米CISAとFBIが米国の衛星ネットワークへの脅威を警告、Viasatへのサイバー攻撃を受け

ウクライナでの戦争に端を発した欧州の衛星ネットワークへの最近の攻撃が、やがて米国にも波及する恐れがあるとして、米政府は衛星通信ネットワークへの「脅威の可能性」について警告した。

今週発表されたCISA(米サイバーセキュリティ・インフラセキュリティ庁)とFBI(米連邦捜査局)の共同勧告は、衛星通信(SATCOM)ネットワークプロバイダーや衛星ネットワークに依存する主要なインフラ組織に対し、サイバー攻撃の可能性の高まりに備えサイバーセキュリティを強化するよう促すとともに、侵入が成功してしまえば顧客環境にリスクをもたらすと警告した。

この勧告では、脅威を受ける特定のセクターの名前は挙げられていないが、衛星通信の利用は米国全土に広がっている。推定で約800万人の米国人が、インターネットアクセスのためにSATCOMネットワークに依存している。衛星通信システムの分析を専門とするサイバーセキュリティの専門家、Ruben Santamarta(ルーベン・サンタマルタ)氏はTechCrunchに対し、ネットワークは航空、政府、メディア、など幅広い業界で利用されており、遠隔地にあるガス施設や電力サービスステーションなどでも利用されていると述べた。

サンタマルタ氏によれば、特に軍が注意すべきなのは、最近SATCOMプロバイダーのViasat(ヴィアサット)が受けたサイバー攻撃だ。2月に欧州で数万人の顧客が通信不能になった。被害の規模を示す一例だ。

「ウクライナの軍隊はこの種の衛星端末を使っていました」とサンタマルタ氏はTechCrunchに語った。「ウクライナ軍の代表の1人が、通信の面で大きな損失があったことを認めています。ですから、明らかに今、影響を受けている最も重要な分野の1つなのです」。

同氏は、例えば海運業界にとって、攻撃が成功すれば、サイバーセキュリティの問題だけでなく、安全への脅威となる可能性があるという。「船舶は安全運航のために衛星通信を利用しており、遭難信号を送信する必要がある場合、無線周波数またはSATCOMチャネルで送信することができます。もし、そのような救難信号を送れないとしたら、それは問題です」と同氏は述べた。

今回の合同勧告は、欧米の情報機関が先月、ViasatのKA-SATネットワークを襲ったサイバー攻撃の調査を開始し、ロシアの侵攻開始時に欧州全域で大規模な通信障害を引き起こしたと報じられた数日後に発表されたものだ。

この障害はまだ完全に解決していないが、ウクライナや欧州の他の地域で何万人もの顧客の衛星インターネットサービスに影響を与え、ドイツではおよそ5800基の風力タービンを停止させたという。

このサイバー攻撃は当初、分散型サービス妨害(DDoS)攻撃によるものと考えられていたが、その後疑問視されるようになった。Viasatはまだ技術的な詳細を発表していないが、攻撃者が衛星ネットワークの管理セクションの設定ミスを利用してモデムにリモートアクセスしたことを確認している。サンタマルタ氏によると、このことは、攻撃者が悪意のあるファームウェア・アップデートを端末に展開した可能性が高いことを示唆している。

「攻撃者は、正規の制御プロトコルを悪用してコマンドを出すために、地上局を侵害または偽装することに成功し、端末に悪意のあるファームウェア・アップデートを展開した可能性が高い」と同氏はこの攻撃の分析で述べている。

Viasatはウクライナ軍に衛星通信サービスを提供していることから、今回のサイバー攻撃は、ロシアの侵攻初期にウクライナ全域の通信を妨害しようとした可能性があるとみられている。

「私たちは現在、これが意図的で、それ自体独立した、外部要因によるサイバー事案であると考えています」とViasatの広報担当者であるChris Phillips(クリス・フィリップス)氏は話す。「Viasatによる継続的な、そして現在も続く対応により、KA-SATネットワークは安定しました」と同氏は述べ、フランス宇宙司令部のMichel Friedling(ミシェル・フリードリング)司令官が、この事件の結果 Viasatの顧客端末が「永久に使用できない」状態になったとのツイートに反論した。

「Viasatは、この事案で影響を受けた欧州の固定ブロードバンドユーザーへのサービスを再開するために、販売代理店と積極的に協力しています。私たちは重要なインフラと人道支援に重点を置いています」とフィリップス氏は付け加えた。「私たちは大きな前進を続けており、複数の解決作業が完了し、他の作業も進行中です」。

米政府の勧告によると、SATCOMネットワークを標的とした同様の攻撃のリスクが高まっているため、米国の組織は「悪意のあるサイバー活動の兆候を報告し共有するための閾値を大幅に下げる」べきだという。

画像クレジット:Al Drago / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi)a

消費者を守るために、米国議会はアプリストアのサプライチェーンを保護するべきだ

2022年2月上旬、ユーザーの携帯端末に未審査のアプリケーションをインストールできるようにすることなどを端末メーカーに義務づける法案「Open App Markets Act」が、米国上院司法委員会で承認された

この法案は、スマートフォン黎明期から続く、公式アプリストアからしかアプリケーションをインストールできない「壁に囲まれた庭」のようなアプリ流通モデルに対峙する。多くの人が、アプリストアの競争によって消費者にもたらされる潜在的な利益に注目しているが、本法案の一部は、監視されていないルートでのアプリ配信を可能にすることで、意図しない、しかし潜在的に重大なデバイスセキュリティのリスクを導入するものだ。

今日の「壁に囲まれた庭」モデルからの脱却は、ユーザーに新たなセキュリティリスクをもたらし、ユーザーはより多くの悪質なアプリが存在するストアを利用することになるかもしれない。Apple(アップル)、Microsoft(マイクロソフト)、Google(グーグル)などの大手ソフトウェア企業が運営するアプリストアでは、販売するアプリにマルウェアや脆弱性がないかどうかを審査している。

このような審査は、特に人による審査がない場合、不完全である可能性があるが、これらのストアの管理された性質は、悪意のあるサイバーアクターがアプリを使用してユーザデータを盗んだり詐欺を行ったりする能力を大幅に低下させる。

これに対し、中国に多く存在するような規制の緩いアプリストアは、マルウェアを含む危険なアプリの温床となる。最も基本的なセキュリティチェックが行われていない規制の不十分なアプリストアは、データを盗んだり詐欺にあったりする危険なアプリをユーザーが簡単にダウンロードできるようになるため、消費者のリスクが増大する。

アプリストアは、現代のソフトウェアサプライチェーンの中心的な役割を担っている。アプリストアが消費者に提供するアプリは、私たちの日常生活に欠かせないものであると同時に、非常に機密性の高いデータと結びついている金融、健康、個人向けサービスなどを含んでいる。

個人および中小企業は、大企業が自社のデバイスにインストールできるソフトウェアを管理するためにつかうのリソースを持たないため、悪意のあるアプリによってデータを盗まれたり、詐欺にあったりするリスクが高くなる。

例えば、最近のFlubotマルウェア攻撃は、標的型テキストメッセージを利用して受信者に不正アプリをダウンロードさせ、攻撃者が金融情報を盗み出したりメッセージを傍受したりすることを可能にするものだった。このマルウェアは、Googleのアプリストア以外からのアプリのインストールを許可するようユーザに要求するもので、不正アプリが無防備なユーザにいかに大損害を与えるかを示す例になっている。

Flubotは、危険なソフトウェアを使用して機密データを盗んだり、データの身代金を要求したりする、より大きなトレンドの一部に過ぎない。このような傾向の危険性は、公式ストアのようなアプリ審査やセキュリティスクリーニングがない無規制のマーケットプレイスへの移行によってさらに拡大します。

アプリの自由な「サイドローディング」(公式アプリストア以外からアプリをインストールすること)を許可すると、ウェブ上のどこからでもアプリをインストールできるようになり、さらに大きなリスクが生じる。これにより、ユーザはより多くの無料アプリにアクセスできるようになるかもしれないが、同時に、ユーザを騙してマルウェアが仕込まれたアプリをインストールさせる攻撃の重大な機会を生み出すことにもなる。そのインストールの結果が銀行口座が空っぽの銀行口座であれば、無料アプリは無料とは言えない。

幸いなことに、米国議会は、消費者であるエンドユーザーを保護するために、新しいアプリストアに対してセキュリティ基準を課すことができる。

まず、アプリストアに対して、人間によるレビューを含む、基本レベルのセキュリティレビューとアプリの監視を義務付けることができる。人間による審査は、アプリが使用する権限がアプリの広告を反映していることを確認するのに役立ち、悪意のあるアプリが想定外のことを行うのを防ぐのに不可欠なステップとなる。

第二に、米国やその他の政府は、無制限の「サイドローディング」を義務付ける計画を断念すべきだ。一般的なエンドユーザが、付随するセキュリティリスクを理解しないまま、数回のクリックで未知のアプリをインストールできるとしたら、そのリスクはあまりにも大きすぎる。

最後に、悪意のあるアプリをインストールするリスクを減らすために、公式アプリストアにこだわることを選択するユーザもいるかもしれないが、これらのストア以外からアプリをインストールすることにしたユーザは、信頼できないソースからのアプリのインストールをブロックし、オープンウェブや信頼できないアプリストアからのアプリを避けることによって、リスクを減らすために、デバイスの衛生状態をよく保たねばならない。

悪意のあるアプリがもたらすリスクは常に存在するが、政策立案者とユーザは、競争が激化するアプリストア空間がユーザの個人データへの脅威を最小限に抑えることを保証するために、より多くのことを行うことができる。上記のような基本的なセキュリティ基準を既存の提案に追加することで、アプリストアの新たな選択肢がもたらすセキュリティリスクを最小化することができる。

編集部注:執筆者のMichael Chertoff(マイケル・チェルトフ)氏は元国土安全保障長官で、「Exploding Data:Reclaiming Our Cyber Security in the Digital Age」の著者。現在はテクノロジー分野を顧客とするセキュリティおよびリスク管理会社Chertoff Group(チェルトフ・グループ)の会長。

画像クレジット:Jorg Greuel / Getty Images

原文へ

(文:Michael Chertoff、翻訳:Yuta Kaminishi)

【コラム】国家による「インターネット遮断」が政治的な武器に、今こそ武装解除すべきだ

21カ国の権威主義的な政府は、2021年に入ってから少なくとも50回は意図的にインターネットサービスを停止しており、この問題はさらに悪化することが予想されている。ベネズエラでは選挙が行われ、キューバでは抗議活動が行われているが、政府にとってデジタルでの自由を制限することで反対意見を封じ込めることが容易になっており、その方法もますます大胆になってきている。

インターネットを遮断することは、スイッチを入れるだけで簡単にできてしまう。2011年にはホスニ・ムバラク政権下のエジプトでこの方法がとられ、その10年後にはミャンマーで毎日のようにインターネットが遮断される状態が数カ月続き、何十万人もの人々からコミュニケーションの手段を奪い、同国のGDPを2.5%減少させたと言われている。今週、スーダンでは、軍事クーデターが続く中、市民がインターネットへのアクセスに支障をきたしている。

しかし、ほとんどの政府が、微妙な姿勢をとっている。

イラン政府は「緑の運動」が起こった2009年にいち早くウェブサイトをブロックした。また、チュニジアのように、2021年の説明責任の強化を求める抗議活動の中で、特定のウェブサイトのみをブロックした国もある。最近では、政府がインターネットサービスプロバイダをコントロールすることで、特定のドメインを使い物にならない速度まで「スロットル」、つまり減速させるケースが増えている。例えば、ロシアでは最近、野党のAlexei Navalny(アレクセイ・ナヴァルニー)氏に関する「好ましくない」コンテンツの削除を拒否したTwitter(ツイッター)に対してスロットルをかけた。

各国政府は、インターネットへのアクセスを制限する理由についていくつか挙げている。国家の安全保障や、デモの際の暴力への懸念などがその理由として多い。しかし、人々の生活の多くがオンラインで行われるようになった今、政府がインターネットへのアクセスを制限することは、安全、自由、幸福に対する重大な脅威となる。

インターネットが国境を越えたグローバルなネットワークとして発展してきたことは、情報を発見する新しい方法や組織化する新しい手段を提供し、人間の自由に貢献してきた。しかし、真にグローバルで開かれたインターネットに対して、驚くほど多くの政府が反対しており、私たちの生活の多くの側面がオンラインに移行するにつれて、自由がますます損なわれていく危険性があるのだ。

意図的な遮断の問題は深刻化している。国連の特別報告者であるClement Voule(クレメント・ブール)氏は最近、遮断がさらに悪化し、広範囲に及んでいると警告している。インターネットの遮断は、政府が国際社会の怒りを買うことなく反対意見を封じ込め、国民を統制するための主要な手段として、ますます利用されるようになっている。

インターネットの遮断は、通信手段の制限にとどまらず、商業や貿易の停止による経済の停滞、学校へのアクセスの妨げ、人命の危険など、さまざまな影響を及ぼす。しかし、スロットリングのような秘密裏に行われる妨害技術が一般的になるにつれ、遮断の検知はより困難になってきている。ただ、インターネットが複雑化しているため、政府が国民のアクセスを制限したときに何が起こっているのかを判断するのは難しい。そもそも目に見えないものを非難することは不可能でもある。

部分的なインターネットの遮断であっても、それを記録することは、この問題を世界的に解決するための重要な第一歩となる。いかなる政府も、国際社会に知られることなくインターネットを遮断することはできないはずだ。Jigsaw(ジグソー)は、Access Now(アクセス・ナウ)、Censored Planet(センサード・プラネット)、ネットワーク干渉公開観測所(OONI)などの研究者と協力して、情報を公開し、理解を深め、遮断の影響を軽減することを目指している。

インターネットの遮断による影響を軽減するためには、さまざまな手段がある。メッシュネットワーク、仮想プライベートネットワーク(VPN)、そして共有プロキシサーバーを使えば、インターネットが停止している間、人々がオープンウェブに接続するための手段を提供してくれる。また、インターネット全体の標準規格を導入することで、ドメインレベルでのスロットルを難しくすることも可能だ。

しかし、技術は解決策の一部に過ぎない。将来的なシャットダウンを防ぐためには、政治的な行動が必要であり、国際社会の監視のもと、そうした行動自体のコストを高める必要がある。

105カ国、240以上の団体で構成される「#KeepItOn」運動のように、インターネットの遮断を強調する草の根活動は、将来の遮断を防ぐための支持活動、技術支援、法的介入などを行っている。

民主主義政府も団結して行動すべきだ。

世界で最も技術的に進んでいる民主主義国が、T-12や日米豪印戦略対話(Quad)といったグループで技術問題に関する多国間の調整を正式に行う際には、インターネットの遮断をその議題の重要な主軸として優先させるべきだ。経済協力開発機構(OECD)を通じ、米国および志を同じくする国々は、オンラインの自由を約束する35の民主主義国で織りなすフリーダム・オンライン連合の活動を基盤とし、脅威の技術的側面の理解や、技術的および政策的対応を構築するための資金調達を強化することができるはずだ。また、将来的な遮断の際には、連合として非難を表明し、国際人権法上の義務に違反している国に制裁を加えるための「レッドライン」を明確にすることもできるはずだ。

このような課題はあるが、自由で開かれたインターネットを求める声を上げるのは、民主主義国にかかっている。そうして初めて、誰もがアクセスできるインターネットという約束が果たされるだろう。

編集部注:本稿の執筆者Scott Carpenter(スコット・カーペンター)氏はJigsawのPolicy and International Engagementのディレクター。Google以前は、Washington Institute for Near East PolicyのKeston Family Fellowや、民主主義・人権局の米国国務副次官補を務めていた。

画像クレジット:Jonathan Kantor / Getty Images

原文へ

(文:Scott Carpenter、翻訳:Akihito Mizukoshi)

サイバーセキュリティの格付けを行うBitSightがサイバーリスク評価VisibleRiskを買収、ムーディーズも約275億円出資

組織が攻撃される可能性を評価するスタートアップ企業のBitSight(ビットサイト)は、信用格付け大手のMoody’s(ムーディーズ)から2億5000万ドル(約275億円)の出資を受け、イスラエルのサイバーリスク評価スタートアップであるVisibleRisk(ヴィジブルリスク)を非公開額で買収した。

ボストンに本社を置くBitSightは、サイバーリスクが信用格付けに影響を与える可能性があることを長年警告してきたムーディーズから出資を受けたことにより、サイバーセキュリティ・リスク・プラットフォームの構築が可能になると述べている。一方でムーディーズは、BitSightのサイバーリスク・データおよびリサーチを、同社が提供する統合リスク評価に活用することを計画しているという。

この出資により、BitSightの企業価値は24億ドル(約2640億円)となり、ムーディーズは同社の筆頭株主となる。

ムーディーズの社長兼CEOであるRob Fauber(ロブ・フォーバー)氏は、声明の中で次のように述べている。「透明性を高め、信頼を可能にすることは、ムーディーズの使命の中核をなすものです。BitSightはサイバーセキュリティの格付け分野におけるリーダーであり、我々が協力することによって、さまざまな分野の市場参加者がサイバーリスクをより深く理解、測定、管理し、それをサイバー損害のリスクに変換することができるようになるでしょう」。

その一方でBitSightは、ムーディーズとTeam8(チームエイト)が設立したサイバーリスク格付けのジョイントベンチャーであるVisibleRiskを買収したことによって、BitSightのプラットフォームに詳細なサイバーリスク評価機能が加わり、サイバーリスクに対する組織の財務的エクスポージャーをより適切に分析・算出できるようになる。VisibleRiskは、これまでに2500万ドル(約27億5000万円)を調達しており、同社のいわゆる「サイバー格付け」は、サイバーリスクの定量化に基づくもので、企業は同業他社と比較して自社のサイバーリスクをベンチマークし、サイバー脅威が企業に与える影響をよりよく理解し、管理することができると述べている。

BitSightはVisibleRiskの買収後、リスクソリューション部門を設立し、チーフリスクオフィサーとCスイートの最高幹部たち、取締役会を含むステークホルダーに、重要な一連のソリューションと分析結果を提供する。この部門は、VisibleRiskの共同設立者であり、ムーディーズのサイバーリスクグループを率いていたDerek Vadala(デレク・ヴァダラ)氏が率いることになる。

BitSightの社長兼CEOであるSteve Harvey(スティーブ・ハーベイ)氏は、ムーディーズとの提携とVisibleRiskの買収により「デジタル化が進む世界における顧客のサイバーリスク管理を支援する」範囲を拡大することができると述べている。

2011年に設立されたBitSightは、これまでに総額1億5500万ドル(約170億5000万円)の外部資金を調達しており、直近ではWarburg Pincus(ウォーバーグ・ピンカス)が主導した6000万ドル(約66億円)のシリーズDラウンドを終了している。500人弱の従業員を擁し、各国政府機関、保険会社、資産運用会社など、世界中に2300を超える顧客を持つ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)