米CISAとFBIが米国の衛星ネットワークへの脅威を警告、Viasatへのサイバー攻撃を受け

ウクライナでの戦争に端を発した欧州の衛星ネットワークへの最近の攻撃が、やがて米国にも波及する恐れがあるとして、米政府は衛星通信ネットワークへの「脅威の可能性」について警告した。

今週発表されたCISA(米サイバーセキュリティ・インフラセキュリティ庁)とFBI(米連邦捜査局)の共同勧告は、衛星通信(SATCOM)ネットワークプロバイダーや衛星ネットワークに依存する主要なインフラ組織に対し、サイバー攻撃の可能性の高まりに備えサイバーセキュリティを強化するよう促すとともに、侵入が成功してしまえば顧客環境にリスクをもたらすと警告した。

この勧告では、脅威を受ける特定のセクターの名前は挙げられていないが、衛星通信の利用は米国全土に広がっている。推定で約800万人の米国人が、インターネットアクセスのためにSATCOMネットワークに依存している。衛星通信システムの分析を専門とするサイバーセキュリティの専門家、Ruben Santamarta(ルーベン・サンタマルタ)氏はTechCrunchに対し、ネットワークは航空、政府、メディア、など幅広い業界で利用されており、遠隔地にあるガス施設や電力サービスステーションなどでも利用されていると述べた。

サンタマルタ氏によれば、特に軍が注意すべきなのは、最近SATCOMプロバイダーのViasat(ヴィアサット)が受けたサイバー攻撃だ。2月に欧州で数万人の顧客が通信不能になった。被害の規模を示す一例だ。

「ウクライナの軍隊はこの種の衛星端末を使っていました」とサンタマルタ氏はTechCrunchに語った。「ウクライナ軍の代表の1人が、通信の面で大きな損失があったことを認めています。ですから、明らかに今、影響を受けている最も重要な分野の1つなのです」。

同氏は、例えば海運業界にとって、攻撃が成功すれば、サイバーセキュリティの問題だけでなく、安全への脅威となる可能性があるという。「船舶は安全運航のために衛星通信を利用しており、遭難信号を送信する必要がある場合、無線周波数またはSATCOMチャネルで送信することができます。もし、そのような救難信号を送れないとしたら、それは問題です」と同氏は述べた。

今回の合同勧告は、欧米の情報機関が先月、ViasatのKA-SATネットワークを襲ったサイバー攻撃の調査を開始し、ロシアの侵攻開始時に欧州全域で大規模な通信障害を引き起こしたと報じられた数日後に発表されたものだ。

この障害はまだ完全に解決していないが、ウクライナや欧州の他の地域で何万人もの顧客の衛星インターネットサービスに影響を与え、ドイツではおよそ5800基の風力タービンを停止させたという。

このサイバー攻撃は当初、分散型サービス妨害(DDoS)攻撃によるものと考えられていたが、その後疑問視されるようになった。Viasatはまだ技術的な詳細を発表していないが、攻撃者が衛星ネットワークの管理セクションの設定ミスを利用してモデムにリモートアクセスしたことを確認している。サンタマルタ氏によると、このことは、攻撃者が悪意のあるファームウェア・アップデートを端末に展開した可能性が高いことを示唆している。

「攻撃者は、正規の制御プロトコルを悪用してコマンドを出すために、地上局を侵害または偽装することに成功し、端末に悪意のあるファームウェア・アップデートを展開した可能性が高い」と同氏はこの攻撃の分析で述べている。

Viasatはウクライナ軍に衛星通信サービスを提供していることから、今回のサイバー攻撃は、ロシアの侵攻初期にウクライナ全域の通信を妨害しようとした可能性があるとみられている。

「私たちは現在、これが意図的で、それ自体独立した、外部要因によるサイバー事案であると考えています」とViasatの広報担当者であるChris Phillips(クリス・フィリップス)氏は話す。「Viasatによる継続的な、そして現在も続く対応により、KA-SATネットワークは安定しました」と同氏は述べ、フランス宇宙司令部のMichel Friedling(ミシェル・フリードリング)司令官が、この事件の結果 Viasatの顧客端末が「永久に使用できない」状態になったとのツイートに反論した。

「Viasatは、この事案で影響を受けた欧州の固定ブロードバンドユーザーへのサービスを再開するために、販売代理店と積極的に協力しています。私たちは重要なインフラと人道支援に重点を置いています」とフィリップス氏は付け加えた。「私たちは大きな前進を続けており、複数の解決作業が完了し、他の作業も進行中です」。

米政府の勧告によると、SATCOMネットワークを標的とした同様の攻撃のリスクが高まっているため、米国の組織は「悪意のあるサイバー活動の兆候を報告し共有するための閾値を大幅に下げる」べきだという。

画像クレジット:Al Drago / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi)a

米政府機関が警告、ウクライナを標的にしているワイパー型マルウェアは他国にも飛び火する可能性

米国サイバーセキュリティー・インフラセキュリティー庁庁(CISA)および連邦捜査局(FBI)は、ウクライナ国内組織の攻撃に用いられているワイパー型マルウェアが米国内の企業に影響を及ぼす可能性があると警告する共同勧告を発表した。

週末に公開された勧告は、WhisperGate(ウィスパーゲート)およびHermeticWiper(ハーメティック・ワイパー)という最近ウクライナ国内組織に対する攻撃で使われたことがわかった2つの破壊的マルウェア種に関する情報を提供している。

WhisperGateはワイパー型マルウェアの一種で、ランサムウェアを装っているが、ファイルを暗号化するのではなく、システムのマスターブートレコードを破壊の標的にしている。このマルウェアを最初に見つけたのはMicrosoft Threat Intelligence Center(マイクロソフト脅威インテリジェンス・センター)で、去る1月にウクライナの政府、非営利団体、テック企業を含むターゲットに対する複数のサイバー攻撃で使用されていた。

もう1つの破壊的ワイパー型マルウェアであるHermeticWiperは、ロシアによる侵攻が開始される直前にウクライナ企業を標的にして使用された。セキュリティ製品企業のESETが発見したこのマルウェアは、コンピュータを制御不能に陥らせる。ESETが観察したウクライナ国内数百のコンピュータを標的としたその攻撃は、国のいくつかの重要なウェブサイトをオフラインに追いやった一連の分散型サービス妨害(DDoS)攻撃の数時間後に出現した。

共同勧告は、米国企業に対する脅威でロシア・ウクライナ緊張に直接結び付くものは見つかっていないが、各企業は防御体制を強化し、警戒を強める必要があると警告している。

「破壊的マルウェアは組織の日常業務に直接的脅威をもたらし、重要な資産やデータの利用に影響を及ぼす可能性がある」とCISAおよびFBIは勧告で言った。

「ウクライナ国内組織に対するさらなる破壊的サイバー攻撃が起きる可能性は高く、意図せず他国の組織に波及することもありうる。組織は警戒を強め、そのような事象に対する計画、準備、発見、対応の能力を確認すべきだ」と付け加えた。

米国は、一連のワイパー攻撃を正式にロシアに結びつけていないが、マルウェアを拡散する脅威の行為者は、ロシアの「いわれなきウクライナ侵攻」につながっている、と勧告は述べている。

CISAとFBIは、組織が破壊的ワイパー型マルウェアから身を守るためのセキュリティ侵害インジケーター(IOC)を提供するとともに、多要素認証を有効化し、アンチウイルス・アンチマルウェア・プログラムの導入、スパムフィルターの設定、あらゆるソフトウェアのアップデート、ネットワークトラフィックのフィルタリングなどの対策を講じることで、自らを保護するよう企業に要求した。

関連記事:ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

輸送ネットワークをサイバー攻撃から守るShift5が57.7億円を調達

普段はあまり意識することはないかもしれないが、移動に使う電車や飛行機などの交通機関の背後には、電子機器やデバイス、データなどの広大なネットワークが張り巡らされており、そのおかげで電車は線路を走り、飛行機は空を飛ぶことができる。

たとえば米国時間2月8日に、5000万ドル(約57億7000万円)のシリーズB資金調達を発表したShift5(シフトファイブ)のような企業が、今日の交通ネットワークに不可欠なシステムを守ろうとしているのだ。Shift5によると、この分野は十分な支援を受けてはいないものの、急速に成長しているという。

輸送ネットワークは、列車や航空機、さらには戦車などの軍事機器の運行に不可欠な車載部品などの運用技術(OT)システムに依存しているが、かつては他と隔離されていたこれらのシステムがインターネットと接点を持つネットワークに徐々に加えられるケースが増えているため、サイバー攻撃を受けやすくなっている。

関連記事:ランサムウェアの次のターゲットは組み込み機器か?

OTネットワークへの攻撃は稀だが、OTシステムの障害は、数百万ドル(数億円)の損失やダウンタイムにつながり、また、事態が悪化した場合には安全上のリスクも生じる。米国政府のサイバーセキュリティ機関であるCISAは、重要インフラに対する脅威が高まっていると警告している。

しかし、OTシステムはその用途に応じて固有のものであることが多く、例えば戦車から部品を取り外してセキュリティの脆弱性をテストすることは現実的ではなく、また戦車を容易に入手することもできない。

Shift5はこの問題を解決するために、交通機関の企業やリーダーたちのOTネットワークに監視機能を提供し、全体的な攻撃対象を減らそうとしている。この監視機能は、脅威を検知し、インターネットベースの攻撃からシステムを守ることを目的としている。

その努力が実を結んでいるようだ。今回の資金調達は、前回の2000万ドル(約23億1000万円)のシリーズA資金調達からわずか数カ月後に行われた。2021年数百万ドル(数億円)規模の取引を行い、従業員数を倍増させたこともそれを後押ししたのだ。今回のシリーズBラウンドはInsight Partnersが主導し、シニアアドバイザーのNick Sinai(ニック・シナイ)氏がShift5の取締役に就任した。

Shift5は、今回のラウンドで調達した資金を、需要に対応するための人材への投資や、製品開発の強化に充てるとしている。

Shift5の社長であるJoe Lea(ジョー・リー)氏は「このいたちごっこは重要なインフラにも影響が及んでいて、防御側はその守備範囲を運用技術にまで広げなければなりません。この1年で証明されたことは、鉄道、航空、国防の各分野の主要な防御者たちが、先見性のあるリスクを認識し、コストを強いられる損害を未然に防ぐために動いているということです」と語っている。

関連記事:ランサムウェアの次のターゲットは組み込み機器か?

画像クレジット:Shift5

原文へ

(文:Zack Whittaker、翻訳:sako)

イランに支援されたハッカーがランサムウェアでインフラ分野の組織を標的に、米政府が警告

米政府は、オーストラリア、英国の政府とともに、イランの支援を受けたハッカーが米国の重要インフラ分野の組織を標的にしており、一部のケースではランサムウェアを使用していると警告した。

イランとランサムウェアを結びつける珍しい警告は、サイバーセキュリティ・インフラセキュリティ庁(CISA)、連邦捜査局(FBI)、オーストラリア・サイバーセキュリティセンター(ACSC)、英国の国家サイバーセキュリティセンター(NCSC)が現地時間11月17日に発表した共同勧告に盛り込まれている。

この勧告によると、イランの支援を受けた攻撃者が、少なくとも3月以降Fortinetの脆弱性を、10月以降はMicrosoft Exchange ProxyShellの脆弱性を悪用して、米国の交通機関や公衆衛生分野の重要インフラ組織、およびオーストラリアの組織にアクセスしているという。ハッカーの目的は、最終的にこのアクセスを利用して、データ流出、恐喝、ランサムウェアの展開などの後続作業を行うことにある。

例えば、2021年5月、ハッカーはFortigateを悪用して、米国の地方自治体のドメインを管理するウェブサーバーにアクセスした。その翌月にCISAとFBIは、ハッカーがFortinetの脆弱性を悪用して、米国の小児医療専門病院のネットワークにアクセスしたことを確認している。

今回の共同勧告は、Microsoft(マイクロソフト)が発表したイランのAPTの進化に関する報告書と併せて発表された。イランのAPTは「資金を集めるため、あるいは標的を混乱させるためにランサムウェアをますます利用している」。報告書の中でMicrosoftは、2020年9月に始まった攻撃でランサムウェアを展開し、データを流出させている6つのイランの脅威グループを追跡している、と述べている。

同社は、Phosphorusと呼ぶ(APT35としても知られる)、特に「攻撃的」なグループを取り上げている。以前はスピアフィッシング電子メールを使って、2020年の米選挙の大統領候補者などを含む被害者を誘い出していたが、Microsoftによると、このグループは現在、ソーシャルエンジニアリング戦術を採用して被害者との信頼関係を構築してから、Windowsに組み込まれたフルディスク暗号化機能であるBitLockerを使ってファイルを暗号化しているとのことだ。

CISAとFBIは、イランの攻撃者がもたらす脅威を軽減するために、OSのアップデート、ネットワークセグメンテーションの実施、多要素認証と強力なパスワードの使用など、一連の行動をとるよう組織に呼びかけている。

画像クレジット:Scott Olson / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

バイデン政権が米連邦政府機関に数百のセキュリティバグ修正を指示

米国のBiden(バイデン)政権は、ほぼすべての連邦政府機関に対し、数百におよぶセキュリティバグを修正するよう命じた。それらの中には、10年ほど前に発見されたものも含まれている。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から米国時間11月3日に発令された新たな拘束力のある運用指令では、連邦政府の各機関に対し、ネットワークに「重大な危険」をもたらすと認定された300以上のセキュリティ脆弱性を、6カ月間で修正するよう求めている。ただし、2021年に入ってから見つかったより新しいバグについては、わずか2週間しか修正するための期間が与えられていない。

CISAによると、これらのセキュリティバグは、2014年や2015年にさかのぼるものもあり、連邦機関を狙うサイバー犯罪者にとって「頻繁に攻撃のベクトル」になっているという。

The Wall Street Journal(ウォール・ストリート・ジャーナル紙)が最初に報じたこの指令は、ほとんどの連邦民間機関に適用されるが、軍が運営するネットワークや、国防総省や情報機関の下で運営されるネットワークについては、例外として別個に管理されることになっている。

連邦政府機関は、セキュリティパッチの展開など、サイバーセキュリティへの取り組みの主な管理を任されている。2015年以降、連邦政府機関はまず「重要な」セキュリティバグを公開後1カ月以内に修正することが義務付けられていた。2019年にはそれが拡大され、深刻度の高いバグの修正も含まれるようになった。

しかし、米政府の監視機関は、一部の連邦政府機関がいまだにサイバーセキュリティの基本的な知識を身につけていないと述べている。The Wall Street Journalによると、今回の指令に含まれるバグの多くは、これまで対象となっていなかったもので、一見影響が少ないように見えるバグでも、悪用されれば大きな損害や混乱を引き起こす可能性があることを暗に示している。

「この指令は、連邦民間機関が脆弱性管理を改善し、サイバー攻撃に対するリスクを劇的に減らすために、ただちに行動を起こすべき明確な要件を示しています」と、CISAディレクターのJen Easterly(ジェン・イースタリー)氏は述べている。

「この指令は各連邦民間機関に適用されますが、重要インフラ事業者を含む全国の組織が、同じ脆弱性を利用した攻撃の標的とされていることがわかっています。したがって、すべての組織がこの指令を適用し、CISAの公開目録に挙げられている脆弱性を優先的に緩和することが重要です」と、イースタリー氏はいう。

国家軍事委員会のサイバー小委員会のメンバーであるJim Langevin(ジム・ランゲヴィン)下院議員は、今回のCISAの指令について「ネットワークセキュリティの強化と連邦政府のサイバー衛生の向上に大きく貢献するだろう」と述べている。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

ランサムウェアBlackMatterのグループが米国食品業界を標的にしているとNSA、FBI、CISAが注意喚起

CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)、FBI(米連邦捜査局)、NSA(米国家安全保障局)は共同で勧告を発表し、ランサムウェア「BlackMatter」のグループが米国の食品・農業分野の2つの組織を含む、重要インフラとみなされる「複数」の組織を標的にしていると警告した。

当局は被害者の名前を明らかにしなかったが、アイオワ州に本拠地を置く農業サービスプロバイダーのIowa New Cooperativeは9月にランサムウェア攻撃を受け、ハッカーからシステム解除と引き換えに590万ドル(約6億7600万円)を要求された。この攻撃に続いて、ミネソタ州に本社を置く農場供給・穀物販売協同組合であるCrystal Valleyにも同様に攻撃を受けた。

今回の勧告では、BlackMatterの脅威の概要、その戦術(バックアップデータの保存先やアプライアンスの暗号化ではなくワイピングなど)、検知シグネチャ、緩和策のベストプラクティスなどが紹介されている。また、BlackMatterは、Colonial Pipeline(コロニアル・パイプライン)への攻撃の背後にあったとFBIが発表した、今はなきランサムウェア「DarkSide」が「再ブランド化した可能性」があるとの見方も広がっている。

BlackMatterは、ランサムウェア・アズ・ア・サービス(RaaS)を提供している。他のグループがそのインフラを借りることができ、被害者が身代金を支払えば、そこから上前をはねる。勧告では、BlackMatterの身代金要求額は、暗号資産(暗号資産)で8万〜1500万ドル(約916万〜17億円)だと指摘している。

当局はまた、特に重要インフラに属する組織に対し、サイバーセキュリティの防御を強化し、強力なパスワードや多要素認証の使用など、セキュリティのベストプラクティスに従うよう促している。加えて、すべてのOSを最新の状態に保ち、ホストベースのファイアウォールを使用し、すべてのバックアップデータを確実に暗号化することを推奨している。

ランサムウェアの攻撃を受けた組織は直ちに報告し、ハッカーからの身代金の要求を拒否することも勧告している。

「身代金を支払うことで、敵対者がさらに別の組織を標的としたり、他の犯罪者がランサムウェアの配布に関与するようになったり、あるいは違法活動の資金源となったりする可能性があります」と3機関は警告している。「身代金を支払っても、被害者のファイルが復元される保証はありません」。

BlackMatterは、日本のテクノロジー大企業のOlympus(オリンパス)も攻撃しており、同社のヨーロッパ、中東、アフリカのネットワークが停止する事態となった。

画像クレジット:Joe Raedle / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi