シマンテックセキュリティ概観 – 2021年8月

サイバーセキュリティ対策は落第点。今月、上院国土安全保障委員会が発行した政府報告書によると、重要な連邦政府機関がいまだに基本的なサイバーセキュリティ保護を欠いていることが明らかになり、米国政府は大きな警鐘を鳴らしました。超党派の議会調査を通じて8月3日に公表された報告書では、国務省、教育省、農務省、保健福祉省などの主要機関が効果的なサイバーセキュリティプログラムを確立しておらず、連邦の情報セキュリティ基準を十分に満たしていないと指摘しています。その結果、国民の重要な情報が、不必要にデータ漏洩の危険にさらされています。

「Federal Cybersecurity: America’s Data Still at Risk（連邦のサイバーセキュリティ: アメリカのデータはいまもリスクにさらされている）」と題されたこの報告書の主な調査結果の中で2014年にオバマ大統領が署名した「連邦情報セキュリティ近代化法（Federal Information Security Modernization Act：FISMA）」に、7つの機関が準拠していないことが明らかになりました  これらの機関は連邦が定めた基準に達していないとして、平均C-の評価を受けました。多くの違反行為の中でも、従業員の離職後も数千に及ぶ彼らのアカウントを省の機密および非機密ネットワーク上にアクティブなまま放置していた国務省と、個人を特定できる機密情報を含む数百ものファイルを監査人が密かに抽出できた教育省は、特に問題です。

全体では、6つの機関が潜在的脆弱性を修正するためのセキュリティパッチや他の制御手段のインストールを怠っており、ほかにもいくつかの機関が、ベンダーによるセキュリティアップデートのサポートが終了した古いシステムやアプリケーションをいまだに使用していることが判明しました。この上院報告書は、政府が連邦政府機関向けの主力サイバーセキュリティプログラムEINSTEINを更新する必要があると結論付けています。

報告書を公表した委員会の一員である共和党のロブ・ポートマン上院議員（オハイオ州選出）は、あらかじめ用意した声明の中で「SolarWindsから最近の重要インフラを狙ったランサムウェア攻撃にいたるまで、サイバー攻撃が後を絶たないことは明らかであり、米国のデータを保護するために連邦政府機関が可能な努力を怠っている事は容認できない」と述べています。この報告書は、サイバーセキュリティのリスクがますます高まる時代にあって、政府にとって単なる印象的な成績表などではありません。

ランサムウェアの猛威はとどまることを知らず、新たな脅威が次々と登場しています。たとえば、新顔のランサムウェア集団であるBlackMatterは、悪名高いREvilやDarkSideの失敗から学んで、その戦略を定めています。BlackMatterはRecorded Future社とのインタビューで、彼らは1億ドル以上の大企業を標的にすることに興味があるとしながらも、医療など特定分野の企業、政府、重要インフラなどは攻撃の対象から外していると主張しています。 

このインタビューの中で、BlackMatterの開発者は、新しいグループがDarksideランサムウェアの背後にいるというこれまでの報道を否定しています。Darksideランサムウェアは、Colonial Pipeline社などの有名な攻撃の中心となって以来、姿を消しています。ランサムウェアの専門家は、この2つのグループが同じ暗号化ルーチンを使用していると考えられていることから、両社の関連性を指摘しています。BlackMatterは、REvil、Darkside、LockBitなどの戦略の一部を利用したと主張しています。

LockBitといえば、このグループに関連するランサムウェア活動の急増が見られます。これは、Sodinokibiランサムウェアの空白を埋めようとしているのではないかと言われています。   シマンテックの脅威調査チームの調査によると、以前のSodinokibiの関係者のうち少なくとも1人が現在LockBitを使用していることがわかりました。その攻撃はmimi.exeという名前のファイルで始まりますが、これはいくつかのパスワードダンプツールをドロップするインストーラーです。また、脅威調査チームは、LockBit攻撃に関連する多くのホストからNeshtaと呼ばれるマルウェアを見つけました。この問題に関するより詳細な情報は、シマンテック脅威調査チームのブログをご覧ください。

協力者を募集中。LockBitランサムウェア集団が攻撃の準備を加速させていることを示す別の兆候があります。このグループは現在、ネットワークへの侵入や暗号化に協力してくれる企業の内部関係者を募集しており、侵入を成功させた人には数百万ドルの報酬を提供しています。6月にLockBit 2.0ランサムウェアサービス（Ransomware-as-a-Service: RaaS）として生まれ変わったこの新しいグループは、中間業者を排除し、企業ネットワークの「鍵」をすでに持っている内部関係者を直接勧誘しようとしています。LockBit 2.0は、ネットワークへのアクセスに利用できるRDP、VPN、および企業メールの資格情報を特に求めていると述べています。

これとは別に、1月に発生したSolarWindsのサプライチェーン攻撃の影響が続いています。この攻撃を行ったロシアのハッカーが、矛先を変えて米国の司法省を標的にするようになりました。政府の公式発表によると、2020年5月7日から12月27日までの間に、27の米国弁護士事務所の従業員のMicrosoft Office 365メールアカウントが侵害されたとのことです。

悪いニュースが相次ぐ中で、サイバー脅威との戦いにおいていくつか重要な進展がありました。その中でも特に期待されているのが、より優れたサイバーセキュリティ計画を策定・実施するための官民パートナーシップとして新しく米国サイバーセキュリティインフラセキュリティ庁（CISA）が立ち上げた、Joint Cyber Defense Collaborative」（JCDC）です。  Broadcom Software は、8月23日（月）に開催されるJCDCの第1回ミーティングに参加します。このパートナーシップの目的は以下のとおりです。

• リスクに対処し、協調的な行動を促進するための、包括的な国全体のサイバー防衛計画を立案し、実施する。
• サイバー防衛の課題と機会に関する共同理解を形成するための知見を共有する。
• サイバー侵入を防止し、その影響を軽減するための協調的な防御的サイバー作戦を実施する。
• サイバー防衛活動を向上させるための合同演習を支援する。

また、バイデン政権は、重要インフラ制御システムのサイバーセキュリティを向上させるための措置を講じました — これは、大手パイプライン運営会社Colonial Pipelineへの攻撃を受けて懸念が高まっていたもので、「現実の武力戦争」のテコとしても注目されています。大統領行政命令は、暗号化や2要素認証などの自主的な対策を求めており、企業にサイバーセキュリティの達成目標の策定を促しています。

ランサムウェアをテロと位置付ける法案も提案されています。マルコ・ルビオ上院議員（共和党・フロリダ州選出）とダイアン・ファインスタイン上院議員（民主党・カリフォルニア州選出）が提出した Sanction and Stop Ransomware Act（ランサムウェア制裁および防止法）は、サイバー攻撃者を支援する国に制裁を加えるものです。また、この法案では、暗号通貨取引所に対する規制の整備を求めています。

ランダムニュース。バグバウンティプログラムに興味のある方向けに、その1つをご紹介します。Twitter社は、同社のMETA（機械学習における倫理、透明性およびアカウンタビリティ）チームが主催する初のAIプログラムを開始しました。このプログラムでは、画像トリミングアルゴリズムの偏りを見つけることに挑戦し、勝者には現金を提供します。1位の賞金は3,500ドルです。