米国土安全保障省、過去のサイバー事件から学ぶ「サイバー安全審査委員会」を設置

米国土安全保障省(DHS)は、国家のサイバーレジリエンスを「有意義に向上」させるため、サイバーセキュリティ重大事件の調査を担当する審査委員会を設置した。

DHSによると、Cyber Safety Review Board(CSRB、サイバー安全性調査委員会)は、SolarWinds(ソーラーウィンズ)の攻撃を受けてバイデン大統領が署名した2020年5月の大統領令によって設置が決まったもので、政府、産業界、セキュリティ機関が国のネットワークとインフラをこれまで以上に保護できるよう、大規模なハッキングの原因と影響について検討する役割を担う。同委員会は、航空事故や列車の脱線事故などの交通事故を調査する国家運輸安全委員会(NTSB)を大まかにモデルとしている。

CSRBの最初の調査は、広く使われているソフトウェアライブラリLog4jに12月に発見された脆弱性に焦点を当て、今夏に報告書が出される予定だ。脆弱性の詳細が公表されて以来、増えつつあるハッカーに悪用されているこれらの脆弱性を検証することは「サイバーセキュリティコミュニティにとって多くの教訓を生む」とDHSは述べ、CSRBの助言、情報、勧告は「可能な限り」公開される予定だと付け加えた。

委員会は連邦政府と民間部門のサイバーセキュリティのリーダーで構成され、メンバーはNTSBの3倍にあたる15人だ。国土安全保障省の政策担当次官Robert Silvers(ロバート・シルバーズ)氏が委員長を務め、Google(グーグル)のセキュリティエンジニアリング主任Heather Adkins(ヘザー・アドキンス)氏が副委員長を務める予定だ。

この他、国家安全保障局のサイバーセキュリティ担当ディレクターであるRob Joyce(ロブ・ジョイス)氏、Silverado Policy Accelerator(シルバラード・ポリシー・アクセラレーター)の共同創業者で会長、そしてCrowdStrike(クラウドストライク)の元最高技術責任者であるDmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏、脆弱性報奨金制度のパイオニアでありLuta Security(ルタ・セキュリティ)を設立して率いているKaty Moussouris(ケイティ・ムスリス)氏が委員に名を連ねている。

ムスリス氏はTechCrunchに対し、CSRBはこれ以上ないほど良いタイミングで誕生したと語った。「公共部門や民間部門に影響を与える頻度が高まっているサイバー事件を前に、我々のレジリエンスを強化するのに役立ちます」と同氏は述べた。「Log4jをはじめとするこれらの事件の調査から学んだことや推奨事項を共有することを楽しみにしています」。

上院情報委員会の委員長Mark Warner(マーク・ワーナー)上院議員(民主、バージニア州選出)もCSRBの設置を歓迎し「国家安全保障を脅かす広範囲なサイバー侵害にまた直面するかどうかではなく、いつ直面するかの問題です」と警告した。

「サイバーセキュリティに関する2020年5月の大統領令に、NTSBのような機能が盛り込まれたことは喜ばしいことであり、そのような能力を確立するための良い第一歩となります」とも述べた。「今後数カ月間、この委員会がどのように発展していくかを見守るのが楽しみです」。

画像クレジット:Scott Olson / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米国土安全保障省、四足方向のロボット犬が南部国境をパトロール

米国土安全保障省が今週、同省科学技術局が進めていた米国南部の国境で、犬の形をした四足歩行ロボットを使用する研究の詳細を明らかにした。Boston DynamicsのSpotのようなロボットに、人間の政府職員に対して友好的でない地域をパトロールさせるつもりだ。

このニュースに付随する声明で、国土安全保障省のBrenda Long(ブレンダ・ロング)氏は「南部国境は人間や動物にとって敵対的な場所である可能性もあるため、マシンの方が有効だと考えられる。科学技術局による研究開発事業は、地上監視用自動走行車両(Automated Ground Surveillance Vehicles、AGSV)と呼ばれ、基本的にはロボット犬だ」と述べている。

この事業はフィラデルフィアのロボット企業Ghost Robotsと協同で行われる。同社は過去に、Verizonなどの大企業の仕事も経験している。最近、同社が新聞の見出しを飾ったのは、ある見本市に登場した、SWORD Defense Systemsの特殊用途無人ライフル(Special Purpose Unmanned Rifle、SPUR)というリモコン狙撃手のロボットだ。それは四足歩行ロボットで最も有名なBoston Dynamicsが、DARPAの話を一応聞いたが、結局越えなかった一線(ロボットの軍事利用)だ。

関連記事:ロボットにスナイパーライフルを装着させるという一連の問題

公式にアナウンスされているこのロボットの用途は、国境のパトロールだ。そのシステムは自律的に歩き回ったり、リモートでコントロールされてリアルタイムのビデオフィードをオペレーターに送る。武装については触れられていないが、それがあるとより多くの人やメディアの関心を集めただろう。

Ghost自身は、米政府との提携は名誉なことであり、ペイロードなどについてはあらゆる可能性に対応したいと述べている。

CEOのJiren Parikh(ジレン・パリク)氏は、2021年のインタビューで次のように述べている。「私たちはペイロードを作りません。武装について宣伝や広告も、おそらく行いません。武装は答えにくい問題でもあります。しかし軍に渡すため、軍が何をするのかわかりません。政府に、ロボットの使い方を指示することはできません。売る・売らないを決める線引きはない。私たちとしては単純に、米国とその同盟国の政府に販売するだけです。敵対的な国の市場の企業に私たちのロボットを販売する気はありません。弊社ロボットへの、ロシアや中国からの引き合いはたくさんあります。しかし、それが弊社のエンタープライズ顧客のためでもそちらには販売しません」。

国土安全保障省は、危険な国境地域の問題に限らず、テクノロジーに関心を持つ理由をたくさん挙げている。

米国税関国境警備局のBrett Becker(ブレット・ベッカー)捜査官は「他の国と同じように通常の犯罪行為もありますが、国境沿いでは、人間の密輸、麻薬の密輸、銃器や大量破壊兵器を含むその他の禁制品の密輸もあります。これらの活動は、個人のものから国際犯罪組織、テロリスト、敵対する政府まで、あらゆる人によって行われる可能性があります」と投稿している

国境ロボットの開発や配備に関するスケジュールへの言及はないが、すでにチームは、暗視装置を装備したロボットの現場テストを行い、屋外や居住用建物内などを想定したテストも行っている。

「空中や地上、水中などで使用する半自律ドローンは、すでに至るところで効果的に利用されており、ロボット犬もそれらと同様です」とロング氏はいう。しかし、米国政府のドローン利用のこれまでの流れを見るかぎり、国土安全保障省がロボットに現場仕事をさせることを賞賛するのは、無理がありそうだ。

画像クレジット:Ghost Robotics

原文へ

(文:Brian Heater、翻訳:Hiroshi Iwatani)

【コラム】「セキュリティ・バイ・デザインの時代がやってきた

近年、サイバー犯罪者の手口はますます巧妙になっている。最新のトレンドや世間の関心が高い問題を悪用してマルウェアを拡散し、無防備なユーザーから個人情報を盗むのである。

お気に入りのテレビ番組に関するアプリであろうと、新型コロナ関連の政府の健康情報であろうと、荷物の不在配達の追跡であろうと結果はどれも同じで、結局はデバイスを感染させて詐欺や盗難を行うのだ。

ごく一般的な種類のマルウェアからデバイスを保護するためには、日頃からの基本的なサイバーセキュリティ衛生が鍵となる。しかし、非常に巧妙なサイバー攻撃を防ぐためには、テクノロジーにあらかじめ組み込まれたセキュリティが欠かせないのである。

シークレットサービスは大統領を守ることで有名だが、彼らの別の主要任務には米国の金融インフラと決済システムを保護し、米国の偽造通貨、銀行・金融機関詐欺、不正資金操作、ID窃盗、アクセス機器詐欺、サイバー犯罪など、幅広い金融・電子犯罪から経済の健全性を維持するというものがある。

モバイル機器が広く普及した現在、国土安全保障省(DHS)が推奨しているように「ユーザーはアプリのサイドロードや未承認アプリストアの使用を避けるべきであり、企業もデバイス上で禁止すべき」なのである。

サイバー犯罪者にとって今回のパンデミックは実に好都合であったと話すのは連邦捜査局のPaul Abbate(ポール・アベイト)副局長だ。「社会のテクノロジー依存から利益を得る機会を利用して、インターネット犯罪が盛んになった」のである。

FBIのインターネット犯罪苦情センターに寄せられた苦情は、2020年には79万1790件を記録し、前年の約2倍、前年比で過去最大の伸びを記録している。特に陰湿な例としては、ワクチン予約のためのアプリをダウンロードするよう促すテキストメッセージが送られるというもので、そのユーザーの連絡先にあるすべてのデバイスにマルウェアを送り、個人データや銀行情報を盗み出すというものがあった。

2021年初め、英国の国家サイバーセキュリティセンター(NCSC、National Cyber Security Centre)は、パンデミック時に多発した不在配達の荷物の追跡リンクを装った新種のマルウェアについて注意を呼びかけた。このリンクは、FluBotと呼ばれるマルウェアアプリケーションをダウンロードさせ、ユーザーの銀行口座やその他の金融口座の詳細を危険にさらすのである。サイバーセキュリティの研究者によると「悪意のあるSMSメッセージ(FluBot)の量は、1時間あたり数万件に上ることがある」という。さらにハッカーたちは大ヒットテレビ番組「イカゲーム」の人気に乗じて、同番組に関連するアプリに隠されたマルウェアを使ってモバイル機器を狙うというサイバー犯罪の新風を巻き起こしてさえいるようだ。

モバイル端末は今やインターネットの主要なアクセスポイントとなっており、2020年の米国におけるウェブサイトアクセス数の61%はモバイル端末によるものである。これは2019年に多数派に転じたばかりの傾向だが、すでに確固たる事実として確立されている。これを反映するかのようにモバイル端末へのサイバー攻撃が増加し、FBIに寄せられたフィッシングやスミッシング攻撃(悪意のあるリンクが貼られたメールやSMSテキストメッセージ)の苦情は2020年には倍以上に増え、2019年の11万4702件から2020年は24万1342件となっている。

ある調査によると、年末商戦を迎えるにあたり、買い物客の55%以上が少なくとも1回はモバイル端末で買い物をすると言われており、端末の所有者が攻撃から身を守るための予防策を講じることが不可欠だと言える。

NCSCが推奨する対策は、頻繁にデバイスのバックアップを取る、ウイルス検出ソフトウェアを使用する「メーカーが推奨するアプリストアからのみ新しいアプリをインストールする」などのごく基本的な保護策だ。DHSの指針も同様だが、加えてOS、アプリ、その他のソフトウェアを定期的に更新することの他、ユーザーと企業が多要素認証を採用することなどの勧告も含まれている。

サイバー衛生のシンプルな推奨事項を実行することで攻撃に対する防御の層を形成し、モバイル機器への不正アクセスの脅威を劇的に減少させることができる。しかし、このようなユーザーの行動が重要かつ効果的であるのと同時に、サイバー犯罪者は人間の心理や行動を利用した高度な技術を駆使してユーザーを欺き、デバイスに侵入するのである。

ソーシャルエンジニアリング攻撃と呼ばれるこの種の攻撃は、人間同士の交流や社会的スキルを利用してユーザーを騙し、攻撃者がデバイスやシステムにアクセスできるようにするだけでなく、時にはオプションのセキュリティ保護をユーザー自らに無効化させてしまうことさえある。FluBot、偽の予防接種サイト、悪意のある「イカゲーム」アプリなどの攻撃は、すべてソーシャルエンジニアリングの一例だ。

DHSのサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)によると、モバイル機器の所有者は、テキストメッセージを通じたソーシャルエンジニアリング攻撃に対してより脆弱である可能性があるという。モバイル機器は「メール、音声、テキストメッセージ、ウェブブラウザの機能を統合しているため、操作された悪質行為の犠牲になる可能性が高くなる」のである。

2021年初めに開催されたホワイトハウスのサイバーセキュリティサミットでは、不正アクセスから保護するための、サイバー衛生に留まらない方法が話し合われた。「今後、テクノロジーの安全性はデフォルトとして構築されていく必要があります。我々は皆、安全な技術を購入していることを確信できなければならないのです」とホワイトハウスの高官は述べている

セキュリティ・バイ・デザインのモバイル機器は、サイバー衛生管理をあらかじめデバイスに組み込み、セキュリティの方程式から人間の心理を排除するのである。シートベルトやエアバッグも当初は自動車購入者のオプションとして始まったが、今ではすべての自動車に必須の安全装備となっているのである。

多要素認証や公式アプリストア以外からのアプリのダウンロード禁止など、基本的なサイバー衛生管理は、設計上システムに組み込むことが可能である。このような保護機能が最初から組み込まれているモバイル端末であれば、端末所有者が人気番組に興味を持ったりパンデミックを心配したりしたとしても、ソーシャルエンジニアリング攻撃に対して脆弱になることはないだろう。

確かに市民は、サイバーセキュリティ機関が推奨する基本的なサイバー衛生に従うべきである。しかし、作り手が高度なソーシャルエンジニアリング攻撃を回避し、技術の設計に高度なセキュリティ保護を組み込むことが必要不可欠なのではないだろうか。

画像クレジット:Andriy Onufriyenko / Getty Images

原文へ

(文:Mark Sullivan、翻訳:Dragonfly)

銃撃や爆破予告、暴力行為を警告するTikTok上の噂で米国各地で学校閉鎖・警戒

TikTok(ティックトック)をはじめとするソーシャルプラットフォーム上で、米国時間12月17日に米国各地の学校が暴力の脅威に直面していることを示唆する、不吉で具体性のない噂が拡散した。多くの学校がこの動きに対応して学校を閉鎖したが、多くの地域の警察機関と少なくとも1つの連邦法執行機関が、この脅威には裏づけがないと発表している。

米国土安全保障省(DHS)は、学校に対する脅威の可能性について報告を受けたことを認識しているが、「具体的で確かな脅威」は見つからなかったと述べている。しかし、同省は「地域社会が警戒を怠らないように」と呼びかけている。

TikTokは16日にこの噂を初めて取り上げ、同社は法執行機関と連絡を取り合っているが「そのような脅迫がTikTokを介して発生したり拡散した証拠は見つかっていない」と述べた。脅迫自体はTikTokに見当たらないのは事実だが、12月17日に暴力行為が行われる可能性があるという恐怖心を煽る投稿が多く見られ、それらの噂が全国的に急速に広まったと思われる。

関連するTikTokのハッシュタグには「I luv you guys pls stay safe on Dec 17(みんな愛してる、どうか12月17日には安全でいてね)」と書かれていた。コメント欄には、この動画の制作者が「(状況を知らず)混乱している人へ、12月17日に米国各地の学校で銃撃や爆破の脅迫があって、私の学校は2回も脅迫されました」と説明している。フォロワーからは、自分の学校で最近起こった爆破予告の話が続々と寄せられた。

TikTokは17日の朝にこの状況を再確認し、FBIやDHSと連携しても、噂の発端となるような信頼性の高い脅迫を突きとめることはできなかったと述べた。

米国各地の学区や警察は、この噂を受けて注意を促す一方で、具体的な脅威が表面化していないことを強調した。フロリダ州リー郡の保安官は、自らもTikTokの動画で、米国の多くの学校が頻繁に受けている爆破予告のような「偽の脅し」をやめるよう呼びかけた。

イリノイ州グレンビュー市の警察は16日、このようにツイートした。「この脅威がイリノイ州の学校に関連しているという信憑性のある情報はありません。グレンビュー警察は、毎日、すべての学校の敷地をパトロールしており、今後もそれを続けていきます。みなさまには、引き続き警戒していただき、不審な行動を報告していただくようお願いいたします」

噂の真偽は定かではないが、カリフォルニア州テキサス州ミネソタ州コネチカット州など、多くの州で17日に学校が閉鎖された。開校した学区では、用心のためにリュックサックを家に置いておくように指示したところもあった。

全米の地方自治体および連邦政府の法執行機関は、引き続き事態を監視している。

画像クレジット:AaronP/Bauer-Griffin/GC Images / Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Aya Nakazato)

米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグを報告用プラットフォーム開設

米国土安全保障省(DHS)のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)は、倫理的なハッカーが米国連邦機関にセキュリティ上の脆弱性を報告できる脆弱性開示プログラム(VDP、vulnerability disclosure program)を開始した。

このプラットフォームはサイバーセキュリティ企業であるBugcrowdとEndynaの協力を得て立ち上げられたもので、米国政府の民生機関が、より広範なセキュリティコミュニティからセキュリティ脆弱性の届け出を受け、トリアージし、修正することを可能にする。

CISAとして知られる連邦サイバーセキュリティ機関がその監督下にある民生部門に対し、独自の脆弱性開示ポリシーを策定・公開するよう指示してから1年弱でこのプラットフォームは立ち上げられた。これらのポリシーは、どのようなオンラインシステムをどのようにテストしてよいのか、またはしていけないのかを示し、セキュリティ研究者の活動ルールを定めることを目的としている。

民間企業では、ハッカーがバグを報告するためのVDPプログラムを運営することは珍しくない。多くの場合、ハッカーに報酬を支払うバグバウンティ(報奨金)を併用している。米国防総省は長年ハッカーとの関係を受け入れているが、米国政府の民生機関は遅れをとっていた。

関連記事:バグ報奨金プラットフォームのBugcrowdが32.5億円を調達

2020年にシリーズDで3000万ドル(約32億8500万円)を調達したBugcrowdは、このプラットフォームによって「企業のセキュリティギャップを特定するために現在使用されているのと同じ商用テクノロジー、世界レベルの専門知識、助けになる倫理的ハッカーのグローバルコミュニティへのアクセスを、政府機関に提供することができる」と述べている。Bugcrowdの創業者であるCasey Ellis(ケイシー・エリス)氏は、今回の(CISAからの)指示についてTechCrunchにこう語った。「ハッカーがインターネットの免疫システムとして果たす役割にとって、これは新たな分岐点となるでしょう。Bugcrowdのチームは、CISA、DHSと提携して米国政府とこの取り組みを進めることを非常に誇りに思っています」。

CISAが今後、他の政府機関とセキュリティ上の脆弱性に関する情報を共有するのにもこのプラットフォームは役立つ。

このプラットフォームの立ち上げは、政府機関のサイバーセキュリティがここ数カ月で何度も大きな打撃を受けた後でのことになる。その中には、ロシアのスパイ活動によって米国の大手ソフトウェア企業SolarWindsの技術にバックドアが仕込まれ、少なくとも9つの連邦政府機関にハッキングされた事件や、中国政府に支援を受けたハッカーに関連して何千ものMicrosoft Exchangeサーバーが悪用された事件などが含まれていた。

関連記事
米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

カテゴリー:セキュリティ
タグ:米国土安全保障省ハッカーアメリカバグBugcrowd

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)