ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」

新型コロナウイルスのパンデミックの乱気流で勢いづいたランサムウェアの攻撃は、サイバー犯罪者にとって大きな稼ぎ頭となっており、2020年は攻撃件数が増加した。

こうしたファイルを暗号化する攻撃は、今年もほぼ衰えることなく続いている。ここ数カ月だけでも、Colonial Pipeline(コロニアル・パイプライン)への攻撃で同社のシステムと東海岸の大部分へのガソリン供給が停止したり、食肉業者のJBSへのハッキングで世界各地の食肉処理場の操業が突然停止したり、今月はITベンダーのKaseyaへのサプライチェーン攻撃で数百人の下流の被害者がシステムから締め出されたりした

しかし、ランサムウェアの攻撃がニュースになることはあっても、その影響を完全に理解することはほとんど不可能だ。また、サイバー犯罪者の身代金要求に応じるなどのある種の決断が違いを生むかどうかもわかっていない。

Krebs Stamos Groupのセキュリティーアーキテクトであり、以前は米国のCybersecurity and Infrastructure Agency(サイバーセキュリティー・インフラストラクチャー庁、CISA)に勤務していたJack Cable(ジャック・ケーブル)氏は、クラウドソースによる身代金支払い追跡サイトRansomwhereを立ち上げ、この問題を解決しようとしている。

「Ransomwhereを始めようと思ったきっかけは、Katie Nickels(ケイティ・ニッケルズ)氏がつぶやいた、サイバー犯罪、特にランサムウェアの影響を誰も完全には把握していないという言葉でした」とケーブル氏はTechCrunchに語った。「現在、ランサムウェアの支払いに関する公的なデータを集めた場所がないことを知り、ビットコインの取引を追跡するのは難しくないことから、それをハッキングし始めました」

このサイトでは、サイバー犯罪者に支払われた身代金をビットコインで集計している。これは、ブロックチェーン上で取引を公開記録することで可能になった。このサイトはクラウドソースなので、誰もが提出できるランサムウェア攻撃の自己申告によるデータを取り入れている。しかし、すべての報告が正当なものであることを確認するために、報告の際にはランサムウェアの支払い要求のスクリーンショットを撮ることが義務付けられており、公開前にケーブル氏自身がすべてのケースを手作業で確認している。承認されたレポートの信憑性が疑われた場合、そのレポートはデータベースから削除される。

すでに急増しているこのデータベースには、個人情報や被害者を特定する情報は一切含まれていないため、サイバーセキュリティー業界や法執行機関の関係者は自由にダウンロードすることができる。

「ランサムウェアの経済性に関する現状を変えるための政策提案を検討する際には、そうしたアクションが成功したかどうかを評価するデータが必要になります」とケーブル氏は話す。「法執行機関は、Colonial Pipelineのハッキングで見られたように、支払った一部を回収する能力を持っているため、このサイトが彼らの努力をさらに支援できれば素晴らしいことです」

本稿執筆時点で、同サイトが捕捉した2021年の身代金支払いの総額は3200万ドル(約36億円)以上だ。これらの支払いの大部分は、JBSとKaseyaのハッキングを行ったロシアに関連するランサムウェアギャングであるREvilに支払われた。Ransomwhereによると、このグループは今年、1100万ドル(約12億円)以上の身代金をかき集めており、Kaseyaへの攻撃の一環として最近要求した7000万ドル(約78億円)が支払われると、その額は劇的に増加する可能性がある。

ダークウェブで最も人気のあるランサムウェア・アズ・ア・サービスの1つであるNetwalkerは、2021年は支払い額が630万ドル(約7億円)以上で2位となっている。Ransomwhereの集計によると、身代金の支払い総額では同グループが最も多く、同サイトのデータによると約2800万ドル(約31億円)に達している。

RangarLockerは460万ドル(約5億1100万円)、DarkSideは440万ドル(約4億8800万円)、Egregorは320万ドル(約3億5500万円)となっており、少なくとも現時点では、Ransomwhereのトップ5に入っている。

ケーブル氏によると、今後は、セキュリティーやブロックチェーン分析の分野の企業と提携して、彼らがすでに持っているランサムウェアの動きに関するデータを統合する方法を模索しているという。また、イーサリアムのような追跡可能な他の暗号資産(仮想通貨)をサポートする方法や、ビットコインの下流のアドレスを追跡する可能性についても検討している。

「Monero(モネロ)を使用している犯罪者を追跡することはほぼ不可能です」とケーブル氏は言う。「しかし、私は可能な限り全体像を把握したいと思っています」。

カテゴリー:
タグ:

画像クレジット:Bryce Durbin / TechCrunch

[原文へ]

(文:Carly Page、翻訳:Nariko Mizoguchi

【コラム】サイバーテロを終わらせるために政府は民間セクターとの協力を強化すべきだ

編集部注:本稿の寄稿者はMark Testoni(マーク・テストニ)氏とJoseph Moreno(ジョセフ・モレノ)氏。テストニ氏は、SAP National Security Services, Inc.のCEO。それ以前はSAPおよびOracleで指導的立場を務め、米国空軍に20年間勤務した。モレノ氏はSAP National Security Services, Inc.の法律顧問。それ以前は連邦検事およびFBIの9/11レビュー委員を務めた。米国陸軍予備軍中佐。

ーーー

次の戦争に負ける最善の方法は、今の戦いを続けることだという。中世における要塞が効果的な防御であったのは、火薬と大砲が攻囲戦のやり方を永久に変えるまでだった。単純な兵士の数に基づく戦場の優位性は、大砲と機関銃の威力に取って代わられた。

第一次世界大戦中、戦車は19世紀のテクノロジーで作られた要塞を文字通り踏み潰す革新だった。軍事史を通じて、革新者たちが戦果を享受する一方で、順応の遅かった者たちは押しつぶされ、敗れ去った。

サイバー戦争も何ら変わらない。伝統的兵器は、我々の経済と国家安全にとっても同様に致命的なテクノロジーに屈している。軍事的優位をもち、サイバー分野でも先端を行っていながら、米国はデジタル敵と今もアナログ的思考で戦っている。

これを変えなくてはならない。そのために政府はまず困難な選択を決断する必要がある。その攻撃力を影の中に潜む敵に対してどうやって使うのか、民間部門とどう協力していくのか、そして、私たちの日常生活を脅かす悪役から国を守るにはどうすればよいのか?

コロニアル・パイプラインは一歩前進、二歩後退

Colonial Pipeline(コロニアル・パイプライン)に対するランサムウェア攻撃の後、ロシアと繋がりのあるハッキング・グループDarkSide(ダークサイド)は活動を休止し、Federal Bureau of Investigation(連邦捜査局、FBI)は支払われた身代金4400万ドル(約48億7000万円)の一部を取り戻したと報じられた。これは明るい展望であり、我が国の政府がこの種の攻撃を深刻に捉えている証だ。しかしそれは、何年も前から知られている技術を使って罰を受けることなく敵対国で活動するサイバーテロリストが、国で最大の石油パイプラインを機能停止に陥れ数百万ドル(数億円)の身代金を持ち去ることに成功したという事実を変えるものではない。彼らはおそらく永久に裁かれることがなく、ロシアは結果を正視することなく、こうした攻撃は間違いなく続いていくだろう。

現実はといえば、企業はサイバー防御に関してより賢くなり、ユーザーは自分たちのサイバー衛生行動をより慎重にできるようになったものの、テロリストの活動を止める権力をもっているのは政府だけである。

国境内でサイバー犯罪者の活動を許している国々は、即刻犯人を引き渡し、さもなければ厳しい経済制裁を与えられるべきだ。そのような個人やグループに対し、避難場所やその他の支援を与えている国は、認定テロリスト組織を支援する者と同様に物質的支援の罪に問われるべきだ。

規制当局は、暗号資産(仮想通貨)取引所とウォレットが違法な取引や組織の捜査に協力することを強制し、従わなければ米国金融システムから除外すべきだ。警察や軍部、諜報機関は、サイバーテロリストの活動を著しく困難で危険で利益のないものにすることで、米国の産業や重要インフラに対して次の攻撃を仕かける意欲を失せさせるべきだ。

政府は民間セクターとの協力を促進すべきだ

我が国最大の脆弱性であり、逸している機会は、公民一体となってサイバー戦争に対する統一戦線を組めていないことだ。政府と民間セクターがサイバーリスクと事象情報をリアルタイムで共有することは、防御と攻撃どちらにとっても極めて重要だ。現在それは行われていない。

企業は、脆弱性を明らかにすることで、本来攻撃から守ってくれるべき政府自身から、訴訟され、捜査され、さらに被害を受けることを恐れすぎている。連邦政府は、情報の過剰な機密扱い、官僚制度の重複、民間産業と積極的に情報や技術を共有するインセンティブを与えないカルチャーの壁といった諸問題に対して、未だに答えを持っていない。

その答えは、強大な企業がやってきて一方的な情報の流れを要求することではない。民間人が自発的に名乗り出て、訴訟や規制措置を恐れることなく情報共有できるようにすべきだ。リアルタイムに自己開示されたサイバーデータは秘密を守られ、防御と応戦のために使用されるべきであり、被害者をさらに傷つけるべきではない。相互協力のためにあってはならないことだ。

そしてもし、連邦機関や軍部や諜報機関が、将来の攻撃やその防御方法に関する知識を手に入れたなら、用無しになるまでじっとしているべきではない。民間セクターと安全で、時宜を得た、双方に利益をもたらす方法で情報を共有する方法は必ずある。

企業は、サイバー事象情報の交換だけにとどまるべきではない。民間セクターと学術界はサイバースペースの膨大な発展に貢献しており、過去20年間に研究開発に費やされた金額の民間と公共セクターの割合はおよそ90%対10%だ。

我々の民間セクターは、シリコンバレーからテキサス州オースチン、バージニア北部のテクノロジー地域にいたるまで、最優秀な人材を擁し、政府に与えるられる膨大な資源をもっているが、そのほとんどが活用されていない。民間セクターの利益を押し上げているのと同じ革新が、国家安全保障の強化にも使われるべきだ。

中国はすでにこれを認識しており、もし我々が民間セクターの革新と米国の若い才能を活用する方法を見つけられなければ、後れをとることになる。バイデン政権と議会の民主党と共和党が政治的駆け引きをやめて採用すべき超党派的ソリューションを要請することがあるとすれば、これこそがそうだ。

軍事防御産業モデルを見よ

ありがたいことに、さまざまな形でうまくいっている公共・民間の活動モデルがある。現在兵器システムはDefense Industrial Base(防御産業基盤)がほぼ独占的に製造しており、戦場に配備された際には、脆弱性、脅威、効果の改善点などについて、兵士と定期的な双方向会話がなされている。この関係は一夜にしてできたものではなく、完璧にはほど遠い。しかし数十年にわたる努力の結果、堅牢な協業プラットフォームが開発され、セキュリティ検査の基準が制定されたことで、信頼が築かれた。

同じことを、連邦政府のサイバー担当機関と民間セクター全体の人々との間でも行うべきだ。金融機関もエネルギー企業も小売業も製造業も製薬業も、政府と協力してサイバーデータをリアルタイムに双方向で共有できるはずだ。政府はもし攻撃グループや脅威となる技術を見つけたら、攻勢に出て封鎖するだけでなく、その情報を安全かつ迅速に民間セクターに伝えるべきだ。

FBIや国土安全保障省や軍部に、プライベートネットワークをサイバー攻撃から守ることを求めるのは現実的ではないが、政府はそのための密な協力パートナーになれるし、なるべきだ。我々は、これを共同の戦いでもあり責務でもあることを認識した関係を受け入れるべきであり、正しく行うための年数は多くない。

政府は行動を起こせ

戦争の歴史を見ると、優位は常に最初に革新した者にもたらされている。サイバー戦争に関して、答えは人工知能や量子コンピューティングやブロックチェーンなどの先端技術だけにあるのではない。現代のサイバーテロリズムに対する戦争における最も強力な進歩は、幼稚園で習うほど簡単なものかもしれない。共有と協力の価値だ。

政府とテクノロジー産業、そして広く民間セクターの人々は、我々の競争優位性を維持し、クラウドコンピューティングや自動運転車や5Gなどの先端技術を利用するだけでなく、私たちの生活様式を守り持続していくために一致団結すべき。これまでこの国は公共と民間の協力体制構築に成功しており、アナログな関係からデジタルへと進化することが可能だ。しかし、そのためには政府が先頭に立って道を開く必要がある。

カテゴリー:セキュリティ
タグ:コラムランサムウェアサイバー攻撃アメリカ

画像クレジット:YinYang / Getty Images

原文へ

(文:Mark Testoni、Joseph Moreno、翻訳:Nob Takahashi / facebook

クラウドによるクラウドのためのサイバー攻撃発生を前提としたインシデントレスポンス「Mitiga」

従来のインシデントレスポンス市場を「完全に変える」ことを目指すイスラエルのクラウドセキュリティ企業Mitigaは現地時間6月23日、シリーズAラウンドで2500万ドル(約27億7000万円)の資金を調達したと発表した。

Mitigaはサイバーセキュリティ分野の他の企業とは異なり、サイバー攻撃を防ぐことを目的としておらず、それらはどんなに対策を講じても避けられないものだと主張している。同社はむしろ、ハイブリッド環境やマルチクラウド環境への移行時に、企業がインシデントレスポンスを管理できるように支援することを目指している。

2020年7月にシード資金として700万ドル(約7億8000万円)を調達したアーリーステージのスタートアップである同社は、インシデントに対する即応性とレスポンスのための技術スタックにより、インシデント発生後のリカバリーを数日から数時間に短縮できるとしている。Mitigaのサブスクリプションベースのサービスは、ネットワークが侵害されたことを自動的に検知し、迅速に調査を行い、ケースデータを収集して、組織内のすべての関連部門が迅速かつ効率的に対応できるように、修復ステップに変換する。また、Mitigaは各事象を文書化し、組織が今後の攻撃を防ぐために原因を修正することを可能にする。

MitigaのシリーズAラウンドは、ClearSky Security、Atlantic Bridge、およびDNXが主導した。TechCrunchに対し同社は、今回の資金を「インシデントに対する即応性と対応のあり方を変革し続ける」ために使用する他、サイバーセキュリティ、エンジニアリング、セールス、マーケティングのスタッフを「大幅に」増強すると述べている。

同社は、今回の資金調達はインシデントへの即応性と対応に関して、企業組織の「意識の変化」が起こっている中で実施されたと付け加えた。パンデミックの影響でクラウドの導入が加速し、2021年だけでクラウドサービスへの支出は3320億ドル(約36兆8400億円)を超えると予測されている。McAfee(マカフィー)によると、クラウドサービスへのサイバー攻撃は、2020年の最初の4カ月間で630%増加した。

Mitigaの共同創業者兼CEOであるTal Mozes(タル・モゼス)氏はこう語った。「クラウドは、インシデントに対する即応性とレスポンスに新たな課題をもたらします。当社は、業界初のインシデント対応ソリューションを、クラウドのために、クラウドで提供します」。

「今回の資金調達により、リアルタイムでインシデントからの復旧を目指す企業のセキュリティ責任者との連携を強化し、業界で最も革新的なサイバーセキュリティの人材をさらに集め、パートナーネットワークを拡大することができます。サイバーセキュリティにおける即応性とレスポンスの重要性を理解しているクラウドファーストの組織のために、Mitigaが何を成し遂げられるか、この上ないほど胸を躍らせています」とも。

Mitigaは、モゼス氏、Ariel Parnes(アリエル・パーネス)氏、Ofer Maor(オフェル・マール)氏によって2019年に設立され、テルアビブで活動する42名のチームに加え、ロンドンとニューヨークにもオフィスを構えている。金融サービス機関、銀行、eコマース、法執行機関、政府機関など、複数の分野で顧客を抱える。Mitigaはサブスクリプション契約を結んでいない顧客に対しても、ランサムウェアやデータ漏洩などのアクティブなネットワークセキュリティインシデントに対する緊急対応を提供している。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
IoT関連マルウェアが利用するポートへのスキャンや脆弱性ある製品の探索が増加、ダークネットの観測リポートより
デジタルギフトカードや航空券、ゲームなどのオンライン取引での詐欺を防ぐイスラエルのnSure AI

カテゴリー:セキュリティ
タグ:Mitiga資金調達サイバー攻撃イスラエル

画像クレジット:Devrimb / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

逮捕者を出したランサムウェア犯罪集団「Clop」が活動を再開

ウクライナ警察がランサムウェア犯罪集団「Clop(クロップ)」と関係があるとみられる6人の容疑者を逮捕してから数日後、この悪名高いランサムウェアの活動が再開されたようだ。

関連記事:ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

先週、ウクライナ国家警察が韓国と米国の関係者とともに行った法執行活動により、ランサムウェア「Clop」に関係しているとみられる複数の容疑者が逮捕された。国家レベルの法執行機関による大規模なランサムウェアグループの逮捕は、これが初めてのことだと思われる。

ウクライナ警察は当時、同グループが使用していたサーバーインフラを停止させることに成功したとも主張していた。しかし、この作戦は完全に成功したわけではないようだ。

逮捕者が出た後、Clopは沈黙を守っていたが、今週になってから、新たな被害者である農機具小売業者と建築士事務所から盗んだとする機密データをダークサイトで公開した(TechCrunchはそれを目にしている)。

もしこれが本物であれば(被害者とされる両者ともTechCrunchのコメント要求に応じていない)、先週行われた史上初の法執行機関による逮捕にもかかわらず、ランサムウェア犯罪集団は依然として活動を続けていることになる。これはつまり、手錠をかけられた容疑者の中に、Clopの活動で重要な役割を果たしている者が含まれていなかったためと考えられる。サイバーセキュリティ企業のIntel 471(インテル471)は、先週の逮捕が活動のマネーロンダリング部分をターゲットとしており、犯罪集団の中核メンバーは捕らえられていなかったとの見解を示している

「Clopの背後にいる中核的な人物が逮捕されたとは思えません」と、Intel 471は述べている。「Clopに与えた全体的な影響は小さかったと思われます。しかし、今回の法執行機関による逮捕は、最近DarkSide(ダークサイド)やBabuk(バブク)のような他のランサムウェアグループで見られたように、Clopブランドが放棄される結果を導く可能性もあります」。

Clopはまだビジネスを続けているようだが、このグループがいつまで活動を続けるかはまだわからない。米国の捜査当局が最近、Colonial Pipeline(コロニアル パイプライン)を攻撃したハッカーに身代金として支払われたと主張される数百万の暗号資産を回収するなど、2021年に入ってから法執行機関の活動がランサムウェアグループに数々の打撃を与えているだけでなく、ロシアは今週、米国と協力してサイバー犯罪者の居場所を突き止める活動を開始することを認めた。

ロシアはこれまで、ハッカーへの対応に関しては傍観主義的な態度を続けていた。だが、Reuters(ロイター)が米国時間6月23日に報じたところによると、ロシア連邦保安庁(FSB)のAlexander Bortnikov(アレクサンドル・ボルトニコフ)局長は、今後のサイバーセキュリティ活動においては、米国の当局と協力していくと語ったという。

Intel 471は、先週の作戦でClopの主要メンバーが逮捕されたとは考えていないと述べていたが、それは「彼らはおそらくロシアに住んでいる」からであり、ロシアは長い間、行動を起こすことを拒否していたため、サイバー犯罪者にいわゆるセーフハーバー(安全港)を与えてきた。

Clopランサムウェアが2019年初頭に初めて発見されて以来、同グループは数々の注目を集めるサイバー攻撃に関与してきた。その中には、2020年4月に発生した米国の大手製薬会社ExecuPharm(エグゼキュファーマ)の侵入事件や、最近発生したAccellion(アクセリオン)のデータ流出事件が含まれる。この事件では、ハッカーがITプロバイダーのAccellionが使用するソフトウェアの欠陥を悪用して、コロラド大学やクラウドセキュリティベンダーのQualys(クオリス)など数十社におよぶ顧客のデータを盗み出した。

関連記事:

カテゴリー:セキュリティ
タグ:逮捕警察ランサムウェアハッカー暗号資産犯罪サイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

IoT関連マルウェアが利用するポートへのスキャンや脆弱性ある製品の探索が増加、ダークネットの観測リポートより

IoT関連マルウェアが利用するポートへのスキャンや脆弱性ある製品の探索が増加、ダークネットの観測リポートより

セキュリティ製品などを手がけるソフトバンクグループ「BBソフトサービス」と、ダークネット監視サービス「SiteVisor」を開発・運用するクルウィットは6月17日、IoT機器やサイバー攻撃の実態を可視化することを目的としたダークネット観測リポート(2021年1月~3月分)を発行した。

ダークネットとは、インターネットで到達可能なものの、実際にはどのネットワークやコンピューターにも割り当てられていない未使用IPアドレス群を指す(グローバルIPアドレス空間またはローカルIPアドレス空間における、未使用のIPアドレス群)。

クルウィットは、そのダークネットを活用しIoT機器やPCを監視する対サイバー攻撃アラートサービス「SiteVisor」を提供している。SiteVisorは、国立研究開発法人情報通信研究機構(NICT)が研究開発した「DAEDALUS」(ダイダロス)をクルウィットが商用化したものだ。

SiteVisorでは、未使用IPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛てに「どのような攻撃を想定した通信があったか」を調査しており、観測データを基に攻撃傾向をダークネット観測リポートとしてまとめている。

未使用IPアドレス宛てパケット数の観測

2021年1月~3月におけるダークネット宛てパケット数の項目では、1月と2月はIoT関連のマルウエアが利用するポートへのスキャンが増加、3月は脆弱性がある製品・ソフトウェアの探索が目的とうかがえるスキャンの増加を観測した。探索活動はサイバー攻撃の第1歩となるため、引き続きソフトウェアのアップデートや定義ファイルの更新などを定期的に行うことが重要となる。

観測パケット数

ダークネット宛てに通信を行ったホスト数

当該期間におけるダークネット宛てに通信を行ったホスト数については、図の観測結果となった。2021年3月にホスト数の増加が見られるが、これは送信元IPアドレスを詐称したICMPパケットによるものという。通常ICMPパケットは、一般的に利用されている、IPアドレス通信の補助パケットにあたり、このような通信も利用してサイバー攻撃がしかけられる。

観測ホスト数。国内ホスト数はIPアドレスを逆引きして.jpドメインだったもの

観測ホスト数。国内ホスト数はIPアドレスを逆引きしてjpドメインだったもの

宛先ポート番号

ダークネット宛への宛先ポート番号の観測状況については、445/TCP(microsoft-ds)と1433/TCP(ms-sql-s)といった、Windows系ホストを狙った通信が従来から続いている。現在のIoTマルウエアは、23番ポート以外にも1024番ポート以上のポートと組み合わせて利用しており、1024番以上のポートへのスキャンも増加している。

宛先ポート番号

宛先ポート番号

攻撃者がIoT機器を攻撃するためにアクセスしてくる代表的なポート

攻撃者がIoT機器を攻撃するためにアクセスしてくる代表的なポート

送信元の国別観測状況

ダークネット宛に通信を行った国別状況については、次のような観測結果となった。

送信元の国別観測状況

送信元の国別観測状況

ダークネット観測リポートの考察によれば、2020年4月から2021年3月まで継続的に感染先・侵入先を探索する通信が行われており、予断を許さない状況が続いているという。これら探索パケットは、昨今の企業の情報漏えいのきっかけになっている可能性もあるそうだ。個人・法人含め、PCおよびソフトウェアの脆弱性や、見落とされがちなIoT機器のセキュリティ対策などの対策を確実に行い、感染・侵入されないよう対策を行う必要があるとしている。

また、2021年度も同様の傾向は続くことが予想され、特に世界的なイベントや国際情勢によりサイバー攻撃が増加する傾向があるという。すべてのインターネット利用者の端末がサイバー攻撃を行うための調査・危険にさらされているという意識を持ち、継続的なセキュリティ対策が重要とまとめている。

関連記事
バイデン大統領が「国家の情報セキュリティ改善の大統領令」に署名、サイバーセキュリティ対策の近代化を打ち出す
米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
IoT検索エンジン「Karma」がセキュリティリスクを可視化する新機能を追加
匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出

カテゴリー:セキュリティ
タグ:IoT(用語)サイバー攻撃(用語)ダークネット(用語)日本(国・地域)

ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

Clopランサムウェアのギャングにつながっているとされている複数の容疑者が、ウクライナ、韓国、米国の当局による合同捜査を経てウクライナで逮捕された。

ウクライナ国家警察のサイバー部門は、首都キエフと周辺で21カ所の家宅捜索を行い、6人を逮捕したことを明らかにした。容疑者らがランサムウェア一味の仲間なのか、あるいは中心的なデベロッパーなのかは明らかではないが「二重の脅迫」スキームを展開していた罪に問われている。このスキームでは、身代金の支払いを拒んだ被害者らはファイルが暗号化される前にネットワークから盗まれたデータを公開すると脅される。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

「被告6人は米国と韓国の企業のサーバーで『ランサムウェア』のような悪意あるソフトウェアの攻撃を実行したことが立証されました」とウクライナの国家警察は声明文で主張した。

疑わしいClopランサムウェアのギャングから機器を押収した警察は、金銭上の損害は約5億ドル(約554億円)弱になると述べた。押収したものはコンピューター備品、数台の車(TeslaとMercedes含む)、現金500万ウクライナグリブナ(約2046万円)などだ。当局はまた、ギャングのメンバーが攻撃するのにこれまで使っていたサーバーインフラをシャットダウンしたと主張した。

「法執行機関が協力して、なんとかウイルスを拡散するインフラをシャットダウンし、犯罪で得た暗号資産(仮想通貨)を合法化するためのチャンネルをブロックしました」と声明文にはある。

これらの攻撃は2019年2月に始まった。韓国企業4社を攻撃し、810もの内部サービスとパソコンを暗号化した。以来「Cl0p」と表記されることが多いClopは数多くの有名なランサムウェア攻撃に関与してきた。ここには2020年4月の米製薬大手ExecuPharmの情報流出、小売店舗のほぼ半分を閉鎖することを余儀なくされた同11月の韓国eコマース大手E-Landへの攻撃などが含まれる。

Clopはまた、Accellionのランサムウェア攻撃とデータ流出にも関与している。この件ではハッカーたちはITプロバイダーAccellionの何十もの顧客からデータを盗むのに、Accellionのファイル転送アプライアンス(FTA)の脆弱性を悪用した。情報流出の被害者にはシンガポールの通信会社Singtel、法律事務所Jones Day、スーパーチェーンのKroger、サイバーセキュリティ会社Qualysなどが含まれる。

この記事執筆時点で、Clopが盗んだデータを共有するのに使うダークウェブポータルはまだ稼働中だが、数週間アップデートされていないようだ。しかし、法執行当局は通常、取り締まりがうまくいったときはターゲットのウェブサイトをロゴに変えるため、ギャングのメンバーがまだアクティブかもしれないと思わせる。

「Clopオペレーションは通信、製薬、石油・ガス、航空宇宙、テクノロジーなどさまざまな分野の世界中の組織をディスラプトし、恐喝するのに使われてきました」とMandiantの脅威インテリジェンス部門で分析担当バイスプレジデントを務めるJohn Hultquist(ジョン・ハルトキスト)氏は話した。「攻撃グループ『FIN11』はランサムウェアや恐喝などのオペレーションに強く関係してきましたが、逮捕者の中にFIN11のメンバーや、オペレーションに関係している他の人物が含まれているかどうかは不明です」。

ハルトキスト氏は、ウクライナ警察の取り組みは「ウクライナがサイバー犯罪との戦いで米国の強固なパートナーであり、ウクライナの当局が犯罪者の非難港を否定しようと努力していることのリマインダーです」と述べた。

容疑者たちはコンピューター、自動化システム、コンピューターネットワーク、通信ネットワークでの不正な干渉と、犯罪的な手段で入手した資産のロンダリングの罪で懲役8年が科される可能性がある。

逮捕のニュースは、国際法執行機関がランサムウェアギャングを厳しく取り締まっている結果だ。先週、米司法省はColonial PipelineがDarkSideのメンバーに支払った身代金の大半を回収したと発表した。

関連記事
富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
フェイスブックがマルウェアが仕込まれた偽「PC版Clubhouse」アプリの広告を掲載
ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている

カテゴリー:セキュリティ
タグ:ウクライナ逮捕警察ランサムウェアハッカー暗号資産アメリカ韓国犯罪サイバー攻撃

画像クレジット:Cyber Police Department of the National Police of Ukraine / supplied

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査

日本の多国籍企業、富士フイルムランサムウェアとみられる攻撃を受けた後、グローバルネットワークの一部停止を余儀なくされた。

デジタル画像プロダクトでよく知られているが、新型コロナウイルス検査迅速処理のためのデバイスなどハイテクな医療キットも製造している同社は、東京に置く本社がサイバー攻撃を受けたことを6月1日夜に確認した。

「現在、当社が利用しているサーバーに対する、外部からの不正なアクセスの疑いがあり、調査を進めております。調査のため、一部ネットワークを遮断し、外部との通信を停止しております」とウェブサイトに掲示した声明文で述べた。

「本件に関し、現時点で判明している事実と当社の対応をご報告いたします。2021年6月1日深夜に、ランサムウェアによる攻撃があった可能性を認識しました。その後、当社の海外法人と協力して影響可能性のあるすべてのシステムを遮断する措置を取りました」。

「現在、本件被害の内容や範囲等の特定を進めております。お客様、お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます」。

部分的なネットワーク遮断の結果、米国富士フイルムはウェブサイトに、現在電子メールや電話などを含むあらゆるコミュニケーション手段が影響を受けていると情報を追加した。先の発表では、サイバー攻撃によって注文を受けたり処理したりすることができなくなっていることも明らかにしていた。

富士フイルムはTechCrunchのコメントの求めにまだ応じていない。

富士フイルムは攻撃に使われたランサムウェアの身元など詳細については固く口を閉ざしているが、Bleeping Computerは富士フイルムのサーバーがQbotに攻撃されたと報じている。Advanced IntelのCEO、Vitali Kremez(ヴィタリ・クレメツ)氏はBleeping Computerに、富士フイルムのシステムは2021年5月、13年前から出回るようになったトロイの木馬によって攻撃されたと語った。この攻撃は通常フィッシングで始まる。

QakBotあるいはQuakBotとしても知られるQbotのクリエイターらは、ランサムウェアオペレーターと提携してきた長い歴史を持つ。以前はProLockとEgregorというランサムウェアギャングとも協業していたが、最近では悪名高いREvilグループとつながっていると言われている。

「初期のフォレンジック分析では、富士フイルムへのランサムウェア攻撃は先月Qbotのトロイの木馬感染で始まり、それを足掛かりにハッカーたちは2つめのランサムウェアペイロードを仕かけたと思われます」とProPrivacyのデジタルプライバシー専門家Ray Walsh(レイ・ウォルシュ)氏はTechCrunchに語った。「直近ではQbotのトロイの木馬はREvilハッキング集団によって活発に悪用されていて、ロシア拠点のハッカーたちが今回のサイバー攻撃の背後にいる可能性はかなり高いようです」。

Sodinokibiとしても知られるREvilは被害者のファイルを暗号化するだけでなく、被害者のネットワークからデータを抜き取る。ハッカーらは通常、身代金が支払わなければ被害者のファイルを公開すると脅す。しかしREvilが盗んだデータを公開するのに使用するダークウェブにあるサイトは、この記事執筆時点でオフラインだった。

ランサムウェア攻撃は新型コロナウイルスパンデミックが始まって以来、増加の一途を辿っていて、サイバー犯罪で最大の金を稼ぐ手法となった。脅威ハンティングとサイバーインテリジェンスのGroup-IBは、ランサムウェア攻撃の件数は2020年に150%超増え、要求する身代金は2倍超の17万ドル(約1875万円)に増えたと推定する。

富士フイルムがシステムへの攻撃に関与したハッカーたちに身代金を支払ったかどうか、現時点では不明だ。

関連記事
コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
アップルM1チップで「修正できない脆弱性」CVE-2021-30747が発見される、ただし悪用は困難

カテゴリー:セキュリティ
タグ:富士フイルムランサムウェアフィッシングハッカーサイバー攻撃

画像クレジット:Kazuhiro Nogi / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲

世界的な航空輸送データ企業のSITAが、サイバー攻撃を受けたことによるデータ漏洩を報告してから3カ月が経過したが、いまだに被害状況の全貌は明らかになっていない。

インドのフラッグキャリア航空会社であるAir India(エア・インディア)は、同社のデータを管理していたSITAの事故から約450万人の乗客の個人データが漏洩したことを先週発表した。盗まれた情報には、乗客の氏名、クレジットカード情報、生年月日、連絡先、パスポート情報、航空券情報、Star Alliance(スターアライアンス)およびエア・インディアのマイレージサービス情報などが含まれていると、エアインディアは声明(PDF)で発表している。

クレジットカードのセキュリティコードはSITAのシステムに保存されていなかったとしながらも「個人データの安全性を確保するため、該当する場合は必ずパスワードを変更するように」と、同社は顧客に呼びかけている。

エア・インディアでは、今回のサイバー攻撃により、2011年8月26日から2021年2月3日までの間に、同社に登録された乗客のデータが漏洩したと声明で述べている。

この事実が明らかになったのは、SITAが顧客情報を含むデータ侵害の被害に遭ったことを発表してから3カ月近くも経ってからのことだ。SITAは当時、Malaysia Airlines(マレーシア航空)、Finnair(フィンエアー)、Singapore Airlines(シンガポール航空)、Jeju Air(済州航空)、Cathay Pacific(キャセイパシフィック航空)、Air New Zealand(ニュージーランド航空)、 Lufthansa(ルフトハンザドイツ航空)など複数の航空会社に情報漏洩を通知したと述べていた。

関連記事:全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

スイスのジュネーブに本社を置くSITAは、世界の航空会社の90%にサービスを提供していると言われる。3月上旬の情報公開時点では、同社は現在も調査中であることを理由に、漏洩した具体的なデータを明らかにしなかった。

エア・インディアは、2021年2月25日にSITAからサイバー攻撃について最初の通知を受けたが、具体的なデータの種類については3月25日と4月5日になってから知らされたという。

多額の赤字を抱え国民の税金で生き延びてきたこのインドの航空会社は、セキュリティ被害の調査、侵害されたサーバーの安全確保、外部専門家(名称は明かされていない)との連携、クレジットカード発行会社への通知、マイレージプログラムのパスワードリセットなどの措置を取ったと主張している。

インドでは最近、他にも企業のデータ漏洩が相次いで報告されている。モバイル決済サービス大手企業のMobiKwik(モビクイック)は2021年3月下旬に、約1億人のユーザーの個人情報が流出したとされるデータ漏洩の調査を行っていると発表した。

また、4月下旬には、インド最大の食料品宅配サービス企業で、現在はTata(タタ)財閥が所有するBigBasket(ビッグバスケット)の顧客2000万人分の記録がサイバー犯罪フォーラム上に流出し、誰でもダウンロードできる状態になっていた。大手通信会社のJio Platforms(ジオ・プラットフォームズ)は、セキュリティの不備により、同社のツールを使ってコロナウイルスの症状をチェックした一部のユーザーの結果を流出させた。同様に、インドの西ベンガル州政府が運営するウェブサイトや、大手血液検査会社のDr Lal PathLabs(ドクター・ラル・パスラボ)でも、検査結果の流出被害に遭った。エア・インディアの同業他社であるSpicejet(スパイスジェット)も2020年、データ流出を確認している。

関連記事
2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か
Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩
850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

カテゴリー:セキュリティ
タグ:エア・インディアデータ漏洩個人情報SITAインドサイバー攻撃

画像クレジット:Anindito Mukherjee / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:Hirokazu Kusakabe)

セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼

オーストラリアのセキュリティソフトウェアハウス、Click Studios(クリック・スタジオ)は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。

先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20~22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。

関連記事:アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。

しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。

Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。

Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。

「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。

侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。

また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR(一般データ保護規則)に違反した場合、企業は世界年間売上の最大4%を罰金として支払わなくてはならない。

Click StudiosのCEOであるMark Sanford(マーク・サンフォード)氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。

TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃SNS

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

企業向けパスワードマネージャー「Passwordstate(パスワードステート)」を開発しているオーストラリアのソフトウェアハウスClick Studios(クリック・スタジオズ)は、同社のパスワードマネージャーがサイバー攻撃を受けたため、顧客に組織全体のパスワードをリセットするよう警告を出した。

Click Studiosが顧客に送信した電子メールによると、同社は攻撃者が顧客のパスワードを盗むためにパスワードマネージャーのソフトウェアアップデート機能を「侵害」したことを確認したという。

ポーランドのニュースサイト「Niebezpiecznik」が現地時間4月23日にTwitter(ツイッター)に投稿したこのメールには、悪意のあるアップデートによって4月20日から22日の28時間の間に、Passwordstateの顧客が無防備な状態になったと書かれている。この悪意のあるアップデートは、一度インストールされると、攻撃者のサーバーに接続してマルウェアを取得。このマルウェアがパスワードマネージャーの情報を盗み出し、攻撃者に送り返すという仕組みだ。メールでは「Passwordstateに含まれるすべてのパスワードのリセットを開始する」ように顧客に伝えている。

パスワードマネージャー「PasswordState」がハッキングされ、顧客のパソコンが感染した。

メーカーは被害者にメールで通知している。

このパスワードマネージャーは「企業向け」なので、この問題は主に企業に影響を与える…これは痛い!

(情報元:謎めいたペドロ)

Click Studiosは、攻撃者がどのようにしてパスワードマネージャーのアップデート機能を侵害したかについては明らかにしていないが、顧客にはセキュリティ修正プログラムをメールで送信している。

同社によると、攻撃者のサーバーは4月22日に遮断されたという。しかし、攻撃者がシステムを再びオンラインにすれば、Passwordstateのユーザーは依然として危険にさらされる可能性がある。

企業向けパスワードマネージャーは、それを使用する企業の従業員たちが、ファイアウォールやVPNを含むネットワーク機器、共有の電子メールアカウント、内部データベース、ソーシャルメディアアカウントなどのパスワードやその他の機密情報を、組織全体で共有できるようにするものだ。Click Studiosの主張によると、Passwordstateはフォーチュン500企業、政府機関、銀行、防衛・航空宇宙そしてほとんどの主要産業を含む「2万9000以上の顧客」に使用されているという。

被害に遭った顧客には、米国時間4月23日早朝に通知が届いたが、この侵害のニュースが広く知られるようになったのはその数時間後、デンマークのサイバーセキュリティ企業であるCSIS Group(CSISグループ)が攻撃の詳細をブログに掲載してからだ。

Click Studiosの最高経営責任者であるMark Sanford(マーク・サンフォード)氏は、オーストラリアの営業時間外に行われたコメントの要請に応じなかった。

関連記事:インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害

米国政府は、その最も重要な連邦ネットワークをハッキングしたロシアへの報復を準備していると報じられているが、米国はサイバー空間でもう1つの古い敵にも直面している。中国だ。

関連記事:FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる

Microsoft(マイクロソフト)は3月初旬に、「Hafnium(ハフニウム)」と呼ぶ新たなハッキンググループの存在を明らかにしたが、このグループは中国で活動し、中国が支援している。Hafniumは、これまで報告されていなかった4つのゼロデイ脆弱性を利用して、Microsoft Exchange Server(マイクロソフト・エクスチェンジ・サーバー)をeメールサーバーとして運用している少なくとも数万の組織に侵入し、メールボックスやアドレス帳を盗み出した。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

Hafniumの目的は明らかになっていない。この活動を、国家が大企業や政府から情報や産業上の秘密を収集するスパイ活動になぞらえる人もいる。

しかし、今回の組織的ハッキング活動が大きな被害をもたらしているのは、欠陥が容易に悪用できるからというだけでなく、被害者が非常に多く、広範囲に及ぶからだ。

セキュリティ専門家によると、今回のハッカーはインターネット上で脆弱なサーバーをスキャンして攻撃を自動化しており、法律事務所や政策シンクタンクだけでなく、防衛関連企業や感染症の研究者など、幅広いターゲットや業界を狙っているという。脆弱なExchange Serverのメールーサーバーを運用していたため、Hafniumの攻撃に巻き込まれた膨大な数の被害者には、学校、宗教団体、地方自治体なども含まれる。

マイクロソフトはパッチを公開しているが、米国連邦政府のサイバーセキュリティ諮問機関であるCISAは、パッチは脆弱性を修正するだけで、ハッカーが残したバックドアを閉じることはできないと述べている。

CISAは、Microsoft Exchange Serverの脆弱性が国内外で広く利用されていることを認識しており、侵害の有無を判断するために、MicrosoftのIOC検出ツールでExchange Serverのログをスキャンすることを推奨しています。

リソースに余裕のある大規模な組織であれば、システムが侵害されたかどうかを調査し、破壊的なマルウェアやランサムウェアなどのさらなる感染を防ぐため、手を打つことができるだろう。

しかし、地方の小規模な被害者は、自分たちのネットワークが侵害されたかどうかの調査に、すぐに手が回らないことが多い。

Hafniumの発見に貢献したサイバーセキュリティ企業のVolexity(ヴォレクシティ)でセキュリティアナリストを務めるMatthew Meltzer(マシュー・メルツァー)氏は、「我々が見てきたところによると、被害者のタイプは非常に多様で、その多くは、サイバー脅威対応の専門業者ではなく、ITシステムの展開と管理を専門とする地元のITプロバイダーに技術サポートを委託しています」と述べている。

サイバーセキュリティの予算がない場合、被害者は常に侵害されていると考えられる。だが、次に何をすべきかを把握しているとは限らない。パッチを当てて不具合を修正することは、復旧作業の一部に過ぎない。ハッカーの後始末は、サイバーセキュリティの専門知識を持たない中小企業にとって、最も困難な作業となるだろう。

それはまた、他の悪質なハッカーに発見され、同じ脆弱性を利用してランサムウェアを拡散したり、破壊的な攻撃を仕かけたりされるのを防ぐための時間との戦いでもある。Red Canary(レッド・カナリー)とHuntress(ハントレス)の両社は、Hafnium以外のハッキンググループも同じ脆弱性を利用していることが考えられると述べている。ESET(イーセット)によると、少なくとも10のグループが同じサーバーの欠陥を悪用しているとのことだ。

脅威検出を専門とするRed Canaryのインテリジェンス担当ディレクターであるKatie Nickels(ケイティ・ニッケルス)氏は、これらのExchange Serverの脆弱性を悪用した活動が「明らかに広く行われている」としながらも、悪用されるサーバーの数はそれよりずっと少ないと述べている。

「一般的なIT管理者にとっては、最初に使われるWebシェルのクリーンアップをする方が、その後の活動を調査するよりもはるかに簡単でしょう」と、ニッケルス氏は語る。

マイクロソフトは管理者ができることについてのガイダンスを公開しており、CISAはアドバイスと、サーバーのログを検索して不正アクセスの証拠を見つけるためのツールを提供している。また、ホワイトハウスの国家安全保障会議は異例の声明を出し、パッチを当てるだけでは「修復にならない」と警告、企業に対して「直ちに対策を講じる」よう求めている。

サーバーがすでに侵害されている場合、パッチや緩和策は修復策にはなりません。脆弱性のあるサーバを持つ組織は、すでに標的にされていないかどうかを確認するために、早急に対策を講じることが不可欠です。

このようなアドバイスが中小企業にまでどれくらい浸透していくか、注視する必要があるだろう。

中小企業を含む多くの被害者は、自分たちが被害を受けていることに気づいていない可能性があり、たとえ被害を受けていることに気づいたとしても、次に何をすべきかについて段階的な説明が必要になると、サイバーセキュリティの専門家であるRuna Sandvik(ルナ・サンドビック)氏は語る。

「このような脅威から身を守ることも重要ですが、侵害の可能性を調査し、その行為者を排除することは、より大きな課題です」と、サンドビック氏は述べている。「企業にはパッチをインストールできる人はいるでしょう。しかし、それは最初のステップに過ぎません。侵入されたかどうかを調べるには、時間、ツール、ログが必要です」。

セキュリティ専門家によると、Hafniumは主に米国の企業をターゲットにしているが、攻撃はグローバルに行われているという。欧州銀行監督局は、自局のメールサーバーとして使用していたExchange Serverが攻撃を受けたことを確認した最大の組織の1つだ。

ノルウェーの国家安全保障局は、国内で「これらの脆弱性を悪用されたことがすでに確認されている」として、ノルウェーのインターネット空間全体で脆弱なサーバーをスキャンし、その所有者に通知すると発表した。SI-CERTとして知られているスロベニアのサイバーセキュリティ対応部隊は、こちらも自国のインターネット空間で潜在的な被害者に通知したと、Twitter(ツイッター)で述べている

米国企業の広範囲に及んでいることを考慮すると、米国政府と民間企業は対応を連携するためにもっとできることがあると、サンドビック氏は述べている。CISAは2019年に、脆弱でパッチが適用されていないシステムの所有者を特定するために、インターネットプロバイダーを召喚できる新たな権限を提案した。同庁は12月に政府の年次防衛法案の中でこれらの新しい権限を得たばかりだ。

「誰かがそれを持つ必要があります」と、サンドビック氏は言っている。

関連記事:米国土安全保障省が脆弱システムの利用者開示をISPに義務づけへ、法改正を準備中

カテゴリー:セキュリティ
タグ:ハッカーサイバー攻撃Microsoftゼロデイ攻撃中国

画像クレジット:BSIP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

シスコ・NEC・アラクサラが重要インフラ向け機器サプライチェーンの真正性確認にブロックチェーン活用

シスコ・NEC・アラクサラが重要インフラ向け機器サプライチェーンの真正性確認にブロックチェーン活用

暗号資産(仮想通貨)・ブロックチェーン技術に関連する国内外のニュースから、過去1週間分について重要かつこれはという話題をピックアップしていく。今回は2021年1月24日~1月30日の情報から。

アラクサラネットワークス(アラクサラ)とシスコシステムズ(シスコ)および日本電気(NEC)は1月29日、国内の重要インフラに向け情報セキュリティ対策における戦略的協業を発表した

製品の製造から実際に稼働するまでの一連のサプライチェーンについて、シスコから出荷された製品の真正性をアラクサラが強化・確認するセキュアサプライチェーンマネージメントにより安心・安全を担保。NECは、2021年4月以降順次ネットワークシステムとして顧客向けに販売を開始する。

現在、サイバー空間における脅威が深刻化している中で、重要インフラにおけるネットワークシステムは、サプライチェーンの信頼性の向上やサイバー攻撃などによる障害発生の低減など、インフラサービスの安全かつ持続的な提供が求められている。また、ネットワークシステムの運用・管理の効率性も重要という。

今回の協業は、この状況に対応するもの。シスコとNECは重要インフラを支える情報通信機器の提供を長年にわたって行っており、ネットワークの高信頼化・セキュリティ・運用管理技術を持つ国産ベンダーのアラクサラとも連携することで、より優れたソリューション提供を目指す。

具体的な協業として、シスコはグローバルに展開しているルーター製品をアラクサラに提供。アラクサラは、大規模WANアグリゲーション向けルーターCisco NCS 5500、560および540の真正性(Authenticity)確認や連携するソフトウェアを開発し、Cisco NCS 5500/560/540 Trusted by ALAXALAとしてNECに提供する。NECは、2021年4月以降順次ネットワークシステムとして顧客向けに販売を開始。当面はNECからの販売となるものの、その他のアラクサラの販売・保守パートナーを通じた販売も行う。ターゲット市場は、電力、道路・鉄道、政府・自治体、通信事業者といった重要インフラを担う企業や機関。

また、製品の製造から実際に稼働するまでの一連のサプライチェーンについて、シスコから出荷された製品の真正性をアラクサラが強化・確認するセキュアサプライチェーンマネージメントにより安心・安全を担保する。

アラクサラは、同社のセキュリティ・運用管理ソリューションについて、Cisco NCS 5500、560および540の基本ソフトウェアIOS XRのAPIを利用し連携させることで、ネットワークシステムの状況の把握・運用支援を可能にする。将来的には、3社の技術を連携させた、運用中のネットワーク機器の脆弱性を標的としたコードインジェクションによる不正命令実行・プログラム改変などを監視し、よりセキュアな運用管理ができるソリューション提供を目指す。

シスコとNECは2020年2月、安全保障領域や重要産業インフラ向けとして、ブロックチェーン技術を活用しサプライチェーン管理を強化したネットワーク機器を提供すると発表。機器固有IDやデジタル署名など複数の技術要素によってハードウェアとソフトウェアの両面から機器の真正性を確認するシスコ独自のTrustworthy技術、メモリー容量が少ない機器や遅延時間制約の厳しい機器向けのNEC開発による軽量改ざん検知技術、またNECのブロックチェーン技術を組み合わせ、製品出荷前・構築時・運用中の真正性を確認するプロセスの強化を開始している。

シスコ・NEC・アラクサラが重要インフラ向け機器サプライチェーンの真正性確認にブロックチェーン活用

この取り組みでは、両社の技術によって検査した履歴情報をブロックチェーンに記録。ネットワーク管理者は、出荷検査・ネットワーク構築・運用中の各タイミングで、シスコ機器の真正性を監視できるという。対応機器をネットワークシステム全体に拡大することで、サプライチェーン全体を通した真正性を管理できるよう、今回の協業に先駆け取り組みを進めてきた。

関連記事
日立とみずほがブロックチェーン活用した金流・商流・物流の一体管理とサプライチェーンファイナンスの実証実験
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
トレードワルツと三菱商事など計5社がブロックチェーン基盤の貿易情報連携による電子化実証事業
米国の新型コロナ追加経済対策にファーウェイとZTEの機器排除費1965億円が含まれる
サイバーセキュリティ企業FireEyeが「国家の支援を受けた」ハッカーから攻撃されたと言及
英国がファーウェイの5G機器設置禁止を2021年9月発効に前倒しへ
暗号資産・ブロックチェーン業界の最新1週間(2020.11.8~11.14)
ロシアと北朝鮮のハッカーが新型コロナワクチン製造会社を標的にしているとマイクロソフトが指摘
暗号資産・ブロックチェーン業界の最新1週間(2020.9.13~9.19)
三井物産流通とNTTコミュニケーションズがイーサリアム基盤のサプライチェーンDX実証実験推進で合意
米司法省が米企業へのサイバー攻撃容疑で中国ハッカー集団5人を起訴
Ciscoがソフトウェアサービス部門充実のためインターネット監視ソリューションのThousandEyesを買収
米国土安全保障省がイランからのサイバー攻撃に備えるよう企業に警告

カテゴリー:セキュリティ
タグ:アラクサラネットワークスエンタープライズサイバー攻撃(用語)サプライチェーン(用語)Cisco Systems / シスコシステムズ(企業)日本電気 / NEC(企業)ハッカー / ハッキング(用語)ブロックチェーン(用語)日本(国・地域)

トランプ氏に更迭された元サイバーセキュリティ高官と元Facebook幹部がサイバーコンサルティング会社設立

米国のサイバーセキュリティ担当元高官のChris Krebs(クリス・クレブス)氏とFacebook(フェイスブック)の元最高セキュリティ責任者のAlex Stamos(アレックス・ステイモス)氏が、新たなサイバーセキュリティコンサルティング会社を設立、すでに最初のクライアントであるSolarWindsを獲得している。

少なくとも米財務省、米国務省、米エネルギー省では、ここ数年で米国政府に対する最も重大なスパイ活動である可能性が高いと考えられる侵入が確認されている。米国政府はすでにロシアを非難しているが、侵入の規模は当分分かりそうにない。

クレブス氏は米国政府のサイバーセキュリティ担当幹部の1人であり、直近では2018年から国土安全保障省のサイバーセキュリティ諮問機関であるCISAの長官を務め、偽の選挙不正の主張(その多くはトランプ大統領自身に由来するものだったが)に反対したために同大統領に解雇されるまでは、同国政府のサイバーセキュリティにおける高官の1人であった。一方、ステイモス氏は、FacebookやYahoo(ヤフー)でサイバーセキュリティ関連の上級職を歴任した後、Stanford Internet Observatoryに入社した。同氏はまた、相次ぐセキュリティ問題が発生していた中でZoomのコンサルタントも担当した。

この件を報じたFinancial Timesのインタビューでクレブス氏は、侵入されたシステムからハッカーが排除されるまでには数年かかる可能性があると述べた。

SolarWindsの最高経営責任者であるSudhakar Ramakrishna(スードゥカ・ラーマクリシュナ)氏はブログ投稿で、苦境に陥っている同社が「私たちの顧客、政府のパートナー、および一般の人々に対して短期的および長期的に透明性を保つのを支援し、セキュリティの強化」するためにコンサルタントを迎え入れたことを認めている。

関連記事
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
トランプ大統領が選挙の偽情報を暴露したサイバーセキュリティー責任者クリス・クレブス氏を更迭
サイバーセキュリティ専門家がFacebookのテロ対策チームや官民連携について語る
Zoomのセキュリティ顧問が暗号技術開発のKeybaseを買収した狙い

カテゴリー:セキュリティ
タグ:サイバー攻撃

画像クレジット:Tasos Katopodis (L), Win McNamee (R) / Getty Images

原文へ

(翻訳:塚本直樹 / Twitter

FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる

米国政府によると、ハッカーは「起源はおそらくロシア人である」とし、少なくとも10の米国連邦政府機関と、FireEyeやMicrosoft(マイクロソフト)などのいくつかの大手テック企業数社のネットワークに侵入したという。

米国時間1月5日の共同声明の中で、FBI(連邦捜査局)、NSA(米国家安全保障局)、国土安全保障省のサイバーセキュリティ顧問部門であるCISAは、政府は「侵害の範囲を把握するための作業を続けている」が、今回の侵害は「情報収集のためである可能性が高い」と述べている。

声明によると、「進行中」だという。

声明では侵害された機関名は挙げられていないが、財務省、国務省、エネルギー省が影響を受けたと報告されている(FedScoop記事)。

「これは深刻なものであり、修正のための継続的かつ献身的な努力が必要である。『共同機関の取り組み』は、我々のパートナーや米国国民との情報の調査、修正および共有のために必要なあらゆる行動を取り続ける」と声明では述べられている。

大規模なスパイ活動のニュースは、通常はサイバー攻撃の被害者が最初に電話をかけるサイバーセキュリティ大手のFireEyeが、同社のネットワークが侵害されていることを発見した後の2020年12月初旬に飛び込んできた。その後すぐに、いくつかの政府機関にも侵入があったことが報告されている。

被害に遭ったのはすべて米国のソフトウェア企業であるSolarWindsの顧客で、同社のOrionネットワーク管理ツールは、米国政府やフォーチュン500企業で使用されている。FireEyeによると、ハッカーらはSolarWindsのネットワークに侵入し、汚染されたソフトウェアのアップデートを顧客にプッシュしたことで、彼らはそのアップデートをインストールした数千社の企業や機関に簡単に侵入できるようになっていたという。

約1万8000人の顧客がバックドアが設けられたソフトウェアアップデートをダウンロードしたが、政府の共同声明によると「システム上でのハッカーによる追跡活動で危険にさらされた数ははるかに少ない」と考えているハッカーのシステムの処理によって被害を受けた人数ははるかに少ないとのことだ。

複数の報道機関がこれまでに報じたところによると、ハッキングはロシアの諜報グループ「APT 29」、または「Cozy Bear」によって行われたという。その中には、新型コロナウイルスのワクチン研究を盗もうとしたことも含まれている

今回の共同声明は、政府が選挙運動の背後にいる可能性が高い人物を初めて認めたものになる。

ロシアはこれまで、ハッキングへの関与を否定していた。

関連記事
サイバーセキュリティ企業FireEyeが「国家の支援を受けた」ハッカーから攻撃されたと言及
「ロシアのハッカー集団が新型コロナワクチン開発を攻撃」と英米カナダが警告

カテゴリー:セキュリティ
タグ:ハッカーアメリカロシアサイバー攻撃FBINSA

画像クレジット:Bronte Wittpenn/Bloomberg / Getty Images

原文へ

(翻訳:TechCrunch Japan)

ネット上の怪しい活動を検知したTaskRabbitがユーザーのパスワードをリセット

TaskRabbit(タスクラビット)は、ネットワーク上の「怪しい活動」を検知し確認したとして、無数の顧客のパスワードをリセットした。

IKEA(イケア)が所有するオンデマンドの家事代行マッチングマーケットプレイスであるTaskRabbitは、十分な注意を払いつつユーザーのパスワードをリセットし、「ユーザーアカウントへの不正アクセスを防止する対策を講じた」と、TaskRabbitの広報担当者はTechCrunchに話した。

同社は後に、それがクレデンシャルスタッフィング攻撃であったことを認めた。これは、漏洩によって入手したユーザー名やパスワードを使い、別のウェブサイトのアクセスを試みるという攻撃だ。

「私たちは十分な注意を払って行動し、多くのTaskRabittアカウントのパスワードをリセットしました。これには、2020年5月1日からログインしていないすべてのユーザーと、そのほとんどがユーザーによる通常の利用ではあったものの、攻撃の最中にログインしていたすべてのユーザーが含まれます」と広報担当者は述べた。

「TaskRabbitコミュニティの安全とセキュリティが最優先であることに、変わりはありません。今後もユーザーの個人情報を守るために警戒は怠りません」と広報担当者はいう。

TaskRabbitの利用者は、具体的な理由は明かさず「セキュリティ上の予防措置」としてパスワード変更を行ったとだけ書かれた漠然とした電子メールで、この件を知らされた。TechCrunchは、このメールが本物であることを確認している。

TaskRabbitの利用者に送られたパスワードのリセットを伝えるメール(画像クレジット:Sarah Perez/TechCrunch)

利用者情報やアカウント情報の漏洩によって、個人情報が盗まれたり不正アクセスされるというセキュリティ上の問題が生じた際に、企業がパスワードのリセットを行うのは珍しいことではない。

2019年、アパレル系のオンラインマーケットプレイスStockX(ストックエックス)は、当初「システム更新」のためのとして利用者のパスワードをリセットしたが、実はネットワーク上の怪しい活動を発見した(未訳記事)後の行動だったことを認めている。数日後、あるハッカーが、680万件のStockXのアカウント記録(未訳記事)が同社のサーバーから盗まれていたとTechCrunchに教えてくれた。

TaskRabbitのフリーランスを対象とした労働力マーケットプレイスは2008年に創設され、条件の交渉ができる仕事やお使いのオークション型プラットフォーム(未訳記事)から、利用者と請け負い業者とをマッチングさせる、より成熟した利用者ごとに対応したマーケットプレイスに成長した。やがてそれはIKEAの目に留まり、TaskRabbitがストラテジックバイヤーの市場で買い手を探し始めた2017年9月、IKEAは同社を買収した。

しかし買収後1年目に、TaskRabbitは「サイバーセキュリティ事故」のためにウェブサイトとアプリを閉鎖する事態(未訳記事)に追い込まれた。同社は、システム攻撃で不正アクセスされたと後に公表(未訳記事)している。TaskRabbitの当時のCEO、Stacy Brown-Philpot(ステイシー・ブラウン・フィルポット)氏によれば、同社は、攻撃によってどの顧客情報が危険にさらさたかを特定するために外部の犯罪捜査チームと契約し、ユーザーと仕事の提供者の双方に対して、アカウントが怪しい活動に狙われていないか監視を続けるよう警告を発したという。

同社は攻撃の後、数々の新しいセキュリティ対策を導入し、それによりログイン時の安全性がさらに強化されると話している。また、仕事を依頼する側と受ける側の双方のデータのうち、保管されるものの量を減らし、さらに「ネットワークのサイバー犯罪の検知技術を全体的に強化する」とも話していた。

ブラウン・フィルポット氏は、2020年の初めにTaskRabbitを去り(未訳記事)、以来CEOは、元Airbnb(エアービーエヌビー)とUber Eats(ウーバー・イーツ)のAnia Smith(アニア・スミス)氏が務めている(PR Newswire記事)。

関連記事:Ikea、便利屋サービスのTaskRabbitを買収

カテゴリー:セキュリティ
タグ:TaskRabbitサイバー攻撃データ漏洩

画像クレジット:TechCrunch

原文へ

(翻訳:金井哲夫)

サイバーセキュリティ企業FireEyeが「国家の支援を受けた」ハッカーから攻撃されたと言及

普段、サイバー攻撃の被害者が最初に電話をかける会社であるFireEye(ファイア・アイ)は、同社もハッカーの被害に遭ったことを認めた。「洗練された脅威活動者」と同社が呼ぶこのハッカー行為は、国家によって支援されている可能性がある。

同社の最高経営責任者であるKevin Mandia(ケビン・マンディア)氏は、今回の侵入を認めるブログ記事の中で、国家が支援するハッカーは「トップクラスの攻撃能力を持っている」と書いているが、攻撃の背後にある政府を非難したり、どの政府が攻撃の背後にいるのかを述べたりはしなかった。

2014年にFireEyeが買収したインシデント対応会社Mandiant(マンディアント)を設立したマンディア氏によると、これらのハッカーは「過去に当社やパートナーが目撃したことのない斬新な技術の組み合わせ」を用いて、通常レッドチームが使用しているハッキングツールを盗み出したという。レッドチームは、悪意のあるハッカーよりも先に欠陥や脆弱性を発見するために、顧客に対して攻撃的なハッキング活動を行うことを任務としている。

「これらのツールは、多くのサイバー脅威活動者の行動を模倣したもので、それによってFireEyeはお客様に必要不可欠な診断セキュリティサービスを提供することができます」と、マンディア氏は述べている。「これらのツールにゼロデイ・エクスプロイトを含むものはありません。コミュニティを保護するという我々の目標に沿って、我々は盗まれたレッドチームのツールの使用を検出するための方法と手段を積極的に公開しています」。

しかし、もし盗まれた場合、これらのツールによってハッカーが被害者に攻撃を仕掛けることが容易になる可能性がある。

2年前、ハッカーが国家安全保障局に侵入し、同様の攻撃的なハッキングツールを盗み出した。同局はそれらを外国の疑わしいテロリストの情報収集に使用していた。しかし、このエクスプロイトは後に公開され、数千台のコンピューターにランサムウェア「WannaCry(ワナクライ)」を感染させ、数百万ドル(数億円)相当の被害をもたらした(未訳記事)。

マンディア氏によると、FireEyeはハッカーが盗んだツールを使用した場合に与える影響を最小限に抑えるために、何百もの対策を開発してきたが、ツールが悪用された形跡はないという。

ハッカーの動機は不明だが、マンディア氏によると、ハッカーは同社の政府系顧客に関連する情報を求めているようだったという。

しかし、今回の侵入がいつ発生したのか、FireEyeがどのようにして被害に気づいたのか、正確には明らかになっていない。FireEyeの広報担当者は、TechCrunchの取材に応じた際、ブログ記事以上のコメントを辞退した。

約35億ドル(約3645億円)と評価されているFireEyeの株価は、時間外取引で7%以上も急落した。FireEyeは、市場で最も資金力のあるサイバーセキュリティ企業の1つとして評判であり、侵入がどのようにして起こったのか、何が取られたのかを理解するために、被害に遭った企業から招かれることが多い。

今回のケースでは、FireEyeはFBIに事件を報告し、Microsoft(マイクロソフト)など業界の協力企業に侵入の危険について注意を促したという。マイクロソフトはFireEyeの調査に協力していると述べた。

「この事件は、セキュリティ業界が協力して、資金力のある敵の斬新で洗練された攻撃技術がもたらす脅威から身を守り、対応しなければならない理由を示しています」と、マイクロソフトのJeff Jones(ジェフ・ジョーンズ)氏は語る。「我々はFireEyeの情報開示と協力を称賛します。それによって我々全員がより良い準備を整えることができるからです」。

カテゴリー:セキュリティ
タグ:FireEyeサイバー攻撃ハッカー

画像クレジット:Saul Loeb / Getty Images

原文へ

(翻訳:TechCrunch Japan)

米司法省が米企業へのサイバー攻撃容疑で中国ハッカー集団5人を起訴

米司法省は、テック企業やゲームメーカー、大学、シンクタンクなどを含む米国の100社超にハッキングした疑いで中国人5人を起訴したと発表した。

Zhang Haoran(チャン・ハオラン)とTan Daili(タン・デイリ)の両容疑者は2019年8月に陰謀、通信詐欺、ID窃盗、そのほかコンピューターハッキングに関連するものなど24以上の罪に問われた。検察は、Jiang Lizhim(ジャン・リジム)、Qian Chuan(チィェン・チュアン)、Fu Qiang(フー・チャン)の各容疑者に対しては先月9つの容疑を加えた。

検察はまた、デジタル商品と仮想通貨の窃盗・販売目的でのハッカーグループによるゲーム会社への侵入で益を得ようとしたとして、マレーシアで逮捕されたビジネスパーソン2人も起訴した。

「本日の起訴、関連する逮捕、侵入に使われたマルウェアやほかのインフラの押収、そして足並みを揃えた民間部門による防止策は、利用できるあらゆるツールを使い、サイバー空間におけるルールを支持する民間部門や国々と協力するという司法省の決意をあらためて示している」と次官補のJohn C. Demers(ジョン・C・デマーズ)氏は述べた。「これが悪意ある国家支援サイバー活動を取り締まるための唯一の方法だ」と話した。

ハッカーたちは中国が支援するAPT41というハッキンググループのメンバーとされている。このグループは「Barium」としても知られ、ソースコードや顧客データ、他の価値ある会社情報を米国、オーストラリア、ブラジル、香港、韓国、その他の国の企業から盗んでいた。

起訴状で検察は、ハッカーたちはChengdu 404という会社のために働き、同社は表向きはネットワークセキュリティ企業だが、ハッカーを隠すためのダミー会社だと指摘した。起訴されたハッカーたちは企業に侵入するために数多くのよく知られたセキュリティ脆弱性を利用し、企業のサプライチェーンに攻撃を仕掛けた。これによりハッカーたちは他の企業にも侵入できた。起訴状は、APT41のハッカーたちが被害者のネットワークに侵入するのにネットワークギアに対して脆弱性を用いたとするセキュリティ企業FireEyeの初期の分析を認めている。

ハッカーたちはまた、マルウェアが正当なソースからのもので、作動させるのに安全だとコンピューターをだますために使われるコードサイニング証明書も盗んだとされている。APT41は昨年コンピューターメーカーASUS(エイスース)へのサプライチェーン攻撃(未訳記事)で非難されていた(FireEyeレポート)。この攻撃ではハッカーたちはASUSのサーバーを使っている少なくとも数十万台ものコンピューターのバックドアを開けた。

検察は「ハッカーたちがランサム攻撃と、暗号通貨をマイニングするためにマルウェアでコンピューターをハイジャックするクリプトジャッキングスキームを仕掛けて儲けしようとした」と指摘した。

Mandiantの分析シニアディレクターを務めるJohn Hultquist(ジョン・ハルトクイスト)氏はAPT41について、同社が昨年追跡した「最も暗躍した」中国の脅威グループだと話した。

「グローバルなサイバースパイ活動をしながら犯罪活動も追求している、特異なグループだ。APT41の活動は2012年に遡り、その際はAPT41のメンバーが個人的にビデオゲーム業界を狙って主に金銭目的の行為をした。その後、国家による指示で典型的なスパイへと活動を拡大した。犯罪とスパイ活動をうまくブレンドさせるAPT41の能力は驚くべきものだ」と同氏は語った。

起訴後、検察はグループの活動に関連するウェブサイトやドメイン、サーバーを押収するための令状を取得し、グループの活動を効果的に妨害し停止させた、と述べた。

起訴されたハッカーたちは中国にいると思われる。しかし捜査は司法省が近年国家サイバー攻撃に対して展開してきた「名指し非難」となる。

画像クレジット:Samuel Corum/Getty Images

[原文へ]

(翻訳:Mizoguchi

サイバーセキュリティーの新たな荒波に立ち向かうには?

サイバーセキュリティー業界は転換期を迎えている。

セキュリティーの従来型アプローチはすでに、サイバー攻撃、クラウドへの移行、モノのインターネット(IoT)の爆発的な増加にすでに手一杯の状態だ。IoT機器の数が2025年には416億基に達するという予測(IDC記事)に異論はないだろう。

そこを新型コロナウイルスのパンデミックに襲われたことで、何年も前から催促されてきた改革が加速され、リモートワークは日常となり、デジタルトランスフォーメーションが急務となった。どの企業でも、すでにまったく余裕のないところへ来て、新たな課題が何層にも積み重ねられてゆく状態だ。

私は、今のサイバーセキュリティーの最大のリスクは、安全確保のための仕事量に企業が追いつけない点だと見ている。企業のサイバーセキュリティー担当部署は、人の手では絶対にさばききれない膨大な量の仕事に溺れかけている。マシンに人の手で立ち向かえと命令されても、太刀打ちはできるはずがない。それとは裏腹に、ハッカーたちは日々進化し、機械学習(ML)アルゴリズムを駆使して、同等のテクニックでしか対処できない攻撃を大規模化している。そのような理由から、我々はパーフェクトストームの真っ只中にいると言える。

以上が悪いニュースだ。良いニュースは、この問題には対処策があるということだ。実際、今こそ物事を是正する好機でもある。なぜか?クラウドの活用、テレワーク、IoTの急増など、あらゆるものが変化しているからだ。

今のような高度な脅威にさらされた状況では、受け身であってはいけない。積極的に攻めることだ。サイバーセキュリティー担当者の重荷を軽くするためには、素早くより効率的に攻撃に対処するための統合型機械学習が必要になる。同時に、クラウドデリバリーとサイバーセキュリティーに対する総合的なアプローチの導入も欠かせない。

土台はどこにあるのか?

数年前から「クラウドがすべてを変える」と吹聴されてきた。「すべて」は変わっていないものの、たしかに多くのものが変わった。

企業は、往々にして準備が整わないうちにクラウドに移行している。クラウド化でどうなるかを完全に理解しないまま、事業の心臓部をクラウドの未来に預けるのは危険だ。さらに、市場に溢れる種々雑多な、簡単には連動してくれない製品に振り回されることになる。セキュリティー担当部署が今すでに溺れかけているとしたら、クラウドは彼らにとって津波に相当する。

その負荷を軽減できるのが自動化だ。しかし、統合や管理を人の手で行わなければならないサービスを複数抱えているセキュリティー担当部署には、まず不可能な話だ。

多くの企業は、長年にわたり、サイバーセキュリティーには場当たり的な対策でしのいできた。新しい脅威が登場するたびに、それに対抗するソリューションを掲げた新しいスタートアップが次々と現れる。

私は、相互運用ができない、サイバーセキュリティーの総合的なアプローチの可能性すら示せない製品を提供する企業を何十何百と見てきた。これではトランプの家と同じだ。ひとつの製品が別の製品の上に載っかっているが、全体を支える土台が存在しない。

今こそ行動のときだ。適切にサイバーセキュリティーを整えるテクノロジーはすでに使える状態にある。あとは、それをどう導入するかだ。

サイバーセキュリティーの新しいモデル

将来のサイバーセキュリティーは、プラットフォーム・アプローチにかかっている。これにより、セキュリティー担当部署は、さまざまな異質な製品の統合に労力が奪われることなく、セキュリティーに集中できる。これなら、パーフェクトストームと戦いつつ、デジタルトランスフォーメーションを着実に進めることができる。

ネットワークの境界線は、しっかりと守られているのが普通だ。企業は、そのネットワークの内部に、脅威を特定し、リアルタイムで対処するツールやテクノロジーを備えている。

だがクラウドはまったく別の世界になる。クラウドのセキュリティーには確立されたモデルがない。しかし裏を返せば、レガシーなセキュリティー・ソリューションがクラウドで幅を利かせることがないという利点もある。つまり、企業は今なら適切にやれるということだ。さらに、クラウドへのアクセス方法と、予防、検出、対処、復旧のためにMLとAIを最大限に生かすセキュリティー・オペレーション・センター(SOC)の管理方法の修正も行える。

クラウドのセキュリティー、クラウドのアクセス、そして次世代のSOCはみな相互に関連している。個別に、そして連携して、サイバーセキュリティーの近代化の機会を提示してくれる。今、適切な土台を作れば、将来的に、ツールの種類が増えすぎる傾向を打開して、サイバーセキュリティー改革とソリューションを、ずっと簡単に活用できる道を構築できる。

その道とは?プラットフォームを統合して、企業は様々なツールをこれまでどおり使い続けながら、しかしそれらをうまく組み合わせ、集中管理して、部署ごとの孤立した対応をやめて企業全体がしっかりとひとつとなり、ソフトウェアでもって、マシンやソフトウェアに対抗するというものだ。

サイバーセキュリティー担当部署の自動化を助け、複数のクラウドからなる環境を総合した迅速な監視、調査、対応を実現し、世界中のユーザーとデバイスを網羅する分散型ネットワークを可能にするのは、統合型プラットフォームだけだ。

2020年は変革が促進される年だ。古いサイバーセキュリティーのやりかたを打破して、新しいアプローチを導入しよう。それは、機械学習、クライドデリバリー、プラッフォフォーム・モデルによって駆動されるアプローチだ。これが未来のサイバーセキュリティーの姿だ。否応なく、想像しいた以上に早く到来してしまった未来だ。

【編集部注】著者のNir Zuk(ニア・ザーク)はサイバーセキュリティー企業のPalo Alto Networksの共同創設者でCTO。

画像クレジット:Dong Wenjie / Getty Images

[原文へ]

(翻訳:金井哲夫)