タグ: CISA / サイバーセキュリティー・インフラセキュリティー庁（組織）

ウクライナでの戦争に端を発した欧州の衛星ネットワークへの最近の攻撃が、やがて米国にも波及する恐れがあるとして、米政府は衛星通信ネットワークへの「脅威の可能性」について警告した。

今週発表されたCISA（米サイバーセキュリティ・インフラセキュリティ庁）とFBI（米連邦捜査局）の共同勧告は、衛星通信（SATCOM）ネットワークプロバイダーや衛星ネットワークに依存する主要なインフラ組織に対し、サイバー攻撃の可能性の高まりに備えサイバーセキュリティを強化するよう促すとともに、侵入が成功してしまえば顧客環境にリスクをもたらすと警告した。

この勧告では、脅威を受ける特定のセクターの名前は挙げられていないが、衛星通信の利用は米国全土に広がっている。推定で約800万人の米国人が、インターネットアクセスのためにSATCOMネットワークに依存している。衛星通信システムの分析を専門とするサイバーセキュリティの専門家、Ruben Santamarta（ルーベン・サンタマルタ）氏はTechCrunchに対し、ネットワークは航空、政府、メディア、軍など幅広い業界で利用されており、遠隔地にあるガス施設や電力サービスステーションなどでも利用されていると述べた。

サンタマルタ氏によれば、特に軍が注意すべきなのは、最近SATCOMプロバイダーのViasat（ヴィアサット）が受けたサイバー攻撃だ。2月に欧州で数万人の顧客が通信不能になった。被害の規模を示す一例だ。

「ウクライナの軍隊はこの種の衛星端末を使っていました」とサンタマルタ氏はTechCrunchに語った。「ウクライナ軍の代表の1人が、通信の面で大きな損失があったことを認めています。ですから、明らかに今、影響を受けている最も重要な分野の1つなのです」。

同氏は、例えば海運業界にとって、攻撃が成功すれば、サイバーセキュリティの問題だけでなく、安全への脅威となる可能性があるという。「船舶は安全運航のために衛星通信を利用しており、遭難信号を送信する必要がある場合、無線周波数またはSATCOMチャネルで送信することができます。もし、そのような救難信号を送れないとしたら、それは問題です」と同氏は述べた。

今回の合同勧告は、欧米の情報機関が先月、ViasatのKA-SATネットワークを襲ったサイバー攻撃の調査を開始し、ロシアの侵攻開始時に欧州全域で大規模な通信障害を引き起こしたと報じられた数日後に発表されたものだ。

この障害はまだ完全に解決していないが、ウクライナや欧州の他の地域で何万人もの顧客の衛星インターネットサービスに影響を与え、ドイツではおよそ5800基の風力タービンを停止させたという。

このサイバー攻撃は当初、分散型サービス妨害（DDoS）攻撃によるものと考えられていたが、その後疑問視されるようになった。Viasatはまだ技術的な詳細を発表していないが、攻撃者が衛星ネットワークの管理セクションの設定ミスを利用してモデムにリモートアクセスしたことを確認している。サンタマルタ氏によると、このことは、攻撃者が悪意のあるファームウェア・アップデートを端末に展開した可能性が高いことを示唆している。

「攻撃者は、正規の制御プロトコルを悪用してコマンドを出すために、地上局を侵害または偽装することに成功し、端末に悪意のあるファームウェア・アップデートを展開した可能性が高い」と同氏はこの攻撃の分析で述べている。

Viasatはウクライナ軍に衛星通信サービスを提供していることから、今回のサイバー攻撃は、ロシアの侵攻初期にウクライナ全域の通信を妨害しようとした可能性があるとみられている。

「私たちは現在、これが意図的で、それ自体独立した、外部要因によるサイバー事案であると考えています」とViasatの広報担当者であるChris Phillips（クリス・フィリップス）氏は話す。「Viasatによる継続的な、そして現在も続く対応により、KA-SATネットワークは安定しました」と同氏は述べ、フランス宇宙司令部のMichel Friedling（ミシェル・フリードリング）司令官が、この事件の結果　Viasatの顧客端末が「永久に使用できない」状態になったとのツイートに反論した。

「Viasatは、この事案で影響を受けた欧州の固定ブロードバンドユーザーへのサービスを再開するために、販売代理店と積極的に協力しています。私たちは重要なインフラと人道支援に重点を置いています」とフィリップス氏は付け加えた。「私たちは大きな前進を続けており、複数の解決作業が完了し、他の作業も進行中です」。

米政府の勧告によると、SATCOMネットワークを標的とした同様の攻撃のリスクが高まっているため、米国の組織は「悪意のあるサイバー活動の兆候を報告し共有するための閾値を大幅に下げる」べきだという。

画像クレジット：Al Drago / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）a

米国サイバーセキュリティー・インフラセキュリティー庁庁（CISA）および連邦捜査局（FBI）は、ウクライナ国内組織の攻撃に用いられているワイパー型マルウェアが米国内の企業に影響を及ぼす可能性があると警告する共同勧告を発表した。

週末に公開された勧告は、WhisperGate（ウィスパーゲート）およびHermeticWiper（ハーメティック・ワイパー）という最近ウクライナ国内組織に対する攻撃で使われたことがわかった2つの破壊的マルウェア種に関する情報を提供している。

WhisperGateはワイパー型マルウェアの一種で、ランサムウェアを装っているが、ファイルを暗号化するのではなく、システムのマスターブートレコードを破壊の標的にしている。このマルウェアを最初に見つけたのはMicrosoft Threat Intelligence Center（マイクロソフト脅威インテリジェンス・センター）で、去る1月にウクライナの政府、非営利団体、テック企業を含むターゲットに対する複数のサイバー攻撃で使用されていた。

もう1つの破壊的ワイパー型マルウェアであるHermeticWiperは、ロシアによる侵攻が開始される直前にウクライナ企業を標的にして使用された。セキュリティ製品企業のESETが発見したこのマルウェアは、コンピュータを制御不能に陥らせる。ESETが観察したウクライナ国内数百のコンピュータを標的としたその攻撃は、国のいくつかの重要なウェブサイトをオフラインに追いやった一連の分散型サービス妨害（DDoS）攻撃の数時間後に出現した。

共同勧告は、米国企業に対する脅威でロシア・ウクライナ緊張に直接結び付くものは見つかっていないが、各企業は防御体制を強化し、警戒を強める必要があると警告している。

「破壊的マルウェアは組織の日常業務に直接的脅威をもたらし、重要な資産やデータの利用に影響を及ぼす可能性がある」とCISAおよびFBIは勧告で言った。

「ウクライナ国内組織に対するさらなる破壊的サイバー攻撃が起きる可能性は高く、意図せず他国の組織に波及することもありうる。組織は警戒を強め、そのような事象に対する計画、準備、発見、対応の能力を確認すべきだ」と付け加えた。

米国は、一連のワイパー攻撃を正式にロシアに結びつけていないが、マルウェアを拡散する脅威の行為者は、ロシアの「いわれなきウクライナ侵攻」につながっている、と勧告は述べている。

CISAとFBIは、組織が破壊的ワイパー型マルウェアから身を守るためのセキュリティ侵害インジケーター（IOC）を提供するとともに、多要素認証を有効化し、アンチウイルス・アンチマルウェア・プログラムの導入、スパムフィルターの設定、あらゆるソフトウェアのアップデート、ネットワークトラフィックのフィルタリングなどの対策を講じることで、自らを保護するよう企業に要求した。

関連記事：ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

画像クレジット：Justin Sullivan / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nob Takahashi / facebook ）