ウイルス

2025.01.15

書籍 NISC編 サイバーセキュリティ関係法令Q&Aハンドブック

こんにちは、丸山満彦です。

商事法務から、「サイバーセキュリティ関係法令Q&Aハンドブック」内閣官房内閣サイバーセキュリティセンター(NISC)編が発刊されましたね。。。

Img_7843

 

これは、NISCの委員会で取りまとめたものを書籍化したものです。

https://security-portal.nisc.go.jp/guidance/law_handbook.html

 

私も作成に関わっていますが、 岡村委員長をはじめ、ワーキンググループの方、事務局がかなりご苦労をされてできたものです。。。

裁判例を含めて関連情報が厚いのが良いところですかね。。。そして、内閣官房謹製。。。

手元に1冊あると参考になることも多いし、PDFと違った良さもあるので、ぜひ1冊。。。

 

●2025.01.10「サイバーセキュリティ関係法令Q&Aハンドブック」内閣官房内閣サイバーセキュリティセンター(NISC)編

商事法務

全国官報販売協同組合

Amazon

e-hon

楽天book

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.26 内閣官房 NISC 関係法令Q&Aハンドブック Ver 2.0

・2020.03.03 NISC 「サイバーセキュリティ関係法令Q&Aハンドブック 」について

 

| | Comments (0)

2024.12.13

オーストラリア 2024年サイバーセキュリティ法 (2024.11.29)

こんにちは、丸山満彦です。

2024.10.08にオーストラリア議会にサイバーセキュリティの法制パックが提出されていますよ...と2024.11.30にブログに書きましたが...

オーストラリアのサイバーセキュリティ法について官報にのっているので紹介です。IoTの認証、ランサムウェア攻撃を受けた場合の報告義務、重要なサイバーインシデントの報告義務、サイバーインシデント審査会等ありますね...

米国に近いのかなぁ...

大項目でいうとこんな感じ...

Cyber Security Act 2024 Cyber Security Act 2024
Part 1—Preliminary 第1編ー序文
Part 2—Security standards for smart devices 第2編ースマートデバイスのセキュリティ標準
Part 3—Ransomware reporting obligations 第3編ーランサムウェアの報告義務
Part 4—Coordination of significant cyber security incidents 第4編ー重要なサイバーセキュリティインシデントの調整
Part 5—Cyber Incident Review Board 第5編ーサイバーインシデント審査会

 

Australan Government - Federal Register of Legislation

・2024.11.29 Cyber Security Act 2024 No. 98, 2024

 

目次...

Cyber Security Act 2024 Cyber Security Act 2024
No. 98, 2024 No.98, 2024
An Act relating to cyber security for Australians, and for other purposes オーストラリア国民のサイバーセキュリティに関する法律およびその他の目的
Contents 目次
Part 1—Preliminary 第1編ー序文
1 Short title 1 略称
2 Commencement 2 発効
3 Objects 3 目的
4 Simplified outline of this Act 4 本法令の簡略な概要
5 Extraterritoriality 5 治外法権
6 Act binds the Crown 6 王冠を拘束する法令
7 Concurrent operation of State and Territory laws 7 州および準州の法律の併用
8 Definitions 8 定義
9 Meaning of cyber security incident 9 サイバーセキュリティインシデントの意味
10 Meaning of permitted cyber security purpose 10 許可されたサイバーセキュリティ目的の意味
11 Disclosure to State body 11 州の団体への開示
Part 2—Security standards for smart devices 第2編ースマートデバイスのセキュリティ標準
Division 1—Preliminary 第1章ー序文
12 Simplified outline of this Part 12 本編の簡略な概要
13 Application of this Part 13 本編の適用
Division 2—Security standards for relevant connectable products 第2章ー関連接続製品に対するセキュリティ標準
14 Security standards for relevant connectable products 14 関連接続可能製品のセキュリティ標準
15 Compliance with security standard for a relevant connectable product 15 関連接続可能製品のセキュリティ標準への準拠
16 Obligation to provide and supply products with a statement of compliance with security standard 16 セキュリティ標準への準拠を表明した製品を提供・供給する義務
Division 3—Enforcement 第3章ー施行
17 Compliance notice 17 準拠通知
18 Stop notice 18 停止通知
19 Recall notice 19 回収通知
20 Public notification of failure to comply with recall notice 20 回収通知に従わない場合の公示
Division 4—Miscellaneous 第4章ーその他
21 Revocation and variation of notices given under this Part 21 本編に基づき行われた通知の取消しおよび変更
22 Internal review of decision to give compliance, stop or recall notice 22 準拠を与える決定の内部審査、 停止またはリコール通知
23 Examination to assess compliance with security standard and statement of compliance 23 セキュリティ標準への準拠を評価するための審査および準拠表明
24 Acquisition of property 24 財産の取得
Part 3—Ransomware reporting obligations 第3編ーランサムウェアの報告義務
Division 1—Preliminary 第1章ー序文
25 Simplified outline of this Part 25 本編の簡易概要
Division 2—Reporting obligations 第2章ー報告義務
26 Application of this Part 26 本章の適用
27 Obligation to report following a ransomware payment 27 ランサムウェアの支払い後の報告義務 
28 Liability 28 責任
Division 3—Protection of information 第3章ー情報の保護
29 Ransomware payment reports may only be used or disclosed for permitted purposes 29 ランサムウェアの支払い報告書は、許可された目的にのみ使用または開示することができる
30 Limitations on secondary use and disclosure of information in ransomware payment reports 30 ランサムウェアの支払い報告書の情報の二次使用および開示の制限
31 Legal professional privilege 31 法律専門家の秘匿特権
32 Admissibility of information in ransomware payment report against reporting business entity 32 報告事業者に対するランサムウェアの支払い報告書の情報の許容性 事業体
Part 4—Coordination of significant cyber security incidents 第4編ー重要なサイバーセキュリティインシデントの調整
Division 1—Preliminary 第1章ー序文
33 Simplified outline of this Part 33 簡易概要
34 Meaning of significant cyber security incident 34 重要なサイバーセキュリティインシデントの意味
Division 2—Voluntary information sharing with the National Cyber Security Coordinator 第2章ー国家サイバーセキュリティ調整官との自主的な情報共有
35 Impacted entity may voluntarily provide information to National Cyber Security Coordinator in relation to a significant cyber security incident 35 影響を受けた事業体は、重要なサイバーセキュリティインシデントに関連して、国家サイ バーセキュリティ調整官に自主的に情報を提供することができる
36 Voluntary provision of information in relation to other incidents or cyber security incidents 36 その他のインシデントまたはサイバーセキュリティインシデントに関連する自主的な情 報提供
37 Role of the National Cyber Security Coordinator 37 国家サイバーセキュリティ調整官の役割
Division 3—Protection of information 第3章ー情報の保護
38 Information provided in relation to a significant cyber security incident—use and disclosure by National Cyber Security Coordinator 38-重要なサイバーセキュリティインシデントに関連して提供された情報-国家サイバー 
39 Information provided in relation to other incidents—use and disclosure by National Cyber Security Coordinator 39 その他のインシデントに関連して提供された情報-国家サイバー・セキュリティ・コーディネー ターによる使用と開示
40 Limitations on secondary use and disclosure 40 二次使用と開示の制限
41 Legal professional privilege 41 法律専門家の秘匿特権
42 Admissibility of information voluntarily given by impacted entity 42 影響を受けた事業体が自発的に提供した情報の許容性
43 National Cyber Security Coordinator not compellable as witness 43 国家サイバー・セキュリティ・コーディネーターは証人として強制されない。Coordinator not compellable as witness
Division 4—Miscellaneous 第4章ーその他
44 Interaction with other requirements to provide information in relation to a cyber security incident 44 サイバー・セキュリティ・インシデントに関する情報提供の他の要件との相互関係
Part 5—Cyber Incident Review Board 第5編ーサイバーインシデント審査会
Division 1—Preliminary 第1章ー序文
45 Simplified outline of this Part 45 本編の簡易概要
Division 2—Reviews 第2章ー審査
46 Board must cause reviews to be conducted 46 審査会は審査を実施させなければならない
47 Board may discontinue a review 47 審査会は審査を中止することができる。
48 Chair may request information or documents 48 委員長は情報または文書を要求することができる 
49 Chair may require certain entities to produce documents 49 審査会の機能および権限
50 Civil penalty—failing to comply with a notice to produce documents 50 民事制裁金—文書提出命令に従わない場合
51 Draft review reports 51 審査報告書(ドラフト)
52 Final review reports 52 審査報告書(最終版)
53 Certain information must be redacted from final review reports 53 審査報告書(最終版)から特定の情報を削除しなければならない場合
54 Protected review reports 54 審査報告書(保護)
Division 3—Protection of information relating to reviews 第3章—審査に関する情報の保護
55 Limitations on use and disclosure by the Board 55 審査会による利用および開示の制限
56 Limitations on secondary use and disclosure 56 二次利用および開示の制限
57 Legal professional privilege 57 法律専門家の特権
58 Admissibility of information given by an entity that has been requested or required by the Board 58 審査委員会から要請または要求された事業体が提供した情報の証拠能力
59 Disclosure of draft review reports prohibited 59 審査報告書ドラフトの開示の禁止
Division 4—Establishment, functions and powers of the Board 第4章―審査委員会の設立、機能および権限
60 Cyber Incident Review Board 60 サイバーインシデント審査会
61 Constitution of the Board 61 審査会会則
62 Functions of the Board 62 審査会の機能
63 Independence 63 独立性
Division 5—Terms and conditions of appointment of the Chair and members of the Board 第5章ー審査会委員長および委員の任命条件
64 Appointment of Chair 64 委員長の任命
65 Remuneration of the Chair 65 委員長の報酬
66 Appointment of standing members of the Board 66 常任委員の任命
67 Remuneration of standing members of the Board 67 常任委員の報酬
68 Acting Chair 68 委員長代行
69 Terms and conditions etc. for standing members 69 常任委員の条件など
Division 6—Expert Panel, staff assisting and consultants 第6章ー専門家パネル、補助職員およびコンサルタント
70 Expert Panel 70 専門家パネル
71 Arrangements relating to staff of the Department 71 本省職員に関する取り決め
72 Consultants 72 コンサルタント
Division 7—Other matters relating to the Board 第7章ー審査会に関するその他の事項
73 Board procedures 73 審査会の手続き
74 Liability 74 責任
75 Certification of involvement in review 75 審査への関与の証明
76 Annual report 76 年次報告書
77 Rules may prescribe reporting requirements etc. 77 規則は報告要件などを定めることができる。
Part 6—Regulatory powers 第6編ー規制権限
Division 1—Preliminary 第1章ー序文
78 Simplified outline of this Part 78 本編の簡略概要
Division 2—Civil penalty provisions, enforceable undertakings and injunctions 第2章 - 民事上の制裁規定、強制可能な約束、および差止命令
79 Civil penalty provisions, enforceable undertakings and injunctions 79 民事罰規定、 強制執行可能な約束および差止命令
Division 3—Monitoring and investigation powers 第3章ー監視および調査権限
80 Monitoring powers 80 監視権限
81 Investigation powers 81 調査権限
Division 4—Infringement notices 第4章ー侵害通知
82 Infringement notices 82 侵害通知
Division 5—Other matters 第5章ーその他の事項
83 Contravening a civil penalty provision 83 民事罰規定に違反すること
Part 7—Miscellaneous 第7編ーその他
84 Simplified outline of this Part 84 本編の簡易概要
85 How this Act applies in relation to non‑legal persons 85 非法人との関係における本法の適用
86 Delegation by Secretary 86 長官による委任
87 Rules 87 規則
88 Review of this Act 88 本法の見直し

 

条文

・[HTML]仮対訳

1_20241213054501

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.11.30 オーストラリア 議会 情報・安全保障合同委員会 2024年サイバーセキュリティ法制パッケージ (2024.10.08)

・2023.11.24 オーストラリア 内務省 2023-2030 オーストラリア サイバーセキュリティ戦略と実行計画 (2023.11.22)

・2023.05.21 オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出

 

 

 

 

 

 

| | Comments (0)

2024.10.02

米国 英国 オーストラリア Evil Corpのメンバーを制裁

こんにちは、丸山満彦です。

EuropolがLockbit関係者の逮捕や経済制裁について公表していましたが、その活動の一つとして、LockBitとも関係があるといわれているロシアのEvil Corpの活動に関して、米国、英国、オーストラリアが共同して対象者と特定し、それぞれの国で経済制裁をしたと公表していますね...

 

まず、英国政府の発表から...

Gov UK

・2024.10.01 UK sanctions members of notorious ‘Evil Corp’ cyber-crime gang, after Lammy calls out Putin’s mafia state

UK sanctions members of notorious ‘Evil Corp’ cyber-crime gang, after Lammy calls out Putin’s mafia state 英国、ラミー外相がプーチンのマフィア国家を非難し、悪名高いサイバー犯罪集団「Evil Corp」のメンバーを制裁、
The UK, alongside the US and Australia, has sanctioned 16 members of prolific Russian cyber-crime gang 'Evil Corp'. 英国は米国やオーストラリアとともに、ロシアのサイバー犯罪集団「Evil Corp」の16人のメンバーに制裁を科した。
・the UK sanctions 16 members of prolific Russian cyber-crime gang Evil Corp, alongside the US and Australia   ・英国は、米国やオーストラリアとともに、ロシアのサイバー犯罪集団「Evil Corp」の16人のメンバーに制裁を科した。 
・Evil Corp’s malicious cyber activity involved a concerted effort to compromise UK health, government and public sector institutions ・Evil Corpの悪質なサイバー活動には、英国の医療機関、政府機関、公共機関を標的にした組織的な攻撃が含まれていた。
Cybercriminals connected to Evil Corp, a prolific, long-standing Russian hacker group, have today (1 October) been targeted with new UK sanctions, in coordinated action alongside the US and Australia.   Evil Corpとつながりのあるサイバー犯罪者たちは、多作で長年にわたって活動しているロシアのハッカー集団であるが、本日(10月1日)米国およびオーストラリアと協調した行動として、英国による新たな制裁の対象となった。 
Among those sanctioned today is Maksim Yakubets, who long led the group’s operations and has a $5 million bounty on his head by the US Department of Justice. Yakubets also cultivated strong ties between Evil Corp and the Russian state, developing relationships with the FSB and Russian military intelligence (GRU).  本日制裁の対象となった人物の中には、長年グループの活動を主導し、米国司法省から500万ドルの懸賞金をかけられているマクシム・ヤクベッツも含まれる。ヤクベッツはまた、エビル・コーポとロシア政府との強固な関係を築き、ロシア連邦保安庁(FSB)およびロシア軍情報部(GRU)との関係を深めた。
Known for their Mafia style of operation, Evil Corp has waged a campaign of destructive cyber-attacks worldwide for over a decade.  マフィアのような手法で知られるEvil Corpは、10年以上にわたり世界中で破壊的なサイバー攻撃キャンペーンを展開してきた。
This includes malware and ransomware attacks against UK health, government and public sector institutions, as well as private commercial technology companies. Their attacks have earned hundreds of millions of dollars in illicit profits worldwide.  これには、英国の医療、政府、公共部門の機関、および民間商業技術企業に対するマルウェアやランサムウェア攻撃が含まれる。同社の攻撃により、世界中で数億ドルの不正利益がもたらされた。
Those sanctioned today will now be subject to a series of asset freezes and travel bans. The UK is committed to protecting the businesses and livelihoods affected by these cruel attacks. 本日制裁対象となった者たちは、今後、一連の資産凍結と渡航禁止の対象となる。英国は、こうした非情な攻撃の被害を受けた企業や生活を守ることを約束している。
Foreign Secretary David Lammy said:  デービッド・ラミー外相は次のように述べた。
I am making it my personal mission to target the Kremlin with the full arsenal of sanctions at our disposal.    私は、我々の利用可能な制裁措置のすべてを駆使して、クレムリンを標的にすることを個人的な使命としている。 
Putin has built a corrupt mafia state with himself at its centre. We must combat this at every turn, and today’s action is just the beginning.    プーチン大統領は、自身をその中心に据えた腐敗したマフィア国家を築き上げた。我々はあらゆる局面でこれに対抗しなければならない。そして、今日の措置はまさにその始まりに過ぎない。
Today’s sanctions send a clear message to the Kremlin that we will not tolerate Russian cyber-attacks - whether from the state itself or from its cyber-criminal ecosystem.  今日の制裁措置は、ロシアによるサイバー攻撃を容認しないという明確なメッセージをクレムリンに送るものである。その攻撃が国家によるものか、あるいはサイバー犯罪の生態系によるものかに関わらず、である。
Security Minister Dan Jarvis said:  ダン・ジャーヴィス安全保障大臣は次のように述べた。
Cyber-crime causes immense damage to people and business across the world but today’s action is evidence that there are serious consequences for those involved.  サイバー犯罪は世界中の人々や企業に甚大な被害をもたらしているが、今日の措置は、関与した者たちに深刻な結果が待ち受けているという証拠である。
We will continue to work with our international partners to pursue and expose malicious cyber activity and protect the public. 我々は今後も国際的なパートナーと協力し、悪質なサイバー活動を追跡し摘発し、国民を守り続ける。
These sanctions have taken place in coordination with significant law enforcement investigations led by the NCA and law enforcement agencies internationally. This announcement demonstrates our ability to use the full range of government tools to target the threat from cybercrime and disrupt malicious cyber actors emanating from the Russian state. これらの制裁は、NCAおよび国際的な法執行機関が主導する重要な捜査と連携して実施された。今回の発表は、サイバー犯罪の脅威を標的にし、ロシア政府に由来する悪意あるサイバー犯罪者を阻止するために、政府が持つあらゆる手段を活用する我々の能力を示すものである。
Today’s sanctions build on the action taken earlier this year against a leader of associated cyber-crime group LockBit. Alongside our allies, we will continue to crack down on malicious cyber activity and cyber-crime groups with links to Russia that seek to undermine global integrity, prosperity and security.  本日の制裁は、今年初めにサイバー犯罪グループLockBitのリーダーに対して取られた措置を基にしている。我々は同盟国とともに、世界的な誠実さ、繁栄、安全を脅かすロシアとつながりのある悪意あるサイバー活動やサイバー犯罪グループの取り締まりを継続していく。

 

Since designation by the US in 2019, Evil Corp-affiliated actors have continued to operate, rebranding their activity by using different ransomware variants to obfuscate their activity and evade sanctions. This activity included the use of and affiliation with LockBit ransomware operations. Evil Corp and those involved in its malicious cyber activity remain a threat.  2019年に米国が指定して以来、Evil Corpに所属するアクターたちは活動を継続し、さまざまなランサムウェアの亜種を使用して活動を難読化し、制裁を回避することで、自らの活動を再ブランディングしてきた。この活動には、LockBitランサムウェアの運用への関与や使用が含まれていた。Evil Corpおよびその悪意あるサイバー活動に関与する者たちは依然として脅威である。
These announcements represent the culmination of significant law enforcement investigations led by the NCA and law enforcement agencies internationally and demonstrate our ability to use the full range of government tools to target the threat from cybercrime and disrupt malicious cyber actors emanating from the Russian state.  これらの発表は、NCAおよび国際的な法執行機関が主導した大規模な法執行捜査の集大成であり、サイバー犯罪の脅威を標的にし、ロシア政府に由来する悪意あるサイバー犯罪者を阻止するために、政府が持つあらゆるツールを活用する我々の能力を示すものである。
Alongside our sanctions action, the NCA, FBI and Australian Federal Police have released a public document revealing Evil Corp’s ties to the Russian state and their history of trying to adapt to a changing cyber landscape to cause as much harm as possible, including by pioneering new forms of cyber-crime.  制裁措置と並行して、NCA、FBI、オーストラリア連邦警察は、Evil Corpのロシア政府とのつながりや、サイバー犯罪の新しい形態を開拓するなど、変化するサイバー環境に適応して可能な限り多くの被害を引き起こそうとしてきたこれまでの経緯を明らかにする文書を公開した。
This package has been announced as the UK is attending the international Counter Ransomware Initiative in the United States, where like-minded countries are working to mitigate the risks of malicious cyber activity. このパッケージは、英国が米国で開催される国際的なランサムウェア対策イニシアティブに参加するにあたり発表された。このイニシアティブでは、同じ考えを持つ各国が、悪意のあるサイバー活動のリスクを軽減するための取り組みを行っている。

 

国家犯罪庁

U.K. National Crime Agency; NCA

・2024.10.01 Further Evil Corp cyber criminals exposed, one unmasked as LockBit affiliate

Further Evil Corp cyber criminals exposed, one unmasked as LockBit affiliate さらなるEvil Corpのサイバー犯罪者が摘発、そのうちの1人はLockBitの関連組織として摘発される
Sixteen individuals who were part of Evil Corp, once believed to be the most significant cybercrime threat in the world, have been sanctioned in the UK, with their links to the Russian state and other prolific ransomware groups, including LockBit, exposed. かつて世界で最も深刻なサイバー犯罪の脅威と考えられていたEvil Corpの一員であった16人が英国で制裁の対象となり、ロシア政府やLockBitを含む他の多作なランサムウェアグループとのつながりが明らかになった。
Sanctions have also been imposed by Australia and the US, who have unsealed an indictment against a key member of the group. オーストラリアと米国も制裁を課しており、グループの主要メンバーに対する起訴状が公開された。
An extensive investigation by the NCA has helped map out the history and reach of Evil Corp’s criminality; from a family-centred financial crime group in Moscow that branched out into cybercrime, going on to extort at least $300 million from global victims including those within healthcare, critical national infrastructure, and government, among other sectors. NCAによる広範な捜査により、Evil Corpの犯罪歴と影響力が明らかになった。モスクワの家族中心の金融犯罪グループがサイバー犯罪に手を染め、医療、重要な国家インフラ、政府など、さまざまな分野の被害者から少なくとも3億ドルを脅し取った。
In 2019, this investigation contributed to the head of Evil Corp, Maksim Yakubets, and one of the group’s administrators, Igor Turashev, being indicted in the US and sanctioned, along with several other members of the group. 2019年、この捜査により、Evil Corpのボスであるマクシム・ヤクーベッツとグループの管理者の一人であるイゴール・トゥラシェフが米国で起訴され、制裁措置の対象となった。また、グループの他の数名のメンバーも制裁措置の対象となった。
Today, Yakubets, Turashev, and seven of those sanctioned by the US in 2019 have also been designated in the UK by the Foreign, Commonwealth and Development Office, along with an additional seven individuals, whose links and support for the group have not previously been exposed. 今日、ヤクベッツ、トゥラシェフ、そして2019年に米国によって制裁対象となった7名は、英国外務・英連邦・開発省によって制裁対象にも指定された。さらに、このグループとのつながりや支援がこれまで明らかになっていなかった7名も追加で制裁対象となった。
This includes Aleksandr Ryzhenkov, Yakubets’ right-hand man in whom he placed a lot of trust and worked closely with to develop some of the group’s most prolific ransomware strains. He has also been identified as a LockBit affiliate as part of Operation Cronos - the ongoing NCA-led international disruption of the group. Investigators analysing data obtained from the group’s own systems found he has been involved in LockBit ransomware attacks against numerous organisations. これには、ヤクベッツが最も信頼を寄せており、グループの最も多産なランサムウェアのいくつかを開発するために密接に協力していた右腕のアレクサンドル・リジェンコフも含まれる。彼はまた、現在進行中の国家犯罪対策庁主導の国際的なグループ壊滅作戦「オペレーション・クロノス」の一環として、LockBitの関連組織としても特定されている。グループのシステムから入手したデータを分析した捜査官は、彼が多数の組織に対するLockBitランサムウェア攻撃に関与していることを発見した。
Separately, the US Department of Justice has unsealed an indictment charging Ryzhenkov for using BitPaymer ransomware to target victims across the US. また、米国司法省は、RyzhenkovがBitPaymerランサムウェアを使用して米国中の被害者を標的にした容疑で起訴状を公開した。
Also sanctioned today in the UK are Yakubets’ father, Viktor Yakubets, his father-in-law, Eduard Benderskiy, a former high-ranking FSB official, and others who were key to enabling Evil Corp’s criminal activity. さらに、英国では本日、Yakubetsの父親であるViktor Yakubets、義理の父親である元FSB高官のEduard Benderskiy、およびEvil Corpの犯罪行為を可能にする上で重要な役割を果たしたその他の人物も制裁の対象となった。
James Babbage, Director General for Threats at the NCA, said: NCAの脅威対策局長であるジェームズ・バベッジ氏は次のように述べた。
"The action announced today has taken place in conjunction with extensive and complex investigations by the NCA into two of the most harmful cybercrime groups of all time. 「本日発表された措置は、NCAによる史上最も有害なサイバー犯罪グループ2つに対する広範かつ複雑な捜査と連携して実施された。
"These sanctions expose further members of Evil Corp, including one who was a LockBit affiliate, and those who were critical to enabling their activity. 「これらの制裁措置により、Evil Corpのさらなるメンバー、LockBitの関連組織であった人物、および彼らの活動を可能にする上で重要な役割を果たした人物が摘発された。
"Since we supported US action against Evil Corp in 2019, members have amended their tactics and the harms attributed to the group have reduced significantly. We expect these new designations to also disrupt their ongoing criminal activity. 「2019年にEvil Corpに対する米国の措置を支持して以来、メンバーは戦術を修正し、グループに起因する被害は大幅に減少した。我々は、これらの新たな指定が彼らの継続中の犯罪行為も妨害することを期待している。
"Ransomware is the most significant cybercrime threat facing the UK and the world. The NCA is dedicated to working with our partners in the UK and overseas, sharing intelligence and working to disrupt the most sophisticated and harmful ransomware groups, no matter where they are or how long it takes." 「ランサムウェアは、英国および世界が直面する最も重大なサイバー犯罪の脅威である。NCAは、英国および海外のパートナーと協力し、情報を共有しながら、最も洗練された有害なランサムウェアグループを、それがどこにあろうと、またどれだけの時間がかかろうと、その活動を妨害するために取り組んでいる」
Evil Corp officially formed as a crime group in 2014. They were responsible for the development and distribution of BitPaymer and Dridex, which they used target banks and financial institutions in over 40 countries, stealing over $100m. Evil Corpは2014年に正式に犯罪グループとして結成された。彼らはBitPaymerとDridexの開発と配布を担当し、それらを使用して40か国以上の銀行や金融機関を標的にし、1億ドル以上を盗んだ。
The group were in a privileged position, with some members having close links to the Russian state. Benderskiy was a key enabler of their relationship with the Russian Intelligence Services who, prior to 2019, tasked Evil Corp to conduct cyber attacks and espionage operations against NATO allies. このグループは特権的な立場にあり、メンバーの中にはロシア政府と密接なつながりを持つ者もいた。ベンダスキーは、2019年以前にNATO加盟国に対するサイバー攻撃やスパイ活動をエビル・コープに命じていたロシア情報機関との関係を築く上で重要な役割を果たした。
After the US sanctions and indictments in December 2019, Benderskiy used his extensive influence with the Russian state to protect the group, both by providing senior members with security and by ensuring they were not pursued by Russian internal authorities. 2019年12月の米国による制裁と起訴後、ベンダースキーはロシア政府に対する広範な影響力を駆使して、グループを保護した。上級メンバーに警備を提供し、ロシア国内当局による追及を受けないよう保証することで、グループを守ったのだ。
However, the 2019 activity caused considerable disruption to Evil Corp, damaging their brand and ability to operate, including making it harder for them to elicit ransom payments from victims. しかし、2019年の活動により、Evil Corpは大きな混乱に見舞われ、ブランドと活動能力に打撃を受けた。被害者から身代金を引き出すことがより困難になるなど、
It caused them to have to rebuild, change tactics and take increased measures to hide their activity from law enforcement, with many members going underground, abandoning online accounts and restricting their movements. そのため、彼らは再構築を余儀なくされ、戦術を変更し、法執行機関から活動を隠すための対策を強化せざるを得なくなり、多くのメンバーが地下に潜り、オンラインアカウントを放棄し、移動を制限した。
They continued to adapt and some members went on to develop further malware and ransomware strains, most notably WastedLocker, Hades, PhoenixLocker, PayloadBIN and Macaw. Their focus narrowed, switching from volume attacks to targeting high-earning organisations. 彼らは適応を続け、一部のメンバーはさらにマルウェアやランサムウェアの亜種を開発し、特にWastedLocker、Hades、PhoenixLocker、PayloadBIN、Macawを開発した。彼らの焦点は狭まり、大量攻撃から高収益の組織を標的にする攻撃に切り替えた。
Other members moved away from using their own technical tools, instead using ransomware strains developed by other crime groups, such as LockBit. 他のメンバーは、独自の技術ツールの使用を止め、代わりにLockBitなどの他の犯罪グループが開発したランサムウェアを使用するようになった。
The NCA is continuing to track illicit activity conducted by various former members of Evil Corp, including their involvement in ransomware attacks. NCAは、Evil Corpの元メンバーによるさまざまな違法行為を追跡しており、その中にはランサムウェア攻撃への関与も含まれている。
The international investigation into LockBit is also ongoing and this week their original leak site, which remains under the control of the NCA, went live once more. It details further action taken by the Cronos Taskforce, including NCA arrests in August of two people believed to be associated with a LockBit affiliate, on suspicion of Computer Misuse Act and money laundering offences. LockBitに関する国際的な捜査も継続中で、今週、NCAの管理下にある元のリークサイトが再び公開された。このサイトでは、コンピュータ不正利用法および資金洗浄の容疑で、LockBitの関連組織と見られる2名を8月にNCAが逮捕したことなど、クロノス・タスクフォースによるさらなる措置について詳しく説明されている。
In the same month, French authorities secured the arrest of a suspected LockBit developer, and Spanish police detained one of the main facilitators of LockBit infrastructure, as well as seizing nine servers used by the group. 同月、フランス当局はLockBit開発者の容疑者を逮捕し、スペイン警察はLockBitインフラの主要な仲介者の1人を拘束し、グループが使用していた9台のサーバーを押収した。
Foreign Secretary, David Lammy said: 外務大臣のデイビッド・ラミーは次のように述べた。
"I am making it my personal mission to target the Kremlin with the full arsenal of sanctions at our disposal.   「私は、我々の利用可能な制裁措置のすべてを駆使して、ロシア政府を標的にすることを個人的な使命としている。 
"Putin has built a corrupt mafia state with himself at its centre. We must combat this at every turn, and today’s action is just the beginning.   「プーチン大統領は、自身をその中心に据えた腐敗したマフィア国家を築き上げた。我々はあらゆる局面でこれに対抗しなければならない。そして、今日の措置は始まりに過ぎない。
"Today's sanctions send a clear message to the Kremlin that we will not tolerate Russian cyber-attacks - whether from the state itself or from its cyber-criminal ecosystem." 「今日の制裁措置は、ロシア政府によるものか、あるいはそのサイバー犯罪エコシステムによるものかに関わらず、我々はロシアのサイバー攻撃を容認しないという明確なメッセージをクレムリンに送るものである。
Security Minister, Dan Jarvis said: ダン・ジャービス安全保障相は次のように述べた
"Cyber-crime causes immense damage to people and business across the world but today’s action is evidence that there are serious consequences for those involved. 「サイバー犯罪は世界中の人々や企業に甚大な被害をもたらしているが、今日の措置は、関与した者には重大な結果が待ち受けているという証拠である。
"We will continue to work with our international partners to pursue and expose malicious cyber activity and protect the public." 「我々は今後も国際的なパートナーと協力し、悪質なサイバー活動を追跡・摘発し、国民を守るために取り組んでいく」
Jonathon Ellison, NCSC Director for National Resilience and Future Technology, said: 国家サイバーセキュリティセンター(NCSC)の国家強靭性および未来技術担当ディレクターであるジョナサン・エリソン氏は、次のように述べた。
"Every day we see ransomware incidents have real-world consequences for UK victims, disrupting key services, damaging businesses’ finances and putting individuals’ data at risk. 「ランサムウェアによる被害は、英国の被害者に現実的な影響をもたらしており、重要なサービスを妨害し、企業の財務を損ない、個人のデータを危険にさらしている。
"I welcome today’s sanctions against Evil Corp-affiliated cyber actors, who have caused harm in the UK and beyond, and strongly support the coordinated steps taken with allies to ensure cyber crime does not pay. 英国およびその他の国々で被害をもたらしたEvil Corp系列のサイバー犯罪者に対する今日の制裁措置を歓迎するとともに、サイバー犯罪が報いを受けないようにするための同盟国との協調的な取り組みを強く支持する。
"All organisations are encouraged to follow the NCSC’s ransomware guidance to help reduce their chances of falling victim to an attack and to ensure they have tried-and-tested response plans in case the worst should happen." 「すべての組織は、攻撃の被害に遭う可能性を低減し、最悪の事態に備えて十分に検証された対応計画を確実に用意するために、NCSCのランサムウェアに関する指針に従うことが推奨される」

 

報告書...

・[PDF] Evil Corp: Behind the Screens


20241002-123854

参考:英国の制裁者の一覧のページ

 

 


 

米国 司法省...

U.S. Department of Justice

・2024.10.01 Russian National Indicted for Series of Ransomware Attacks

Russian National Indicted for Series of Ransomware Attacks 一連のランサムウェア攻撃でロシア人起訴
Indictment Unsealed Charging Aleksandr Ryzhenkov with Attacks Against Multiple Victims in the United States アレクサンドル・リジェンコフを米国の複数の被害者に対する攻撃で起訴する起訴状が公開
The Justice Department today unsealed an indictment charging Russian national Aleksandr Viktorovich Ryzhenkov (Александр Викторович Рыженков) with using the BitPaymer ransomware variant to attack numerous victims in Texas and throughout the United States and hold their sensitive data for ransom. 司法省は本日、ロシア国籍のアレクサンドル・ヴィクトロヴィチ・リジェンコフ(Александр Викторович Рыженков)が、テキサス州および米国全土の多数の被害者を攻撃し、その機密データを人質に取るために、BitPaymerランサムウェアの亜種を使用した罪で起訴状を公開した。
According to the indictment, beginning in at least June 2017, Ryzhenkov allegedly gained unauthorized access to the information stored on victims’ computer networks. Ryzhenkov and his conspirators then allegedly deployed the strain of ransomware known as BitPaymer and used it to encrypt the files of the victim companies, rendering them inaccessible. An electronic note left on the victims’ systems contained a ransom demand and instructions on how to contact the attackers to begin ransom negotiations. Ryzhenkov and his conspirators allegedly demanded that victims pay a ransom to obtain a decryption key and prevent their sensitive information from being made public online. 起訴状によると、少なくとも2017年6月より、Ryzhenkovは被害者のコンピューターネットワークに保存された情報に不正アクセスしたとされる。Ryzhenkovと共謀者はその後、BitPaymerとして知られるランサムウェアの亜種を展開し、それを使用して被害企業のファイルを暗号化し、アクセス不能にした。被害者のシステムに残された電子メモには、身代金の要求と、身代金の交渉を開始するために攻撃者に連絡する方法が記載されていた。リゼンコフと共犯者たちは、被害者に対して、復号キーを取得し、機密情報がオンライン上で公開されないようにするために身代金を支払うよう要求したとされる。
The indictment further alleges that Ryzhenkov and others used a variety of methods to intrude into computer systems, including phishing campaigns, malware, and taking advantage of vulnerabilities in computer hardware and software. Ryzhenkov and coconspirators used this access to demand millions of dollars in ransom. Ryzhenkov is believed to be in Russia. View the FBI’s wanted poster for him here. 起訴状によると、さらに、リジェンコフと共犯者らは、フィッシング・キャンペーン、マルウェア、コンピュータ・ハードウェアおよびソフトウェアの脆弱性を利用するなど、さまざまな方法でコンピュータ・システムに侵入したとされている。 リジェンコフと共犯者らは、このアクセス権を利用して、数百万ドルの身代金を要求した。 リジェンコフは現在ロシアにいると見られている。 FBIの指名手配ポスターは こちら。
In coordination with the indictment’s unsealing, the Treasury Department's Office of Foreign Assets Control today announced that Ryzhenkov was added to its list of specially designated nationals. The designation blocks property and interests in any property the designee may have in the United States and prohibits U.S. financial institutions from engaging in certain transactions and activities with the designated individual. To learn more, view the Treasury announcement here. 起訴状公開と連動して、財務省外国資産管理局は本日、リジェンコフを特別指定国民リストに追加したことを発表した。この指定により、米国国内に保有する可能性のある財産および財産上の利益が凍結され、米国の金融機関は指定された個人との特定の取引や活動に従事することが禁じられる。詳細は、財務省の発表を参照のこと。
“The Justice Department is using all the tools at its disposal to attack the ransomware threat from every angle,” said Deputy Attorney General Lisa Monaco. “Today’s charges against Ryzhenkov detail how he and his conspirators stole the sensitive data of innocent Americans and then demanded ransom. With law enforcement partners here and around the world, we will continue to put victims first and show these criminals that, in the end, they will be the ones paying for their crimes.” リサ・モナコ副司法長官は次のように述べた。 「司法省は、あらゆる手段を駆使してランサムウェアの脅威をあらゆる角度から攻撃している。本日、リゼンコフに対する起訴状は、彼と共謀者が無実のアメリカ人の機密データを盗み、身代金を要求した経緯を詳細に説明している。我々は、国内および世界中の法執行機関と協力し、今後も被害者を第一に考え、これらの犯罪者たちに、最終的には彼ら自身が犯罪の代償を支払うことになることを示していく」
“The FBI, together with partners, continues to leverage all resources to impose cost on criminals engaging in ransomware attacks,” said FBI Deputy Director Paul Abbate. “Today’s indictment delivers a clear message to those who engage in cyber-criminal activity – you will face severe consequences for your illicit activities and will be held accountable under the law.” FBI副長官のポール・アバテ氏は次のように述べた。 「FBIはパートナー機関とともに、ランサムウェア攻撃に関与する犯罪者にコストを課すためにあらゆるリソースを活用し続けている。今日の起訴は、サイバー犯罪に関与する者たちに明確なメッセージを送るものである。すなわち、違法行為には厳しい結果が待ち受けており、法の下で責任を問われるということである」
“Aleksandr Ryzhenkov extorted victim businesses throughout the United States by encrypting their confidential information and holding it for ransom,” said Principal Deputy Assistant Attorney General Nicole M. Argentieri, head of the Justice Department’s Criminal Division. “Addressing the threat from ransomware groups is one of the Criminal Division’s highest priorities. The coordinated actions announced today demonstrate, yet again, that the Justice Department is committed to working with its partners to take an all-tools approach to protecting victims and holding cybercriminals accountable.” 司法省刑事局の局長補佐官であるニコル・M・アルジェンティエリ氏は次のように述べた。 「アレクサンダー・リゼンコフは、米国中の被害企業の機密情報を暗号化し、身代金としてそれを人質に取ることによって、企業から金をゆすり取っていた。ランサムウェアグループによる脅威への対処は、刑事局の最優先事項のひとつである。本日発表された協調行動は、司法省がパートナーと協力し、あらゆる手段を講じて被害者を防御し、サイバー犯罪者に責任を取らせることに尽力していることを、改めて示すものである。」
“Ransomware attacks – particularly those deployed by bad actors with ties to Russia – can paralyze a company in the time it takes to open a laptop. Whether or not the ransom is paid, recovering from a ransomware attack is generally costly and time-consuming,” said U.S. Attorney Leigha Simonton for the Northern District of Texas. “The U.S. Attorney’s Office for the Northern District of Texas is committed to pursuing cybercriminals who hold data hostage, no matter where in the world they may be hiding.” テキサス州北部地区の連邦検事、Leigha Simonton氏は次のように述べた。 「ランサムウェア攻撃、特にロシアとつながりのある悪意ある行為者によるものは、ラップトップを開く間に企業を麻痺させる可能性がある。身代金を支払うかどうかに関わらず、ランサムウェア攻撃からの復旧には一般的に費用と時間がかかる。テキサス州北部地区連邦検事局は、データの人質を取るサイバー犯罪者を、その居場所が世界のどこであろうと、追及していく。」
The FBI Dallas Field Office is investigating the case. この事件の捜査は、FBIダラス支局が担当している。
Trial Attorney Debra L. Ireland of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Vincent J. Mazzurco for the Northern District of Texas are prosecuting the case. 刑事部門のコンピュータ犯罪および知的財産セクションのデブラ・L・アイルランド検察官とテキサス州北部地区のヴィンセント・J・マズルコ副検察官が起訴している。
Victims of ransomware attacks are encouraged to contact their local FBI field office. For additional information on ransomware, please visit StopRansomware.gov. ランサムウェア攻撃の被害者は、最寄りのFBI支局に連絡するよう勧められている。ランサムウェアに関する追加情報は、StopRansomware.govを参照のこと。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。すべての被告人は、法廷で合理的な疑いを越えて有罪が証明されるまでは無罪と推定される。

 

指名手配...

Most Wnated; ALEKSANDR RYZHENKOV

 

 

財務省...

U.S. Department of The Treasury

・2024.10.01 Treasury Sanctions Members of the Russia-Based Cybercriminal Group Evil Corp in Tri-Lateral Action with the United Kingdom and Australia

 

Treasury Sanctions Members of the Russia-Based Cybercriminal Group Evil Corp in Tri-Lateral Action with the United Kingdom and Australia 財務省による制裁措置 ロシアを拠点とするサイバー犯罪グループ「Evil Corp」のメンバーを、英国およびオーストラリアとの三者間協定により制裁
he United States takes additional action against the Russia-based cybercriminal group Evil Corp, identifying and sanctioning additional members and affiliates 米国は、ロシアを拠点とするサイバー犯罪グループ「Evil Corp」に対して追加措置を講じ、新たなメンバーおよび関連企業を特定し、制裁を科す
WASHINGTON — Today, the Department of the Treasury’s Office of Foreign Assets Control (OFAC) is designating seven individuals and two entities associated with the Russia-based cybercriminal group Evil Corp, in a tri-lateral action with the United Kingdom’s Foreign, Commonwealth & Development Office (FCDO) and Australia’s Department of Foreign Affairs and Trade (DFAT). On December 5, 2019, OFAC designated Evil Corp, its leader and founder Maksim Viktorovich Yakubets and over a dozen Evil Corp members, facilitators, and affiliated companies pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757 (“E.O. 13694, as amended”). The United Kingdom and Australia are concurrently designating select Evil Corp-affiliated individuals designated by OFAC today or in 2019. Additionally, the U.S. Department of Justice has unsealed an indictment charging one Evil Corp member in connection with his use of BitPaymer ransomware targeting victims in the United States. Today’s designation also coincides with the second day of the U.S.-hosted Counter Ransomware Initiative summit which involves over 50 countries working together to counter the threat of ransomware.   ワシントン発 — 米国財務省外国資産管理局(OFAC)は本日、英国外務・英連邦・開発省(FCDO)およびオーストラリア外務貿易省(DFAT)との3か国間協調により、ロシアを拠点とするサイバー犯罪集団「Evil Corp」に関与する7人の個人および2つの事業体を新たに指定した。2019年12月5日、OFACは大統領令(E.O.)13694(大統領令(E.O.)13757により改正されたもの)に基づき、Evil Corp、そのリーダーであり創設者であるマクシム・ビクトロヴィチ・ヤクベッツ、およびEvil Corpのメンバー、仲介者、関連会社10数社を指定した。英国とオーストラリアは、本日または2019年にOFACが指定したEvil Corp関連の特定の個人を同時に指定する。さらに、米国司法省は、米国の被害者を標的としたランサムウェア「BitPaymer」を使用したとして、Evil Corpのメンバー1人を起訴した。また、本日の指定は、米国が主催する「ランサムウェア対策イニシアティブ」サミットの2日目にも重なる。このサミットには50か国以上が参加し、ランサムウェアの脅威に対抗するために協力している。 
“Today’s trilateral action underscores our collective commitment to safeguard against cybercriminals like ransomware actors, who seek to undermine our critical infrastructure and threaten our citizens,” said Acting Under Secretary of the Treasury for Terrorism and Financial Intelligence Bradley T. Smith. “The United States, in close coordination with our allies and partners, including through the Counter Ransomware Initiative, will continue to expose and disrupt the criminal networks that seek personal profit from the pain and suffering of their victims.” 「本日、3か国が共同で実施した措置は、わが国の重要なインフラを弱体化させ、国民を脅かすランサムウェアの犯罪者たちのようなサイバー犯罪者から守るという我々の決意を明確に示しています」と、テロおよび金融情報担当財務次官代理のブラッドリー・T・スミス氏は述べた。「米国は、カウンター・ランサムウェア・イニシアティブなどを通じて同盟国およびパートナー国と緊密に連携し、被害者の苦痛や苦悩から私的利益を得ようとする犯罪ネットワークを摘発し、破壊し続けていきます」
Evil Corp is a Russia-based cybercriminal organization responsible for the development and distribution of the Dridex malware. Evil Corp has used the Dridex malware to infect computers and harvest login credentials from hundreds of banks and other financial institutions in over 40 countries, resulting in more than $100 million in theft losses and damage suffered by U.S. and international financial institutions and their customers. In a concurrent action with OFAC’s December 2019 sanctions designations, the U.S. Department of Justice indicted Maksim and Evil Corp administrator Igor Turashev on criminal charges related to computer hacking and bank fraud schemes, and the U.S. Department of State’s Transnational Organized Crime Rewards Program issued a reward for information of up to $5 million leading to the capture and/or conviction of Maksim. Evil Corpは、ロシアを拠点とするサイバー犯罪組織であり、Dridexマルウェアの開発と配布を担当している。Evil CorpはDridexマルウェアを使用して、40か国以上の数百の銀行やその他の金融機関のコンピュータに感染し、ログイン認証情報を収集した。その結果、米国および国際的な金融機関とその顧客が1億ドル以上の盗難損失と被害を被った。2019年12月のOFAC制裁指定と同時に、米国司法省はマクシムとEvil Corpの管理者イゴール・トゥラシェフをコンピューターハッキングと銀行詐欺計画に関連した刑事責任で起訴し、米国国務省の国際組織犯罪懸賞金プログラムは、マクシムの逮捕および/または有罪判決につながる情報に対して最高500万ドルの懸賞金を発表した。
Additionally, Maksim used his employment at the Russian National Engineering Corporation (NIK) as cover for his ongoing criminal activities linked to Evil Corp. The NIK was established by Igor Yuryevich Chayka (Chayka), son of Russian Security Council member Yuriy Chayka, and his associate Aleksei Valeryavich Troshin (Troshin). In October 2022, OFAC designated Chayka, Troshin, and NIK pursuant to E.O. 14024.  さらに、マクシムはロシア国立エンジニアリング公社(NIK)での雇用を隠れ蓑として、Evil Corp.に関連する犯罪行為を継続していた。NIKは、ロシア安全保障会議メンバーのユーリ・チャイカ(チャイカ)の息子イーゴリ・ユーリエヴィチ・チャイカ(チャイカ)と、その協力者アレクセイ・ヴァレリエヴィチ・トロシン(トロシン)によって設立された。2022年10月、OFACは大統領令14024に基づき、チャイカ、トロシン、およびNIKを指定した。
Evil Corp Members and Affiliates  Evil Corpのメンバーおよび関連会社 
Jy2623figure1Click to Enlarge
Eduard Benderskiy (Benderskiy), a former Spetnaz officer of the Russian Federal Security Service (FSB), which is designated under numerous OFAC sanctions authorities, current Russian businessman, and the father-in-law of Evil Corp’s leader Maksim Viktorovich Yakubets (Maksim), has been a key enabler of Evil Corp’s relationship with the Russian state. Benderskiy leveraged his status and contacts to facilitate Evil Corp’s developing relationships with officials of the Russian intelligence services. After the December 2019 sanctions and indictments against Evil Corp and Maksim, Benderskiy used his extensive influence to protect the group.   エドゥアルド・ベンデルスキー(Benderskiy)は、多数のOFAC制裁当局により指定されているロシア連邦保安庁(FSB)の元スペツナズ将校であり、現ロシア人実業家であり、イービル・コープのリーダーであるマクシム・ビクトロヴィチ・ヤクベッツ(Maksim)の義理の父である。ベンデルスキーは、イービル・コープとロシア政府との関係を可能にする上で重要な役割を果たしてきた。ベンデルスキーは、その地位と人脈を活用し、イービル・コーポレーションがロシア情報機関の職員と関係を築くのを支援した。2019年12月のイービル・コーポレーションとマクシムに対する制裁と起訴の後、ベンデルスキーは、その広範な影響力を駆使してグループを防御した。 
While he has no official position in the Russian government, Benderskiy portrays himself as an aide to the Russian Duma. Around 2017, one of Benderskiy’s private security firms was involved in providing security for Iraq-based facilities operated by the Russian oil company Lukoil OAO. This same private security firm has been lauded by the FSB, the Russian Ministry of Foreign Affairs, the Russian Duma, and other Russian government bodies.  彼はロシア政府で公式な役職には就いていないが、ロシア連邦議会の補佐官であると自らを位置づけている。2017年頃、ベンスキーの経営する民間警備会社の1社が、ロシアの石油会社ルクオイル(OAO)がイラクで運営する施設の警備プロバイダとして関与していた。この民間警備会社は、ロシア連邦保安庁(FSB)、ロシア外務省、ロシア連邦議会、その他のロシア政府機関から高い評価を得ている。
From at least 2016, Maksim had business interactions with Aleksandr Tikhonov (Tikhonov), former commander of the FSB Special purpose Center, Russian government leaders, including OFAC-designated persons Dmitry Kozak (Kozak) and Gleb Khor, and leaders of prominent Russian banks like OFAC-designated person Herman Gref (Gref), the Chief Executive Officer of Sberbank. In 2019, Benderskiy used his connections to facilitate a business deal that included Maksim and Kozak, which they believed would earn tens of millions of dollars per month. In the same year, Benderskiy hosted a meeting with Maksim and Gref to discuss business contracts with NIK.   少なくとも2016年から、マクシムは、FSB特別目的センターの元司令官であるアレクサンドル・ティホノフ(ティホノフ)、OFAC指定人物であるドミトリー・コザック(コザック)やグレブ・コール、OFAC指定人物であるセルゲイ・グレフ(グレフ)のようなロシアの著名銀行のリーダーなど、ロシア政府の指導者たちとビジネス上の交流があった。2019年、ベンダースキーは自身のコネクションを活用し、マクシムとコザックを含むビジネス取引を促進した。彼らは、これにより毎月数千万ドルの利益を得られると信じていた。同年、ベンダースキーはマクシムとグレフを招いてNIKとのビジネス契約について話し合う会合を開催した。 
After the December 2019 sanctions and indictments against Evil Corp and Maksim, Maksim sought out Benderskiy’s guidance. Benderskiy used his extensive influence to protect the group, including his son-in-law, both by providing senior members with security and by ensuring they were not pursued by Russian internal authorities.  2019年12月の制裁とEvil Corpおよびマクシムに対する起訴の後、マクシムはベンダースキーの指導を求めた。ベンダースキーは、娘婿を含むグループを防御するために、上級メンバーにセキュリティを提供し、ロシアの国内当局に追及されないようにするなど、広範な影響力を利用した。
OFAC designated Benderskiy pursuant to E.O. 14024 for being owned or controlled, or having acted or purported to act for or on behalf of, directly or indirectly, the Government of the Russian Federation, and pursuant to E.O. 13694, as amended, for having materially assisted, sponsored, or provided financial, material, or technological support, or goods or services in support of, Maksim, a person whose property and interests in property are blocked pursuant to E.O. 13694, as amended.   OFACは、大統領令14024に基づき、ロシア連邦政府を直接的または間接的に所有または支配している、またはロシア連邦政府のために、またはロシア連邦政府を代表して行動している、または行動しているとみなされる人物としてベンダースキイ氏を指定した。また、大統領令136 改正された大統領令13694に従って資産および資産権が凍結された人物であるマクシムを、直接的または間接的に、実質的に支援、後援、または資金、物資、技術的支援、または支援のための物品やサービスを提供したとして、改正された大統領令13694に従って 
Benderskiy is the general director, founder, and 100 percent owner of the Russia-based business and management consulting companies Vympel-Assistance LLC and Solar-Invest LLC. OFAC designated Vympel-Assistance LLC and Solar-Invest LLC pursuant to E.O. 14024 and E.O. 13694, as amended, for being owned or controlled, or having acted or purported to act for or on behalf of, directly or indirectly, Benderskiy, a person whose property and interests in property are blocked pursuant to E.O. 14024 and E.O. 13694, as amended. ベンダースキー氏は、ロシアを拠点とする経営コンサルティング会社であるウィンペル・アシスタンスLLCおよびソーラー・インベストLLCの最高経営責任者(CEO)であり、創設者であり、100%の所有者でもある。OFACは、改正大統領令14024および13694に基づき、ベンダースキー氏、または同氏に所有または支配されている、または同氏のために、または同氏を代表して直接的または間接的に行動した、または行動したとされる 改正された大統領令14024および13694に従って資産および資産権が凍結された人物であるBenderskiyに、直接的または間接的に所有または支配されている、または行動した、または行動したと称した
Viktor Grigoryevich Yakubets (Viktor) is Maksim’s father and a member of Evil Corp. In 2020, Viktor likely procured technical equipment in furtherance of Evil Corp’s operations. OFAC designated Viktor pursuant to E.O. 13694, as amended, for having materially assisted, sponsored, or provided financial, material, or technological support, or goods or services in support of, Evil Corp, a person whose property and interests in property are blocked pursuant to E.O. 13694, as amended.   ビクター・グリゴリエヴィチ・ヤクベッツ(ビクター)はマクシムの父親であり、Evil Corpのメンバーである。2020年、ビクターは、おそらくEvil Corpの業務推進のために技術設備を調達した。OFACは、改正されたE.O. 13694に基づき、Evil Corp(改正されたE.O. 13694に従って資産および資産権が凍結された人物)を実質的に支援、後援、または資金、資材、技術支援、または商品やサービスを提供したとして、ビクターを指定した。 
Maksim has been careful about exposing different group members to different areas of business, however, he placed a lot of trust in his long-term associate and second-in-command, Aleksandr Viktorovich Ryzhenkov (Aleksandr Ryzhenkov). Maksim started working with Aleksandr Ryzhenkov around 2013 while they were both still involved in the “Business Club” group. Their partnership endured, and they worked together on the development of a number of Evil Corp’s most prolific ransomware strains. In 2016, Aleksandr Ryzhenkov, who is associated with the online moniker “Guester” (a pseudonym he has used while conducting operations on behalf of Evil Corp), sought to acquire internet bots in an Evil Corp operation targeting Switzerland-based targets. Since at least mid-2017, Aleksandr Ryzhenkov served as an interlocutor for Maksim with most of the Evil Corp members and oversaw operations of the cybercriminal group. In mid- 2017, Aleksandr Ryzhenkov targeted a New York-based bank. Following the December 2019 sanctions and indictment, Maksim and Aleksandr Ryzhenkov returned to operations targeting U.S.-based victims. In 2020, Aleksandr Ryzhenkov worked with Maksim to develop “Dridex 2.0.”  マクシムは、異なるグループメンバーを異なる事業分野に配置することには慎重だったが、長年の協力者であり、副官であるアレクサンドル・ヴィクトロヴィッチ・リジェンコフ(アレクサンドル・リジェンコフ)には大きな信頼を寄せていた。マクシムは、2013年頃、2人ともまだ「ビジネスクラブ」グループに関与していた頃に、アレクサンドル・リジェンコフと仕事を始めた。彼らのパートナーシップは続き、Evil Corpの最も多作なランサムウェアの数種の開発を共同で行った。2016年、オンライン上の別名「Guester」(Evil Corpを代表して業務を行う際に使用した偽名)と関連付けられているアレクサンドル・リジェンコフは、スイスを標的としたEvil Corpの業務において、インターネットボットの入手を試みた。2017年の中頃以降、アレクサンドル・リジェンコフはマクシムとイービル・コープのメンバーのほとんどとの連絡役を務め、サイバー犯罪グループの活動を監督した。2017年の中頃、アレクサンドル・リジェンコフはニューヨークを拠点とする銀行を標的にした。2019年12月の制裁と起訴の後、マクシムとアレクサンドル・リジェンコフは米国を拠点とする被害者を標的にした活動に戻った。2020年、アレクサンドル・リジェンコフはマクシムと協力して「ドリデックス2.0」を開発した。
Sergey Viktorovich Ryzhenkov (Sergey Ryzhenkov), Aleksey Yevgenevich Shchetinin (Shchetinin), Beyat Enverovich Ramazanov (Ramazanov), and Vadim Gennadievich Pogodin (Pogodin) are members of Evil Corp who have provided general support to the cybercriminal group’s activities and operations.  セルゲイ・ヴィクトロヴィッチ・リジェンコフ(セルゲイ・リジェンコフ)、アレクセイ・エフゲネヴィッチ・シェチーニン(シェチーニン)、ベヤト・エンヴェロヴィッチ・ラマザノフ(ラマザノフ)、ヴァディム・ゲナディエヴィッチ・ポゴジン(ポゴジン)は、サイバー犯罪グループの活動と業務全般のサポートを行っているEvil Corpのメンバーである。
In 2019, Sergey Ryzhenkov, the brother of Aleksandr Ryzhenkov, helped to move Evil Corp operations to a new office. In 2020, after Evil Corp’s sanctions designation and indictment, Sergey Ryzhenkov helped Aleksandr Ryzhenkov and Maksim develop “Dridex 2.0” malware. In 2017 through at least 2018, Shchetinin worked with several other Evil Corp members, including Denis Igorevich Gusev, Dmitriy Konstantinovich Smirnov, and Aleksei Bashlikov, to purchase and exchange millions of dollars’ worth of virtual and fiat currencies. In early 2020, Pogodin played a crucial role in an Evil Corp ransomware attack, and in mid-2020, he contributed to an Evil Corp ransomware attack on a U.S. company.  2019年、アレクサンドル・リジェンコフの兄弟であるセルゲイ・リジェンコフは、イービル・コープの業務を新しいオフィスに移転するのを手伝った。2020年、イービル・コープが制裁指定および起訴された後、セルゲイ・リジェンコフはアレクサンドル・リジェンコフとマクシムが「Dridex 2.0」マルウェアを開発するのを手伝った。2017年から少なくとも2018年にかけて、シェチェニンは、デニス・イゴレヴィチ・グセフ、ドミトリー・コンスタンチノヴィチ・スミルノフ、アレクセイ・バシリコフを含む複数のイービルコープのメンバーと協力し、数百万ドル相当の仮想通貨および法定通貨の購入と交換を行った。2020年初頭、ポゴジンはイービル・コープのランサムウェア攻撃において重要な役割を果たし、2020年半ばには米国企業に対するイービル・コープのランサムウェア攻撃に貢献した。
OFAC designated Aleksandr Ryzhenkov, Sergey Ryzhenkov, Shchetinin, Ramazanov, and Pogodin pursuant to E.O. 13694, as amended, for having materially assisted, sponsored, or provided financial, material, or technological support, or goods or services in support of, Evil Corp, a person whose property and interests in property are blocked pursuant to E.O. 13694, as amended.   OFACは、改正大統領令13694に基づき、Evil Corp(改正大統領令13694に基づき資産および資産権が凍結された個人)を実質的に支援、後援、または資金、物資、技術的支援、または商品やサービスを提供したとして、アレクサンドル・リゼンコフ、セルゲイ・リゼンコフ、シェチェニン、ラマザノフ、ポゴディンの5名を制裁対象に指定した。 
In addition to today’s sanctions designations, the U.S. Department of Justice has unsealed an indictment charging Aleksandr Ryzhenkov with using the BitPaymer ransomware variant to target numerous victims throughout the United States. Aleksandr Ryzhenkov used a variety of methods to intrude into computers systems and used his ill-gotten access to demand millions of dollars in ransom. The Federal Bureau of Investigation’s published a wanted poster for Aleksandr Ryzhenkov for his alleged involvement in ransomware attacks and money laundering activities.  Also today, the United Kingdom designated 15 and Australia designated three Evil Corp members and affiliates. 本日の制裁指定に加え、米国司法省は、米国全土の多数の被害者を標的にしたBitPaymerランサムウェアの亜種を使用した容疑でアレクサンドル・リジェンコフを起訴した。アレクサンドル・リジェンコフは、さまざまな方法でコンピューターシステムに侵入し、不正に入手したアクセス権限を使用して、数百万ドルの身代金を要求した。連邦捜査局は、アレクサンドル・リゼンコフがランサムウェア攻撃および資金洗浄活動に関与した容疑で指名手配ポスターを公開した。また、本日、英国は15人のEvil Corpのメンバーおよび関連会社を指定し、オーストラリアは3人を指定した。
SANCTIONS IMPLICATIONS 制裁措置の影響
As a result of today’s action, all property and interests in property of the designated persons described above that are in the United States or in the possession or control of U.S. persons are blocked and must be reported to OFAC. In addition, any entities that are owned, directly or indirectly, individually or in the aggregate, 50 percent or more by one or more blocked persons are also blocked. Unless authorized by a general or specific license issued by OFAC, or exempt, OFAC’s regulations generally prohibit all transactions by U.S. persons or within (or transiting) the United States that involve any property or interests in property of designated or otherwise blocked persons.  本日の措置により、米国にある、または米国人が所有または管理する、上記の指定された人物のすべての財産および財産権は凍結され、OFACに報告されなければならない。さらに、1人または複数の制裁対象者によって、直接的または間接的に、個別または総計で50%以上所有されている事業体も、すべて凍結される。OFACが発行する一般または特定のライセンスによる認可、または適用除外がない限り、OFACの規制では、米国人が行う、または米国国内(または米国経由)で行われる、制裁対象者またはその他の凍結対象者の財産または財産権に関わるすべての取引が一般的に禁止されている。
In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned persons may expose themselves to sanctions or be subject to an enforcement action. The prohibitions include the making of any contribution or provision of funds, goods, or services by, to, or for the benefit of any designated person, or the receipt of any contribution or provision of funds, goods, or services from any such person.  さらに、制裁対象者との特定の取引や活動に従事する金融機関やその他の者は、制裁の対象となる可能性や、強制措置の対象となる可能性がある。禁止事項には、指定された者による、または指定された者への、または指定された者の利益のための、あらゆる寄付や資金、商品、サービスの提供、または指定された者からのあらゆる寄付や資金、商品、サービスの受領が含まれる。
The power and integrity of OFAC sanctions derive not only from OFAC’s ability to designate and add persons to the SDN List, but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish, but to bring about a positive change in behavior. F or information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897 here. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please click here. OFAC制裁の権限と信頼性は、SDNリストに個人を指定し追加するOFACの能力だけでなく、法律に則りSDNリストから個人を削除するOFACの意思にも由来する。制裁の最終的な目的は、処罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求める手続きに関する情報は、OFACのよくある質問897を参照のこと。OFACの制裁リストからの削除申請手続きに関する詳細情報については、こちらをクリックしてご覧ください。
See OFAC’s updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry. OFACが、制裁リスクの可能性があるランサムウェアの支払いが関わるいかなる関連執行措置においても低減要因とみなす可能性がある行為に関する情報は、OFACが更新した「ランサムウェアの支払いを容易にする潜在的な制裁リスクに関する勧告」を参照のこと。仮想通貨に適用される制裁措置への準拠に関する情報は、OFACの「仮想通貨業界における制裁措置遵守の指針」を参照のこと。
Click here for more information on the individuals and entities designated today. 本日指定された個人および事業体に関する詳細については、こちらをクリック。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.02 Europol Lockbit関係者を新たに逮捕し、経済制裁も加える

 

| | Comments (0)

2024.09.26

ENISA 脅威状況2024

こんにちは、丸山満彦です。

ENISAが脅威状況2024を公表していますね...昨年はEUの議会選挙を意識した報告書でしたが、今年は

・可用性に対する脅威

・ランサムウェア

他、合わせて7つの脅威について状況を説明しています。データに基づく分析で、日本でもこういうデータに基づく分析をし、その結果を公表したいと思います...

そうすれば、立案する政策の精度や、企業が立案する対策の精度が高まりますよね...

目をとおしてみたらどうかと思います。。。

 

ENISA

・2024.09.19 ENISA Threat Landscape 2024

ENISA Threat Landscape 2024 ENISA 脅威状況2024
Seven prime cybersecurity threats were identified in 2024, with threats against availability topping the chart and followed by ransomware and threats against data, and the report provides a relevant deep-dive on each one of them by analysing several thousand publicly reported cybersecurity incidents and events 2024年には、サイバーセキュリティの主な脅威として7つの脅威が識別され、可用性に対する脅威がトップとなり、ランサムウェアとデータに対する脅威がそれに続いた。このレポートでは、数千件の公開されたサイバーセキュリティインシデントおよびイベントを分析することで、それぞれの脅威について詳細に掘り下げている。

 

・[PDF] ENISA THREAT LANDSCAPE 2024

20240926-01130

・[DOCX][PDF] 仮訳

 

目次...

EXCECTIVE SUMMARY エグゼクティブサマリー
1. THREAT LANDSCAPE OVERVIEW 1. 脅威の概要
2. THREAT ACTOR TRENDS 2. 脅威行為者の動向
3. VULNERABILITIES LANDSCAPE 3. 脆弱性の状況
4. RANSOMWARE 4. ランサムウェア
5. MALWARE 5. マルウェア
6. SOCIAL ENGINEERING 6. ソーシャルエンジニアリング
7. THREATS AGAINST DATA 7. データに対する脅威
8. THREATS AGAINST AVAILABILITY: DENIAL OF SERVICE 8. 可用性に対する脅威:サービス拒否
9. INFORMATION MANIPULATION AND INTERFERENCE 9. 情報操作と干渉
A ANNEX: MAPPING TO MITRE ATT&CK FRAMEWORK 附属書A:MITREのATT&CKフレームワークへのマッピング
B ANNEX: RECOMMENDATIONS 附属書B:提言

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY   エグゼクティブサマリー 
2024 marks the 20th anniversary of the European Union Agency for Cybersecurity, ENISA. ENISA has been constantly monitoring the cybersecurity threat landscape and monitoring on its state with its annual ENISA Threat Landscape (ETL) report and additionally with a series of situational awareness and cyber threat intelligence products.   2024年は、欧州連合(EU)のサイバーセキュリティ機関であるENISAの20周年にあたる。ENISAは、サイバーセキュリティの脅威状況を常に監視し、その状況を年次ENISA脅威状況(ETL)報告書や一連の状況認識およびサイバー脅威インテリジェンス製品で監視している。 
Over time, the ETL has served as a crucial tool for comprehending the present state of cybersecurity within the European Union (EU), furnishing insights into trends and patterns. This, in turn, has guided pertinent decisions and prioritisation of actions and recommendations in the domain of cybersecurity.   ETLは、欧州連合(EU)内のサイバーセキュリティの現状を把握し、傾向やパターンを洞察するための重要なツールとして機能してきた。その結果、サイバーセキュリティの領域における適切な決定や、行動や勧告の優先順位付けの指針となっている。 
Reporting over the course of 2023 and 2024, ETL highlights findings on the cybersecurity threat landscape during a yearlong geopolitical escalation. Throughout the latter part of 2023 and the initial half of 2024, there was a notable escalation in cybersecurity attacks, setting new benchmarks in both the variety and number of incidents, as well as their consequences. The ongoing regional conflicts still remain a significant factor shaping the cybersecurity landscape. The phenomenon of hacktivism has seen steady expansion, with major events taking place (e.g. European Elections) providing the motivation for increased hacktivist activity.  2023年から2024年にかけて、ETLは地政学的なエスカレーションが1年間続いたサイバーセキュリティの脅威状況に関する調査結果を発表した。2023年後半から2024年前半にかけて、サイバーセキュリティ攻撃は顕著にエスカレートし、インシデントの種類と数、そしてその影響において新たな基準を打ち立てた。現在進行中の地域紛争は、依然としてサイバーセキュリティの状況を形成する重要な要因である。ハクティビズム現象は着実に拡大しており、主要なイベント(欧州選挙など)がハクティビスト活動を活発化させる動機となっている。 
7 prime cybersecurity threats were identified, with threats against availability topping the chart and followed by ransomware and threats against data, and the report provides a relevant deepdive on each one of them by analysing several thousand publicly reported cybersecurity incidents and events:  7つの主要なサイバーセキュリティ脅威が特定され、可用性に対する脅威がトップで、ランサムウェアとデータに対する脅威がそれに続いた。本報告書では、公に報告された数千件のサイバーセキュリティインシデントとイベントを分析することで、それぞれの脅威を深く掘り下げている: 
• Ransomware  • ランサムウェア 
• Malware  • マルウェア 
• Social Engineering   • ソーシャル・エンジニアリング 
• Threats against data   • データに対する脅威 
• Threats against availability: Denial of Service  • 可用性に対する脅威:サービス拒否 
• Information manipulation and interference  • 情報操作と妨害 
• Supply chain attacks  • サプライチェーン攻撃 
The report is complemented by a detailed analysis of the vulnerability landscape during 2023 and 2024, as well as a detailed analysis of four distinct threat actors’ categories, namely:  本報告書は、2023年と2024年における脆弱性状況の詳細な分析と、4つの異なる脅威行為者のカテゴリー、すなわち、4つの脅威行為者の詳細な分析によって補完されている: 
• State-nexus actors;  • 国家関連行為者; 
• Cybercrime actors and hacker-for-hire actors;  • サイバー犯罪者と雇われハッカー; 
• Private Sector Offensive actors (PSOA);  • 民間部門の攻撃脅威者(PSOA); 
• Hacktivists.  •  ハクティビスト
With 2024 being the year that NIS2 Directive comes into force, an analysis of the cybersecurity threat landscape across different sectors is provided. Notably, we have again observed a large number of events targeting organisations in the public administration (19%), transport (11%) and finance (9%) sectors.   2024年はNIS2指令が発効する年であり、様々な分野におけるサイバーセキュリティの脅威状況の分析が行われている。注目すべきは、行政(19%)、運輸(11%)、金融(9%)の各分野の組織を標的にした事象の多さである。 
The key findings and judgments in this assessment are based on multiple and publicly available resources. The report is mainly targeted at strategic decision-makers and policy-makers, while also being of interest to the technical cybersecurity community.  本アセスメントにおける主要な発見と判断は、複数の一般に入手可能なリソースに基づいている。本報告書は主に戦略的意思決定者や政策立案者を対象としているが、サイバーセキュリティの技術コミュニティにとっても興味深い内容となっている。 

 

 

プレス...

Reporting on Threathunt 2030: Navigating the future of the cybersecurity threat landscape Threathunt 2030に関する報告:サイバーセキュリティ脅威の将来像をナビゲート
The European Union Agency for Cybersecurity (ENISA) organised the 2024 edition of the ‘Threathunt 2030’ in Athens, the flagship conference on cybersecurity threats foresight. 欧州連合サイバーセキュリティ機関(ENISA)は、サイバーセキュリティ脅威の将来予測に関する主要な会議である「Threathunt 2030」の2024年版をアテネで開催した。
‘Threathunt 2030’ returned to highlight the significance of advanced foresight in prevention and response efforts towards emerging cybersecurity and hybrid threats. Through a series of interactive panels, ENISA addressed various aspects of foresight in the area of cybersecurity threats, with a view to improve resilience and security across the EU. Threathunt 2030」は、新たに発生するサイバーセキュリティおよびハイブリッド型脅威に対する予防と対応の取り組みにおける高度な将来予測の重要性を強調するために開催された。一連のインタラクティブなパネルディスカッションを通じて、ENISAは、EU全体のレジリエンスとセキュリティの改善を目的として、サイバーセキュリティ脅威の分野におけるフォアサイトのさまざまな側面について取り上げた。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar highlighted that: “Especially for 2024, foresight is key for cybersecurity strategic planning. Technological evolution, the current geopolitical situation, along with the cybersecurity landscape call for preparedness against anticipated or not-anticipated challenges and threats.”. EUサイバーセキュリティ機関のジュハン・レパサー(Juhan Lepassaar)事務局長は次のように強調した。「特に2024年については、サイバーセキュリティ戦略計画においてフォアサイトが鍵となる。技術の進化、現在の地政学的状況、サイバーセキュリティの状況を踏まえると、予想される、あるいは予想されない課題や脅威に対する備えが必要となる。
Over time, the ENISA Threat Landscape has served as a crucial tool for understanding the present state of cybersecurity within the EU, furnishing insights into trends and patterns. This, in turn, has guided pertinent decisions and prioritisation of actions and recommendations in the domain of cybersecurity. Based on that statement, Threathunt 2030 discussions explored the interlink between geopolitical developments and the emergence of new threat actors and targets. ENISAの脅威の全体像は、EU内のサイバーセキュリティの現状を把握するための重要なツールとして、トレンドやパターンに関する洞察を提供してきた。これにより、サイバーセキュリティの分野における適切な意思決定や行動、提言の優先順位付けが導かれる。この声明に基づき、Threathunt 2030の議論では、地政学的な展開と新たな脅威行為者や標的の出現との関連性が探求された。
The first panel of the Threathunt2030 aimed to shed some light on how EU Member States and the EU can boost their capacity to prevent, deter and respond to cyber threats and attacks in the run up to 2030. It also examined what would be the role of ENISA in short and long-term planning of related strategies. Threathunt2030の最初のパネルディスカッションでは、2030年に向けてEU加盟国およびEUがサイバー脅威や攻撃の防止、抑止、対応能力を高める方法について考察した。また、関連戦略の短期および長期計画におけるENISAの役割についても検討した。
The second panel explored the role and influence of AI (artificial intelligence) and PQC (post quantum computing) and tried to identify the most pressing AI and PQC driven cybersecurity threats. 2つ目のパネルでは、AI(人工知能)とPQC(ポスト量子コンピューティング)の役割と影響を探り、AIとPQCがもたらす最も差し迫ったサイバーセキュリティの脅威を識別しようとした。
The third round of discussions consisted of a fireside chat between the  Executive Assistant Director of CISA, Jeff Greene and the ENISA Executive Director, Juhan Lepassaar elaborating on the cooperation between CISA and ENISA and how it could be streamlined in the best possible way. The goal is to accommodate common needs of USA and EU and to harmonise relevant initiatives. 3つ目のディスカッションでは、CISAのジェフ・グリーン(Jeff Greene)執行副局長とENISAのユハン・レパサー(Juhan Lepassaar)局長による対談が行われ、CISAとENISAの協力関係について詳しく説明し、それをどのようにして最善の方法で合理化できるかを議論した。その目的は、米国とEUの共通のニーズに対応し、関連するイニシアティブを調和させることである。
The panel titled “2030: Scenarios around the world” focused on the possible future developments in the cyber threat landscape as a consequence of geopolitics in the next 5 years. 「2030年:世界のシナリオ」と題されたパネルでは、今後5年間の地政学的な結果として、サイバー脅威の状況がどのように変化する可能性があるかに焦点が当てられた。
The last panel, consisting of the three influential cybersecurity agencies, examined the ways to incorporate foresight and long-term strategic thinking into all involved current cybersecurity frameworks to better prepare for future threats. In this context, panelists examined whether the use of foresight can actually become a key driver of change for governments and cybersecurity policy initiatives. 最後のパネルでは、影響力のある3つのサイバーセキュリティ機関が、将来の脅威に備えるために、現在のサイバーセキュリティの枠組みすべてに、予測と長期的な戦略的思考を取り入れる方法を検討した。この文脈において、パネリストは、将来を見据えるという手法が実際に政府やサイバーセキュリティ政策イニシアティブの変革の主要な推進力となり得るかどうかを検討した。
As a conclusion, it is fundamental to learn from the past, to take advantage of the opportunities of the present and to prepare for the future. 結論として、過去から学び、現在の機会を活用し、将来に備えることが基本である。
You may find additional photos from the conference here. このカンファレンスの追加の写真はこちらでご覧いただけます。
Did you know that ENISA published the 2024 Threat Landscape Report? ENISAが2024年の脅威の状況に関するレポートを発行したことをご存知だろうか?
This year the publication of the annual ENISA Threat Landscape report coincided with the ‘Threathunt 2030’ conference, making a significant contribution to the discussion. Prominent cybersecurity threat groups identified through analysis were ransomware and malware, social engineering, threats against data and threats against availability (Denial of Service), information manipulation and interference, along with supply chain attacks. 今年のENISAの脅威の状況に関する年次レポートの発行は、「Threathunt 2030」会議と時期が重なり、議論に大きく貢献した。分析により識別された著名なサイバーセキュリティの脅威グループは、ランサムウェアとマルウェア、ソーシャルエンジニアリング、データに対する脅威、可用性に対する脅威(サービス拒否)、情報操作と干渉、サプライチェーン攻撃などである。
For another year, DDoS and ransomware attacks lead in the rankings as the most reported forms of attacks, accounting for more than half of the observed events. It is notable that, compared to last year’s findings, there was an inversion in the rankings, with DDoS attacks moving to first place and ransomware dropping to second. ETL 2024 is based on and analyses more than 11,000 incidents in total. The sectorial analysis conducted revealed that the most target sector was Public Administration (19%), followed by Transport (11%). DDoS攻撃とランサムウェア攻撃は、観測されたイベントの半数以上を占め、最も報告された攻撃形態として今年もランキングのトップを占めた。注目すべきは、昨年の調査結果と比較すると、DDoS攻撃が1位に、ランサムウェアが2位に順位が逆転したことである。ETL 2024は、合計11,000件以上のインシデントを基に分析している。実施されたセクター分析により、最も標的とされたセクターは行政(19%)で、次いで運輸(11%)であることが明らかになった。
Further Information 詳細情報
ENISA Threat Landscape 2024 — ENISA (europa.eu) ENISA 2024年の脅威の概観 — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024 — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新 — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024: Executive Summary — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新:エグゼクティブサマリー — ENISA (europa.eu)
Foresight Cybersecurity Threats For 2030 - Update 2024: Extended report — ENISA (europa.eu) 2030年のサイバーセキュリティ脅威予測 - 2024年更新:拡張レポート — ENISA (europa.eu)
Skills shortage and unpatched systems soar to high-ranking 2030 cyber threats — ENISA (europa.eu) スキル不足とパッチ未適用のシステムが、2030年のサイバー脅威の上位に急上昇 — ENISA (europa.eu)
Threathunt 2030: How to Hunt Down Emerging & Future Cyber Threats — ENISA (europa.eu) Threathunt 2030:新興および将来のサイバー脅威の追跡方法 — ENISA (europa.eu)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

昨年の報告書...

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

 

 

 

 

| | Comments (0)

2024.09.20

米国 NSA、FBI、サイバー国家作戦部隊、Five Eyes 中国関連のアクターとボットネット活動に関する勧告 (2024.09.18)

こんにちは、丸山満彦です。

米国 NSA、FBI、サイバー国家作戦部隊とFive Eyesのサイバーセキュリティセンターが、中国関連のアクターとボットネット活動に関する勧告を発表していますね...IoT機器ですね...

中国の北京に拠点を置く上場企業?であるIntegrity Technology Group (Integrity Tech) が管理する2021年半ばから活動しているボットネットは、定期的に10,000台から100,000台の感染したデバイスを維持されていて、2024年6月現在では260,000台以上のデバイスで構成されているようです...

で、今回、裁判所の許可を得て、このボットネットを破壊したということのようです...

 

National Security Agency/Central Security Service

・2024.09.18 NSA and Allies Issue Advisory about PRC-Linked Actors and Botnet Operations

NSA and Allies Issue Advisory about PRC-Linked Actors and Botnet Operations NSAと同盟国、中国関連のアクターとボットネット活動に関する勧告を発表
FORT MEADE, Md. - The National Security Agency (NSA) joins the Federal Bureau of Investigation (FBI), the United States Cyber Command’s Cyber National Mission Force (CNMF), and international allies in releasing new information about People’s Republic of China (PRC)-linked cyber actors who have compromised internet-connected devices worldwide to create a botnet and conduct malicious activity . メリーランド州フォート・ミード - 国家安全保障局(NSA)は、連邦捜査局(FBI)、米国サイバーコマンドのサイバー国家任務部隊(CNMF)、および国際同盟国とともに、ボットネットを構築し悪意のある活動を行うために世界中のインターネット接続デバイスを侵害した中国(PRC)関連のサイバーアクターに関する新たな情報を公開した。
The Cybersecurity Advisory (CSA) released by the agencies, “People’s Republic of China-Linked Actors Compromise Routers and IoT Devices for Botnet Operations,” highlights the threat posed by these actors and their botnet, a network of compromised nodes positioned for malicious activity. 各機関が発表したサイバーセキュリティ勧告(CSA)「中華人民共和国に関連する行為者によるボットネット作戦のためのルーターおよびIoTデバイスの侵害」では、これらの行為者および悪意ある活動を行うために配置された侵害されたノードのネットワークであるボットネットがもたらす脅威が強調されている。
“The botnet incorporates thousands of U.S. devices with victims in a range of sectors,” said Dave Luber, NSA Cybersecurity Director. “The advisory provides new and timely insight into the botnet infrastructure, the countries where compromised devices are located, and mitigations for securing devices and eliminating this threat. NSAのサイバーセキュリティディレクターであるデイブ・ルーバー氏は次のように述べた。「ボットネットは、さまざまな分野の被害者である数千台の米国のデバイスを組み込んでいる。この勧告は、ボットネットのインフラ、侵害されたデバイスが位置する国々、そしてデバイスを保護し、この脅威を排除するための低減策について、新しい洞察をタイムリーに提供してる。」
Device vendors, owners, and operators are encouraged to update and secure their devices – particularly older devices – from being compromised and joining the botnet. Cybersecurity companies are also urged to use the CSA to help identify malicious activity. デバイスベンダー、所有者、および運営者は、特に古いデバイスを更新し、侵害されてボットネットに参加しないよう保護することが推奨される。また、サイバーセキュリティ企業には、CSAを活用して悪意ある活動を識別することが求められている。
Compromised internet-connected devices include small office/home office (SOHO) routers, firewalls, network-attached storage (NAS), and Internet of Things (IoT) devices, such as webcams, DVRs, and IP cameras. The actors create a botnet from these devices, which can be used to conceal their online activity, launch distributed denial of service (DDoS) attacks, or compromise U.S. networks. インターネットに接続された侵害されたデバイスには、小規模オフィス/ホームオフィス(SOHO)ルーター、ファイアウォール、ネットワーク接続ストレージ(NAS)、ウェブカメラ、デジタルビデオレコーダー(DVR)、IPカメラなどのIoTデバイスが含まれる。これらのデバイスからボットネットが構築され、オンライン上の活動を隠蔽したり、分散型サービス拒否(DDoS)攻撃を仕掛けたり、米国のネットワークを侵害したりするために使用される可能性がある。
As of June 2024, the botnet consisted of over 260,000 devices in North America, Europe, Africa, and Southeast Asia, according to the CSA. 2024年6月現在、ボットネットは北米、ヨーロッパ、アフリカ、東南アジアの26万台以上のデバイスで構成されていると、CSAは報告している。
NSA is releasing this joint advisory to help National Security Systems, Department of Defense, and Defense Industrial Base networks mitigate these cyber threats. The authors of the CSA recommend the following mitigations: NSAは、国家安全保障システム、国防総省、および防衛産業基盤ネットワークがこれらのサイバー脅威を軽減できるよう、この共同勧告を発表している。CSAの著者は、以下の低減策を推奨している。
・Regularly apply patches and updates, using automatic updates from trusted providers when available. ・信頼できるプロバイダから自動更新が利用可能な場合は、定期的にパッチと更新を適用する。
・Disable unused services and ports, such as automatic configuration, remote access, or file sharing protocols, which threat actors may abuse to gain initial access or to spread malware to other networked devices. ・脅威行為者が初期アクセスを獲得したり、他のネットワークデバイスにマルウェアを拡散したりするために悪用する可能性がある自動構成、リモートアクセス、ファイル共有プロトコルなどの未使用のサービスやポートを無効にする。
・Replace default passwords with strong passwords. ・デフォルトのパスワードを強力なパスワードに置き換える。
・Implement network segmentation with the principle of least privilege to ensure IoT devices within a larger network pose known, limited, and tolerable risks. ・最小権限の原則に従ってネットワークをセグメント化し、大規模なネットワーク内のIoTデバイスが既知の限定的な許容可能なリスクしか引き起こさないようにする。
・Monitor for high network traffic volumes to detect and mitigate DDoS incidents. ・大量のネットワークトラフィックを監視し、DDoSインシデントを検知して低減する。
・Plan for device reboots to remove non-persistent malware. ・非永続的なマルウェアを除去するためにデバイスの再起動を計画する。
・Replace end-of-life equipment with supported devices. ・サポート対象のデバイスに、耐用年数を過ぎた機器を交換する。
Read the full report here. 報告書全文はこちらからご覧いただけます。
Visit our full library for more cybersecurity information and technical guidance. サイバーセキュリティに関する情報や技術的なガイダンスについては、私たちのライブラリをご覧ください。

 

・[PDF] CSA: People’s Republic of China-Linked Actors Compromise Routers and IoT Devices for Botnet Operations

20240920-61938

 

サマリー...

People’s Republic of China-Linked Actors Compromise Routers and IoT Devices for Botnet Operations  中華人民共和国とつながりのあるハッカー集団が、ボットネット構築のためにルーターやIoTデバイスを侵害
Summary  要約 
The Federal Bureau of Investigation (FBI), Cyber National Mission Force (CNMF), and National Security Agency (NSA) assess that People’s Republic of China (PRC)-linked cyber actors have compromised thousands of Internet-connected devices, including small office/home office (SOHO) routers, firewalls, network-attached storage (NAS) and Internet of Things (IoT) devices with the goal of creating a network of compromised nodes (a “botnet”) positioned for malicious activity. The actors may then use the botnet as a proxy to conceal their identities while deploying distributed denial of service (DDoS) attacks or compromising targeted U.S. networks.  連邦捜査局(FBI)、サイバー国家任務部隊(CNMF)、国家安全保障局(NSA)は、中華人民共和国(PRC)に関連するサイバー犯罪者が、悪意ある活動を行うために配置された感染ノードのネットワーク(「ボットネット」)を作成することを目的として、小規模オフィス/ホームオフィス(SOHO)ルーター、ファイアウォール、ネットワーク接続ストレージ(NAS)、IoTデバイスなど、数千台のインターネット接続デバイスを侵害したとアセスメントしている。攻撃者は、ボットネットを代理として利用し、身元を隠しながら分散型サービス拒否(DDoS)攻撃を仕掛けたり、標的となる米国のネットワークを侵害したりする可能性がある。
Integrity Technology Group (Integrity Tech), a PRC-based company, has controlled and managed a botnet active since mid-2021. The botnet has regularly maintained between tens to hundreds of thousands of compromised devices. As of June 2024, the botnet consisted of over 260,000 devices. Victim devices which are part of the botnet have been observed in North America, South America, Europe, Africa, Southeast Asia and Australia.  中国に拠点を置く企業であるIntegrity Technology Group(Integrity Tech)は、2021年半ばから活動しているボットネットを制御および管理している。このボットネットは、定期的に10,000台から100,000台の感染したデバイスを維持している。2024年6月現在、このボットネットは260,000台以上のデバイスで構成されている。ボットネットの一部である被害者のデバイスは、北米、南米、ヨーロッパ、アフリカ、東南アジア、オーストラリアで観測されている。
While devices aged beyond their end-of-life dates are known to be more vulnerable to intrusion, many of the compromised devices in the Integrity Tech-controlled botnet are likely still supported by their respective vendors.   耐用年数を過ぎたデバイスは侵入に対してより脆弱であることが知られているが、インテグリティー・テックが管理するボットネットに感染したデバイスの多くは、依然としてそれぞれのベンダーによってサポートされている可能性が高い。 
FBI, CNMF, NSA, and allied partners are releasing this Joint Cyber Security Advisory to highlight the threat posed by these actors and their botnet activity and to encourage exposed device vendors, owners, and operators to update and secure their devices from being compromised and joining the botnet. Network defenders are advised to follow the guidance in the mitigations section to protect against the PRC-linked cyber actors’ botnet activity. Cyber security companies can also leverage the information in this advisory to assist with identifying malicious activity and reducing the number of devices present in botnets worldwide.   FBI、CNMF、NSA、および提携パートナーは、これらの行為者およびボットネット活動によってもたらされる脅威を強調し、感染したデバイスを更新してボットネットに参加しないよう、感染したデバイスのベンダー、所有者、および運営者に促すために、この共同サイバーセキュリティ勧告を発表している。ネットワーク防御者は、PRC 関連のサイバーアクターによるボットネット活動を防御するために、低減策のセクションに記載された指針に従うことが推奨される。サイバーセキュリティ企業も、この勧告に記載された情報を活用し、悪意のある活動を識別し、世界中のボットネットに存在するデバイスの数を減らすことができる。 
For additional information, see U.S. Department of Justice (DOJ) press release.   詳細については、米国司法省(DOJ)のプレスリリースを参照のこと。 

 

● Department of Justice - Office of Public Affairs 

・2024.09.18 Court-Authorized Operation Disrupts Worldwide Botnet Used by People’s Republic of China State-Sponsored Hackers

Court-Authorized Operation Disrupts Worldwide Botnet Used by People’s Republic of China State-Sponsored Hackers 裁判所認可の作戦により、中華人民共和国政府支援のハッカー集団が使用する世界規模のボットネットを混乱させる
Actors Unsuccessfully Sought to Prevent FBI’s Disruption of Botnet アクターは、FBIによるボットネットの妨害を阻止しようとしたが失敗した
Note: View the affidavit here. 注:宣誓供述書はこちら
The Justice Department today announced a court-authorized law enforcement operation that disrupted a botnet consisting of more than 200,000 consumer devices in the United States and worldwide. As described in court documents unsealed in the Western District of Pennsylvania, the botnet devices were infected by People’s Republic of China (PRC) state-sponsored hackers working for Integrity Technology Group, a company based in Beijing, and known to the private sector as “Flax Typhoon.” 司法省は本日、米国および世界中で20万台以上の消費者向けデバイスから構成されるボットネットを破壊した、裁判所認可の法執行作戦を発表した。 ペンシルベニア州西部地区で開封された裁判書類に記載されているように、ボットネットデバイスは、北京に拠点を置く企業であるインテグリティ・テクノロジー・グループ(民間部門では「Flax Typhoon」として知られている)のために働く中華人民共和国(PRC)政府支援のハッカーによって感染させられた。
The botnet malware infected numerous types of consumer devices, including small-office/home-office (SOHO) routers, internet protocol (IP) cameras, digital video recorders (DVRs), and network-attached storage (NAS) devices. The malware connected these thousands of infected devices into a botnet, controlled by Integrity Technology Group, which was used to conduct malicious cyber activity disguised as routine internet traffic from the infected consumer devices. The court-authorized operation took control of the hackers’ computer infrastructure and, among other steps, sent disabling commands through that infrastructure to the malware on the infected devices. During the course of the operation, there was an attempt to interfere with the FBI’s remediation efforts through a distributed denial-of-service (DDoS) attack targeting the operational infrastructure that the FBI was utilizing to effectuate the court’s orders. That attack was ultimately unsuccessful in preventing the FBI’s disruption of the botnet. ボットネットマルウェアは、小規模オフィス/ホームオフィス(SOHO)ルーター、インターネットプロトコル(IP)カメラ、デジタルビデオレコーダー(DVR)、ネットワーク接続ストレージ(NAS)など、多数の種類の消費者向けデバイスに感染した。このマルウェアは、感染した数千台のデバイスをボットネットに接続し、インテグリティー・テクノロジー・グループが制御するボットネットに感染したデバイスを、感染していない消費者向けデバイスからの日常的なインターネットトラフィックを装った悪質なサイバー活動に利用した。裁判所が認可したこの作戦では、ハッカーのコンピューター・インフラを制御し、そのインフラを通じて感染したデバイス上のマルウェアに無効化コマンドを送信するなど、さまざまな措置が取られた。作戦の過程では、FBIが裁判所の命令を実行するために利用していた作戦インフラを標的とした分散型サービス拒否(DDoS)攻撃により、FBIの修復作業を妨害しようとする試みもあった。この攻撃は最終的に、FBIによるボットネットの破壊を妨げることはできなかった。
“The Justice Department is zeroing in on the Chinese government backed hacking groups that target the devices of innocent Americans and pose a serious threat to our national security,” said Attorney General Merrick B. Garland. “As we did earlier this year, the Justice Department has again destroyed a botnet used by PRC-backed hackers to infiltrate consumer devices here in the United States and around the world. We will continue to aggressively counter the threat that China’s state- sponsored hacking groups pose to the American people.” 司法長官のメリック・B・ガーランド氏は次のように述べた。「司法省は、罪のない米国市民のデバイスを標的にし、わが国の国家安全保障に深刻な脅威をもたらしている中国政府支援のハッキンググループに狙いを定めている。今年初めに行ったように、司法省は今回も、中国支援のハッカーが米国および世界中の消費者デバイスに侵入するために使用したボットネットを破壊した。中国が支援するハッカー集団が米国国民に及ぼす脅威に対して、今後も積極的に対抗していく。」
“Our takedown of this state-sponsored botnet reflects the Department’s all-tools approach to disrupting cyber criminals. This network, managed by a PRC government contractor, hijacked hundreds of thousands of private routers, cameras, and other consumer devices to create a malicious system for the PRC to exploit,” said Deputy Attorney General Lisa Monaco. “Today should serve as a warning to cybercriminals preying on Americans – if you continue to come for us, we will come for you.” 「この国家支援によるボットネットの破壊は、サイバー犯罪者を混乱させるための司法省のあらゆる手段を駆使したアプローチを反映している。中国共産党政府の請負業者が管理するこのネットワークは、数十万台の個人用ルーター、カメラ、その他の消費者向け機器を乗っ取り、中国が利用するための悪質なシステムを構築していた」と、リサ・モナコ副司法長官は述べた。「今日という日は、アメリカ国民を狙うサイバー犯罪者たちへの警告となるべきだ。我々を狙い続けるのであれば、我々もあなた方を狙い続ける」と、リサ・モナコ副司法長官は述べた。
“This dynamic operation demonstrates, once again, the Justice Department’s resolve in countering the threats posed by PRC state-sponsored hackers,” said Assistant Attorney General Matthew G. Olsen of the National Security Division. “For the second time this year, we have disrupted a botnet used by PRC proxies to conceal their efforts to hack into networks in the U.S. and around the world to steal information and hold our infrastructure at risk. Our message to these hackers is clear: if you build it, we will bust it. 国家安全保障ディビジョンのマシュー・G・オルセン副司法長官は次のように述べた。「この機敏な作戦は、中国による国家支援を受けたハッカー集団がもたらす脅威に対抗する司法省の決意を、改めて示すものである。今年2度目となるが、中国が米国および世界中のネットワークへのハッキングを隠蔽するために使用しているボットネットを破壊した。これにより、情報を盗み、我々のインフラにリスクをもたらそうとする彼らの活動を阻止した。我々のハッカーたちへのメッセージは明確である。あなたたちが構築したものは、我々が破壊する、というものである。」
“The disruption of this worldwide botnet is part of the FBI’s commitment to using technical operations to help protect victims, expose publicly the scope of these criminal hacking campaigns, and to use the adversary’s tools against them to remove malicious infrastructure from the virtual battlefield,” said FBI Deputy Director Paul Abbate. “The FBI’s unique legal authorities allowed it to lead an international operation with partners that collectively disconnected this botnet from its China-based hackers at Integrity Technology Group.” FBI副長官ポール・アバテ氏は次のように述べた。「この世界規模のボットネットの破壊は、FBIが技術的運用を活用して、被害者の防御、犯罪的なハッキングキャンペーンの規模の公開、仮想戦場から悪意あるインフラを排除するための敵対者のツールの悪用を支援するという取り組みの一環である。FBIの独自の法的権限により、インテグリティー・テクノロジー・グループを拠点とする中国系ハッカーからボットネットを遮断する国際的な捜査を主導することが可能となった。」
“The targeted hacking of hundreds of thousands of innocent victims in the United States and around the world shows the breadth and aggressiveness of PRC state-sponsored hackers,” said U.S. Attorney Eric G. Olshan for the Western District of Pennsylvania. “This court-authorized operation disrupted a sophisticated botnet designed to steal sensitive information and launch disruptive cyber attacks. We will continue to work with our partners inside and outside government, using every tool at our disposal, to defend and maintain global cybersecurity.” ペンシルベニア州西部地区のエリック・G・オルシャン連邦検事は次のように述べた。「米国および世界中の何十万もの無実の被害者を標的にしたハッキングは、中国が支援するハッカー集団の広範かつ攻撃的な性質を示している。この裁判所認可の作戦により、機密情報の窃盗や破壊的なサイバー攻撃を目的とした高度なボットネットが破壊された。我々は今後も、政府内外のパートナーと協力し、あらゆる手段を駆使して、グローバルなサイバーセキュリティの防御と維持に努めていく。」
“The FBI’s investigation revealed that a publicly-traded, China-based company is openly selling its customers the ability to hack into and control thousands of consumer devices worldwide. This operation sends a clear message to the PRC that the United States will not tolerate this shameless criminal conduct,” said Special Agent in Charge Stacey Moy of the FBI San Diego Field Office. FBIサンディエゴ支局のステイシー・モイ特別捜査官は次のように述べた。「FBIの捜査により、中国に本社を置く上場企業が、世界中の何千もの消費者向けデバイスへのハッキングと制御を顧客に公然と販売していることが明らかになった。この作戦は、米国がこのような恥知らずな犯罪行為を容認しないという明確なメッセージを中国に送るものである。」
According to the court documents, the botnet was developed and controlled by Integrity Technology Group, a publicly-traded company headquartered in Beijing. The company built an online application allowing its customers to log in and control specified infected victim devices, including with a menu of malicious cyber commands using a tool called “vulnerability-arsenal.” The online application was prominently labelled “KRLab,” one of the main public brands used by Integrity Technology Group. 裁判所の書類によると、ボットネットは北京に本社を置く上場企業、インテグリティー・テクノロジー・グループによって開発および管理されていた。 同社は、顧客がログインして「脆弱性アーセナル」と呼ばれるツールを使用した悪意のあるサイバーコマンドのメニューを含む、特定の感染した被害者のデバイスを制御できるオンラインアプリケーションを構築した。 このオンラインアプリケーションは「KRLab」という目立つラベルが付けられており、インテグリティー・テクノロジー・グループが使用する主な公開ブランドの1つであった。
The FBI assesses that Integrity Technology Group, in addition to developing and controlling the botnet, is responsible for computer intrusion activities attributed to China-based hackers known by the private sector as “Flax Typhoon.” Microsoft Threat Intelligence described Flax Typhoon as nation-state actors based out of China, active since 2021, who have targeted government agencies and education, critical manufacturing, and information technology organizations in Taiwan, and elsewhere. The FBI’s investigation has corroborated Microsoft’s conclusions, finding that Flax Typhoon has successfully attacked multiple U.S. and foreign corporations, universities, government agencies, telecommunications providers, and media organizations. FBIは、インテグリティー・テクノロジー・グループがボットネットの開発と管理に加え、民間部門では「Flax Typhoon」として知られる中国を拠点とするハッカーによるコンピューター侵入活動にも責任があるとアセスメントしている。Microsoft Threat Intelligenceは、Flax Typhoonを、2021年から活動している中国を拠点とする国家主体の脅威行為者であり、台湾やその他の地域の政府機関や教育機関、重要な製造事業者、情報技術組織を標的にしていると説明している。FBIの調査では、マイクロソフト社の結論が裏付けられ、Flax Typhoonが米国および外国の複数の企業、大学、政府機関、通信プロバイダ、メディア組織を攻撃したことが判明した。
A cybersecurity advisory describing Integrity Technology Group tactics, techniques and procedures was also published today by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, and partner agencies in Australia, Canada, New Zealand and the United Kingdom インテグリティ・テクノロジー・グループの戦術、技術、手順を説明するサイバーセキュリティ勧告も、FBI、国家安全保障局、米サイバー軍のサイバー国家任務部隊、およびオーストラリア、カナダ、ニュージーランド、英国のパートナー機関によって本日発表された。
The government’s malware disabling commands, which interacted with the malware’s native functionality, were extensively tested prior to the operation. As expected, the operation did not affect the legitimate functions of, or collect content information from, the infected devices. The FBI is providing notice to U.S. owners of devices that were affected by this court-authorized operation. The FBI is contacting those victims through their internet service provider, who will provide notice to their customers. この政府によるマルウェア無効化コマンドは、マルウェアのネイティブ機能と相互に作用するもので、作戦に先立って広範囲にわたるテストが行われた。予想通り、この作戦は感染したデバイスの正当な機能に影響を与えることも、コンテンツ情報を収集することもなかった。FBIは、この裁判所認可の作戦の影響を受けたデバイスの米国所有者に通知を行っている。FBIは、インターネットサービスプロバイダを通じてこれらの被害者に連絡しており、プロバイダは顧客に通知を行う。
The FBI’s San Diego Field Office and Cyber Division, the U.S. Attorney’s Office for the Western District of Pennsylvania, and the National Security Cyber Section of the Justice Department’s National Security Division led the domestic disruption effort. Assistance was also provided by the Criminal Division’s Computer Crime and Intellectual Property Section. These efforts would not have been successful without the collaboration of partners, including French authorities, and Lumen Technologies’ threat intelligence group, Black Lotus Labs, which first identified and described this botnet, which it named Raptor Train, in July 2023. FBIサンディエゴ支局およびサイバー犯罪課、ペンシルベニア州西部地区連邦検事事務所、司法省国家安全保障部門の国家安全保障サイバー課が、国内での撹乱活動の指揮を執った。また、刑事局のコンピュータ犯罪および知的財産セクションからも支援が提供された。これらの取り組みは、フランス当局をはじめとするパートナーや、2023年7月にこのボットネットを最初に識別し、Raptor Trainと名付けたLumen Technologiesの脅威インテリジェンスグループであるBlack Lotus Labsとの協力がなければ成功することはなかっただろう。
If you believe you have a compromised computer or device, please visit the FBI’s Internet Crime Complaint Center (IC3) or report online to CISA. You may also contact your local FBI field office directly. 感染したコンピュータまたはデバイスをお持ちの場合は、FBIのインターネット犯罪苦情センター(IC3)にアクセスするか、CISAにオンラインで報告してください。また、最寄りのFBIの現地事務所に直接連絡することもできます。
The FBI continues to investigate Integrity Technology Group’s and Flax Typhoon’s computer intrusion activities. FBIは、インテグリティ・テクノロジー・グループおよびフラックスタイフーンのコンピュータ侵入活動を継続して調査しています。

 

・[PDF] affidavit.

20240920-63042

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.02.03 米国 司法省 重要インフラのハッキングを隠蔽するために使用された中華人民共和国のボットネットを破壊(だから、IoT認証が重要...)

 

 

| | Comments (0)

2024.09.01

米国 CISA FBI MS-ISAC HHS RansomHubランサムウェアに対する警告 (2024.08.29)

こんにちは、丸山満彦です。

CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、MS-ISAC(複数州情報共有分析センター)、HHS(保健福祉省)が共同で、既知のRansomHubランサムウェアのIOCおよびTTPを周知するためのアドバイザリーを公表していますね...

 

CISA

・2024.08.29 CISA and Partners Release Advisory on RansomHub Ransomware

CISA and Partners Release Advisory on RansomHub Ransomware CISAとパートナーがランサムウェア「RansomHub」に関する勧告を発表
Today, CISA—in partnership with the Federal Bureau of Investigation (FBI), Multi-State Information Sharing and Analysis Center (MS-ISAC), and Department of Health and Human Services (HHS)—released a joint Cybersecurity Advisory, #StopRansomware: RansomHub Ransomware. This advisory provides network defenders with indicators of compromise (IOCs), tactics, techniques, and procedures (TTPs), and detection methods associated with RansomHub activity identified through FBI investigations and third-party reporting as recently as August 2024. 本日、CISAは連邦捜査局(FBI)、多州間情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)と共同で、サイバーセキュリティに関する共同勧告「#StopRansomware: RansomHub Ransomware(ランサムウェアの阻止:RansomHubランサムウェア)」を発表した。この勧告は、2024年8月に行われたFBIの調査およびサードパーティからの報告により識別されたRansomHubの活動に関連する、侵害の兆候(IOC)、戦術、技術、手順(TTP)、および検知方法について、ネットワーク防御者に提供するものである。
RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—which has recently attracted high-profile affiliates from other prominent variants such as LockBit and ALPHV. RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、最近ではLockBitやALPHVなどの他の著名な亜種から注目度の高い関連組織を引きつけている。
CISA encourages network defenders to review this advisory and apply the recommended mitigations. See #StopRansomware and the #StopRansomware Guide for additional guidance on ransomware protection, detection, and response. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including added recommended baseline protections. CISAは、ネットワークの防御担当者に本勧告を確認し、推奨される低減策を適用するよう促している。ランサムウェアの防御、検知、対応に関する追加のガイダンスについては、#StopRansomwareおよび#StopRansomwareガイドを参照のこと。推奨される追加のベースライン防御策を含むCPGの詳細については、CISAの「Cross-Sector Cybersecurity Performance Goals」を参照のこと。
CISA encourages software manufacturers to take ownership of improving the security outcomes of their customers by applying secure by design methods. For more information on Secure by Design, see CISA’s Secure by Design webpage and joint guide Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software. CISAは、ソフトウェア製造事業者に対して、セキュア・バイ・デザイン手法を適用することで、顧客のセキュリティ成果の改善に責任を持つことを推奨している。セキュア・バイ・デザインの詳細については、CISAのセキュア・バイ・デザインに関するウェブページおよび共同ガイド「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザインソフトウェアのための原則とアプローチ」を参照のこと。

 

 

・2024.08.29 #StopRansomware: RansomHub Ransomware

#StopRansomware: RansomHub Ransomware #StopRansomware:ランサムウェア
Alert Code : AA24-242A 警告コード:AA24-242A
Actions to take today to mitigate cyber threats from ransomware: ランサムウェアによるサイバー脅威を低減するために今日行うべき対策:
・Install updates for operating systems, software, and firmware as soon as they are released. ・オペレーティングシステム、ソフトウェア、およびファームウェアのアップデートがリリースされたら、できるだけ早くインストールする。
・Require phishing-resistant MFA (i.e., non-SMS text based) for as many services as possible. ・可能な限り多くのサービスで、フィッシングに強いMFA(SMSテキストベースではない)を要求する。
・Train users to recognize and report phishing attempts. ・ユーザーにフィッシングの試みを認識し報告するようトレーニングする。
Summary まとめ
Note: This joint Cybersecurity Advisory is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and ransomware threat actors. These #StopRansomware advisories include recently and historically observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn more about other ransomware threats and no-cost resources. 注:この共同サイバーセキュリティ勧告は、さまざまなランサムウェアの亜種とランサムウェアの脅威行為者を詳細に説明する勧告をネットワーク防御者に公表する、継続中の#StopRansomware活動の一部である。これらの #StopRansomware 勧告には、最近および過去に観測された戦術、技術、手順(TTP)や侵入の痕跡(IOC)が含まれており、組織がランサムウェアに対する防御を強化するのに役立つ。stopransomware.gov にアクセスすると、すべての #StopRansomware 勧告を確認できるほか、その他のランサムウェアの脅威や無償のリソースについて詳しく知ることができる。
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), the Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Department of Health and Human Services (HHS) (hereafter referred to as the authoring organizations) are releasing this joint advisory to disseminate known RansomHub ransomware IOCs and TTPs. These have been identified through FBI threat response activities and third-party reporting as recently as August 2024. RansomHub is a ransomware-as-a-service variant—formerly known as Cyclops and Knight—that has established itself as an efficient and successful service model (recently attracting high-profile affiliates from other prominent variants such as LockBit and ALPHV). 連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、複数州情報共有・分析センター(MS-ISAC)、保健福祉省(HHS)(以下、作成組織)は、既知のRansomHubランサムウェアのIOCおよびTTPを周知するために、この共同勧告を発表する。これらは、2024年8月にもFBIの脅威対応活動やサードパーティの報告を通じて識別されている。RansomHubは、以前はCyclopsやKnightとして知られていたランサムウェア・アズ・ア・サービス(RaaS)の亜種であり、効率的で成功したサービスモデルとして確立されている(最近では、LockBitやALPHVなどの他の著名な亜種から注目度の高い提携先を引きつけている)。
Since its inception in February 2024, RansomHub has encrypted and exfiltrated data from at least 210 victims representing the water and wastewater, information technology, government services and facilities, healthcare and public health, emergency services, food and agriculture, financial services, commercial facilities, critical manufacturing, transportation, and communications critical infrastructure sectors. 2024年2月の発足以来、RansomHubは、上下水道、IT、政府サービスおよび施設、ヘルスケアおよび公衆衛生、緊急サービス、食品および農業、金融サービス、商業施設、重要製造事業者、交通、コミュニケーションといった重要インフラ部門の少なくとも210人の被害者からデータを暗号化し、外部に持ち出している。
The affiliates leverage a double-extortion model by encrypting systems and exfiltrating data to extort victims. It should be noted that data exfiltration methods are dependent on the affiliate conducting the network compromise. The ransom note dropped during encryption does not generally include an initial ransom demand or payment instructions. Instead, the note provides victims with a client ID and instructs them to contact the ransomware group via a unique .onion URL (reachable through the Tor browser). The ransom note typically gives victims between three and 90 days to pay the ransom (depending on the affiliate) before the ransomware group publishes their data on the RansomHub Tor data leak site. このグループは、システムを暗号化しデータを外部に持ち出すという二重の恐喝モデルを活用して、被害者から金銭を脅し取っている。 データ外部流出の手法は、ネットワーク侵害を実行するグループによって異なる点に留意すべきである。 暗号化中にドロップされる身代金要求書には、通常、当初の身代金要求や支払い指示は含まれていない。代わりに、そのメモにはクライアントIDが記載されており、Torブラウザでアクセス可能な.onion URLを通じてランサムウェアグループに連絡するよう指示されている。 ランサムメモでは、通常、ランサムウェアグループがTorデータ漏洩サイトRansomHubにデータを公開する前に、被害者に3日から90日の間に身代金を支払うよう求めている(アフィリエイトによって異なる)。
The authoring organizations encourage network defenders to implement the recommendations in the Mitigations section of this cybersecurity advisory to reduce the likelihood and impact of ransomware incidents. 作成組織は、ネットワークの防御担当者に、ランサムウェアのインシデントの可能性と影響を低減するために、このサイバーセキュリティ勧告の「低減策」セクションに記載されている推奨事項を実施するよう呼びかけている。

 

・[PDF

20240901-91746

 

 

 

 

| | Comments (0)

2024.08.05

米国 GAO ブログ CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする (2024.07.30)

こんにちは、丸山満彦です。

GAOがブログで、ソフトウェアアップデートによるサイバー上の脆弱性について言及していますね...

意図的なかったとしても、多くの企業で利用されているソフトウェアにバグがあり、それがOS等に影響を及ぼし、バックドアが生じてしまったり、システムが正常に起動できなくなってしまうことは、社会的にも大きなリスクですよね...

かなり気にしているような気がします...

 

U.S. Government Accountability Office; GAO

・2024.07.30 CrowdStrike Chaos Highlights Key Cyber Vulnerabilities with Software Updates

CrowdStrike Chaos Highlights Key Cyber Vulnerabilities with Software Updates CrowdStrikeの混乱がソフトウェア・アップデートによる主要なサイバー脆弱性を浮き彫りにする
Earlier this month, a software update from the cybersecurity firm CrowdStrike caused Microsoft Windows operating systems to crash—resulting in potentially the largest IT outage in history. 今月初め、サイバーセキュリティ企業CrowdStrikeのソフトウェア・アップデートにより、マイクロソフト社のウィンドウズOSがクラッシュし、史上最大規模のIT障害が発生した。
Disruptions were widespread. Around the world, businesses and services were unable to operate as computers crashed, and some critical infrastructure sectors (like transportation, healthcare, and finance) were disrupted. For example, commercial flights were grounded, critical hospital care was interrupted, and financial institutions were unable to service clients. 混乱は広範囲に及んだ。世界中で、コンピューターがクラッシュしたため、ビジネスやサービスが運営できなくなり、重要なインフラ部門(交通、医療、金融など)も混乱した。例えば、民間航空便は欠航し、重要な病院医療は中断され、金融機関は顧客へのサービスができなくなった。
Here at GAO, we have long highlighted concerns for Congress about IT vulnerabilities, a lack of security awareness, poor cyber hygiene, and a need for more cyber preventative measures to combat disruptions like the CrowdStrike outage. In our prior work, we have identified risks to the nation’s critical infrastructure sectors and in the supply chain of software supporting IT systems. ここGAOでは、ITの脆弱性、セキュリティ意識の欠如、サイバー衛生の不備、そしてクラウドストライクのような障害に対抗するためのサイバー予防策の必要性について、以前から議会に対して懸念を表明してきた。また、CrowStrikeのような障害に対抗するため、より多くのサイバー予防策が必要である。私たちは、これまでの調査で、国の重要インフラ部門やITシステムを支えるソフトウェアのサプライチェーンにおけるリスクを指摘してきた。
Today’s WatchBlog post looks at this work, including our June update to the High Risk List. 本日のWatchBlogでは、6月に更新したハイリスクリストを含め、この作業について紹介する。
CrowdStrike crash caused by supply chain vulnerability similar to SolarWinds attack CrowdStrikeのクラッシュは、SolarWindsの攻撃と同様のサプライチェーンの脆弱性が原因だった
So far, what we know about the CrowdStrike crash is that it was caused by human error and not a cyberattack or malicious intent. But the crash highlights the same vulnerabilities we saw during the SolarWinds attack in 2019. Instead of attacking systems directly, malicious actors targeted the software used to support them. 今のところ、CrowdStrikeのクラッシュについてわかっていることは、サイバー攻撃や悪意ではなく、人為的なミスによるものだということだ。しかし、この事故は、2019年のSolarWinds攻撃で見られたのと同じ脆弱性を浮き彫りにしている。悪意ある行為者はシステムを直接攻撃するのではなく、システムをサポートするためのソフトウェアを標的にしたのだ。
SolarWinds attack. Beginning in September 2019, the Russian Foreign Intelligence Service led a campaign of cyberattacks, breaking into the computing networks of SolarWinds—a Texas-based network management software company. The software was widely used by the federal government to monitor activities and manage devices on federal networks. SolarWinds攻撃:2019年9月から、ロシア対外情報庁はサイバー攻撃のキャンペーンを主導し、テキサス州に拠点を置くネットワーク管理ソフトウェア会社、SolarWindsのコンピューティング・ネットワークに侵入した。このソフトウェアは連邦政府が連邦ネットワーク上の活動を監視し、デバイスを管理するために広く使用されていた。
Hackers injected trojanized (hidden) code into verified SolarWinds software updates. When SolarWinds released the software updates to its customers, the threat actor gained a “backdoor,” or remote access, to customers’ networks and systems. The attack was discovered more than a year later in November 2020. ハッカーたちは、検証済みのSolarWindsのソフトウェア・アップデートにトロイの木馬化した(隠された)コードを注入した。SolarWindsがそのソフトウェア・アップデートを顧客にリリースすると、脅威者は顧客のネットワークとシステムへの「バックドア」、つまりリモート・アクセスを獲得した。この攻撃は1年以上後の2020年11月に発見された。
We provide a timeline of these attacks and the response in our April 2021 blog post. これらの攻撃とその対応については、2021年4月のブログ記事で時系列で紹介している。
Protecting the software supply chain. As we saw with CrowdStrike and SolarWinds, faulty or manipulated software updates can have cascading, widespread impacts on IT systems. ソフトウェアのサプライチェーンを守る CrowdStrikeやSolarWindsで見られたように、欠陥のある、あるいは操作されたソフトウェアのアップデートは、ITシステムに連鎖的かつ広範囲に影響を及ぼす可能性がある。
In our prior work, we’ve identified 7 practices to manage and protect federal IT against these risks. But when we looked at how agencies (23 of them) implemented these practices, we found that few had. Learn more by listening to our podcast with GAO’s Carol Harris about supply chain risks. 私たちはこれまでの研究で、連邦政府のITをこうしたリスクから管理・保護するための7つの手法を明らかにしてきた。しかし、これらのプラクティスを連邦政府機関(23機関)がどのように実施しているかを調べたところ、実施している機関はほとんどなかった。詳しくは、GAOのキャロル・ハリスによるサプライチェーンリスクに関するポッドキャストを聞いてほしい。


Transcript
Many manufacturers of IT products and services are located overseas, which also creates vulnerabilities for the United States. The federal government needs to take action to better monitor the global supply chain against emerging threats. These threats include those against the Department of Defense, which we reported on in May 2023. IT製品やサービスの製造業者の多くは海外にあり、米国にも脆弱性がある。連邦政府は、新たな脅威に対してグローバル・サプライチェーンをよりよく監視するための行動をとる必要がある。こうした脅威には、2023年5月に報告した国防総省に対するものも含まれる。
Cybersecurity issues like these are High Risk. Here’s what needs to happen このようなサイバーセキュリティ問題はハイリスクである。必要なことは以下の通りである。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures—like that on SolarWinds, and others—are growing in number, impact, and sophistication. This issue is so significant that in June, we updated our High Risk designation for cybersecurity. This update includes descriptions of the major challenges facing the federal government in its efforts to protect against attacks. Some of these challenges are related to the vulnerabilities seen during the CrowdStrike and SolarWinds software updates and responses. SolarWinds社やその他の企業に対するサイバー攻撃のように、連邦政府や国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。この問題は非常に重大であるため、6月にサイバーセキュリティのハイリスク指定を更新した。この更新には、連邦政府が攻撃から保護するために直面している主な課題の説明が含まれている。これらの課題のいくつかは、CrowdStrikeとSolarWindsのソフトウェアのアップデートと対応で見られた脆弱性に関連している。
National Cybersecurity Strategy. Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But when we looked at the strategy, we found it needed outcome-oriented performance measures for its various initiatives. 国家サイバーセキュリティ戦略。昨年、ホワイトハウスは「国家サイバーセキュリティ戦略」を発表し、国が直面するサイバーセキュリティの長年の課題に対処するために政府が取るべき措置を概説した。しかし、この戦略を検証したところ、さまざまな取り組みに対して成果志向のパフォーマンス指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risks associated with emerging technologies—such as artificial intelligence. さらに連邦政府は、グローバルなサプライチェーンを確実に監視し、必要とされる高度なスキルを持つサイバー人材を確保し、人工知能などの新たな技術に関連するリスクに対処するための措置を講じる必要がある。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の提言のうち170件が実施されていない。
Critical infrastructure sectors remain vulnerable. Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. For example, a February attack on Change Healthcare (a health payment processor) resulted in nearly $874 million in financial loses and widespread disruptions for providers and patient care. Healthcare is just one of the 16 critical infrastructure sectors that are vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate.
重要インフラ部門は依然として脆弱である。重要インフラ部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。例えば、2月のチェンジ・ヘルスケア(医療費支払い処理会社)への攻撃は、約8億7400万ドルの金銭的損失をもたらし、医療提供者と患者ケアに広範な混乱をもたらした。ヘルスケアは、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらの部門はすべて、ITシステムに大きく依存している。
Many manufacturers of IT products and services are located overseas, which also creates vulnerabilities for the United States. The federal government needs to take action to better monitor the global supply chain against emerging threats. These threats include those against the Department of Defense, which we reported on in May 2023. IT製品やサービスの製造業者の多くは海外にあり、米国にも脆弱性がある。連邦政府は、新たな脅威に対してグローバル・サプライチェーンをよりよく監視するための行動をとる必要がある。こうした脅威には、2023年5月に報告した国防総省に対するものも含まれる。
Cybersecurity issues like these are High Risk. Here’s what needs to happen このようなサイバーセキュリティ問題はハイリスクである。必要なことは以下の通りである。
Malicious cyberattacks on the federal government and the nation’s critical infrastructures—like that on SolarWinds, and others—are growing in number, impact, and sophistication. This issue is so significant that in June, we updated our High Risk designation for cybersecurity. This update includes descriptions of the major challenges facing the federal government in its efforts to protect against attacks. Some of these challenges are related to the vulnerabilities seen during the CrowdStrike and SolarWinds software updates and responses. SolarWinds社やその他の企業に対するサイバー攻撃のように、連邦政府や国家の重要インフラに対する悪質なサイバー攻撃は、その数、影響力、巧妙さを増している。この問題は非常に重大であるため、6月にサイバーセキュリティのハイリスク指定を更新した。この更新には、連邦政府が攻撃から保護するために直面している主な課題の説明が含まれている。これらの課題のいくつかは、CrowdStrikeとSolarWindsのソフトウェアのアップデートと対応で見られた脆弱性に関連している。
National Cybersecurity Strategy. Last year, the White House issued a National Cybersecurity Strategy outlining steps the government is taking to address the longstanding cybersecurity challenges facing the country. But when we looked at the strategy, we found it needed outcome-oriented performance measures for its various initiatives. 国家サイバーセキュリティ戦略。昨年、ホワイトハウスは「国家サイバーセキュリティ戦略」を発表し、国が直面するサイバーセキュリティの長年の課題に対処するために政府が取るべき措置を概説した。しかし、この戦略を検証したところ、さまざまな取り組みに対して成果志向のパフォーマンス指標が必要であることがわかった。
In addition, the federal government needs to take action to ensure it is monitoring the global supply chain, confirm it has the highly skilled cyber workforce it needs, and address risks associated with emerging technologies—such as artificial intelligence. さらに連邦政府は、グローバルなサプライチェーンを確実に監視し、必要とされる高度なスキルを持つサイバー人材を確保し、人工知能などの新たな技術に関連するリスクに対処するための措置を講じる必要がある。
We’ve made nearly 400 recommendations to strengthen the National Cybersecurity Strategy and agencies’ ability to perform effective oversight. As of May, 170 of our recommendations have not been acted on. 我々は、国家サイバーセキュリティ戦略と各省庁が効果的な監視を行う能力を強化するために、400近くの勧告を行ってきた。5月現在、我々の提言のうち170件が実施されていない。
Critical infrastructure sectors remain vulnerable. Attacks on critical infrastructure sectors continue to grow and could seriously harm human safety, national security, the environment, and the economy. For example, a February attack on Change Healthcare (a health payment processor) resulted in nearly $874 million in financial loses and widespread disruptions for providers and patient care. Healthcare is just one of the 16 critical infrastructure sectors that are vulnerable to cyberattacks. All of these sectors rely heavily on IT systems to operate.  重要インフラ部門は依然として脆弱である。重要インフラ部門に対する攻撃は増加の一途をたどっており、人間の安全、国家安全保障、環境、経済に深刻な被害を与える可能性がある。例えば、2月のチェンジ・ヘルスケア(医療費支払い処理会社)への攻撃は、約8億7400万ドルの金銭的損失をもたらし、医療提供者と患者ケアに広範な混乱をもたらした。ヘルスケアは、サイバー攻撃に脆弱な16の重要インフラ部門のひとつに過ぎない。これらの部門はすべて、ITシステムに大きく依存している。
1_20240804163301
The federal government has taken some steps to address the challenges with protecting these systems from cyberattacks. But we see persistent shortcomings in these efforts. We’ve made 126 recommendations to better protect the cybersecurity of critical infrastructure. Action is still needed on 64 of them. 連邦政府は、これらのシステムをサイバー攻撃から守るという課題に対処するため、いくつかの措置を講じてきた。しかし、我々はこれらの取り組みには持続的な欠点があると見ている。我々は、重要インフラのサイバーセキュリティをより良く保護するために126の勧告を行った。そのうちの64件については、まだ対策が必要である。
Learn more about our work on federal cybersecurity and critical infrastructure protection by reading our June High Risk update report. 連邦政府のサイバーセキュリティと重要インフラ保護に関する我々の取り組みの詳細については、6月のハイリスク最新報告書を参照されたい。
GAO’s fact-based, nonpartisan information helps Congress and federal agencies improve government. The WatchBlog lets us contextualize GAO’s work a little more for the public. Check out more of our posts at GAO.gov/blog. GAOの事実に基づいた超党派の情報は、議会や連邦政府機関の政府改善に役立っている。WatchBlogでは、GAOの仕事を一般向けにもう少し詳しく説明している。GAO.gov/blogで私たちの投稿をもっとチェックしよう。

 

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2024.06.25 米国 GAO 高リスク・シリーズ:国家が直面するサイバーセキュリティの重要課題に対処するための緊急行動が必要 (2024.06.13)

| | Comments (0)

2024.08.03

米国 NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化

こんにちは、丸山満彦です。

NISTが、NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化を公表しましたね...

これだけで、76ページありますが、これから続々とこのシリーズが公表されるようですね...

 

● NIST - ITL

プレス

・2024.07.30 NIST Releases SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities

NIST Releases SP 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities NIST、SP 800-231「Bugs Framework(BF)」をリリース: サイバーセキュリティの弱点と脆弱性を形式化する
NIST Special Publication (SP) 800-231, Bugs Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities, is now available. It presents an overview of the Bugs Framework (BF) systematic approach and methodologies for the classification of bugs and faults per orthogonal by operation software and hardware execution phases, formal specification of weaknesses and vulnerabilities, definition of secure coding principles, generation of comprehensively labeled weakness and vulnerability datasets and vulnerability classifications, and development of BF-based algorithms and systems. NIST特別刊行物(SP)800-231「Bugs Framework(BF):サイバーセキュリティの弱点と脆弱性を形式化する」が公開された: サイバーセキュリティの弱点と脆弱性を形式化する)が入手可能になった。本書は、バグズ・フレームワーク(Bugs Framework:BF)の体系的なアプローチと、ソフトウェアとハードウェアの実行フェーズによる直交ごとのバグと障害の分類、弱点と脆弱性の正式な仕様化、安全なコーディング原則の定義、包括的にラベル付けされた弱点と脆弱性のデータセットと脆弱性の分類の生成、BFに基づくアルゴリズムとシステムの開発のための方法論の概要を示している。
The current state of the art in describing security weaknesses and vulnerabilities are the Common Weakness Enumeration (CWE) and the Common Vulnerabilities and Exposures (CVE). However, the CWE and CVE use a one-dimensional list approach to organizing the entries and natural language descriptions. They do not exhibit methodologies for systematic comprehensive labeling of weaknesses and vulnerabilities, tracking the weaknesses underlying a vulnerability, or root cause identification from a security failure. セキュリティの弱点と脆弱性を記述する技術の現状は、CWE(Common Weakness Enumeration)とCVE(Common Vulnerabilities and Exposures)である。しかし、CWEとCVEは、項目と自然言語の記述を整理するために、一次元のリストアプローチを使用している。これらは、弱点と脆弱性の体系的で包括的なラベリング、脆弱性の根底にある弱点の追跡、セキュリティ障害からの根本原因の特定などの方法論を示していない。
SP 800-231 presents the BF formal system (and methods) that comprises: SP 800-231 は、BF 形式システム(および方法)を提示している:
・Bugs models of distinct execution phases with orthogonal sets of operations in which specific bugs and faults could occur 特定のバグや欠陥が発生する可能性のある操作の直交するセットを持つ、明確な実行フェーズのバグモデル
・Structured, multidimensional, orthogonal, and context-free weakness taxonomies  構造化された、多次元、直交、文脈自由な脆弱性分類法 
・Vulnerability state and specification models as chains of weaknesses toward failures 故障に向かう弱点の連鎖としての脆弱性の状態と仕様モデル
・A formal language for the unambiguous causal specification of weaknesses and vulnerabilities 弱点と脆弱性の因果関係を明確に規定するための形式言語
・Tools that facilitate the generation of CWE2BF and CVE2BF mappings and formal weakness and vulnerability specifications and their graphical representations CWE2BFとCVE2BFのマッピング、弱点と脆弱性の公式仕様とそのグラフィカル表現の生成を容易にするツール。
The BF formalism guarantees precise descriptions with clear causality of weaknesses (including CWE) and vulnerabilities (including CVE) and complete, orthogonal, and context-free weakness-type coverage. It forms the basis for the formal definition of secure coding principles, such as memory safety. It also enables the creation of comprehensively labeled weakness and vulnerability datasets, vulnerability classifications, and BF-based bug identification and vulnerability detection, analysis, and resolution or mitigation systems. BFフォーマリズムは、弱点(CWEを含む)と脆弱性(CVEを含む)の因果関係を明確にした正確な記述と、完全、直交、文脈のない弱点タイプカバレッジを保証する。メモリ安全性のようなセキュアコーディング原則の形式的定義の基礎を形成する。また、包括的にラベル付けされた弱点と脆弱性のデータセット、脆弱性の分類、BFに基づくバグの特定と脆弱性の検出、分析、解決または緩和システムの作成を可能にする。

 

本文

・2024.07.30 NIST SP 800-231 Bug Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities

NIST SP 800-231 Bug Framework (BF): Formalizing Cybersecurity Weaknesses and Vulnerabilities NIST SP 800-231 バグフレームワーク(BF): サイバーセキュリティの弱点と脆弱性の公式化
Abstract 概要
The Bugs Framework (BF) is a classification of security bugs and related faults that features a formal language for the unambiguous specification of software and hardware security weaknesses and vulnerabilities. BF bugs models, multidimensional weakness and failure taxonomies, and vulnerability models define the lexis, syntax, and semantics of the BF formal language and form the basis for the definition of secure coding principles. The BF formalism supports a deeper understanding of vulnerabilities as chains of weaknesses that adhere to strict causation, propagation, and composition rules. It enables the generation of comprehensively labeled weakness and vulnerability datasets and multidimensional vulnerability classifications. It also enables the development of new algorithms for code analysis and the use of AI models and formal methods to identify bugs and detect, analyze, prioritize, and resolve or mitigate vulnerabilities. バグフレームワーク(Bugs Framework:BF)は、ソフトウェアやハードウェアのセキュリティ上の弱点や脆弱性を明確に仕様化するための形式的な言語を特徴とする、セキュリティ上のバグや関連する障害の分類である。BFのバグモデル、多次元的な弱点と故障の分類法、脆弱性モデルは、BF形式言語の語彙、構文、意味論を定義し、安全なコーディング原則の定義の基礎を形成する。BFフォーマリズムは、厳密な因果関係、伝播、合成規則に従う弱点の連鎖として、脆弱性をより深く理解することをサポートする。これにより、包括的にラベル付けされた弱点と脆弱性のデータセットと、多次元的な脆弱性の分類を生成することができる。また、コード解析のための新しいアルゴリズムの開発や、バグを特定し、脆弱性を検出、分析、優先順位付け、解決または緩和するためのAIモデルと形式的手法の利用も可能になる。

 

[PDF] NIST.SP.800-231

20240802-231533

 

目次...

1. Introducton 1. 導入
2. Current State of the Art 2. 技術の現状
3. Bugs Framework Formalism 3. バグズ・フレームワークの形式論
3.1. BF Operaton 3.1. BF演算子
3.2. BF Bug, Fault, and Weakness 3.2. BF バグ、故障、弱点
3.3. BF Vulnerability 3.3. BFの脆弱性
3.4. BF Bug Identficaton 3.4. BFバグの特定
4. BF Security Concepts 4. BFのセキュリティ概念
5. BF Bugs Models 5. BFバグのモデル
5.1. BF Input/Output Check ( INP) Bugs Model 5.1. BF入出力チェック(INP)バグ・モデル
5.2. BF Memory ( MEM) Bugs Model 5.2. BF メモリ ( MEM ) バグモデル
5.3. BF Data Type ( DAT) Bugs Model 5.3. BFデータ型(DAT)バグモデル
6. BF Taxonomy 6. BF分類法
6.1. BF Weakness Classes 6.1. BF弱点クラス
6.2. BF Failure Class 6.2. 故障クラス
6.3. BF Methodology 6.3. BFメソドロジー
7. BF Vulnerability Models 7. BF脆弱性モデル
7.1. BF Vulnerability State Model 7.1. BF脆弱性状態モデル
7.2. BF Vulnerability Specificaton Model 7.2. BF脆弱性特定化モデル
8. BF Formal Language 8. BF形式言語
8.1. BF Lexis 8.1. BFレクシス
8.2. BF Syntax 8.2. BF構文
8.3. BF Semantcs 8.3. BFの意味
9. BF Secure Coding Principles 9. BFセキュアコーディングの原則
9.1. Input/Output Check Safety 9.1. 入出力チェックの安全性
9.2. Memory Safety 9.2. メモリの安全性
9.3. Data Type Safety 9.3. データ型の安全性
10. BF Tools 10. BFツール
10.1. BFCWE Tool 10.1. BFCWEツール
10.2. BFCVE Tool 10.2. BFCVEツール
10.3. BF GUI Tool 10.3. BF GUIツール
11. BF Datasets and Systems 11. BFデータセットとシステム
11.1. BFCWE Dataset 11.1. BFCWEデータセット
11.2. BFCVE Dataset 11.2. BFCVEデータセット
11.3. BF Vulnerability Classificatons 11.3. BF脆弱性分類
11.4. BF Systems 11.4. BFシステム
12. Conclusion 12. おわりに
References 参考文献

 

 

| | Comments (0)

2024.07.27

米国 司法省 米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴

こんにちは、丸山満彦です。

米国の司法省が、米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴していますね...

合わせて、CISAから警告が、国務省から情報に対する報奨に関して公表されていますね...

あと、マイクロソフト、グーグルからも情報を出していますね...

 

U.S. Department of JusticeOffice of Public Affairs

・2024.07.25 North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers

North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers 北朝鮮政府のハッカーが米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で起訴される
Hacking Group Known as “Andariel” Used Ransom Proceeds to Fund Theft of Sensitive Information from Defense and Technology Organizations Worldwide, Including U.S. Government Agencies Andariel」として知られるハッキング・グループは、身代金収入を米国政府機関を含む世界中の防衛・技術組織からの機密情報窃盗の資金として使用していた。
NoteView the indictment here and view cryptocurrency seizure affidavit here. 注:起訴状はこちら、暗号通貨押収宣誓供述書はこちら。
A grand jury in Kansas City, Kansas, returned an indictment on Wednesday charging North Korean national Rim Jong Hyok for his involvement in a conspiracy to hack and extort U.S. hospitals and other health care providers, launder the ransom proceeds, and then use these proceeds to fund additional computer intrusions into defense, technology, and government entities worldwide. Their ransomware attacks prevented victim health care providers from providing full and timely care to patients. カンザス州カンザスシティの大陪審は2日、北朝鮮国籍のリム・ジョンヒョクを、米国の病院やその他の医療提供者をハッキングして恐喝し、身代金収入を洗浄した後、これらの収入を世界中の防衛、技術、政府機関への追加的なコンピュータ侵入の資金源にするための共謀に関与したとして起訴した。彼らのランサムウェア攻撃は、被害者である医療提供者が患者に十分かつタイムリーな治療を提供することを妨げた。
“Two years ago, the Justice Department disrupted the North Korean group using Maui ransomware to hold hostage U.S. hospitals and health care providers,” said Deputy Attorney General Lisa Monaco. “Today’s criminal charges against one of those alleged North Korean operatives demonstrates that we will be relentless against malicious cyber actors targeting our critical infrastructure. This latest action, in collaboration with our partners in the U.S. and overseas, makes clear that we will continue to deploy all the tools at our disposal to disrupt ransomware attacks, hold those responsible to account, and place victims first.” 「司法省は2年前、マウイ・ランサムウェアを使って米国の病院や医療提供者を人質に取っていた北朝鮮のグループを壊滅させた。「本日の北朝鮮工作員容疑者の一人に対する刑事起訴は、われわれが重要インフラを標的とする悪質なサイバー工作員に対して容赦なく対処することを示している。米国内外のパートナーとの協力によるこの最新の行動は、ランサムウェア攻撃を妨害し、責任者の責任を追及し、被害者を第一に考えるために、我々が自由に使えるあらゆる手段を引き続き展開することを明確にするものである。"
“Rim Jong Hyok and his co-conspirators deployed ransomware to extort U.S. hospitals and health care companies, then laundered the proceeds to help fund North Korea’s illicit activities,” said Deputy Director Paul Abbate of the FBI. “These unacceptable and unlawful actions placed innocent lives at risk. The FBI and our partners will leverage every tool available to neutralize criminal actors and protect American citizens.” 「リム・ジョンヒョクとその共謀者たちは、ランサムウェアを展開して米国の病院や医療関連企業を恐喝し、その収益を北朝鮮の不正活動の資金源とするために洗浄した」とFBIのポール・アベイト副長官は述べた。「このような容認できない違法行為により、罪のない人々の命が危険にさらされた。FBIと我々のパートナーは、犯罪者を無力化し、アメリカ市民を守るために、あらゆる手段を活用していく。
“North Korean hackers developed custom tools to target and extort U.S. health care providers and used their ill-gotten gains to fund a spree of hacks into government, technology, and defense entities worldwide, all while laundering money through China,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “The indictment, seizures, and other actions announced today demonstrate the Department’s resolve to hold these malicious actors accountable, impose costs on the North Korean cyber program, and help innocent network owners recover their losses and defend themselves.” 「北朝鮮のハッカーたちは、米国のヘルスケア・プロバイダーを標的にし、恐喝するためのカスタム・ツールを開発し、その不正に得た利益を使って、世界中の政府、技術、防衛団体へのハッキングの乱発に資金を提供し、その一方で、すべて中国を通じて資金洗浄を行っていた。「本日発表された起訴、差し押さえ、およびその他の措置は、これらの悪意ある行為者の責任を追及し、北朝鮮のサイバー・プログラムにコストを課し、無実のネットワーク所有者が損失を回復し、自己防衛できるよう支援するという司法省の決意を示すものである。
“Today’s indictment underscores our commitment to protecting critical infrastructure from malicious actors and the countries that sponsor them,” said U.S. Attorney Kate E. Brubacher for the District of Kansas. “Rim Jong Hyok and those in his trade put people’s lives in jeopardy. They imperil timely, effective treatment for patients and cost hospitals billions of dollars a year. The Justice Department will continue to disrupt nation-state actors and ensure that American systems are protected in the District of Kansas and across our nation.” 「本日の起訴は、悪意ある行為者とそれを支援する国から重要インフラを守るという我々の決意を強調するものである。「リム・ジョンヒョクとその仲間たちは、人々の命を危険にさらしている。彼らは患者のタイムリーで効果的な治療を妨げ、病院に年間何十億ドルもの損害を与えている。司法省は、カンザス地区とわが国全体において、国家的行為者を混乱させ、米国のシステムが確実に守られるようにし続ける。
“The Air Force Office of Special Investigations (OSI) will continue to work alongside our law enforcement partners to root out malicious actors who seek to degrade the Department of the Air Force’s ability to protect the nation,” said Brigadier General Amy S. Bumgarner, OSI Commander. “Multiple OSI units, including one of our newly established National Security Detachments, which were established to provide counterintelligence, law enforcement and analytical support to protect technology at the earliest stages of advanced research and development, provided support to this investigation.” 「空軍特別捜査局(OSI)は、国家を守る空軍省の能力を低下させようとする悪意ある行為者を根絶するために、法執行機関のパートナーとともに引き続き取り組んでいく」と、OSI司令官のエイミー・S・バムガーナー准将は語った。「OSIの複数のユニットは、防諜、法執行、高度な研究開発の初期段階で技術を保護するための分析支援を提供するために設立された新設の国家安全保障分遣隊の1つを含め、この調査に支援を提供した。
“While North Korea uses these types of cybercrimes to circumvent international sanctions and fund its political and military ambitions, the impact of these wanton acts have a direct impact on the citizens of Kansas,” said Special Agent in Charge Stephen A. Cyrus of the FBI Kansas City Field Office. “These actions keep our families from getting the health care they need, slowing the response of our first responders, endangering our critical infrastructure and, ultimately, costing Kansans through ransoms paid, lost productivity, and money spent to rebuild our networks following cyber attacks. Today’s charges prove these cyber actors cannot act with impunity and that malicious actions against the citizens of Kansas and the rest of the United States have severe consequences.” 「北朝鮮は、国際的制裁を回避し、政治的・軍事的野心に資金を供給するために、この種のサイバー犯罪を利用しているが、このような無謀な行為の影響は、カンザス州の市民に直接的な影響を及ぼしている」と、FBIカンザスシティ支局のスティーブン・A・サイラス特別捜査官は語った。「このような行為により、私たちの家族は必要な医療を受けられず、第一応答者の対応は遅れ、重要なインフラは危険にさらされ、最終的には、身代金の支払い、生産性の低下、サイバー攻撃後のネットワーク再構築に費やされる費用を通じて、カンザス市民に犠牲を強いている。本日の起訴は、こうしたサイバー行為者が平然と行動することはできず、カンザス州市民やその他の米国市民に対する悪意ある行為が深刻な結果をもたらすことを証明するものである。
“The indictment of individuals responsible for breaching U.S. government systems, regardless of their location, demonstrates the dedication of the National Aeronautics and Space Administration Office of Inspector General (NASA-OIG), the Justice Department, and our law enforcement partners to relentlessly investigate, prosecute, and hold accountable those who believe they can operate in the shadows,” said Assistant Inspector General for Investigations Robert Steinau of NASA-OIG. 「NASA-OIGのロバート・スタイナウ監察官補は、次のように述べた。「米国政府のシステム侵入に責任のある個人が、その所在地に関係なく起訴されたことは、米国航空宇宙局監察官室(NASA-OIG)、司法省、および法執行機関のパートナーが、影で活動できると信じている者たちを執拗に調査し、起訴し、責任を負わせることに専念していることを示している。
According to court documents, Rim and his co-conspirators worked for North Korea’s Reconnaissance General Bureau, a military intelligence agency, and are known to the private sector as “Andariel,” “Onyx Sleet,” and “APT45.” Rim and his co-conspirators laundered ransom payments through China-based facilitators and used these proceeds to purchase internet infrastructure, which the co-conspirators then used to hack and exfiltrate sensitive defense and technology information from entities across the globe. Victims of this further hacking include two U.S. Air Force bases, NASA-OIG, and entities located in Taiwan, South Korea, and China. Related Andariel activity has been the subject of private sector reporting, and a cybersecurity advisory with updated technical indicators of compromise was published by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, the Department of the Treasury, the Department of Defense’s Cyber Crime Center, the Cybersecurity and Infrastructure Security Administration, and South Korean and United Kingdom partners today. 法廷文書によると、リムとその共謀者たちは、軍事情報機関である北朝鮮の偵察総局で働いており、民間では "Andariel"、"Onyx Sleet"、"APT45 "として知られている。リムとその共謀者は、中国を拠点とするファシリテーターを通じて身代金の支払いを洗浄し、その資金でインターネット・インフラを購入した。このさらなるハッキングの犠牲者には、2つの米空軍基地、NASA-OIG、台湾、韓国、中国の事業体が含まれる。関連するアンダリエルの活動は民間部門の報告の対象となっており、侵害の技術的指標を更新したサイバーセキュリティ勧告が、FBI、国家安全保障局、米サイバー司令部のサイバー国家任務部隊、財務省、国防総省のサイバー犯罪センター、サイバーセキュリティおよびインフラセキュリティ管理局、および韓国と英国のパートナーによって本日発表された。
The Justice Department and the FBI are also announcing the interdiction of approximately $114,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions, as well as the seizure of online accounts used by co-conspirators to carry out their malicious cyber activity. The FBI previously seized approximately $500,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions. In addition to these actions, the Department of State announced today a reward offer of up to $10 million for information leading to the location or identification of Rim. The State Department’s Rewards for Justice program has a standing reward offer for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. 司法省とFBIはまた、ランサムウェア攻撃と関連するマネーロンダリング取引による仮想通貨収入約11万4000ドルの差し止めと、共謀者が悪質なサイバー活動の実行に使用したオンライン口座の押収についても発表する。FBIは以前にも、ランサムウェア攻撃および関連するマネーロンダリング取引による仮想通貨収入約50万ドルを押収している。これらの措置に加え、国務省は本日、リムの居場所や特定につながる情報に対して最高1,000万ドルの報奨金を提供することを発表した。国務省の司法のための報奨プログラムは、外国政府の指示または支配下で行動している間に、コンピュータ詐欺および乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った者の特定または所在につながる情報に対する報奨を常時提供している。
Private sector partners are also taking other voluntary actions to limit the spread of Andariel-created malware. In partnership with the Department, Microsoft developed and implemented technical measures to block Andariel actors from accessing victims’ computer networks. Additionally, Mandiant is publishing research today that highlights its unique insights into Andariel’s tactics, techniques, and procedures. These actions by Microsoft and Mandiant were a significant part of the overall effort to secure networks, and they will help cybersecurity practitioners prevent, identify, and mitigate attacks from Andariel actors. 民間部門のパートナーは、アンダリエルが作成したマルウェアの拡散を制限するために、他の自主的な行動も取っている。マイクロソフト社は、同省との協力の下、アンダリエル行為者が被害者のコンピュータ・ネットワークにアクセスするのをブロックする技術的手段を開発し、実施した。さらに、Mandiantは本日、アンダリエルの戦術、技術、手順に関する独自の洞察に焦点を当てた調査結果を発表している。マイクロソフトとマンディアントによるこれらの措置は、ネットワークを保護するための全体的な取り組みの重要な一部であり、サイバーセキュリティの実務者がアンダリエル行為者からの攻撃を防止、特定、緩和するのに役立つだろう。
Maui Ransomware and Money Laundering マウイ・ランサムウェアとマネーロンダリング
As alleged in the indictment, Rim worked for North Korea’s Reconnaissance General Bureau (RGB), a military intelligence agency, and participated in the conspiracy to target and hack computer networks of U.S. hospitals and other health care providers, encrypt their electronic files, extort a ransom payment from them, launder those payments, and use the laundered proceeds to hack targets of interest to the North Korean regime. 起訴状で主張されているように、Rimは軍事諜報機関である北朝鮮の偵察総局(RGB)で働き、米国の病院やその他の医療提供者のコンピュータ・ネットワークを標的にしてハッキングし、その電子ファイルを暗号化して身代金の支払いを強要し、その支払いを洗浄し、洗浄された収益を使って北朝鮮の政権が関心を持つ標的をハッキングするという陰謀に参加した。
The Andariel actors used custom malware, developed by the RGB, known as “Maui.” After running the maui.exe program to encrypt a ransomware victim’s computer network, the North Korean co-conspirators would extort the organization by leaving a note with a cryptocurrency address for a ransom payment. アンダリエルの行為者は、RGBが開発した "マウイ "として知られるカスタムマルウェアを使用した。maui.exeプログラムを実行してランサムウェア被害者のコンピュータネットワークを暗号化した後、北朝鮮の共謀者は身代金支払いのための暗号通貨アドレスを記したメモを残すことで組織を恐喝した。
The Andariel actors received ransom payments in a virtual currency and then laundered the payments with the assistance of Hong Kong-based facilitators. In at least one case, these Hong Kong facilitators converted ransom funds from cryptocurrency to Chinese yuan. The yuan was then accessed from an ATM in China in the immediate vicinity of the Sino-Korean Friendship Bridge, which connects Dandong, China, and Sinuiju, North Korea. アンダリエルの実行犯は、身代金の支払いを仮想通貨で受け取り、香港に拠点を置く仲介業者の支援を受けて支払いを洗浄した。少なくとも1つのケースでは、この香港のファシリテーターが身代金の資金を暗号通貨から中国人民元に変換していた。人民元はその後、中国の丹東と北朝鮮の新義州を結ぶ中韓友好橋のすぐ近くにある中国のATMからアクセスされた。
Exfiltration of Sensitive Data from Companies and Government Agencies 企業や政府機関からの機密データの流出
Rim and his co-conspirators used ransom proceeds to lease virtual private servers that were used to launch attacks against defense, technology, and other organizations, and to steal information from them. Victims of this further hacking included U.S. defense contractors, two U.S. Air Force bases, NASA-OIG, South Korean and Taiwanese defense contractors, and a Chinese energy company. The Andariel actors obtained initial access to victims’ networks by exploiting known vulnerabilities that had not been patched by the victims, including the widespread Log4Shell vulnerability. (Additional tactics, techniques, and procedures are available in the joint cybersecurity advisory released today.) The Andariel actors stole terabytes of information, including unclassified U.S. government employee information, old technical information related to military aircraft, intellectual property, and limited technical information pertaining to maritime and uranium processing projects. リムとその共謀者たちは、身代金収入を使って仮想プライベートサーバーをリースし、防衛、技術、その他の組織に対する攻撃を開始し、それらの組織から情報を盗んだ。このさらなるハッキングの被害者には、米国の防衛請負業者、2つの米空軍基地、NASA-OIG、韓国と台湾の防衛請負業者、中国のエネルギー会社が含まれていた。Andarielの行為者は、被害者がパッチを適用していない既知の脆弱性(広範に存在するLog4Shellの脆弱性を含む)を悪用することで、被害者のネットワークへの最初のアクセスを得た。(その他の戦術、技術、手順については、本日発表された共同サイバーセキュリティ勧告を参照されたい)。アンダリエルの行為者は、機密扱いのない米国政府職員情報、軍用機に関する古い技術情報、知的財産、海事およびウラン処理プロジェクトに関する限定的な技術情報など、テラバイト単位の情報を盗んだ。
Assistant U.S. Attorneys Ryan Huschka and Chris Oakley for the District of Kansas and Trial Attorneys Neeraj Gupta and George Brown of the National Security Division’s National Security Cyber Section are prosecuting the case. カンザス地区担当のライアン・ハシュカおよびクリス・オークリー両米国弁護士補と、国家安全保障部国家安全保障サイバー課のニーラジ・グプタおよびジョージ・ブラウン両裁判官がこの事件を起訴している。
The FBI continues to investigate Andariel’s hacking and money laundering activities. The Air Force Office of Special Investigations, the Department of Defense Cyber Crime Center, and NASA-OIG provided valuable assistance. FBIは引き続きアンダリエルのハッキングとマネーロンダリング活動を捜査している。空軍特別捜査局、国防総省サイバー犯罪センター、NASA-OIGは貴重な援助を提供した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt. 起訴は単なる申し立てに過ぎない。すべての被告は、合理的な疑いを超えて有罪が証明されるまでは無罪と推定される。
View previous joint cybersecurity advisories from CISA here. CISAによる過去の共同サイバーセキュリティ勧告はこちらで閲覧できる。
View previous joint cybersecurity advisories from Department of Defense here. 国防総省による過去の共同サイバーセキュリティ勧告はこちら。
View previous cryptocurrency seizure announcement here. 過去の暗号通貨押収に関する発表はこちら。

 

起訴状

・[PDF] indictment

20240726-232557

 

暗号通貨押収宣誓供述書

・[PDF] cryptocurrency seizure affidavit

20240726-232645

 


 

CISA

・2024.07.25 North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs 北朝鮮のサイバー集団が政権の軍事・核プログラムを推進するため世界的なスパイキャンペーンを実施
Alert Code AA24-207A アラートコード AA24-207A
Summary 概要
The U.S. Federal Bureau of Investigation (FBI) and the following authoring partners are releasing this Cybersecurity Advisory to highlight cyber espionage activity associated with the Democratic People’s Republic of Korea (DPRK)’s Reconnaissance General Bureau (RGB) 3rd Bureau based in Pyongyang and Sinuiju: 米国連邦捜査局(FBI)と以下の認可パートナーは、平壌と新義州に拠点を置く朝鮮民主主義人民共和国(DPRK)の偵察総局(RGB)第3局に関連するサイバースパイ活動に焦点を当てるため、このサイバーセキュリティ勧告を発表する:
U.S. Cyber National Mission Force (CNMF) 米サイバー国家任務部隊(CNMF)
U.S. Cybersecurity and Infrastructure Security Agency (CISA) 米サイバーセキュリティ・インフラセキュリティ庁(CISA)
U.S. Department of Defense Cyber Crime Center (DC3) 米国防総省サイバー犯罪センター(DC3)
U.S. National Security Agency (NSA) 米国国家安全保障局(NSA)
Republic of Korea’s National Intelligence Service (NIS) 大韓民国国家情報院(NIS)
Republic of Korea’s National Police Agency (NPA) 韓国の警察庁(NPA)
United Kingdom’s National Cyber Security Centre (NCSC) 英国国家サイバーセキュリティセンター(NCSC)
The RGB 3rd Bureau includes a DPRK (aka North Korean) state-sponsored cyber group known publicly as Andariel, Onyx Sleet (formerly PLUTONIUM), DarkSeoul, Silent Chollima, and Stonefly/Clasiopa. The group primarily targets defense, aerospace, nuclear, and engineering entities to obtain sensitive and classified technical information and intellectual property to advance the regime’s military and nuclear programs and ambitions. The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various industry sectors worldwide, including but not limited to entities in their respective countries, as well as in Japan and India. RGB 3rd Bureau actors fund their espionage activity through ransomware operations against U.S. healthcare entities. RGB第3局には、Andariel、Onyx Sleet(旧PLUTONIUM)、DarkSeoul、Silent Chollima、Stonefly/Clasiopaとして公に知られているDPRK(別名北朝鮮)国家支援サイバーグループが含まれている。このグループは、主に防衛、航空宇宙、原子力、エンジニアリングの事業体を標的にし、政権の軍事・核プログラムや野望を推進するための機密技術情報や知的財産を入手している。認可機関は、このグループとサイバー技術は、それぞれの国や日本、インドの事業体を含むがこれに限定されない、世界中の様々な産業部門に対する継続的な脅威であり続けていると考えている。RGB第3局の行為者は、米国の医療事業体に対するランサムウェアの操作を通じてスパイ活動の資金を調達している。
The actors gain initial access through widespread exploitation of web servers through known vulnerabilities in software, such as Log4j, to deploy a web shell and gain access to sensitive information and applications for further exploitation. The actors then employ standard system discovery and enumeration techniques, establish persistence using Scheduled Tasks, and perform privilege escalation using common credential stealing tools such as Mimikatz. The actors deploy and leverage custom malware implants, remote access tools (RATs), and open source tooling for execution, lateral movement, and data exfiltration.  この行為者は、Log4jのようなソフトウェアの既知の脆弱性を利用したウェブサーバーの広範な悪用を通じて最初のアクセスを獲得し、ウェブシェルを展開し、さらなる悪用のために機密情報やアプリケーションへのアクセスを獲得する。その後、標準的なシステム発見と列挙のテクニックを採用し、スケジュールされたタスクを使用して永続性を確立し、Mimikatzのような一般的な資格情報窃取ツールを使用して特権の昇格を実行する。行為者は、カスタムマルウェアインプラント、リモートアクセスツール(RAT)、オープンソースツールなどを展開し、実行、横展開、データ流出などに活用する。
The actors also conduct phishing activity using malicious attachments, including Microsoft Windows Shortcut File (LNK) files or HTML Application (HTA) script files inside encrypted or unencrypted zip archives. 行為者はまた、暗号化または非暗号化zipアーカイブ内のMicrosoft Windowsショートカットファイル(LNK)ファイルやHTMLアプリケーション(HTA)スクリプトファイルなど、悪意のある添付ファイルを使用したフィッシング活動を行う。
The authoring agencies encourage critical infrastructure organizations to apply patches for vulnerabilities in a timely manner, protect web servers from web shells, monitor endpoints for malicious activities, and strengthen authentication and remote access protections. While not exclusive, entities involved in or associated with the below industries and fields should remain vigilant in defending their networks from North Korea state-sponsored cyber operations: 認可機関は、重要インフラ組織に対し、脆弱性に対するパッチを適時に適用すること、ウェブシェルからウェブサーバーを保護すること、悪意のある行為についてエンドポイントを監視すること、認証とリモートアクセスの保護を強化することを奨励している。排他的なものではないが、以下の産業や分野に関わる事業体は、北朝鮮の国家支援によるサイバー活動からネットワークを守るために警戒を怠らないべきである:
For additional information on DPRK state-sponsored malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 北朝鮮が支援する悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF] AA24-207A North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

20240726-233731

 


 

国務省...

U.S. Department of State

・2024.07.25 Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure

 

Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure 司法のための報奨金 - 米国の重要インフラを標的とする北朝鮮の悪質なサイバー行為者に関する情報に対する報奨金の提供について
The U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act. 外交安全保障局(Diplomatic Security Service)が運営する米国国務省の司法報奨(Rewards for Justice:RFJ)プログラムは、外国政府の指示または支配下で行動しながら、コンピューター詐欺・乱用防止法(Computer Fraud and Abuse Act)に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った人物の特定または所在につながる情報に対して、最高1000万ドルの報奨金を提供する。
Rim Jong Hyok is a national of the Democratic People’s Republic of Korea (DPRK) who is associated with a malicious cyber group known as Andariel. The Andariel group is controlled by the DPRK’s military intelligence agency, the Reconnaissance General Bureau, which has primary responsibility for the DPRK’s malicious cyber activities and is also involved in the DPRK’s illicit arms trade. リム・ジョンヒョクは朝鮮民主主義人民共和国(DPRK)の国民であり、アンダリエルとして知られる悪質なサイバー集団に関係している。アンダリエル・グループは朝鮮民主主義人民共和国の軍事情報機関である偵察総局によって全般統制されており、同総局は朝鮮民主主義人民共和国の悪質なサイバー活動の主要な責任を負うとともに、朝鮮民主主義人民共和国の不正武器取引にも関与している。
Andariel’s targets include foreign businesses, government entities, and the defense industry. アンダリエルの標的は、外国企業、政府事業体、防衛産業などである。
Rim and others conspired to hack into the computer systems of U.S. hospitals and other healthcare providers, install Maui ransomware, and extort ransoms. The ransomware attacks encrypted victims’ computers and servers used for medical testing or electronic medical records and disrupted healthcare services. These malicious cyber actors then used the ransom payments to fund malicious cyber operations targeting U.S. government entities and U.S. and foreign defense contractors, among others. In one computer intrusion operation that began in November 2022, the malicious cyber actors hacked a U.S.-based defense contractor from which they extracted more than 30 gigabytes of data, including unclassified technical information regarding material used in military aircraft and satellites, much of which was from 2010 or earlier. リムらは共謀して、米国の病院やその他の医療プロバイダのコンピュータシステムに侵入し、マウイ・ランサムウェアをインストールし、身代金を要求した。ランサムウェア攻撃は、医療検査や電子カルテに使われる被害者のコンピューターやサーバーを暗号化し、医療サービスを妨害した。これらの悪意あるサイバー行為者はその後、身代金の支払いを資金源として、米国政府事業体や米国内外の防衛関連企業などを標的とした悪意あるサイバー作戦を展開した。2022年11月に始まったあるコンピューターへの抽出作戦では、悪意のあるサイバー行為者は米国を拠点とする防衛請負業者をハッキングし、そこから軍用機や人工衛星に使用される材料に関する未分類の技術情報を含む30ギガバイト以上のデータを抽出したが、その多くは2010年以前のものであった。
U.S. law enforcement investigators have documented that Andariel actors victimized five healthcare providers, four U.S.-based defense contractors, two U.S. Air Force bases, and the National Aeronautics and Space Administration’s Office of Inspector General. 米国の法執行機関の調査官によると、アンダリエルの行為者は5つの医療プロバイダ、4つの米国を拠点とする防衛請負業者、2つの米空軍基地、および米航空宇宙局監察官室を被害者としている。
This action underscores the United States’ continued efforts to address the DPRK’s malicious cyber activity against critical infrastructure as well as prevent and disrupt the DPRK’s ability to generate illicit revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs. 今回の措置は、重要なインフラに対する北朝鮮の悪質なサイバー活動に対処するとともに、悪質なサイバー活動を通じて不正な収入を得る北朝鮮の能力を阻止し、混乱させ、それを違法な大量破壊兵器や弾道ミサイル計画の資金源とする米国の継続的な取り組みを強調するものである。
We encourage anyone with information on the malicious cyber activity of Rim Jong Hyok, Andariel, and associated individuals, entities, and activities to contact Rewards for Justice via the Tor-based tips-reporting channel at: [onion] (Tor browser required). 我々は、リム・ジョンヒョク、アンダリエル、および関連する個人、事業体、活動の悪質なサイバー活動に関する情報を持つ人は誰でも、Torベースの情報報告チャンネル[onion] (Torブラウザが必要)を通じて、司法のための報奨に連絡することを奨励する。
More information about this reward offer is located on the Rewards for Justice website at [web]. この報奨オファーの詳細は、Rewards for Justiceのウェブサイト [web] に掲載されている。
Since its inception in 1984, RFJ has paid in excess of $250 million to more than 125 people across the globe who provided actionable information that helped resolve threats to U.S. national security. Follow us on Twitter at [web]. 1984年の創設以来、RFJは米国の国家安全保障に対する脅威の解決に役立つ実用的な情報を提供した世界中の125人以上に2億5000万ドル以上を支払ってきた。ツイッター [web] でフォローしてほしい。

 

 


 

マイクロソフト

Microsoft - Blog

・2024.07.25 Onyx Sleet uses array of malware to gather intelligence for North Korea

Onyx Sleet uses array of malware to gather intelligence for North Korea Onyx Sleet、北朝鮮の情報収集にマルウェアの数々を使う
On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet’s activity to assess changes following the indictment. 2024年7月25日、米国司法省(DOJ)は、マイクロソフトがOnyx Sleetとして追跡している北朝鮮の脅威行為者に関連する個人を起訴した。Microsoft Threat Intelligenceは、Onyx Sleetに関連する活動の追跡において連邦捜査局(FBI)と協力した。我々は、起訴後の変化を評価するために、Onyx Sleetの活動を注意深く監視し続ける。
First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet’s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors. 2014年にマイクロソフトによって初めて観測されたOnyx Sleetは、情報収集を目的としたグローバルな標的を狙った数々のキャンペーンを通じて、サイバースパイ活動を行ってきた。最近では、その目標を金銭的な利益にも拡大している。この脅威行為者は、広範なカスタムツールとマルウェアのセットで活動し、かなり均一な攻撃パターンを維持しながら、新しい機能を追加し、検出を回避するために定期的にツールセットを進化させている。Onyx Sleetは、試行錯誤を重ねた攻撃チェーンを展開するために、さまざまなツールを開発する能力を備えているため、特に防衛、エンジニアリング、エネルギー分野の組織など、北朝鮮の諜報機関が関心を寄せるターゲットにとって、持続的な脅威となっている。
Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. In this blog, we will share intelligence about Onyx Sleet and its historical tradecraft and targets, as well as our analysis of recent malware campaigns, with the goal of enabling the broader community to identify and respond to similar campaigns. We also provide protection, detection, and hunting guidance to help improve defenses against these attacks. マイクロソフトは、Onyx Sleetに関連するキャンペーンを追跡し、標的や侵害を受けた顧客に直接通知することで、顧客の環境を保護するために必要な情報を提供している。このブログでは、Onyx Sleetとその過去の手口や標的に関するインテリジェンス、および最近のマルウェアキャンペーンの分析を共有し、より広範なコミュニティが同様のキャンペーンを特定し、対応できるようにすることを目的としている。また、このような攻撃に対する防御の改善を支援するため、防御、検知、ハンティングに関するガイダンスも提供する。

 

 


 

グーグル...

Google Cloud - Blog

・2024.07.26 APT45: North Korea’s Digital Military Machine

APT45: North Korea’s Digital Military Machine APT45:北朝鮮のデジタル軍事マシン
Executive Summary エグゼクティブサマリー
・APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009. ・APT45は、2009年の時点でスパイキャンペーンを実施していた、長期にわたって活動する中程度に洗練された北朝鮮のサイバーオペレーターである。
・APT45 has gradually expanded into financially-motivated operations, and the group’s suspected development and deployment of ransomware sets it apart from other North Korean operators.  ・APT45は徐々に金銭的な動機に基づく活動へと拡大しており、ランサムウェアの開発と展開が疑われていることから、他の北朝鮮工作員とは一線を画している。
・APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.  ・APT45および同グループとの関連が疑われる活動クラスターは、TEMP.HermitやAPT43のような北朝鮮の同業者とは別のマルウェアファミリーの明確な系譜と強く関連している。
・Among the groups assessed to operate from the Democratic People's Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure. ・朝鮮民主主義人民共和国(DPRK)から活動するとアセスメントされたグループの中で、APT45は重要インフラを標的とした活動が最も頻繁に観測されている。
Overview 概要
Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group's earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities. Mandiantは、APT45は朝鮮民主主義人民共和国の利益を支援する中程度に洗練されたサイバーオペレーターであると高い信頼性をもってアセスメントしている。少なくとも2009年以降、APT45は北朝鮮国家の地政学的利益の変化に沿ったさまざまなサイバー作戦を実施してきた。APT45の初期の活動は、政府機関や防衛産業に対するスパイキャンペーンであったが、APT45は金融業界を標的とするなど、金融を動機とする活動へとその範囲を拡大している。さらに、COVID-19のパンデミックの初期段階では、複数のDPRK関連グループがヘルスケアと医薬品に焦点を当てていたが、APT45は他のグループよりも長くこの分野をターゲットにし続けており、関連情報を収集する継続的な任務があることを示唆している。これとは別に、同グループは核関連事業体に対する作戦も実施しており、北朝鮮の優先事項を支援する役割を明確にしている。

 

 

| | Comments (0)

2024.06.13

米国 White House サイバーセキュリティの強化を通じたアメリカ人の医療へのアクセスの保護の強化 (2024.06.10)

こんにちは、丸山満彦です。

ホワイトハウスからサイバーセキュリティの強化を通じたアメリカ人の医療へのアクセスの保護の強化に関するファクトシートが公表されていますね。。。

日本でも、医療機関へのランサム攻撃により、病院の診療に影響が出ていますね。。。ITがなくてもできる医療はできるという側面もあるのですが、ITが使えなければできない治療や、ITがあればより多くの治療ができるという面もあるし、今後はますますそうなっていくでしょうね...

¥マイクロソフト、グーグルがいろいろと支援しているようですね...クラウド事業者がある国は選択肢が広いですね...

 

日本の場合は、大きめの病院グループであっても、企業規模的には中小企業のようなもので、十分なリソース(予算、人、ツール)等をサイバーセキュリティに使えていないのが、より課題かもしれませんね...

 

U.S. White House

・2024.06.10 ACT SHEET: Biden-⁠Harris Administration Bolsters Protections for Americans’ Access to Healthcare Through Strengthening Cybersecurity

FACT SHEET: Biden-⁠Harris Administration Bolsters Protections for Americans’ Access to Healthcare Through Strengthening Cybersecurity ファクトシート:バイデン-ハリス政権は、サイバーセキュリティの強化を通じて、米国人の医療へのアクセスの防御を強化する。
Recent cyberattacks targeting the nation’s healthcare system have demonstrated the vulnerability of our hospitals and payment systems.  Providers across the health system had to scramble for funding after one attack on a key payment system. And some hospitals had to redirect care after another.  These disruptions can take too long to resolve before full access to needed health care services or payment systems is restored.  Cyberattacks against the American healthcare system rose 128% from 2022 to 2023.  米国の医療システムを標的とした最近のサイバー攻撃は、病院と支払いシステムの脆弱性を実証した。 医療システム全体のプロバイダは、ある重要な支払いシステムへの攻撃の後、資金繰りに奔走しなければならなかった。また、ある病院では、別の攻撃を受けて、診療の方向転換を余儀なくされた。 このような混乱は、必要な医療サービスや支払いシステムへの完全なアクセスが回復するまでに、解決に時間がかかりすぎることがある。 アメリカの医療システムに対するサイバー攻撃は、2022年から2023年にかけて128%増加した。
In February and March of 2024 alone, the United States experienced one of the most significant healthcare-related cyberattacks to date. During the attack, providers reported that one out of every three health care claims in the United States were impacted, leading to disruptions in timely payment to healthcare providers. 2024年の2月と3月だけで、米国はこれまでで最も重大な医療関連のサイバー攻撃を経験した。この攻撃でプロバイダは、米国内の医療費請求の3件に1件が影響を受け、医療提供者へのタイムリーな支払いに支障が出たと報告した。
Recognizing that effective cybersecurity is critical to Americans accessing the care they need, the Biden-Harris Administration is working relentlessly to improve the resilience of the healthcare sector to cyberattacks. Many healthcare companies are private sector owned and operated, so private sector uptake and partnership is key to meaningful improvements in the sector’s ability to withstand attacks.  効果的なサイバーセキュリティが、米国人が必要な医療を受けるために不可欠であることを認識し、バイデン-ハリス政権は、医療部門のサイバー攻撃に対するレジリエンスを改善するために、たゆまぬ努力を続けている。ヘルスケア企業の多くは民間企業であるため、民間企業の参加と協力が、同部門の攻撃に対する耐性を有意義に改善する鍵となる。
In January of 2024, the Department of Health and Human Services launched a healthcare cybersecurity gateway website to simplify access to the Department’s healthcare-specific cybersecurity information and resources and published voluntary Healthcare and Public Health Cybersecurity Performance Goals designed to help healthcare institutions plan and prioritize high-impact cybersecurity practices. ・2024年1月、保健社会福祉省は、同省の医療に特化したサイバーセキュリティ情報とリソースへのアクセスを簡素化するための医療サイバーセキュリティ・ゲートウェイ・ウェブサイトを開設し、医療機関が影響力の高いサイバーセキュリティの実践を計画し、優先順位をつけるのに役立つよう設計された自主的な医療・公衆衛生サイバーセキュリティ・パフォーマンス目標を発表した。
・In May of 2024, the White House convened Chief Information Security Officers and other high-level executives from across the healthcare sector – spanning care delivery organizations, medical technology companies, and industry associations – to advance cybersecurity solutions across the industry. Participants shared their organization’s views on cybersecurity challenges and the need to work together with government to better share threat intelligence and adopt secure-by-design solutions for the technologies underpinning the healthcare system.    ・2024年5月、ホワイトハウスは、医療提供機関、医療技術企業、業界団体など、ヘルスケア・セクター全体から最高情報セキュリティ責任者(CIO)をはじめとするハイレベルの幹部を招集し、業界全体のサイバーセキュリティ・ソリューションの推進を図った。参加者は、サイバーセキュリティの課題に対する各組織の見解や、脅威インテリジェンスをよりよく共有し、医療システムを支える技術にセキュア・バイ・デザインのソリューションを採用するために政府と協力する必要性を共有した。  
・In May of 2024, the Advanced Research Projects Agency for Health (ARPA-H) announced the launch of the Universal Patching and Remediation for Autonomous Defense (UPGRADE) program, a cybersecurity effort that will invest more than $50 million to create tools for information technology (IT) teams to better defend the hospital environments they are tasked with securing. ・2024年5月、国防高等研究計画局(ARPA-H)は、情報技術(IT)チームが病院環境をより安全に守るためのツールを作成するために5,000万ドル以上を投資するサイバーセキュリティの取り組み、Universal Patching and Remediation for Autonomous Defense(UPGRADE)プログラムの開始を発表した。
Healthcare-related cyber disruptions can be particularly disruptive to rural hospitals, which serve over 60 million Americans. Most rural hospitals are critical access hospitals, meaning they are located more than 35 miles from another hospital, which makes diversions of patients and staffing-intensive manual workarounds in response to attacks more difficult. Recognizing the critical role these hospitals play in the communities they serve, the White House worked with and received commitments from leading U.S. technology providers to provide free and low-cost resources for all 1,800-2,100 rural hospitals across the nation. 医療関連のサイバー攻撃は、6,000万人以上のアメリカ人にサービスを提供している地方の病院にとって、特に大きな打撃となる可能性がある。ほとんどの地方病院はクリティカル・アクセス病院であり、他の病院から35マイル以上離れているため、攻撃に対応するための患者の転換やスタッフの負担が大きい手作業による回避策が難しくなる。こうした病院が地域社会で果たしている重要な役割を認識し、ホワイトハウスは米国の大手技術プロバイダと協力し、全米の1,800~2,100の地方病院すべてに無料または低コストのリソースを提供することを約束した。
As part of this initiative to improve security and resilience of our rural hospital system, our private sector partners have committed to the following: 地方の病院システムのセキュリティとレジリエンスを改善するこのイニシアチブの一環として、民間セクターのパートナーは以下のことを約束した:
・For independent Critical Access Hospitals and Rural Emergency Hospitals, Microsoft is extending its nonprofit program to provide grants and up to a 75% discount on security products optimized for smaller organizations. For participating larger rural hospitals already using eligible Microsoft solutions, Microsoft is providing its most advanced security suite at no additional cost for one year. Microsoft will also provide free cybersecurity assessments by qualified technology security providers and free training for frontline and IT staff at eligible rural hospitals throughout the country to deepen our resiliency to malicious cyberattacks.  Additionally, Microsoft will extend security updates for Window 10 to participating hospitals for one year at no cost. ・独立したクリティカル・アクセス病院と地方の救急病院に対して、マイクロソフトは非営利プログラムを拡張し、小規模な組織向けに最適化されたセキュリティ製品に補助金を提供し、最大75%の割引を行う。すでにマイクロソフトの適格なソリューションを使用している地方の大規模病院に対しては、マイクロソフトは最先端のセキュリティ・スイートを1年間追加費用なしでプロバイダとして提供する。マイクロソフトはまた、悪質なサイバー攻撃に対するレジリエンスを高めるため、資格を有するテクノロジーセキュリティプロバイダによる無料のサイバーセキュリティアセスメントと、全国の対象となる地方病院の現場スタッフおよびITスタッフ向けの無料トレーニングも提供する。 さらにマイクロソフトは、参加病院に対し、ウィンドウズ10のセキュリティ更新プログラムを1年間無償で提供する。
・Google will provide endpoint security advice to rural hospitals and non-profit organizations at no cost, and eligible customers can get discounted pricing for communication and collaboration tools and security support and a pool of funding to support software migration. In addition, Google is committing to launch a pilot program with rural hospitals to develop a packaging of security capabilities that fit these hospitals’ unique needs.  ・グーグルは、地方の病院や非営利団体にエンドポイントセキュリティのアドバイスを無償で提供し、対象となる顧客は、コミュニケーション・コラボレーションツールやセキュリティサポートの割引価格や、ソフトウェアの移行を支援するための資金プールを得ることができる。さらにグーグルは、地方の病院を対象としたパイロット・プログラムを開始し、これらの病院独自のニーズに合ったセキュリティ機能のパッケージを開発することを約束している。

 

 

Fig1_20210802074601

 

 

| | Comments (0)

より以前の記事一覧