iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

広く利用されているJavaログ出力ライブラリで見つかった問題の影響を受け、AppleのiCloud、Twitter、Cloudflare(クラウドフレア)、Minecraft(マインクラフト)、Steam(スチーム)など、数多くの人気サービスが、ゼロデイ脆弱性にさらされていることが報告されている。

膨大な数のアプリ、ウェブサイト、サービスで使用されているオープンソースのログユーティリティ「Apache Log4j」に発見されたこの脆弱性は、Alibaba(アリババ)のChen Zhaojun(チェン・ジャオジュン)氏が報告したもので、LunaSec(ルナセック)の研究者によって「Log4Shell」と名づけられた。Log4Shellが最初に発見されたのは、Microsoft(マイクロソフト)が所有するMinecraftだったが、LunaSecは、主なJavaベースの企業向けアプリやサーバーのほぼすべてにLog4jが「ユビキタス」に存在していることから「非常に多くのサービス」が悪意のある行為に対して脆弱であると警告している。このサイバーセキュリティ会社は、ブログ記事の中で、Apache Struts(アパッチ・ストラッツ)を使用している人は誰もが「おそらく脆弱である」と警告した。

これまでにLog4Shell攻撃に脆弱であることが確認されたサーバーを持つ企業は、Apple(アップル)、Amazon(アマゾン)、Cloudflare、Twitter、Steam、Baidu(百度、バイドゥ)、NetEase(ネットイース)、Tencent(テンセント)、Elastic(エラスティック)などだが、他にも数千とまではいかなくとも数百の組織が影響を受けている可能性がある。Cloudflareは、TechCrunchに寄せた声明で、攻撃を防ぐためにシステムを更新したと述べており、悪用された形跡はないと付け加えている。

NSA(米国家安全保障局)のサイバーセキュリティ担当ディレクターであるRobert Joyce(ロバート・ジョイス)氏は、同局が開発した無償でオープンソースのリバースエンジニアリングツール「GHIDRA」も影響を受けることを確認した。「Log4jの脆弱性は、NSAのGHIDRAも含め、ソフトウェアのフレームワークに広く搭載されているため、悪用される恐れが大きい」と、同氏は述べている。

ニュージーランドのCERT(コンピューター緊急対応チーム)や、ドイツテレコムのCERT、そしてウェブ監視サービスのGreynoise(グレイノイズ)は、攻撃者がLog4Shell攻撃を仕掛けるための脆弱なサーバーを積極的に探していると警告している。Greynoiseによると、約100の異なるホストがインターネット上でLog4jの脆弱性を悪用する場所をスキャンしているとのことだ。

HackerOne(ハッカーワン)のシニアセキュリティテクノロジストであるKayla Underkoffler(カイラ・アンダーコフラー)氏は、今回のゼロデイ脆弱により「世界の重要なサプライチェーンに対する攻撃において、オープンソースソフトウェアがもたらす脅威が増大している」ことが明らかになったと、TechCrunchに語った。

「オープンソースソフトウェアは、現代のデジタルインフラストラクチャのほぼすべてを支えており、平均的なアプリケーションでは528種類のオープンソースコンポーネントが使用されています」と、アンダーコフラー氏は語る。「2020年に発見されたリスクの高いオープンソースの脆弱性の大半は、2年以上前からコード上に存在していますが、ほとんどの組織では、サプライチェーン内のオープンソースソフトウェアを直接制御して、これらの弱点を簡単に修正することができません。しばしば資金が不足するこのソフトウェアを保護することは、それに依存しているあらゆる組織にとって急務です」。

Apache Software Foundation(アパッチ・ソフトウェア財団)は、Log4jのゼロデイ脆弱性を修正するための緊急セキュリティアップデートを米国時間12月10日に公開し、すぐにアップデートできない場合の緩和策も発表している。ゲーム開発会社のMojang Studios(モヤン・スタジオ)も、このバグに対応したMinecraftの緊急セキュリティアップデートを公開した。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

【コラム】中国の次世代ハッカーは犯罪者ではない、それが問題だ

中国には、犯罪者たちが国家に代わってサイバースパイ活動を行ってきた長い歴史がある。犯罪者から政府のハッカーになった者が、中国の国家安全部(MSS)に所属することで訴追から守られ、中国のスパイ活動の多くを行っている。驚くべきことだが、これは今に始まったことではない。例えば2020年米国司法省が発行した起訴状によると、2人の中国人ハッカーによる同時多発的な犯罪・スパイ活動が、2009年にまで遡ることができるという。また別のケースでは、MSSハッカーの別働隊であるAPT41が、2012年に犯罪組織として始まり、2014年以降は国家スパイ活動を並行して行うように移行したとサイバーセキュリティ企業であるFireEye(ファイアアイ)が主張している。ともあれ、それ以降、中国は変化のための基礎を築いてきたと考えられるのだ。

2015年に始まった相次ぐ政策により、中国は契約を結んだ犯罪者たちを、大学からの新しい血で置き換えるようになった。2015年における中華共産党(CCP)の最初の取り組みは、大学のサイバーセキュリティ学位を標準化することだったが、このとき参考にされたのが米国の人材パイプラインを改善するための国立標準技術研究所(NIST)のフレームワークである「National Initiative for Cybersecurity Education」(NICE、サイバーセキュリティ教育のための国家プログラム)である。その1年後、中国は新たに「National Cybersecurity Talent and Innovation Base」(国家サイバーセキュリティ人材・イノベーション基地)を武漢に建設することを発表した。基地のすべての構成部署を合わせると、年間7万人がサイバーセキュリティのトレーニングと認証を受けることができる。

同様に、2017年には、中国のサイバースペース中央管理局が“World-Class Cybersecurity Schools”(世界レベルのサイバーセキュリティ学校)」という賞を発表した。このプログラムは、米国の一部の政府機関が大学をサイバー防衛や運用における”Centers of Academic Excellence”(優秀アカデミックセンター)として認定しているのと同様に、現在11校を認定している。しかし、犯罪に手を染めていない新たな人材を確保したからといって、中国の作戦が変わる理由にはならない。

国家のハッキングチームを専門化する取り組みは、習近平国家主席の政治的目標である汚職の削減にも直結している。習近平氏が最近行った中国の国家安全保障機関の粛清は、政府の資源を利用して役人が私腹を肥やすことのリスクを示したものだ。契約ハッカーとその指示者との関係そのものがまさに、習近平氏が徹底した反腐敗キャンペーンの対象としてきた私腹を肥やす行為なのだ。

熾烈が増す環境の中で、国際的な反感を買ったり、海外で訴追されるようなオペレーションを行っている役人は、ライバルに寝首をかかれる可能性がある。内部調査員に狙われた職員は「黒監獄」に収監されてしまうかもしれない。中国の国家保安機関は、腐敗官僚を排除し、ハッカーを直接雇用することで、地下のハッカーとの関係を切り捨てていくだろう。

これらの施策の意味するところは、世界の企業や諜報機関が防御を続けてきた中国のハッカーたちが、10年後にははるかにプロフェッショナルな存在になっていることを示唆している。

より有能となった中国は、現在の中国とは異なる行動をとるだろう。中国公安部は、その犯罪行為やスパイ活動を隠すために不正なハッカーに依存していることから、一部のサイバー犯罪者の中国での活動が問題になっているにもかかわらず、それを容認している。犯罪行為が常態ではなくなれば、中国の国家保安機関はこれらの活動を組織内に移すことができるようになる。なぜなら政府のスパイ活動は国際関係上認められた行動だからだ。その結果、中国公安部はサイバー犯罪者に対してより多くの作戦を行うことが可能になる。アナリストは、戦術の変化を示す良い指標となる、内部に焦点を当てたこのような反犯罪活動の強化に注目すべきだろう。

このような中国のサイバー能力の変化は、標的となる国や団体のリストが増えるにつれて、海外でも感じられるようになるだろう。国家ハッカーの数が増えれば、長い間低迷していたスパイ活動が再び注目されることになるだろう。中国のハッキングチームはすでに最高レベルに達しているので、これらの作戦は過去のものよりも「洗練」されたものにはならないだろう。しかし、その頻度は高くなるだろう。

中国の保安機関に支えられたハッキングが着実に犯罪性の皮を脱ぎ捨てていく中で、今後10年間は、契約ハッカーや国家と関係する者が行うサイバー犯罪は減少していくことが予想される。しかし、このような凶悪な行為からの脱却は、スパイ活動や知的財産権の窃盗の増加と対になっている。あとから振り返れば、中国が犯罪者ハッカーに頼っていたことは、腐敗していて素人同然だった古い体質のMSSの名残のように見えるだろう。

この変化は徐々に進むと思われるが、保安機関内での取り締まりの噂や、犯罪グループの消滅や起訴の報告などの、一定の兆候を見ることができるだろう。時間の経過とともに、既存の犯罪者とハッキングスパイチームの間で、技術的な内容が徐々に分離されていくことが予想される。

しかし、スパイ行為そのものはルール違反ではないので、米国の政策立案者は、政府機関、防衛産業基盤、重要インフラ事業者などのサイバーセキュリティに引き続き優先的に取り組む必要がある。ホワイトハウスはすでにこの方向に進んでおり、2021年8月にはサイバー政策についてNATOの同盟国を集め、50万人分のサイバーセキュリティ関連の求人が必要であることを確認した。その一部として、米国国家安全保障局(NSA)が、システム全体のサイバーセキュリティを高めるために、2021年の初めに「Cybersecurity Collaboration Center」(サイバーセキュリティ協力センター)を立ち上げている。米国ではすでに、CyberPatriot(サイバーパトリオット)のようなコンテストを利用して、学生たちをよく整備されたサイバーセキュリティの人材パイプラインに送り込んでいる。サイバーディフェンスの認定を受けたコミュニティカレッジでの、再教育を目的とした新しいプログラムを作ることは、既存のリソースを活用することになるものの、米国内で幼稚園から高校までの教育を受けてこなかった新しい学生も惹きつけることになるだろう。

何よりも、政策立案者は警戒を怠ってはならない。中国が犯罪者を利用しなくなったからといって、その脅威がなくなったわけではない、ただ変化しただけだ。米国政府は、中国の次世代ハッカーに対抗するために、あらゆる選択肢を真剣に検討する準備をしなければならない。

編集部注:著者のDakota Cary (ダコタ・カリー)氏は、ジョージタウン大学のCenter for Security and Emerging Technology(CSET)のリサーチアナリストで、同センターのCyberAI(サイバーAI)プロジェクトに従事している。TechCrunch Global Affairs Projectは、ますます密接になっているハイテク分野と世界の政治との関係を検証している。

画像クレジット:ilkaydede / Getty Images(画像修正済)

原文へ

(文:Dakota Cary、翻訳:sako)

ランサムウェアBlackMatterのグループが米国食品業界を標的にしているとNSA、FBI、CISAが注意喚起

CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)、FBI(米連邦捜査局)、NSA(米国家安全保障局)は共同で勧告を発表し、ランサムウェア「BlackMatter」のグループが米国の食品・農業分野の2つの組織を含む、重要インフラとみなされる「複数」の組織を標的にしていると警告した。

当局は被害者の名前を明らかにしなかったが、アイオワ州に本拠地を置く農業サービスプロバイダーのIowa New Cooperativeは9月にランサムウェア攻撃を受け、ハッカーからシステム解除と引き換えに590万ドル(約6億7600万円)を要求された。この攻撃に続いて、ミネソタ州に本社を置く農場供給・穀物販売協同組合であるCrystal Valleyにも同様に攻撃を受けた。

今回の勧告では、BlackMatterの脅威の概要、その戦術(バックアップデータの保存先やアプライアンスの暗号化ではなくワイピングなど)、検知シグネチャ、緩和策のベストプラクティスなどが紹介されている。また、BlackMatterは、Colonial Pipeline(コロニアル・パイプライン)への攻撃の背後にあったとFBIが発表した、今はなきランサムウェア「DarkSide」が「再ブランド化した可能性」があるとの見方も広がっている。

BlackMatterは、ランサムウェア・アズ・ア・サービス(RaaS)を提供している。他のグループがそのインフラを借りることができ、被害者が身代金を支払えば、そこから上前をはねる。勧告では、BlackMatterの身代金要求額は、暗号資産(暗号資産)で8万〜1500万ドル(約916万〜17億円)だと指摘している。

当局はまた、特に重要インフラに属する組織に対し、サイバーセキュリティの防御を強化し、強力なパスワードや多要素認証の使用など、セキュリティのベストプラクティスに従うよう促している。加えて、すべてのOSを最新の状態に保ち、ホストベースのファイアウォールを使用し、すべてのバックアップデータを確実に暗号化することを推奨している。

ランサムウェアの攻撃を受けた組織は直ちに報告し、ハッカーからの身代金の要求を拒否することも勧告している。

「身代金を支払うことで、敵対者がさらに別の組織を標的としたり、他の犯罪者がランサムウェアの配布に関与するようになったり、あるいは違法活動の資金源となったりする可能性があります」と3機関は警告している。「身代金を支払っても、被害者のファイルが復元される保証はありません」。

BlackMatterは、日本のテクノロジー大企業のOlympus(オリンパス)も攻撃しており、同社のヨーロッパ、中東、アフリカのネットワークが停止する事態となった。

画像クレジット:Joe Raedle / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米国がExchangeサーバーのハッキングとランサムウェア攻撃で中国を非難、政府系ハッカー4人を起訴

バイデン政権とその同盟国は、2021年初めに行われたMicrosoft Exchangeサーバーへの大規模不正侵入について、中国を正式に非難した。その際はこのハッキングが広範な破壊につながる可能性があるという懸念が高まったため、FBIが介入することになった。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

この大規模なハッキングキャンペーンは、Microsoft Exchangeメールサーバーのそれまで発見されていなかった4つの脆弱性を狙ったもので、これらの脆弱性を利用したハッカーたち(Microsoftはすでに、中国政府の支援を受けるハッカーグループHafnium[ハフニウム]の仕業としている)は、米国内の何万もの組織からメールボックスやアドレス帳を盗み出した。

Microsoft(マイクロソフト)はこの脆弱性を修正するパッチをリリースしたが、ハッカーたちが残したバックドアコードを削除することはできなかった。このためFBIは、米国内にバックドアが塞がれないまま残っていた数百台のExchangeサーバーを実質的にハッキングしてバックドアコードを除去するという、これまでにない裁判所命令を得た。世界各国のコンピュータセキュリティインシデント対応チームも同様の対応を行い、同じように攻撃を受けた自国の組織に通知しようとした。

関連記事
FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害

バイデン政権は米国時間7月19日に発表した声明の中で、この攻撃は中国国家安全省の支援を受けたハッカーによって実行されたものであり、その結果「主に民間企業の被害者に多額の回復コスト」が発生したと述べた。

「我々は、今回の事件と中華人民共和国の広範な悪意のあるサイバー活動の両方について、中国政府の高官に懸念を伝え、中華人民共和国の行動がサイバースペースのセキュリティ、信頼性、安定性を脅かすものであることを明確にしました」と声明には記されている。

米国家安全保障局(NSA)は、ネットワーク防御者が潜在的な侵入経路を特定できるよう、攻撃の詳細を公開した

英国やNATO加盟国を含む複数の同盟国も、バイデン政権の調査結果を支持した。英国政府は声明の中で、ハッキングの「広範なパターン」の責任は北京にあるとしている。中国政府は、国家によるハッキング行為を繰り返し否定している。

また、バイデン政権は、中国国家安全省が犯罪者であるハッカーと契約し、ランサムウェア攻撃のような無認可の業務を「個人的な利益のために」行っていると非難した。米国政府は、中国政府に支援されたハッカーが、ハッキングされた企業に対して数百万ドル(数億円)の身代金を要求したことを認識していると述べている。2020年、米司法省は世界的なハッキングキャンペーンに関与した2人の中国人スパイを起訴したが、検察当局はハッカーらが個人的な利益のために活動していると非難していた。

関連記事
米国が新型コロナ研究など狙った中国人ハッカー2人を起訴
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国は、ランサムウェアギャングがロシア国内で活動するためのセーフハーバーを提供することをやめるようクレムリンに公式に働きかけているが、これまで北京がランサムウェア攻撃を仕かけた、またはそれに関与していると非難したことはなかった。

19日の声明では、「ハッカーを雇って犯罪行為を行う中国の姿勢は、知的財産や専有情報の損失、身代金の支払い、被害軽減のための努力などを通じて、政府や企業、重要インフラ事業者に何十億ドル(何千億円)もの損害を与えています」と述べている。

また、この声明では、中国の支援を受けたハッカーたちが、恐喝やクリプトジャッキング(コンピュータのコンピューティングリソースを利用して、金銭的利益を得るために暗号通貨を採掘するコードをコンピュータに実行させる方法)に従事していたとも述べている。

司法省はさらに、中国国家安全省に所属する4人のハッカーを新たに起訴すると発表した。これらのハッカーは米国、ノルウェー、スイス、英国に拠点を置く被害者を標的に、知的財産やエボラ出血熱、HIV / エイズ、MERSなどの感染症に関する研究を、フロント企業を使って隠蔽しながら盗み出す活動に従事していたと米国の検察当局は指摘している。

「中国のハッキングキャンペーンは、医療、バイオメディカル研究、航空、防衛など様々な分野で十数カ国を対象に行われており、その幅広さと期間の長さは、いかなる国や産業も安全ではないことを我々に気づかせます。今日の国際的な非難は、世界が公正なルールを求めており、各国が盗難ではなく技術革新に投資することを望んでいることを示しています」とLisa Monaco(リサ・モナコ)副検事総長は述べた。

カテゴリー:セキュリティ
タグ:Microsoft ExchangeMicrosoftハッキングランサムウェアアメリカ中国米国家安全保障局

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

Evernoteの名前が反政府調査ロビーグループのウェブサイトから静かに消えていた

2013年、いわゆるPRISMプログラムの下、テック企業8社がユーザーのデータを米国国家安全保障局(NSA)に渡していたことを糾弾された。NSAの告発者であるEdward Snowden(エドワード・スノーデン)氏がリークした政府の高度機密書類によって明るみに出た。その6カ月後、そのテック企業らはReform Government Surveillance(政府による情報収集の改革)という名前の同盟を結成。名前が示すように、政府調査に関する法律の改訂を立法者に働きかけるのが目的だ。

狙いは単純だった。立法者に対し、標的となる脅威の監視方法を制限し、米国人の個人データを底引き網的に収集するのではなく、企業に大局的状況を提供し、ユーザーデータ提出に関する一種の秘密命令について、企業が透明性を保てるよう要求することだ。

Reform Government Surveillance(RGS)の創立メンバーはApple(アップル)、Facebook(フェイスブック)、Google(グーグル)、LinkedIn(リンクトイン)、Microsoft(マイクロソフト)、Twitter(ツイッター)、Yahoo(ヤフー)、およびAOL(エーオーエル、後のVerizon MediaでTechCrunchの親会社[今のところ])の8社で、後にAmazon(アマゾン)、Dropbox(ドロップボックス)、Evernote(エバーノート)、Snap(スナップ)、およびZoom(ズーム)がメンバーに加わった。

ところが2019年6月のある日、EvernoteがRGSウェブサイトから説明もなく消えた。さらに奇妙なのは、そのことに2年間誰も気づかなかったことで、Evernote自身でさえ知らなかった。

「当社のロゴがReform Government Surveillanceウェブサイトから削除されていたことは知りませんでした」とEvernoteの広報担当者がTechCrunchのコメント要求に答えて語った。「私たちは今もメンバーです」。

Evernoteは2014年10月に同盟に参加した。PRISMが最初に世間にさらされてから1年半後のことだが、この会社はリークされたスノーデン文書に名前が載ったことがなかった。それでもEvernoteは強力な仲間として、RGSによる行政調査法改訂の要求活動はリークされたNSA文書に名前が載った企業以外からも支持を得ていることを示した。EvernoteはRGSの一員であること、および「政府による個人の監視と個人情報のアクセスを規制する慣行と法律を整備する」努力を支持していることを最新の透明性レポートでも表明している。このことからもRGSウェブサイトから名前が消えた謎はいっそう深まった。

TechCrunchは他のRGSメンバー企業にも、Evernoteが削除された理由を知っているかどうか尋ねたが、返信がなかったかコメントを拒んだか、思い当たらないかのいずれかだった。あるRGSメンバー企業の広報担当者は、さほど驚いていない。なぜなら企業が「業界団体を出入りする」のはよくあることだからと語った。

Reform Government Surveillance同盟のウェブサイト。Amazon、Apple、Dropbox、Facebook、Google、Microsoft、Snap、Twitter、Verizon Media、およびZoomのロゴが並んでいるが同じくメンバーであるEvernoteはない(画像クレジット:TechCrunch)

たしかにそうかもしれない。企業はいずれ自分のビジネスに役立つかもしれないロビー活動によく参加する。政府による情報収集は、シリコンバレーのビッグネームが一致して大義を支持している稀な難問だ。実際、テック企業の中には自社ユーザーに対する政府調査の増加を公かつ積極的に擁護しているところもある。なぜなら自分たちの使っているサービスにプライバシー強化を要求しているのはユーザー自身だからだ。

結局Evernoteが消えた理由は驚くほど穏やかなものだった。

「Evernoteは長年のメンバーですが、過去数年はあまり活動していなかったため、ウェブサイトから削除しました」とRGSの代理を務めているワシントンDCのロビー業者であるMonument Advocacy(モニュメント・アドボカシー)がメールで説明した。「貴社の質問は当組織内に新たな会話を生むきっかけになりました。今後ともお付き合いのほどよろしくお願いいたします」。

MonumentはRGSの設立初期に調査法改訂のロビー活動を行うために雇われて以来、ずっとこの件に関わっている。OpenSecrets(オープンシークレット)の調査によると、同社は2014年以来これまでに220万ドル(約2億4000万円)をロビー活動に費やしている。具体的には、愛国者法、外国諜報活動偵察法(FISA)など議会で検討中の法案を変更するよう議員に働きかけているが、結果はまちまちだ。RGSは、愛国者法に基づくNSAの情報収集を縮小する米国自由法案を支持したが、NSAに米国外在住外国人の情報を収集する権利を与えるFISA第702条に対する反対運動は失敗した。702条は2018年に再承認され6年延長された。

2020年RGSはほとんど活動がなく、大西洋横断データフローの重要性に関する声明を1件発行しただけだった。米国EU間のデータ移動は、テック企業が懸念する最新の重要問題であり、現地当局が監視できないヨーロッパのユーザーはサービスから削除される恐れがある。

声明には「RGS加盟企業は自社サービスを利用している人々のプライバシーを守り、個人データを保護することを約束します」と書かれ、Amazon、Apple、Dropbox、Facebook、Google、Microsoft、Snap、Twitter、Verizon Media、およびZoomのロゴが入っているがEvernoteの名前はない。

同盟の力はメンバーの力そのものであり、ウェブサイトからEvernoteを削除したが今でもメンバーである、というのは結束した企業共同体が高らかに発信するメッセージではない。そもそもテック大企業たちの間で最近見られるものではないが。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

カテゴリー:パブリック / ダイバーシティ
タグ:Evernote透明性Reform Government Surveillance / RGSプライバシー個人情報NSA

画像クレジット:Frederick Florin / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

バイデン政権がサイバーセキュリティ・ドリームチームを結成

Joe Biden(ジョー・バイデン)米大統領は、初代国家サイバーディレクターを含む米政府のサイバーセキュリティ上級職に、元国家安全保障局(NSA)のベテラン2名を指名した。

米国時間4月12日に発表された今回の人事は、2021年初め、2度にわたり外国政府とつながりがあるサイバー攻撃が発覚した後でのことだ。ロシアのスパイ活動によって米国の大手ソフトウェア企業であるSolarWindsの技術にバックドアが仕込まれ、少なくとも9つの連邦政府機関にハッキングされた事件や、中国政府に支援を受けたハッカーに関連してMicrosoft Exchangeサーバーが大量に悪用された事件などが2021年起こっている。

関連記事
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

オバマ政権下の元NSA職員で、アメリカサイバー軍(U.S. Cyber Command)の立ち上げに貢献したJen Easterly(ジェン・イースターリー)氏が、国土安全保障省傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティ・インフラストラクチャー安全保障局(CISA: Cybersecurity and Infrastructure Security Agency)の新責任者に起用された。CISAは、トランプ大統領が2018年に同機関の責任者に任命したChris Krebs(クリス・クレブス)前長官を、選挙ハッキングに関するトランプ大統領の虚偽の主張に異議を唱えたとして2020年11月に解任して以来、半年間責任者が不在だった。

関連記事:トランプ大統領が選挙の偽情報を暴露したサイバーセキュリティー責任者クリス・クレブス氏を更迭

またバイデン大統領は、2020年末に米議会が新設したホワイトハウス内に置かれる国家サイバー長官に、元NSA副長官のJohn “Chris” Inglis(ジョン・クリス・イングリス)氏を指名した。これは、民間機関の防衛・サイバーセキュリティ予算を監督する役割を担う新しい役職だ。

イングリス氏は、2021年1月に米国家安全保障会議(National Security Council)のサイバーセキュリティ担当国家安全保障副補佐官に任命されたAnne Neuberger(アン・ニューバーガー)氏と緊密に連携することが期待されている。ニューバーガー氏は元NSAの幹部であり、初代サイバーセキュリティ・ディレクターとして、SolarWindsに対するサイバー攻撃やExchangeサーバーのハッキングに関する政府の対応を指揮する役割を担っていた。

関連記事:NSAのアン・ニューバーガー氏がDisrupt 2020でサイバーセキュリティについて語る

バイデン大統領はさらに、米国土安全保障省(DHS)の戦略・政策・計画担当次官に、オバマ政権下でサイバーセキュリティ政策を担当していたRob Silvers(ロブ・シルバーズ)氏を指名した。シルバーズ氏は最近、CISAのトップ候補としても名前が挙がっていた

イースターリー氏とシルバーズ氏の役職は、いずれも上院の承認が必要だ。これらの人事については、The Washington Post(ワシントン・ポスト)が最初に報じた

CISAの元ディレクターであるクレブス氏は、今回の人事を「見事な人選」と称賛した。サイバーセキュリティテクノロジー企業CrowdStrikeの元幹部でSilverado Policy Acceleratorの会長であるDmitri Alperovitch(ドミトリ・アルペロビッチ)氏は、今回の人事を「サイバー分野におけるドリームチーム」と称した。アルペロビッチ氏は、ツイートで次のように述べている。「(バイデン)政権は、アン・ ニューバーガー氏と並んでサイバー・オペレーション、政策、戦略を担当するのに、これ以上有能で経験豊富な3人を選ぶことはできませんでした」。

ニューバーガー氏の後任には、ホワイトハウスのサイバーセキュリティ担当だったRob Joyce(ロブ・ジョイス)氏が就任する。ジョイス氏は、2021年初めにロンドンの米国大使館での勤務から復帰し、NSAの新しいサイバーセキュリティ・ディレクターを務めている。

先週、ホワイトハウスは米国議会に対して、国土安全保障省の防衛力強化とサイバーセキュリティ人材の雇用拡大のため、2022年の新規予算として1億1000万ドル(約120億3000万円)を要求した。CISAは2020年、何人かの幹部がトランプ政権に解雇されたり、民間企業に移ったりして、幹部職員が流出していた。

カテゴリー:セキュリティ
タグ:ジョー・バイデンアメリカ米国家安全保障局 / NSA

画像クレジット:Bronte Wittpenn/Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる

米国政府によると、ハッカーは「起源はおそらくロシア人である」とし、少なくとも10の米国連邦政府機関と、FireEyeやMicrosoft(マイクロソフト)などのいくつかの大手テック企業数社のネットワークに侵入したという。

米国時間1月5日の共同声明の中で、FBI(連邦捜査局)、NSA(米国家安全保障局)、国土安全保障省のサイバーセキュリティ顧問部門であるCISAは、政府は「侵害の範囲を把握するための作業を続けている」が、今回の侵害は「情報収集のためである可能性が高い」と述べている。

声明によると、「進行中」だという。

声明では侵害された機関名は挙げられていないが、財務省、国務省、エネルギー省が影響を受けたと報告されている(FedScoop記事)。

「これは深刻なものであり、修正のための継続的かつ献身的な努力が必要である。『共同機関の取り組み』は、我々のパートナーや米国国民との情報の調査、修正および共有のために必要なあらゆる行動を取り続ける」と声明では述べられている。

大規模なスパイ活動のニュースは、通常はサイバー攻撃の被害者が最初に電話をかけるサイバーセキュリティ大手のFireEyeが、同社のネットワークが侵害されていることを発見した後の2020年12月初旬に飛び込んできた。その後すぐに、いくつかの政府機関にも侵入があったことが報告されている。

被害に遭ったのはすべて米国のソフトウェア企業であるSolarWindsの顧客で、同社のOrionネットワーク管理ツールは、米国政府やフォーチュン500企業で使用されている。FireEyeによると、ハッカーらはSolarWindsのネットワークに侵入し、汚染されたソフトウェアのアップデートを顧客にプッシュしたことで、彼らはそのアップデートをインストールした数千社の企業や機関に簡単に侵入できるようになっていたという。

約1万8000人の顧客がバックドアが設けられたソフトウェアアップデートをダウンロードしたが、政府の共同声明によると「システム上でのハッカーによる追跡活動で危険にさらされた数ははるかに少ない」と考えているハッカーのシステムの処理によって被害を受けた人数ははるかに少ないとのことだ。

複数の報道機関がこれまでに報じたところによると、ハッキングはロシアの諜報グループ「APT 29」、または「Cozy Bear」によって行われたという。その中には、新型コロナウイルスのワクチン研究を盗もうとしたことも含まれている

今回の共同声明は、政府が選挙運動の背後にいる可能性が高い人物を初めて認めたものになる。

ロシアはこれまで、ハッキングへの関与を否定していた。

関連記事
サイバーセキュリティ企業FireEyeが「国家の支援を受けた」ハッカーから攻撃されたと言及
「ロシアのハッカー集団が新型コロナワクチン開発を攻撃」と英米カナダが警告

カテゴリー:セキュリティ
タグ:ハッカーアメリカロシアサイバー攻撃FBINSA

画像クレジット:Bronte Wittpenn/Bloomberg / Getty Images

原文へ

(翻訳:TechCrunch Japan)

新型コロナワクチン研究を狙う海外のハッカーと米国家安全保障局はどのように戦っているのか

諜報機関である米国家安全保障局(National Security Agency、NSA)の活動は、ほぼ完全に秘密裡に行われており、NSAに対する報道は、多くの場合あまり好意的なものではない。だが同局は1年前に、新しいサイバーセキュリティ総局(Cybersecurity Directorate)を立ち上げた。この組織は昨年、同機関の最も目立つ部門の1つとして登場した。

サイバーセキュリティ総局はその活動の中心を、政府が高度な機密情報の通信に使用する、重要な国家安全保障システムの防御と保護に重点を置いている。だが同総局は、増えつつある海外のハッカーからのより新しく大規模なサイバー脅威との戦いでよく知られるようになった。昨年、ほとんどの最新コンピューターに備わるセキュアブート機能を狙った攻撃(NSAレポート)に対して警告を発し、ロシアの諜報機関にリンクされたマルウェア運用(NSAレポート)を暴露した。それらを公開することでNSAは、自宅の重要なシステムを守ることを支援しつつ、海外のハッカーがツールやテクニックを再利用することを困難にすることを狙っている。

しかし、サイバーセキュリティ総局がその仕事を始めてから6カ月後、新型コロナウィルスの世界的大流行が宣言され、世界の広範な地域ならびに米国はロックダウンされることとなった。このことはハッカーたちにギアチェンジと戦術の変更を促した。

NSAのサイバーセキュリティ担当ディレクターであるAnne Neuberger(アン・ノイバーガー)氏は、Disrupt 2020でTechCrunchに対して「脅威の状況は変わりました」と語った。「私たちはテレワークに移行し、新しいインフラストラクチャに移行しました。そしてサイバー攻撃者がそれを利用しようとするのを目撃してきました」と同氏は説明する。

公には、NSAはロックダウンの開始後に使用が急増したビデオ会議およびコラボレーションソフトウェアの安全性について助言を行い(NSAレポート)、仮想プライベートネットワーク(VPN)に関連したリスクについても警告(CBS記事)した。

しかし舞台裏では、NSAは連邦パートナーと、新型コロナウイルスワクチンの製造および配布の取り組みを保護するために協力している。これは、米国政府がOperation Warp Speed(ワープ速度作戦)と呼んでいるものだ。同作戦へのNSAの関与のニュースを最初に報じたのは、ウェブメディアののCyberscoopだ。世界中が、専門家が新型コロナウイルスの感染蔓延を終わらせる唯一の長期的な方法であると説明する、有効なワクチンの開発をめぐって競争をしている中で、NSAと英国ならびにカナダのパートナーは、新型コロナウイルス研究を標的とする、また別のロシアの諜報活動を公表した。

「私たちは米国政府全体を横断するパートナーシップの一部であり、それぞれが異なる役割を担っています」とノイバーガー氏は語る。「Team America for Cyberの一部として私たちが果たす役割は、 新型コロナウイルスワクチン情報を盗もうとする。さらにワクチンの情報を混乱させたり、特定のワクチンに対する信頼を揺るがせようとする、外国勢力の正体を理解することです」と続ける。

ノイバーガー氏は「ワクチンを開発している製薬会社を保護することは、何百万人もの米国人にワクチンを提供することになる、大規模なサプライチェーン事業のほんの一部に過ぎない」と語った。ワクチンの承認を任された、政府機関のサイバーセキュリティを確保することも最優先事項だ。

以下にセッションの要点をまとめる。インタビュー全体は記事最後のビデオで見ることができる。

TikTokが国家安全保障上の脅威である理由

TikTokが、アプリストアから排除される日が数日後に迫っている。米トランプ政権が今年初めに、中国資本のその所有企業が国家安全保障に脅威を与えているとして非難したためだ。しかし、政府はこのビデオ共有アプリがもたらす特定のリスクについて積極的に発表することはせず(未訳記事)、アプリが中国によるスパイ行為に利用される可能性があると主張しただけだ。北京政府は長年にわたり、米国に対するサイバー攻撃で非難されてきた。たとえば、2014年に発生した人事管理局からの機密の公務員名簿の大規模な漏洩(CNN記事)などが挙げられる。

ノイバーガー氏は、TikTokアプリのデータ収集の「範囲と規模」は、中国のスパイたちに、米国国民に関する「あらゆる種類の諜報活動の質問」の答を得やすくさせるという。同氏は、FacebookやGoogleなどの米国のテクノロジー企業も大量のユーザーデータを収集していることは認めている。しかし「特に中国が、自国以外の人びとから収集されたすべての情報を、どのように使用するのかについて、より大きな懸念があるのです」と指摘する。

関連記事:WeChatとTikTokのダウンロードが9月20日から不可に、米商務省が発表

NSAは企業に対してセキュリティバグを非公開で開示

ノイバーガー氏によれば、NSAは発見して開示した脆弱性についてよりオープンにしようとしているという。同氏はTechCrunchに対して、サイバーセキュリティ総局は今年に入って民間企業と「多数」の脆弱性を共有してきたが、「それらの企業は自社名を明らかにすることを望んでいませんでした」と語った。

例外の1つは今年の初めに、NSAがWindows 10に重大な暗号化の欠陥を発見し、非公開で報告したことをマイクロソフトが認めたことだ。その欠陥を悪用することで、ハッカーがマルウェアをあたかも安全なファイルのように見せかけることが可能になっていた。このバグは非常に危険だったため、NSAは脆弱性をマイクロソフトに報告し、同社はバグを修正した。

わずか2年前にNSAは、発見したWindowsの脆弱性を、マイクロソフトに警告するのではなく監視目的に利用していたことを非難された。しかしこの攻撃手段はのちに流出し、多数のコンピューターにWannaCryランサムウェアを感染させるために利用(未訳記事)され、数百万ドル(数億円)単位の損害をもたらした。

スパイ機関としてのNSAは、ソフトウェアの欠陥や脆弱性を悪用して敵の情報を収集する。そのためには同機関は、政府がスパイ行為に利用できるバグを保持することを認めるVulnerabilities Equities Process(脆弱性公正手続き)と呼ばれる手続きを通過する必要がある(Wired記事)。

関連記事:【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)

カテゴリー:セキュリティ

タグ:Disrupt 2020 米国家安全保障局 新型コロナウイルス TikTok


画像クレジット:Brooks Kraft / Getty Images

原文へ

(翻訳:sako)