judiciária, Romanian Directorate of Countering Organized Crime, Spanish Policia Nacional, Swedish Police Authority, and the United Kingdom’s National Crime Agency. 司法省はまた、ドイツ・ロイトリンゲン警察本部-CIDエスリンゲン、ドイツ連邦刑事警察、欧州警察、オランダ政治局の重要な協力と、米国シークレットサービス、バージニア州東部地区連邦検事局、カリフォルニア州中部地区連邦検事局から多大な支援を受けた。また、司法省国際局およびサイバーオペレーション国際渉外部からも多大な支援をいただいた。さらに、カナダのピール地域警察とカナダ騎馬警察、フランスのDirection Centrale de la Police Judiciaire、リトアニア刑事警察局、オスロ警察管区と連携するノルウェー国家犯罪捜査局、ポルトガルPolicia Judiciária、ルーマニア組織犯罪対策局、スペインPolicia Nacional、スウェーデン警察当局、英国国家犯罪捜査局が大きな援助と支援を提供した。

 

・2023.01.26 Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant

Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant メリック・B・ガーランド司法長官、ランサムウェア「Hive」亜種の被害に関する発言を行う
Remarks as Delivered 挨拶
Good morning. おはようございます。
I am joined today by Deputy Attorney General Lisa Monaco, FBI Director Chris Wray, Assistant Attorney General for the Criminal Division Kenneth Polite, U.S. Attorney for the Middle District of Florida Roger Handberg, and Europol Representative to the United States Lenno Reimand. 本日は、リサ・モナコ副司法長官、クリス・レイFBI長官、ケネス・ポライト刑事局次長、ロジャー・ハンドバーグフロリダ州中部地区連邦検事、レノ・レイマン駐米欧州警察代表とともに出席している。
We are here to announce that last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world. 我々は、昨夜、米国および世界中の被害者から数億ドルを恐喝し、また恐喝しようとした国際的なランサムウェアネットワークを司法省が解体したことをここに発表する。
Known as the “Hive” ransomware group, this network targeted more than 1,500 victims around the world since June of 2021.  Hive」ランサムウェアグループとして知られるこのネットワークは、2021年6月以降、世界中の1,500人以上の被害者を標的としていた。 
In ransomware attacks, transnational cybercriminals use malicious software to hold digital systems hostage and demand a ransom. Hive ransomware affiliates employed a double extortion model. ランサムウェア攻撃では、国境を越えたサイバー犯罪者が悪意のあるソフトウェアを使用してデジタルシステムを人質に取り、身代金を要求する。 Hiveランサムウェアのアフェリエイトは、二重の強要モデルを採用していた。
First, they infiltrated a victim’s system and stole sensitive data. Next, the affiliates deployed malicious software, encrypting the victim's system, rendering it unusable. And finally, they demanded a ransom payment in exchange for a system decryption key and a promise not to publish any stolen data. まず、被害者のシステムに侵入し、機密データを盗む。 次に、悪意のあるソフトウェアを導入し、被害者のシステムを暗号化し、使用不能にする。そして最後に、システムの復号キーと、盗まれたデータを公開しないことを約束させる代わりに、身代金の支払いを要求したのである。
Hive affiliates targeted critical infrastructure and some of our nation's most important industries. Hiveのアフェリエイトは、重要なインフラや我が国の最も重要な産業をターゲットにしていた。
In one instance in August 2021, Hive affiliates deployed ransomware on computers owned by a Midwest hospital. At a time when COVID-19 was surging in communities around the world, the Hive ransomware attack prevented this hospital from accepting any new patients. The hospital was also forced to rely on paper copies of patient information. It was only able to recover its data after it paid a ransom. 2021年8月のある事例では、ハイブアフェリエイトが中西部の病院が所有するコンピュータにランサムウェアを展開した。 COVID-19が世界中の地域で急増していた頃、ハイブのランサムウェア攻撃により、この病院は新患を受け入れることができなくなった。 また、この病院は患者情報の紙媒体に頼らざるを得なかった。この病院では、身代金を支払って初めてデータを復旧することができた。
Hive’s most recent victim in the Central District of California was attacked on or about December 30 of last year. Its most recent victim in the [Middle] District of Florida was attacked around 15 days ago. カリフォルニア州中部地区におけるHiveの最新の被害者は、昨年12月30日頃に攻撃された。フロリダ州[中]地区での直近の被害者は、15日ほど前に攻撃された。
In its first year of operation, Hive extorted over $100 million in ransom payments from its victims.            Hiveは、その最初の1年間で、被害者から1億ドル以上の身代金を強要している。           
Last summer, FBI agents from the Tampa Division, with the support of prosecutors in the Criminal Division's Computer Crime and Intellectual Property Section and the Middle District of Florida infiltrated the Hive network and began disrupting Hive’s attempts to extort victims.  昨年夏、タンパ支部のFBI捜査官は、刑事部コンピュータ犯罪・知的財産課とフロリダ州中部地区の検察官の支援を受け、Hiveのネットワークに侵入し、Hiveによる被害者への恐喝の試みを妨害し始めた。 
For example, the FBI disrupted a Hive ransomware attack against a Texas school district’s computer systems. The Bureau provided decryption keys to the school district, saving it from making a $5 million ransom payment. 例えば、FBIはテキサス州の学区のコンピュータシステムに対するHiveのランサムウェア攻撃を阻止した。同局は復号キーを提供し、学区は500万ドルの身代金の支払いを免れることができた。
That same month, the FBI disrupted a Hive ransomware attack on a Louisiana hospital, saving the victim from a $3 million ransom payment. 同月、FBIはルイジアナ州の病院に対するHiveランサムウェアの攻撃を阻止し、被害者を300万ドルの身代金の支払いから救った。
The FBI was also able to disrupt an attack on a food services company. The Bureau provided the company with decryption keys and saved the victim from a $10 million ransom payment. FBIは、食品サービス会社に対する攻撃も阻止することができた。同局は同社に復号キーを提供し、被害者を1千万ドルの身代金支払いから救った。
Since July of last year, we provided assistance to over 300 victims around the world, helping to prevent approximately $130 million in ransom payments. 昨年7月以降、世界中で300人以上の被害者に支援を提供し、約1億3千万ドルの身代金支払いを防ぐことに貢献した。
Our continued investigative efforts led us to two back-end computer servers located in Los Angeles that were used by Hive to store the network’s critical information. Last night, pursuant to a court order, we seized those servers. We also received court authorization to wrest control of Hive's darknet sites and render its services unavailable. 我々は継続的な調査活動により、Hiveがネットワークの重要な情報を保存するために使用していたロサンゼルスにある2つのバックエンドコンピュータサーバを突き止めました。 昨夜、裁判所命令に従い、これらのサーバーを押収した。 また、ハイブのダークネットサイトの制御を奪い、そのサービスを利用できなくする許可を裁判所から得ている。
This morning, if a Hive affiliate tries to access their darknet site, this is what they will see. 今朝、ハイブの関係者がダークネットサイトにアクセスしようとすると、このような画面が表示される。
Our investigation into the criminal conduct of Hive members remains ongoing. ハイブメンバーの犯罪行為に関する調査はまだ続いている。
I want to thank all of the agents, prosecutors, and staff across the Department for their work on this matter. I also want to thank the United States Secret Service, as well as all of our international partners, including Germany and the Netherlands, as well as our law enforcement partners at Europol. この問題に取り組んでくれた捜査官、検察官、職員に感謝したい。 また、米国シークレットサービス、ドイツやオランダを含む国際的なパートナー、そして欧州警察機構の法執行機関のパートナーにも感謝したい。
Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack.   サイバー犯罪は常に進化する脅威である。 しかし、以前にも申し上げたように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。  
We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. 我々は、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。
And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks. そして、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊していく。
I’m now going to turn over the podium over to Deputy Attorney General Monaco.  それでは、モナコ副司法長官に壇上を譲ります。 

 

 

・2023.01.26 Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant

Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant リサ・O・モナコ司法副長官、ランサムウェア亜種「Hive」の被害状況についてコメントを発表
Remarks as Prepared for Delivery 配信用に準備した文書
Thank you, Mr. Attorney General. 司法長官、ありがとうございます。
Over the last two years, the Attorney General and I have made clear that the department will use all the tools at its disposal, and work with partners to attack the ransomware threat from every angle. この2年間、司法長官と私は、同省があらゆる手段を駆使し、パートナーと協力してあらゆる角度からランサムウェアの脅威を攻撃していくことを明確にしてきた。
The department’s agents, prosecutors, and trial attorneys have partnered with law enforcement allies across the globe: 同省の捜査官、検察官、司法弁護士は、世界中の法執行機関の同盟者と連携している。
・To track ransom payments through the block chain and seize them back for victims; ・ブロックチェーンを通じて身代金の支払いを追跡し、被害者のためにそれを押収すること。
・To dismantle ransomware networks; ・ランサムウェアのネットワークを解体する。
・To warn targets of exigent ransomware threats to prevent attacks; ・ランサムウェアの脅威を警告し、攻撃を防止すること。
・And to disrupt the criminal ecosystem that enables the targeting of innocent victims. ・そして、罪のない被害者をターゲットにすることを可能にする犯罪エコシステムを崩壊させることである。
We’ve made it clear that we will strike back against cyber crime using any means possible — today’s action reflects that strategy. 我々は、可能な限りの手段を用いてサイバー犯罪に反撃することを明確にしており、本日の行動はその戦略を反映したものである。
We have also pledged to place victims at the center of our mission and prioritize prevention. また、被害者を我々の任務の中心に据え、予防を優先させることを約束した。
As you’ll hear the FBI Director explain in greater detail, for the past several months the FBI and our prosecutors have been inside the network of one of the world’s most prolific ransomware variants: Hive. FBI長官がより詳しく説明するように、過去数か月間、FBIと検察当局は、世界で最も多発するランサムウェアの亜種「Hive」のネットワークに潜入してきた。
The FBI has labeled Hive a top 5 ransomware threat — both for its technical sophistication and for the harm it can inflict on victims. FBIは、Hiveをランサムウェアの脅威のトップ5に分類している。その技術的な巧妙さと被害者に与える被害の大きさからである。
But, for all the group’s technical prowess, it could not outfox our prosecutors, our agents, and our international law enforcement coalition. しかし、このグループの技術力は、我々検察当局、捜査官、そして国際的な法執行機関連合を出し抜くことができませんでした。
Unbeknownst to HIVE, in a 21st century cyber stakeout, our investigative team lawfully infiltrated Hive’s network and hid there for months — repeatedly swiping decryption keys and passing them to victims to free them from ransomware. HIVEが知らないうちに、我々の調査チームは21世紀のサイバー張り込みとして、合法的にHIVEのネットワークに潜入し、数ヶ月間そこに潜伏して、繰り返し復号キーを盗み、被害者に渡してランサムウェアから解放した。
For months, we helped victims defeat their attackers and deprived the Hive network of extortion profits. 数ヶ月の間、我々は被害者が攻撃者を打ち負かすのを助け、Hiveネットワークから強奪による利益を奪った。
Simply put, using lawful means, we hacked the hackers. 簡単に言えば、合法的な手段でハッカーをハッキングしたのである。
We turned the tables on Hive and busted their business model, saving potential victims approximately $130 million dollars in ransomware payments. 我々はHiveのビジネスモデルを破壊し、潜在的な被害者から約1億3千万ドルのランサムウェアの支払いを救った。
Successful actions like the one we announce today require the creative use of civil and criminal authorities, and they require partnerships – among law enforcement to be sure – but also with victims. 今日発表したような行動を成功させるには、民事と刑事の両権限をクリエイティブに活用し、法執行機関だけでなく、被害者とのパートナーシップも必要である。
Our actions in this investigation should speak clearly to those victims: it pays to come forward, and work with us. この捜査における我々の行動は、被害者にはっきりと伝えるべきものである。
We are all in this together – we need your help to stop cybercriminals, to prevent future victims. In exchange, we pledge our tireless efforts to help you protect your systems and prevent or recover losses. サイバー犯罪を阻止し、未来の犠牲者を出さないためには、皆さんの協力が必要なのである。サイバー犯罪者を阻止し、将来の被害者を出さないためには、皆さんの協力が必要である。その代わり、我々は皆さんのシステムを保護し、損失を防止または回復するために、たゆまぬ努力をすることを約束する。
When a victim steps forward it can make all the difference in recovering stolen funds or obtaining decryptor keys. 被害者が名乗り出れば、盗まれた資金の回収や復号キーの入手に大きな違いが生まれる。
Whether you own a small business, run a Fortune 500 company, oversee a school district, or manage a hospital — we can work with you to counter ransomware, mitigate harm, prevent losses, and strike back at the bad guys. 中小企業の経営者、フォーチュン500社の経営者、学区の監督者、病院の経営者など、ランサムウェアへの対策、被害の軽減、損失の防止、そして悪者への反撃のために、我々はあなたと協力することができるのである。
Although today’s announcement marks an important success in the international fight against ransomware, we will not rest when it comes to Hive and its affiliates. 本日の発表は、ランサムウェアとの国際的な戦いにおける重要な成功であるが、我々はHiveとその関連会社に関しても、決して手を緩めることはない。
If you target victims here in the United States, the Department of Justice will target you. 米国内の被害者をターゲットにするなら、司法省はあなたをターゲットにするだろう。
And if you are a victim, know that the Department of Justice and the FBI are on the job, and we’ll be fighting for you and alongside you throughout your time of crisis. そして、もしあなたが被害者になったとしても、司法省とFBIは仕事中であり、あなたのために、あなたの危機の間中、一緒に戦っていくことを知っておいてください。
I’ll now turn the podium over to Director Wray. では、レイ局長に壇上を譲ります。

 

 

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group ランサムウェアグループ「Hive」の破壊を発表した記者会見におけるクリストファー・レイ長官のコメント
I’m pleased to represent the FBI here today and speak about our year-and-a-half-long disruption campaign against the Hive ransomware group. 本日、FBIを代表して、1年半に及ぶランサムウェアグループ「Hive」に対する破壊工作についてお話しできることを嬉しく思う。
Hive hurt thousands of victims across the country and around the world—until the FBI and our partners disrupted them, helping their victims decrypt their networks without Hive catching on, and then today dismantling Hive’s front- and back-end infrastructure in the U.S. and abroad. Hiveは、米国内および世界中で何千人もの被害者を出したが、FBIとそのパートナーは、Hiveが感染しないように被害者のネットワークを解読し、今日では米国および海外のHiveのフロントエンドおよびバックエンドのインフラを破壊するまで、被害者を混乱させた。
This operation was led by our Tampa Field Office, assisted by our Cyber Division team at FBI Headquarters and other field office personnel across the country, but also by FBI personnel stationed around the world, who led the collaboration with our foreign law enforcement partners—often shoulder to shoulder, scrutinizing the same data—that was essential to today’s success. Especially the fine work of the German Reutlingen Police Headquarters, the German Federal Criminal Police, the Netherlands National High Tech Crime Unit, and Europol. This coordinated disruption of Hive’s networks illustrates the power of collaboration between the FBI and our international partners.   この作戦はタンパ支局が主導し、FBI本部のサイバー課チームや全米の支局員が支援したが、世界各地に駐在するFBI職員が、海外の法執行機関と連携し、しばしば肩を並べて同じデータを精査したことが、今日の成功に欠かせなかった。特に、ドイツのロイトリンゲン警察本部、ドイツ連邦刑事警察、オランダ国家ハイテク犯罪課、および欧州警察(Europol)の素晴らしい働きぶりには目を見張ルものであった。 ハイブのネットワークを協調して破壊したことは、FBIと国際的なパートナーとの協力関係の威力を示している。  
The FBI’s strategy to combat ransomware leverages both our law enforcement and intelligence authorities to go after the whole cybercrime ecosystem—the actors, their finances, their communications, their malware, and their supporting infrastructure. And since 2021, that’s exactly how we’ve hit Hive ransomware. FBI のランサムウェア対策では、法執行機関と情報機関の両方の権限を活用し、サイバー犯罪のエコシステム全体(犯罪者、資金、通信、マルウェア、支援インフラ)を追及している。 そして2021年以降、私たちはまさにこの方法でHiveランサムウェアに対処してきた。
Last July, FBI Tampa gained clandestine, persistent access to Hive’s control panel. Since then, for the past seven months, we’ve been able to exploit that access to help victims while keeping Hive in the dark, using that access to identify Hive’s victims and to offer over 1,300 victims around the world keys to decrypt their infected networks, preventing at least $130 million in ransom payments, cutting off the gas that was fueling Hive’s fire. 昨年7月、FBIタンパはHiveのコントロールパネルに密かに、かつ持続的にアクセスすることに成功した。 それ以来、この7ヶ月間、私たちはHiveを闇に葬り、Hiveの被害者を特定し、世界中の1300人以上の被害者に感染したネットワークを解読するためのキーを提供し、少なくとも1億3000万ドルの身代金の支払いを防ぎ、Hiveの火種となっていたガスを絶つために、そのアクセス権を悪用して被害者を救済することができたのである。
Our access to Hive’s infrastructure was no accident. Across our cyber program, we combine our technical expertise, our experience handling human sources, and our other investigative tradecraft to seek out technical indicators victims can use to protect themselves. Hiveのインフラにアクセスできたのは偶然ではない。 私たちはサイバー犯罪対策プログラムを通じて、技術的な専門知識と人的資源を扱う経験、そしてその他の調査技術を組み合わせ、被害者が自らを守るために利用できる技術的な指標を探し求めている。
Here, that focus on obtaining useful technical indicators led us to Hive’s decryption keys—which we turned around and provided to those in need, like when our investigative team identified the initial stages of an attack against a university, proactively notified the school, and gave the institution the technical information it needed to kick Hive off of its network before ransomware was deployed.  例えば、ある大学に対する攻撃の初期段階を調査チームが特定し、積極的に学校に通知し、ランサムウェアが展開される前にHiveをネットワークから排除するために必要な技術情報を学校に提供したように、有用な技術指標を得ることに注力した結果、Hiveの復号キーに行き当たった。 
Or when an FBI case agent and computer scientist rushed to provide hands-on support to a local specialty clinic and helped the doctor, who also managed the clinic’s IT security, identify his office’s vulnerabilities and deploy his decryption key—because no victim is too small. また、FBIのケースエージェントとコンピュータサイエンティストが、地元の専門クリニックに駆けつけて実地支援を行い、クリニックのITセキュリティを管理していた医師が自分のオフィスの脆弱性を特定し、復号キーを配備するのを手伝ったこともある(なぜなら、被害者は小さすぎるということはないからである)。
We’ve also shared keys with many victims overseas through our foreign-based Legal Attaché offices, like when we gave a foreign hospital a decryptor they used to get their systems back up before negotiations even began, possibly saving lives. また、海外のリーガル・アタッシェ事務所を通じて、海外の多くの被害者とキーを共有した。例えば、海外の病院に暗号解読機を提供したところ、交渉が始まる前にシステムを復旧させ、人命を救うことができたのである。
Now, as we move to the next phase of the investigation, we’ve worked with our European partners to seize the infrastructure used by these criminal actors—crippling Hive’s ability to sting again. 現在、捜査は次の段階に進んでおり、ヨーロッパのパートナーと協力して、これらの犯罪者が使用したインフラを押収し、ハイブが再び攻撃を仕掛けることができないようにした。
I’m also here today to thank those victims and private sector partners who worked with us and who helped make this operation possible by protecting its sensitivities and to demonstrate that we can and will act on the information victims share with us. また、私は今日、私たちと協力してくれた被害者と民間企業のパートナーに感謝し、その機密を守ることでこの活動を可能にし、被害者から寄せられた情報に基づいて私たちが行動できることを示すために、ここにいる。
So today’s lesson for businesses large and small, hospitals and police departments, and all the other many victims of ransomware is this: Reach out to your local FBI field office today and introduce yourselves, so you know who to call if you become the victim of a cyberattack. We’re ready to help you build a crisis response plan, so when an intruder does come knocking, you’ll be prepared. 今日の教訓は、大企業や中小企業、病院や警察など、ランサムウェアの多くの被害者のために、次のようなことである。 サイバー攻撃の被害に遭ったときに誰に連絡すればよいかを知っておくために、今すぐお近くのFBI支部に連絡を取り、自己紹介をしてください。 FBIは、危機対応計画の策定を支援し、侵入者が襲ってきたときの備えを整えています。
And, like the Hive victims here, when you talk to us in advance—as so many others have—you’ll know how we operate: quickly and quietly, giving you the assistance, intelligence, and technical information you want and need. そして、今回被害に遭われた方々のように、事前に私たちにご相談いただければ、私たちがどのように活動しているかご理解いただけると思います。迅速かつ静かに、必要な支援、情報、技術情報を提供する。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported potential issues to law enforcement. Here, fortunately, we were still able to identify and help many victims who didn’t report in. But that is not always the case. When victims report attacks to us, we can help them—and others, too.  残念ながら、この7ヶ月の間に、ハイブの被害者のうち法執行機関に潜在的な問題を報告したのは、わずか20%程度であることがわかった。 ここで、幸いなことに、報告しなかった多くの被害者を特定し、支援することができたままであった。しかし、常にそうであるとは限らない。 被害者が私たちに攻撃を報告してくれれば、私たちは彼らを、そして他の人たちをも助けることができるのである。 
Today’s announcement is only the beginning. We’ll continue gathering evidence, building out our map of Hive developers, administrators, and affiliates, and using that knowledge to drive arrests, seizures, and other operations, whether by the FBI or our partners here and abroad.  本日の発表は始まりに過ぎない。我々は引き続き証拠を集め、ハイブの開発者、管理者、およびアフェリエイトの地図を作成し、その知識を使って、FBIや国内外のパートナーによる逮捕、押収、その他の活動を推進する。 
While this is, yes, a fight to protect our country, our citizens, and our national security, make no mistake—the fight for cybersecurity spans the globe. But the FBI’s presence and partnerships do, too. これは確かに、我が国と市民、そして国家安全保障を守るための戦いであるが、サイバーセキュリティのための戦いは世界中に及んでいることに間違いはない。 しかし、FBI の存在と協力関係もまた然りである。
So, a reminder to cybercriminals: No matter where you are, and no matter how much you try to twist and turn to cover your tracks—your infrastructure, your criminal associates, your money, and your liberty are all at risk.  And there will be consequences. さて、サイバー犯罪者への注意喚起である。 あなたがどこにいようと、そしてどれだけ自分の痕跡を消そうとしても、あなたのインフラ、犯罪仲間、お金、そしてあなたの自由はすべて危険にさらされているのである。  そして、その結果もまた然りなのである。
Resources リソース
U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省、ランサムウェアの亜種「Hive」を駆除

 

Fig1_20220411162001

 


 

欧州側

● Europol

・2023.01.27 Cybercriminals stung as HIVE infrastructure shut down

Cybercriminals stung as HIVE infrastructure shut down HIVE のインフラがシャットダウンされ、サイバー犯罪者が打撃を受ける
Europol supported German, Dutch and US authorities to shut down the servers and provide decryption tools to victims 欧州警察機構(Europol)がドイツ、オランダ、米国当局を支援し、サーバーの停止と被害者への復号ツールの提供を実現
Europol supported the German, Dutch and US authorities in taking down the infrastructure of the prolific HIVE ransomware. This international operation involved authorities from 13* countries in total. Law enforcement identified the decryption keys and shared them with many of the victims, helping them regain access to their data without paying the cybercriminals.  ユーロポールは、ドイツ、オランダ、米国の当局が、多発するランサムウェア「HIVE」のインフラを停止させるのを支援した。この国際的な作戦には、合計13カ国*の当局が関与している。法執行機関は解読鍵を特定し、それを多くの被害者と共有することで、サイバー犯罪者に金銭を支払うことなくデータへのアクセスを回復させることに成功した。 
In the last year, HIVE ransomware has been identified as a major threat as it has been used to compromise and encrypt the data and computer systems of large IT and oil multinationals in the EU and the USA. Since June 2021, over 1 500 companies from over 80 countries worldwide have fallen victim to HIVE associates and lost almost EUR 100 million in ransom payments. Affiliates executed the cyberattacks, but the HIVE ransomware was created, maintained and updated by developers. Affiliates used the double extortion model of ‘ransomware-as-a-service’; first, they copied data and then encrypted the files. Then, they asked for a ransom to both decrypt the files and to not publish the stolen data on the Hive Leak Site. When the victims paid, the ransom was then split between affiliates (who received 80 %) and developers (who received 20 %).  昨年、HIVEランサムウェアは、EUや米国の大手IT企業や石油会社の多国籍企業のデータやコンピュータシステムを侵害し、暗号化するために使用されたことから、大きな脅威として認識されている。2021年6月以降、世界80カ国以上の1500社以上がHIVEアフィリエイトの被害に遭い、身代金の支払いで約1億ユーロを失った。アフィリエイトはサイバー攻撃を実行したが、HIVEランサムウェアは開発者によって作成、維持、更新されていた。アフィリエイトは、「ransomware-as-a-service」という二重の強要モデルを使用していた。まず、データをコピーし、ファイルを暗号化する。そして、ファイルを復号することと、盗んだデータをHive Leak Siteに公開しないことの両方のために身代金を要求した。被害者が支払いを済ませると、身代金はアフィリエイト(80%)と開発者(20%)に分配された。 
Other dangerous ransomware groups have also used this so-called ransomware-as-a-service (RaaS) model to perpetrate high-level attacks in the last few years. This has included asking for millions of euros in ransoms to decrypt affected systems, often in companies maintaining critical infrastructures. Since June 2021, criminals have used HIVE ransomware to target a wide range of businesses and critical infrastructure sectors, including government facilities, telecommunication companies, manufacturing, information technology, and healthcare and public health. In one major attack, HIVE affiliates targeted a hospital, which led to severe repercussions about how the hospital could deal with the COVID-19 pandemic. Due to the attack, this hospital had to resort to analogue methods to treat existing patients, and was unable to accept new ones.   他の危険なランサムウェアグループも、ここ数年、このいわゆるランサムウェア・アズ・ア・サービス(RaaS)モデルを利用して、ハイレベルな攻撃を仕掛けてきた。これには、重要なインフラを維持する企業の多くで、感染したシステムを復号するために数百万ユーロの身代金を要求することも含まれている。2021年6月以降、犯罪者はHIVEランサムウェアを使用して、政府施設、通信会社、製造業、情報技術、医療・公衆衛生など、幅広い企業や重要インフラ部門を標的にしてきた。ある大規模な攻撃では、HIVEアフェリエイトが病院を標的とし、この病院がCOVID-19のパンデミックにどう対処するかについて深刻な反響を呼びました。この病院は、既存の患者を治療するためにアナログ的な方法を取らざるを得ず、新たな患者を受け入れることができなくなった。 
The affiliates attacked companies in different ways. Some HIVE actors gained access to victim’s networks by using single factor logins via Remote Desktop Protocol, virtual private networks, and other remote network connection protocols. In other cases, HIVE actors bypassed multifactor authentication and gained access by exploiting vulnerabilities. This enabled malicious cybercriminals to log in without a prompt for the user’s second authentication factor by changing the case of the username. Some HIVE actors also gained initial access to victim’s networks by distributing phishing emails with malicious attachments and by exploiting the vulnerabilities of the operating systems of the attacked devices.  アフェリエイトは、さまざまな方法で企業を攻撃した。一部のHIVE関係者は、Remote Desktop Protocol、仮想プライベートネットワーク、その他のリモートネットワーク接続プロトコルを介してシングルファクタログインを使用し、被害者のネットワークにアクセスした。また、HIVE関係者は、多要素認証をバイパスし、脆弱性を悪用してアクセスするケースもありました。これにより、悪意のあるサイバー犯罪者は、ユーザー名の大文字と小文字を変更することで、ユーザーの第2認証要素のプロンプトを出さずにログインすることができた。また、一部のHIVE行為者は、悪意のある添付ファイルを含むフィッシングメールを配信し、攻撃されたデバイスのOSの脆弱性を悪用して、被害者のネットワークへの最初のアクセスを獲得した。 
About EUR 120 million saved thanks to mitigation efforts 被害軽減の取り組みにより約1億2千万ユーロを節約
Europol streamlined victim mitigation efforts with other EU countries, which prevented private companies from falling victim to HIVE ransomware. Law enforcement provided the decryption key to companies which had been compromised in order to help them decrypt their data without paying the ransom. This effort has prevented the payment of more than USD 130 million or the equivalent of about EUR 120 million of ransom payments. ユーロポールは、他のEU諸国と協力して被害者救済活動を効率化し、民間企業がHIVEランサムウェアの犠牲になるのを防いだ。法執行機関は、身代金を支払うことなくデータを復号できるよう、感染した企業に復号鍵を提供した。この取り組みにより、1億3000万米ドル以上、または約1億2000万ユーロに相当する身代金の支払いを防ぐことができた。
Europol facilitated the information exchange, supported the coordination of the operation and funded operational meetings in Portugal and the Netherlands. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through cryptocurrency, malware, decryption and forensic analysis.  ユーロポールは、情報交換を促進し、活動の調整を支援し、ポルトガルとオランダでの活動会議に資金を提供した。また、ユーロポールは、入手可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、暗号通貨、マルウェア、復号、フォレンジック分析を通じて捜査をサポートした。 
On the action days, Europol deployed four experts to help coordinate the activities on the ground. Europol supported the law enforcement authorities involved by coordinating the cryptocurrency and malware analysis, cross-checking operational information against Europol’s databases, and further operational analysis and forensic support. Analysis of this data and other related cases is expected to trigger further investigative activities. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. 行動日には、ユーロポールは4名の専門家を派遣し、現場での活動の調整を支援した。ユーロポールは、暗号通貨およびマルウェア解析の調整、運用情報とユーロポールのデータベースとの照合、さらに運用解析およびフォレンジック支援を通じて、関係法執行機関を支援した。このデータおよびその他の関連事例の分析が、さらなる捜査活動の引き金となることが期待されます。欧州警察機構のJoint Cybercrime Action Taskforce (J-CAT)もこの活動を支援した。この常設作戦チームは、注目度の高いサイバー犯罪の捜査に取り組む各国のサイバー犯罪リエゾンオフィサーで構成されている。
*Law enforcement authorities involved *関係する法執行機関
Canada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police カナダ:カナダ騎馬警察(RCMP)およびピール地域警察
France: National Police (Police Nationale) フランス フランス国家警察(Police Nationale)
Germany: Federal Criminal Police Office (Bundeskriminalamt) and Police Headquarters Reutlingen – CID Esslingen (Polizei BW) ドイツ ドイツ:連邦刑事局(Bundeskriminalamt)およびロイトリンゲン警察本部 - CID Esslingen (Polizei BW)
Ireland: National Police (An Garda Síochána) アイルランド アイルランド国家警察(An Garda Síochána)
Lithuania: Criminal Police Bureau (Kriminalinės Policijos Biuras) リトアニア リトアニア:刑事警察局(Kriminalinės Policijos Biuras)
Netherlands – National Police (Politie) オランダ:国家警察(Politie)
Norway: National Police (Politiet) ノルウェー 国家警察(Politiet)
Portugal: Judicial Police (Polícia Judiciária) ポルトガル 司法警察(Polícia Judiciária)
Romania: Romanian Police (Poliția Română – DCCO) ルーマニア ルーマニア警察 (Poliția Română - DCCO)
Spain: Spanish Police (Policía Nacional) スペイン スペイン警察(Policía Nacional)
Sweden: Swedish Police (Polisen) スウェーデン スウェーデン警察(Polisen)
United Kingdom – National Crime Agency イギリス - 国家犯罪局(National Crime Agency
USA – United States Secret Service, Federal Bureau of Investigations 米国:米国シークレットサービス、連邦捜査局(Federal Bureau of Investigations
Headquartered in The Hague, the Netherlands, Europol supports the 27 EU Member States in their fight against terrorism, cybercrime, and other serious and organized crime forms. Europol also works with many non-EU partner states and international organisations. From its various threat assessments to its intelligence-gathering and operational activities, Europol has the tools and resources it needs to do its part in making Europe safer. オランダのハーグに本部を置くユーロポールは、テロリズム、サイバー犯罪、その他の重大犯罪や組織犯罪との戦いにおいて、EU加盟国27カ国を支援している。また、欧州連合以外の多くのパートナー国や国際組織とも連携している。様々な脅威の評価から情報収集や作戦活動まで、欧州警察機構は欧州をより安全にするために必要なツールと資源を有している。



 

| | Comments (0)

より以前の記事一覧