タグ: サイバー攻撃（用語）

新型コロナウイルスのパンデミックの乱気流で勢いづいたランサムウェアの攻撃は、サイバー犯罪者にとって大きな稼ぎ頭となっており、2020年は攻撃件数が増加した。

こうしたファイルを暗号化する攻撃は、今年もほぼ衰えることなく続いている。ここ数カ月だけでも、Colonial Pipeline（コロニアル・パイプライン）への攻撃で同社のシステムと東海岸の大部分へのガソリン供給が停止したり、食肉業者のJBSへのハッキングで世界各地の食肉処理場の操業が突然停止したり、今月はITベンダーのKaseyaへのサプライチェーン攻撃で数百人の下流の被害者がシステムから締め出されたりした。

しかし、ランサムウェアの攻撃がニュースになることはあっても、その影響を完全に理解することはほとんど不可能だ。また、サイバー犯罪者の身代金要求に応じるなどのある種の決断が違いを生むかどうかもわかっていない。

Krebs Stamos Groupのセキュリティーアーキテクトであり、以前は米国のCybersecurity and Infrastructure Agency（サイバーセキュリティー・インフラストラクチャー庁、CISA）に勤務していたJack Cable（ジャック・ケーブル）氏は、クラウドソースによる身代金支払い追跡サイトRansomwhereを立ち上げ、この問題を解決しようとしている。

「Ransomwhereを始めようと思ったきっかけは、Katie Nickels（ケイティ・ニッケルズ）氏がつぶやいた、サイバー犯罪、特にランサムウェアの影響を誰も完全には把握していないという言葉でした」とケーブル氏はTechCrunchに語った。「現在、ランサムウェアの支払いに関する公的なデータを集めた場所がないことを知り、ビットコインの取引を追跡するのは難しくないことから、それをハッキングし始めました」

このサイトでは、サイバー犯罪者に支払われた身代金をビットコインで集計している。これは、ブロックチェーン上で取引を公開記録することで可能になった。このサイトはクラウドソースなので、誰もが提出できるランサムウェア攻撃の自己申告によるデータを取り入れている。しかし、すべての報告が正当なものであることを確認するために、報告の際にはランサムウェアの支払い要求のスクリーンショットを撮ることが義務付けられており、公開前にケーブル氏自身がすべてのケースを手作業で確認している。承認されたレポートの信憑性が疑われた場合、そのレポートはデータベースから削除される。

すでに急増しているこのデータベースには、個人情報や被害者を特定する情報は一切含まれていないため、サイバーセキュリティー業界や法執行機関の関係者は自由にダウンロードすることができる。

「ランサムウェアの経済性に関する現状を変えるための政策提案を検討する際には、そうしたアクションが成功したかどうかを評価するデータが必要になります」とケーブル氏は話す。「法執行機関は、Colonial Pipelineのハッキングで見られたように、支払った一部を回収する能力を持っているため、このサイトが彼らの努力をさらに支援できれば素晴らしいことです」

本稿執筆時点で、同サイトが捕捉した2021年の身代金支払いの総額は3200万ドル（約36億円）以上だ。これらの支払いの大部分は、JBSとKaseyaのハッキングを行ったロシアに関連するランサムウェアギャングであるREvilに支払われた。Ransomwhereによると、このグループは今年、1100万ドル（約12億円）以上の身代金をかき集めており、Kaseyaへの攻撃の一環として最近要求した7000万ドル（約78億円）が支払われると、その額は劇的に増加する可能性がある。

ダークウェブで最も人気のあるランサムウェア・アズ・ア・サービスの1つであるNetwalkerは、2021年は支払い額が630万ドル（約7億円）以上で2位となっている。Ransomwhereの集計によると、身代金の支払い総額では同グループが最も多く、同サイトのデータによると約2800万ドル（約31億円）に達している。

RangarLockerは460万ドル（約5億1100万円）、DarkSideは440万ドル（約4億8800万円）、Egregorは320万ドル（約3億5500万円）となっており、少なくとも現時点では、Ransomwhereのトップ5に入っている。

ケーブル氏によると、今後は、セキュリティーやブロックチェーン分析の分野の企業と提携して、彼らがすでに持っているランサムウェアの動きに関するデータを統合する方法を模索しているという。また、イーサリアムのような追跡可能な他の暗号資産（仮想通貨）をサポートする方法や、ビットコインの下流のアドレスを追跡する可能性についても検討している。

「Monero（モネロ）を使用している犯罪者を追跡することはほぼ不可能です」とケーブル氏は言う。「しかし、私は可能な限り全体像を把握したいと思っています」。

カテゴリー：

タグ：

画像クレジット：Bryce Durbin / TechCrunch

[原文へ]

（文：Carly Page、翻訳：Nariko Mizoguchi）

編集部注：本稿の寄稿者はMark Testoni（マーク・テストニ）氏とJoseph Moreno（ジョセフ・モレノ）氏。テストニ氏は、SAP National Security Services, Inc.のCEO。それ以前はSAPおよびOracleで指導的立場を務め、米国空軍に20年間勤務した。モレノ氏はSAP National Security Services, Inc.の法律顧問。それ以前は連邦検事およびFBIの9/11レビュー委員を務めた。米国陸軍予備軍中佐。

ーーー

次の戦争に負ける最善の方法は、今の戦いを続けることだという。中世における要塞が効果的な防御であったのは、火薬と大砲が攻囲戦のやり方を永久に変えるまでだった。単純な兵士の数に基づく戦場の優位性は、大砲と機関銃の威力に取って代わられた。

第一次世界大戦中、戦車は19世紀のテクノロジーで作られた要塞を文字通り踏み潰す革新だった。軍事史を通じて、革新者たちが戦果を享受する一方で、順応の遅かった者たちは押しつぶされ、敗れ去った。

サイバー戦争も何ら変わらない。伝統的兵器は、我々の経済と国家安全にとっても同様に致命的なテクノロジーに屈している。軍事的優位をもち、サイバー分野でも先端を行っていながら、米国はデジタル敵と今もアナログ的思考で戦っている。

これを変えなくてはならない。そのために政府はまず困難な選択を決断する必要がある。その攻撃力を影の中に潜む敵に対してどうやって使うのか、民間部門とどう協力していくのか、そして、私たちの日常生活を脅かす悪役から国を守るにはどうすればよいのか？

コロニアル・パイプラインは一歩前進、二歩後退

Colonial Pipeline（コロニアル・パイプライン）に対するランサムウェア攻撃の後、ロシアと繋がりのあるハッキング・グループDarkSide（ダークサイド）は活動を休止し、Federal Bureau of Investigation（連邦捜査局、FBI）は支払われた身代金4400万ドル（約48億7000万円）の一部を取り戻したと報じられた。これは明るい展望であり、我が国の政府がこの種の攻撃を深刻に捉えている証だ。しかしそれは、何年も前から知られている技術を使って罰を受けることなく敵対国で活動するサイバーテロリストが、国で最大の石油パイプラインを機能停止に陥れ数百万ドル（数億円）の身代金を持ち去ることに成功したという事実を変えるものではない。彼らはおそらく永久に裁かれることがなく、ロシアは結果を正視することなく、こうした攻撃は間違いなく続いていくだろう。

現実はといえば、企業はサイバー防御に関してより賢くなり、ユーザーは自分たちのサイバー衛生行動をより慎重にできるようになったものの、テロリストの活動を止める権力をもっているのは政府だけである。

国境内でサイバー犯罪者の活動を許している国々は、即刻犯人を引き渡し、さもなければ厳しい経済制裁を与えられるべきだ。そのような個人やグループに対し、避難場所やその他の支援を与えている国は、認定テロリスト組織を支援する者と同様に物質的支援の罪に問われるべきだ。

規制当局は、暗号資産（仮想通貨）取引所とウォレットが違法な取引や組織の捜査に協力することを強制し、従わなければ米国金融システムから除外すべきだ。警察や軍部、諜報機関は、サイバーテロリストの活動を著しく困難で危険で利益のないものにすることで、米国の産業や重要インフラに対して次の攻撃を仕かける意欲を失せさせるべきだ。

政府は民間セクターとの協力を促進すべきだ

我が国最大の脆弱性であり、逸している機会は、公民一体となってサイバー戦争に対する統一戦線を組めていないことだ。政府と民間セクターがサイバーリスクと事象情報をリアルタイムで共有することは、防御と攻撃どちらにとっても極めて重要だ。現在それは行われていない。

企業は、脆弱性を明らかにすることで、本来攻撃から守ってくれるべき政府自身から、訴訟され、捜査され、さらに被害を受けることを恐れすぎている。連邦政府は、情報の過剰な機密扱い、官僚制度の重複、民間産業と積極的に情報や技術を共有するインセンティブを与えないカルチャーの壁といった諸問題に対して、未だに答えを持っていない。

その答えは、強大な企業がやってきて一方的な情報の流れを要求することではない。民間人が自発的に名乗り出て、訴訟や規制措置を恐れることなく情報共有できるようにすべきだ。リアルタイムに自己開示されたサイバーデータは秘密を守られ、防御と応戦のために使用されるべきであり、被害者をさらに傷つけるべきではない。相互協力のためにあってはならないことだ。

そしてもし、連邦機関や軍部や諜報機関が、将来の攻撃やその防御方法に関する知識を手に入れたなら、用無しになるまでじっとしているべきではない。民間セクターと安全で、時宜を得た、双方に利益をもたらす方法で情報を共有する方法は必ずある。

企業は、サイバー事象情報の交換だけにとどまるべきではない。民間セクターと学術界はサイバースペースの膨大な発展に貢献しており、過去20年間に研究開発に費やされた金額の民間と公共セクターの割合はおよそ90％対10％だ。

我々の民間セクターは、シリコンバレーからテキサス州オースチン、バージニア北部のテクノロジー地域にいたるまで、最優秀な人材を擁し、政府に与えるられる膨大な資源をもっているが、そのほとんどが活用されていない。民間セクターの利益を押し上げているのと同じ革新が、国家安全保障の強化にも使われるべきだ。

中国はすでにこれを認識しており、もし我々が民間セクターの革新と米国の若い才能を活用する方法を見つけられなければ、後れをとることになる。バイデン政権と議会の民主党と共和党が政治的駆け引きをやめて採用すべき超党派的ソリューションを要請することがあるとすれば、これこそがそうだ。

軍事防御産業モデルを見よ

ありがたいことに、さまざまな形でうまくいっている公共・民間の活動モデルがある。現在兵器システムはDefense Industrial Base（防御産業基盤）がほぼ独占的に製造しており、戦場に配備された際には、脆弱性、脅威、効果の改善点などについて、兵士と定期的な双方向会話がなされている。この関係は一夜にしてできたものではなく、完璧にはほど遠い。しかし数十年にわたる努力の結果、堅牢な協業プラットフォームが開発され、セキュリティ検査の基準が制定されたことで、信頼が築かれた。

同じことを、連邦政府のサイバー担当機関と民間セクター全体の人々との間でも行うべきだ。金融機関もエネルギー企業も小売業も製造業も製薬業も、政府と協力してサイバーデータをリアルタイムに双方向で共有できるはずだ。政府はもし攻撃グループや脅威となる技術を見つけたら、攻勢に出て封鎖するだけでなく、その情報を安全かつ迅速に民間セクターに伝えるべきだ。

FBIや国土安全保障省や軍部に、プライベートネットワークをサイバー攻撃から守ることを求めるのは現実的ではないが、政府はそのための密な協力パートナーになれるし、なるべきだ。我々は、これを共同の戦いでもあり責務でもあることを認識した関係を受け入れるべきであり、正しく行うための年数は多くない。

政府は行動を起こせ

戦争の歴史を見ると、優位は常に最初に革新した者にもたらされている。サイバー戦争に関して、答えは人工知能や量子コンピューティングやブロックチェーンなどの先端技術だけにあるのではない。現代のサイバーテロリズムに対する戦争における最も強力な進歩は、幼稚園で習うほど簡単なものかもしれない。共有と協力の価値だ。

政府とテクノロジー産業、そして広く民間セクターの人々は、我々の競争優位性を維持し、クラウドコンピューティングや自動運転車や5Gなどの先端技術を利用するだけでなく、私たちの生活様式を守り持続していくために一致団結すべき。これまでこの国は公共と民間の協力体制構築に成功しており、アナログな関係からデジタルへと進化することが可能だ。しかし、そのためには政府が先頭に立って道を開く必要がある。

カテゴリー：セキュリティ

タグ：コラム、ランサムウェア、サイバー攻撃、アメリカ

画像クレジット：YinYang / Getty Images

［原文へ］

（文：Mark Testoni、Joseph Moreno、翻訳：Nob Takahashi / facebook ）

ウクライナ警察がランサムウェア犯罪集団「Clop（クロップ）」と関係があるとみられる6人の容疑者を逮捕してから数日後、この悪名高いランサムウェアの活動が再開されたようだ。

関連記事：ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

先週、ウクライナ国家警察が韓国と米国の関係者とともに行った法執行活動により、ランサムウェア「Clop」に関係しているとみられる複数の容疑者が逮捕された。国家レベルの法執行機関による大規模なランサムウェアグループの逮捕は、これが初めてのことだと思われる。

ウクライナ警察は当時、同グループが使用していたサーバーインフラを停止させることに成功したとも主張していた。しかし、この作戦は完全に成功したわけではないようだ。

逮捕者が出た後、Clopは沈黙を守っていたが、今週になってから、新たな被害者である農機具小売業者と建築士事務所から盗んだとする機密データをダークサイトで公開した（TechCrunchはそれを目にしている）。

もしこれが本物であれば（被害者とされる両者ともTechCrunchのコメント要求に応じていない）、先週行われた史上初の法執行機関による逮捕にもかかわらず、ランサムウェア犯罪集団は依然として活動を続けていることになる。これはつまり、手錠をかけられた容疑者の中に、Clopの活動で重要な役割を果たしている者が含まれていなかったためと考えられる。サイバーセキュリティ企業のIntel 471（インテル471）は、先週の逮捕が活動のマネーロンダリング部分をターゲットとしており、犯罪集団の中核メンバーは捕らえられていなかったとの見解を示している。

「Clopの背後にいる中核的な人物が逮捕されたとは思えません」と、Intel 471は述べている。「Clopに与えた全体的な影響は小さかったと思われます。しかし、今回の法執行機関による逮捕は、最近DarkSide（ダークサイド）やBabuk（バブク）のような他のランサムウェアグループで見られたように、Clopブランドが放棄される結果を導く可能性もあります」。

Clopはまだビジネスを続けているようだが、このグループがいつまで活動を続けるかはまだわからない。米国の捜査当局が最近、Colonial Pipeline（コロニアル パイプライン）を攻撃したハッカーに身代金として支払われたと主張される数百万の暗号資産を回収するなど、2021年に入ってから法執行機関の活動がランサムウェアグループに数々の打撃を与えているだけでなく、ロシアは今週、米国と協力してサイバー犯罪者の居場所を突き止める活動を開始することを認めた。

ロシアはこれまで、ハッカーへの対応に関しては傍観主義的な態度を続けていた。だが、Reuters（ロイター）が米国時間6月23日に報じたところによると、ロシア連邦保安庁（FSB）のAlexander Bortnikov（アレクサンドル・ボルトニコフ）局長は、今後のサイバーセキュリティ活動においては、米国の当局と協力していくと語ったという。

Intel 471は、先週の作戦でClopの主要メンバーが逮捕されたとは考えていないと述べていたが、それは「彼らはおそらくロシアに住んでいる」からであり、ロシアは長い間、行動を起こすことを拒否していたため、サイバー犯罪者にいわゆるセーフハーバー（安全港）を与えてきた。

Clopランサムウェアが2019年初頭に初めて発見されて以来、同グループは数々の注目を集めるサイバー攻撃に関与してきた。その中には、2020年4月に発生した米国の大手製薬会社ExecuPharm（エグゼキュファーマ）の侵入事件や、最近発生したAccellion（アクセリオン）のデータ流出事件が含まれる。この事件では、ハッカーがITプロバイダーのAccellionが使用するソフトウェアの欠陥を悪用して、コロラド大学やクラウドセキュリティベンダーのQualys（クオリス）など数十社におよぶ顧客のデータを盗み出した。

関連記事：

カテゴリー：セキュリティ

タグ：逮捕、警察、ランサムウェア、ハッカー、暗号資産、犯罪、サイバー攻撃

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Carly Page、翻訳：Hirokazu Kusakabe）

Clopランサムウェアのギャングにつながっているとされている複数の容疑者が、ウクライナ、韓国、米国の当局による合同捜査を経てウクライナで逮捕された。

ウクライナ国家警察のサイバー部門は、首都キエフと周辺で21カ所の家宅捜索を行い、6人を逮捕したことを明らかにした。容疑者らがランサムウェア一味の仲間なのか、あるいは中心的なデベロッパーなのかは明らかではないが「二重の脅迫」スキームを展開していた罪に問われている。このスキームでは、身代金の支払いを拒んだ被害者らはファイルが暗号化される前にネットワークから盗まれたデータを公開すると脅される。

関連記事：ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

「被告6人は米国と韓国の企業のサーバーで『ランサムウェア』のような悪意あるソフトウェアの攻撃を実行したことが立証されました」とウクライナの国家警察は声明文で主張した。

疑わしいClopランサムウェアのギャングから機器を押収した警察は、金銭上の損害は約5億ドル（約554億円）弱になると述べた。押収したものはコンピューター備品、数台の車（TeslaとMercedes含む）、現金500万ウクライナグリブナ（約2046万円）などだ。当局はまた、ギャングのメンバーが攻撃するのにこれまで使っていたサーバーインフラをシャットダウンしたと主張した。

「法執行機関が協力して、なんとかウイルスを拡散するインフラをシャットダウンし、犯罪で得た暗号資産（仮想通貨）を合法化するためのチャンネルをブロックしました」と声明文にはある。

これらの攻撃は2019年2月に始まった。韓国企業4社を攻撃し、810もの内部サービスとパソコンを暗号化した。以来「Cl0p」と表記されることが多いClopは数多くの有名なランサムウェア攻撃に関与してきた。ここには2020年4月の米製薬大手ExecuPharmの情報流出、小売店舗のほぼ半分を閉鎖することを余儀なくされた同11月の韓国eコマース大手E-Landへの攻撃などが含まれる。

Clopはまた、Accellionのランサムウェア攻撃とデータ流出にも関与している。この件ではハッカーたちはITプロバイダーAccellionの何十もの顧客からデータを盗むのに、Accellionのファイル転送アプライアンス（FTA）の脆弱性を悪用した。情報流出の被害者にはシンガポールの通信会社Singtel、法律事務所Jones Day、スーパーチェーンのKroger、サイバーセキュリティ会社Qualysなどが含まれる。

この記事執筆時点で、Clopが盗んだデータを共有するのに使うダークウェブポータルはまだ稼働中だが、数週間アップデートされていないようだ。しかし、法執行当局は通常、取り締まりがうまくいったときはターゲットのウェブサイトをロゴに変えるため、ギャングのメンバーがまだアクティブかもしれないと思わせる。

「Clopオペレーションは通信、製薬、石油・ガス、航空宇宙、テクノロジーなどさまざまな分野の世界中の組織をディスラプトし、恐喝するのに使われてきました」とMandiantの脅威インテリジェンス部門で分析担当バイスプレジデントを務めるJohn Hultquist（ジョン・ハルトキスト）氏は話した。「攻撃グループ『FIN11』はランサムウェアや恐喝などのオペレーションに強く関係してきましたが、逮捕者の中にFIN11のメンバーや、オペレーションに関係している他の人物が含まれているかどうかは不明です」。

ハルトキスト氏は、ウクライナ警察の取り組みは「ウクライナがサイバー犯罪との戦いで米国の強固なパートナーであり、ウクライナの当局が犯罪者の非難港を否定しようと努力していることのリマインダーです」と述べた。

容疑者たちはコンピューター、自動化システム、コンピューターネットワーク、通信ネットワークでの不正な干渉と、犯罪的な手段で入手した資産のロンダリングの罪で懲役8年が科される可能性がある。

逮捕のニュースは、国際法執行機関がランサムウェアギャングを厳しく取り締まっている結果だ。先週、米司法省はColonial PipelineがDarkSideのメンバーに支払った身代金の大半を回収したと発表した。

関連記事
・富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
・フェイスブックがマルウェアが仕込まれた偽「PC版Clubhouse」アプリの広告を掲載
・ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている

カテゴリー：セキュリティ

タグ：ウクライナ、逮捕、警察、ランサムウェア、ハッカー、暗号資産、アメリカ、韓国、犯罪、サイバー攻撃

画像クレジット：Cyber Police Department of the National Police of Ukraine / supplied

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

日本の多国籍企業、富士フイルムがランサムウェアとみられる攻撃を受けた後、グローバルネットワークの一部停止を余儀なくされた。

デジタル画像プロダクトでよく知られているが、新型コロナウイルス検査迅速処理のためのデバイスなどハイテクな医療キットも製造している同社は、東京に置く本社がサイバー攻撃を受けたことを6月1日夜に確認した。

「現在、当社が利用しているサーバーに対する、外部からの不正なアクセスの疑いがあり、調査を進めております。調査のため、一部ネットワークを遮断し、外部との通信を停止しております」とウェブサイトに掲示した声明文で述べた。

「本件に関し、現時点で判明している事実と当社の対応をご報告いたします。2021年6月1日深夜に、ランサムウェアによる攻撃があった可能性を認識しました。その後、当社の海外法人と協力して影響可能性のあるすべてのシステムを遮断する措置を取りました」。

「現在、本件被害の内容や範囲等の特定を進めております。お客様、お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます」。

部分的なネットワーク遮断の結果、米国富士フイルムはウェブサイトに、現在電子メールや電話などを含むあらゆるコミュニケーション手段が影響を受けていると情報を追加した。先の発表では、サイバー攻撃によって注文を受けたり処理したりすることができなくなっていることも明らかにしていた。

富士フイルムはTechCrunchのコメントの求めにまだ応じていない。

富士フイルムは攻撃に使われたランサムウェアの身元など詳細については固く口を閉ざしているが、Bleeping Computerは富士フイルムのサーバーがQbotに攻撃されたと報じている。Advanced IntelのCEO、Vitali Kremez（ヴィタリ・クレメツ）氏はBleeping Computerに、富士フイルムのシステムは2021年5月、13年前から出回るようになったトロイの木馬によって攻撃されたと語った。この攻撃は通常フィッシングで始まる。

QakBotあるいはQuakBotとしても知られるQbotのクリエイターらは、ランサムウェアオペレーターと提携してきた長い歴史を持つ。以前はProLockとEgregorというランサムウェアギャングとも協業していたが、最近では悪名高いREvilグループとつながっていると言われている。

「初期のフォレンジック分析では、富士フイルムへのランサムウェア攻撃は先月Qbotのトロイの木馬感染で始まり、それを足掛かりにハッカーたちは2つめのランサムウェアペイロードを仕かけたと思われます」とProPrivacyのデジタルプライバシー専門家Ray Walsh（レイ・ウォルシュ）氏はTechCrunchに語った。「直近ではQbotのトロイの木馬はREvilハッキング集団によって活発に悪用されていて、ロシア拠点のハッカーたちが今回のサイバー攻撃の背後にいる可能性はかなり高いようです」。

Sodinokibiとしても知られるREvilは被害者のファイルを暗号化するだけでなく、被害者のネットワークからデータを抜き取る。ハッカーらは通常、身代金が支払わなければ被害者のファイルを公開すると脅す。しかしREvilが盗んだデータを公開するのに使用するダークウェブにあるサイトは、この記事執筆時点でオフラインだった。

ランサムウェア攻撃は新型コロナウイルスパンデミックが始まって以来、増加の一途を辿っていて、サイバー犯罪で最大の金を稼ぐ手法となった。脅威ハンティングとサイバーインテリジェンスのGroup-IBは、ランサムウェア攻撃の件数は2020年に150％超増え、要求する身代金は2倍超の17万ドル（約1875万円）に増えたと推定する。

富士フイルムがシステムへの攻撃に関与したハッカーたちに身代金を支払ったかどうか、現時点では不明だ。

関連記事
・コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
・【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
・アップルM1チップで「修正できない脆弱性」CVE-2021-30747が発見される、ただし悪用は困難

カテゴリー：セキュリティ

タグ：富士フイルム、ランサムウェア、フィッシング、ハッカー、サイバー攻撃

画像クレジット：Kazuhiro Nogi / AFP / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

米国のサイバーセキュリティ担当元高官のChris Krebs（クリス・クレブス）氏とFacebook（フェイスブック）の元最高セキュリティ責任者のAlex Stamos（アレックス・ステイモス）氏が、新たなサイバーセキュリティコンサルティング会社を設立、すでに最初のクライアントであるSolarWindsを獲得している。

少なくとも米財務省、米国務省、米エネルギー省では、ここ数年で米国政府に対する最も重大なスパイ活動である可能性が高いと考えられる侵入が確認されている。米国政府はすでにロシアを非難しているが、侵入の規模は当分分かりそうにない。

クレブス氏は米国政府のサイバーセキュリティ担当幹部の1人であり、直近では2018年から国土安全保障省のサイバーセキュリティ諮問機関であるCISAの長官を務め、偽の選挙不正の主張（その多くはトランプ大統領自身に由来するものだったが）に反対したために同大統領に解雇されるまでは、同国政府のサイバーセキュリティにおける高官の1人であった。一方、ステイモス氏は、FacebookやYahoo（ヤフー）でサイバーセキュリティ関連の上級職を歴任した後、Stanford Internet Observatoryに入社した。同氏はまた、相次ぐセキュリティ問題が発生していた中でZoomのコンサルタントも担当した。

この件を報じたFinancial Timesのインタビューでクレブス氏は、侵入されたシステムからハッカーが排除されるまでには数年かかる可能性があると述べた。

SolarWindsの最高経営責任者であるSudhakar Ramakrishna（スードゥカ・ラーマクリシュナ）氏はブログ投稿で、苦境に陥っている同社が「私たちの顧客、政府のパートナー、および一般の人々に対して短期的および長期的に透明性を保つのを支援し、セキュリティの強化」するためにコンサルタントを迎え入れたことを認めている。

関連記事
・FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
・トランプ大統領が選挙の偽情報を暴露したサイバーセキュリティー責任者クリス・クレブス氏を更迭
・サイバーセキュリティ専門家がFacebookのテロ対策チームや官民連携について語る
・Zoomのセキュリティ顧問が暗号技術開発のKeybaseを買収した狙い

カテゴリー：セキュリティ

タグ：サイバー攻撃

画像クレジット：Tasos Katopodis (L), Win McNamee (R) / Getty Images

［原文へ］

（翻訳：塚本直樹 / Twitter）

米司法省は、テック企業やゲームメーカー、大学、シンクタンクなどを含む米国の100社超にハッキングした疑いで中国人5人を起訴したと発表した。

Zhang Haoran（チャン・ハオラン）とTan Daili（タン・デイリ）の両容疑者は2019年8月に陰謀、通信詐欺、ID窃盗、そのほかコンピューターハッキングに関連するものなど24以上の罪に問われた。検察は、Jiang Lizhim（ジャン・リジム）、Qian Chuan（チィェン・チュアン）、Fu Qiang（フー・チャン）の各容疑者に対しては先月9つの容疑を加えた。

検察はまた、デジタル商品と仮想通貨の窃盗・販売目的でのハッカーグループによるゲーム会社への侵入で益を得ようとしたとして、マレーシアで逮捕されたビジネスパーソン2人も起訴した。

「本日の起訴、関連する逮捕、侵入に使われたマルウェアやほかのインフラの押収、そして足並みを揃えた民間部門による防止策は、利用できるあらゆるツールを使い、サイバー空間におけるルールを支持する民間部門や国々と協力するという司法省の決意をあらためて示している」と次官補のJohn C. Demers（ジョン・C・デマーズ）氏は述べた。「これが悪意ある国家支援サイバー活動を取り締まるための唯一の方法だ」と話した。

ハッカーたちは中国が支援するAPT41というハッキンググループのメンバーとされている。このグループは「Barium」としても知られ、ソースコードや顧客データ、他の価値ある会社情報を米国、オーストラリア、ブラジル、香港、韓国、その他の国の企業から盗んでいた。

起訴状で検察は、ハッカーたちはChengdu 404という会社のために働き、同社は表向きはネットワークセキュリティ企業だが、ハッカーを隠すためのダミー会社だと指摘した。起訴されたハッカーたちは企業に侵入するために数多くのよく知られたセキュリティ脆弱性を利用し、企業のサプライチェーンに攻撃を仕掛けた。これによりハッカーたちは他の企業にも侵入できた。起訴状は、APT41のハッカーたちが被害者のネットワークに侵入するのにネットワークギアに対して脆弱性を用いたとするセキュリティ企業FireEyeの初期の分析を認めている。

ハッカーたちはまた、マルウェアが正当なソースからのもので、作動させるのに安全だとコンピューターをだますために使われるコードサイニング証明書も盗んだとされている。APT41は昨年コンピューターメーカーASUS（エイスース）へのサプライチェーン攻撃（未訳記事）で非難されていた（FireEyeレポート）。この攻撃ではハッカーたちはASUSのサーバーを使っている少なくとも数十万台ものコンピューターのバックドアを開けた。

検察は「ハッカーたちがランサム攻撃と、暗号通貨をマイニングするためにマルウェアでコンピューターをハイジャックするクリプトジャッキングスキームを仕掛けて儲けしようとした」と指摘した。

Mandiantの分析シニアディレクターを務めるJohn Hultquist（ジョン・ハルトクイスト）氏はAPT41について、同社が昨年追跡した「最も暗躍した」中国の脅威グループだと話した。

「グローバルなサイバースパイ活動をしながら犯罪活動も追求している、特異なグループだ。APT41の活動は2012年に遡り、その際はAPT41のメンバーが個人的にビデオゲーム業界を狙って主に金銭目的の行為をした。その後、国家による指示で典型的なスパイへと活動を拡大した。犯罪とスパイ活動をうまくブレンドさせるAPT41の能力は驚くべきものだ」と同氏は語った。

起訴後、検察はグループの活動に関連するウェブサイトやドメイン、サーバーを押収するための令状を取得し、グループの活動を効果的に妨害し停止させた、と述べた。

起訴されたハッカーたちは中国にいると思われる。しかし捜査は司法省が近年国家サイバー攻撃に対して展開してきた「名指し非難」となる。

画像クレジット：Samuel Corum/Getty Images

[原文へ]

（翻訳：Mizoguchi）

サイバーセキュリティー業界は転換期を迎えている。

セキュリティーの従来型アプローチはすでに、サイバー攻撃、クラウドへの移行、モノのインターネット（IoT）の爆発的な増加にすでに手一杯の状態だ。IoT機器の数が2025年には416億基に達するという予測（IDC記事）に異論はないだろう。

そこを新型コロナウイルスのパンデミックに襲われたことで、何年も前から催促されてきた改革が加速され、リモートワークは日常となり、デジタルトランスフォーメーションが急務となった。どの企業でも、すでにまったく余裕のないところへ来て、新たな課題が何層にも積み重ねられてゆく状態だ。

私は、今のサイバーセキュリティーの最大のリスクは、安全確保のための仕事量に企業が追いつけない点だと見ている。企業のサイバーセキュリティー担当部署は、人の手では絶対にさばききれない膨大な量の仕事に溺れかけている。マシンに人の手で立ち向かえと命令されても、太刀打ちはできるはずがない。それとは裏腹に、ハッカーたちは日々進化し、機械学習（ML）アルゴリズムを駆使して、同等のテクニックでしか対処できない攻撃を大規模化している。そのような理由から、我々はパーフェクトストームの真っ只中にいると言える。

以上が悪いニュースだ。良いニュースは、この問題には対処策があるということだ。実際、今こそ物事を是正する好機でもある。なぜか？クラウドの活用、テレワーク、IoTの急増など、あらゆるものが変化しているからだ。

今のような高度な脅威にさらされた状況では、受け身であってはいけない。積極的に攻めることだ。サイバーセキュリティー担当者の重荷を軽くするためには、素早くより効率的に攻撃に対処するための統合型機械学習が必要になる。同時に、クラウドデリバリーとサイバーセキュリティーに対する総合的なアプローチの導入も欠かせない。

土台はどこにあるのか？

数年前から「クラウドがすべてを変える」と吹聴されてきた。「すべて」は変わっていないものの、たしかに多くのものが変わった。

企業は、往々にして準備が整わないうちにクラウドに移行している。クラウド化でどうなるかを完全に理解しないまま、事業の心臓部をクラウドの未来に預けるのは危険だ。さらに、市場に溢れる種々雑多な、簡単には連動してくれない製品に振り回されることになる。セキュリティー担当部署が今すでに溺れかけているとしたら、クラウドは彼らにとって津波に相当する。

その負荷を軽減できるのが自動化だ。しかし、統合や管理を人の手で行わなければならないサービスを複数抱えているセキュリティー担当部署には、まず不可能な話だ。

多くの企業は、長年にわたり、サイバーセキュリティーには場当たり的な対策でしのいできた。新しい脅威が登場するたびに、それに対抗するソリューションを掲げた新しいスタートアップが次々と現れる。

私は、相互運用ができない、サイバーセキュリティーの総合的なアプローチの可能性すら示せない製品を提供する企業を何十何百と見てきた。これではトランプの家と同じだ。ひとつの製品が別の製品の上に載っかっているが、全体を支える土台が存在しない。

今こそ行動のときだ。適切にサイバーセキュリティーを整えるテクノロジーはすでに使える状態にある。あとは、それをどう導入するかだ。

サイバーセキュリティーの新しいモデル

将来のサイバーセキュリティーは、プラットフォーム・アプローチにかかっている。これにより、セキュリティー担当部署は、さまざまな異質な製品の統合に労力が奪われることなく、セキュリティーに集中できる。これなら、パーフェクトストームと戦いつつ、デジタルトランスフォーメーションを着実に進めることができる。

ネットワークの境界線は、しっかりと守られているのが普通だ。企業は、そのネットワークの内部に、脅威を特定し、リアルタイムで対処するツールやテクノロジーを備えている。

だがクラウドはまったく別の世界になる。クラウドのセキュリティーには確立されたモデルがない。しかし裏を返せば、レガシーなセキュリティー・ソリューションがクラウドで幅を利かせることがないという利点もある。つまり、企業は今なら適切にやれるということだ。さらに、クラウドへのアクセス方法と、予防、検出、対処、復旧のためにMLとAIを最大限に生かすセキュリティー・オペレーション・センター（SOC）の管理方法の修正も行える。

クラウドのセキュリティー、クラウドのアクセス、そして次世代のSOCはみな相互に関連している。個別に、そして連携して、サイバーセキュリティーの近代化の機会を提示してくれる。今、適切な土台を作れば、将来的に、ツールの種類が増えすぎる傾向を打開して、サイバーセキュリティー改革とソリューションを、ずっと簡単に活用できる道を構築できる。

その道とは？プラットフォームを統合して、企業は様々なツールをこれまでどおり使い続けながら、しかしそれらをうまく組み合わせ、集中管理して、部署ごとの孤立した対応をやめて企業全体がしっかりとひとつとなり、ソフトウェアでもって、マシンやソフトウェアに対抗するというものだ。

サイバーセキュリティー担当部署の自動化を助け、複数のクラウドからなる環境を総合した迅速な監視、調査、対応を実現し、世界中のユーザーとデバイスを網羅する分散型ネットワークを可能にするのは、統合型プラットフォームだけだ。

2020年は変革が促進される年だ。古いサイバーセキュリティーのやりかたを打破して、新しいアプローチを導入しよう。それは、機械学習、クライドデリバリー、プラッフォフォーム・モデルによって駆動されるアプローチだ。これが未来のサイバーセキュリティーの姿だ。否応なく、想像しいた以上に早く到来してしまった未来だ。

【編集部注】著者のNir Zuk（ニア・ザーク）はサイバーセキュリティー企業のPalo Alto Networksの共同創設者でCTO。

画像クレジット：Dong Wenjie / Getty Images

[原文へ]

（翻訳：金井哲夫）