国土安全保障省は2020年大統領選のセキュリティー計画を立てていない

国土安全保障省のサイバーセキュリティー諮問機関は2020年大統領選挙のセキュリティー計画が「まだ出来ていない」と政府監視機関が発表した。その報告書は、米国時間2月65日に政府監査院が発表したもので、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)は、「2020年の選挙期間が始まる前に、選挙基盤のセキュリティーを確保するための戦略を実行する準備ができていない」と指摘した。

監査院は、同部門は州や自治体が各選挙基盤を堅牢にするための計画を「早急にまとめる」必要があると語った。しかしCISAは、政治運動を保護し、海外からの脅威への注意を喚起する運用計画の半分も完成できそうにないと語った。

これは2016年大統領選挙で重大な障害の原因となったのと同じ問題であり、当時はヒラリー・クリントン陣営がハッキングされたり、ロシア政府が大規模な情報操作を行うなどの事件が起きた。

報告書によると、11月時点でCISAが完了した脆弱性評価はわずか161件であり、これは選挙システムの遠隔操作を防止することを目的としており、全米の数千カ所に上る地方自治体で実施する必要がある作業だ。監査院は、CISAが投票日にセキュリティー問題が起きたときにどう対応するかの「計画を立てていない」ことも指摘している。

監査院は、CISAで現在進行中の組織変更も無計画の一因であると言う。同部門は士気の低さとに加え、少なくとも一名の要職が辞任している。昨年、CISAのサイバーセキュリティ担当次官補で、選挙システムのセキュリティーの責任者でもあったJeanette Manfra(ジャネット・マンフラ)氏は政府を離れてGoogleで新たな職に就いた

同報告書の悪事の証拠が公表されるわずか数日前、アイオワ州民主党が使用した投票集計アプリ悲惨な障害のために投票結果を予定通り公表することができなかった。この党員集会は、民主党がトランプ現大統領と戦う候補を指名する最初の取り組みだった。

CISAの広報担当者であるSara Sendek(サラ・センデク)氏は、同局は厳重な選挙体制を構築するために3年を費やし、サイバーセキュリティー部門は選挙支援の「準備を完了」していたと語った。

「CISAの仕事は終わっておらず、毎日開発と改善を続けているが、脅威の問題やシステムの安全を守るために必要な行動が何かは認識している」と広報担当者は語った。

画像クレジット:Bloomberg (opens in a new window)/ Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

米国土安全保障省がイランからのサイバー攻撃に備えるよう企業に警告

米国土安全保障省は、イランとの間の緊張の高まりでサイバー攻撃を受ける可能性があるとして、米企業に備えるよう警告を出した。

イランの司令官Qasem Soleimani(ガセム・ソレイマニ)氏殺害から数日たち、政府のサイバー専門諮問機関であるCybersecurity and Infrastructure Security Agency(CISA)が出す初の公式勧告だ。米政府はソレイマニ氏が中東にいる米国の人員をターゲットにして殺害している、と非難していた。

イラン指導部の中でナンバー2的な立場にあった司令官ソレイマニ氏は先週金曜日にトランプ大統領が指示したドローン攻撃で殺害された。このドローン攻撃では、イランが支援するイラクの部隊の副司令官Abu Mahdi al-Muhandis(アブ・マフディ・ムハンディス)氏も死亡した。

1月6日の月曜日に掲示された勧告の中で、CISAは「高まる緊張により、米国はサイバーならびに軍事の攻撃を受ける可能性がある。また米国や米国に関係する国に対してイラン以外のところから破壊的なハイブリッド攻撃があることも考えられる」としている。

イランと同盟国は、電話やエネルギーの企業などを戦略的ターゲットに据えた「破壊的で有害なサイバー部隊」を立ち上げ、米国の外交政策方針をしっかりと把握するためにサイバーによるスパイ活動を実行するかもしれない、と当局は話した。

CISAはまた、偽情報の活動や爆破を含む軍事攻撃の可能性も警告している。企業はオフラインのバックアップを準備するなど、サイバー攻撃を警戒すべきだと勧告した。

ドローン攻撃を受け、民間部門のセキュリティ専門家が報復の可能性を指摘してすぐにCISAは警告を出した。

「イランの関係者が諜報機関の招集を模索し、大局的に地政学環境を理解しようとしていることから、おそらく主に政府のシステムを標的とするスパイ活動が増える」とサイバーセキュリティ会社FireEyeの情報分析ディレクターJohn Hultquist(ジョン・ハルトクイスト)氏は話した。「また、民間へも破壊的なサイバー攻撃があると予想している」

イランはサイバー領域において世界でも最も力のある難敵の1つだ、と専門家は語る。

イランは、コンピューターに侵入してデータを破壊するマルウェアのワイパーを含む、攻撃的なサイバーツールを持つ。イランにつながるハッカーたちは近年、中東のターゲット施設で活発だった。セキュリティ会社Crowdstrikeの共同設立者Dmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏は、イランがエネルギー網や金融機関など重要なインフラを標的とするかもしれないとツイートした。

直近ではMicrosoftが、イランに関係するハッカーを含めたイランの攻撃ターゲットとなった何千もの顧客にその旨を通知した、と明らかにした。Microsoftは以前、サイバー活動を破壊しようと、イランがコントロールするドメインに対し法的措置をとった。10月には、イラン人ハッカーが2020年大統領選候補を標的にしている、とMicrosoftは述べた。これに関してはのちにロイターがトランプ大統領の再選キャンペーンであることを確認した。

ソレイマニ氏を暗殺するための動きは、トランプ政権内の敵味方が共に計画した。評論家は政府がイランによる軍事的な報復だけでなくサイバー攻撃も受けることを考えなかった、と話す。

上院情報問題特別調査委員会のRon Wyden(ロン・ワイデン)議員は、殺害は「破滅的な戦争へとつながる道へと我々を向かわせる無謀なエスカレーション」だと話した。ブッシュ元大統領に仕えた前CIAアナリストElissa Slotkin(エリッサ・スロットキン)氏もまたツイッターの長いスレッドの中で暗殺を批判した。

画像クレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)

米国土安全保障省が脆弱システムの利用者開示をISPに義務づけへ、法改正を準備中

TechCrunchの情報源によれば、米国の国土安全保障省(DHS)はインターネットプロバイダー(ISP)に対して脆弱性あるシステムの利用者が誰であるか明かすよう義務付けることができるようにする法改正を準備中だという。

昨年11月に議会は満場一致でCISA法を成立させた。これにより国土安全保障省内に、CISA(サイバーセキュリティおよびインフラストラクチャ庁)を設置。CISAはISPおよび重要なインフラストラクチャを運営する企業に関する電子的セキュリティの維持、向上を図ることが目的であり、脆弱性あるシステムのユーザーの身元を含め、脆弱性情報を合法的に取得できる権限が与えられた。

この権限に基づき、システムに脆弱性がある場合、CISAは政府機関、民間企業の双方に対して警告を発してきた。一方で、脆弱性あるシステムを利用しているユーザー企業に対し直接その危険性を通知できない場合が多いことに対して密かに不満を訴えていた。これは脆弱性あるシステムを誰が使っているか明らかでない場合が多いためだった。

CISAが準備している改正案は、CISA法に盛り込まれた権限を生かし、脆弱性あるシステムを利用しているインフラ運営者に対して直接に危険性を通知できるようにするものだという。ハッカーは発電所、電力グリッド、水道、石油コンビナートなどのインフラ産業のシステムをターゲットにしつつある。こうしたインフラ企業のシステムはますます複雑化しており、被害が及ぶ範囲もますます拡大している。

法の定めるところによれば一部の連邦機関は、裁判所に図ることなく召喚状などの強制力ある手続きによって、ISPから利用者に関するデータを得ることができる。ところがCISAはこの強制力を欠いているため、現在は他の連邦捜査機関に依頼して脆弱性あるシステムのユーザーを特定している。さらに捜査機関が召喚状を発することができるのは現に行っている捜査に関連した場合に限られる。そのため、CISAは特定の犯罪を捜査していない場合でも脆弱性あるシステムのユーザーを特定し警告する合法的な権限を得たいとしている。

CISAの法改正の動きは、連邦政府は民間セクターのインターネットの安全性にどこまで関与すべきなのかという以前からある議論にまた直面することになるだろう。連邦政府は独自のイニシアチブで民間企業に対して安全性の警告ができるのかという問題だ。

企業にインターネットの安全情報や防衛研修を提供するRendition Infosecの創業者で元NSAの専門家であるJake Williams(ジェイク・ウィリアム)氏はCISAの動きを「権限強化が狙いだ」とし、不適切に利用される危険性があると主張する。ウィリアム氏はTechCrunchに対して「これは議会がCISA設置法を通過させたときに想定していた権限ではない」と述べた。

ただし、CISAが求めている行政機関が召喚状を発する権限はさほど異例なものではない。米国では多くの省庁部局が民間企業に情報提供を義務付ける権限を持っている。もちろんこうした権限には行政機関に司法の審査、監督なしに大量の情報を収集を許すものだという批判が出ている。

FBIはこの種の安全保障を理由とする行政命令(NSL、National security letter)発行権限を有しており、電話会社や大手テクノロジー企業から密かに加入者データを得ている。電子フロンティア財団はNSLを合法だとした連邦地裁の決定に不満を表明している。

TechchCrunchに背景を説明したCISA担当者は、この改正案はすでに議会の送付済みであり、「インフラ企業は政府担当部局から直接警告を受けた場合、(脆弱性対策に)より積極的になるはずだ」と述べた。担当者によれば「CISAは不当、不正な権限の利用が起きないよう(予防措置を盛り込むために)議員と密接に協力している」という。

国土安全保障省事案を監督する下院委員会の広報担当者、Adam Comis(アダム・コミス)氏コメントを求めたがまだ回答がない。

【Japan編集部追記】subpoena(サピーナ)は暫定的に「召喚状」としたが、英米法の手続きで「人に証言を義務付ける命令」と「人または組織に物理的証拠の持参を義務付ける命令」の2種類がある。正確にいえば証言を求めるのは前者であり、記事中のsubpoenaはISPに対してユーザーの身元情報を明かすよう義務付ける命令であるため後者となる。ただし後者に定訳はない。subpenaはラテン語で「制裁の下に」の意味で、従わない場合は法廷侮辱罪などの罪となる可能性がある。

原文へ

(翻訳:滑川海彦@Facebook

米政府がBlueKeep脆弱性を利用したハッキングを実証、Windows 7以前へのパッチ導入待ったなし

米国土安全保障省のサイバーセキュティー部門であるCISAは、BlueKeep脆弱性を利用したハッキングの実験を行い、対象となるデバイスでリモートコード実行ができることを確認した。BlueKeepは旧版WindowsのRemote Desktop Protocol(RDP)のバグを利用した極めて危険な脆弱性だ。

現在、民間機関での研究ではBlueKeepを利用してDoS攻撃ができることが実証されている。つまり狙ったコンピュータをクラッシュさせてしまうわけだ。しかしBlueKeepはそれよりはるかに悪質なリモートコード実行に利用できることが確実だった。そうなれば2017年に世界を大混乱に陥れたWannaCryランサムウェアの再来となる。

CISA(Cybersecurity and Infrastructure Security Agency)は6月17日に発した警告で、BlueKeepを利用してWindows 2000を搭載したコンピュータ上のコードを遠隔で実行できることを確認した。

Windows 2000はMicrosoft(マイクロソフト)が発表した脆弱性対策には含まれていないが、CISAの広報担当者によれば「我々は外部の関係者と協力してこの脆弱性を調査している」ということだ。TechCrunchはマイクロソフトにコメントを求めている。

リモートコード実行が可能なマルウェアはまだ現実には使われていない。しかしCISAがアラートを出した以上、同じ効果をもつマルウェアをハッカーが近く作り出せることが確実だ。

マイクロソフトと米政府機関は先月末からBlueKeep脆弱性へのパッチ適用を強く勧告してきた。

BlueKeep(CVE-2019-0708)はWindows 7およびそれ以前のWindowsコンピュータのリモートデスクトップサービスのクリティカル評価のバグで、パソコンだけでなくサーバーにも影響する。ユーザー認証以前に実行可能なので攻撃者はログインの必要がない。攻撃が成功すればデータを盗み出すだけでなく、システム管理者の特権を得ることも可能だ。またワーム化できるので、1台が乗っ取られば同一のネットワークに接続しているすべてのコンピュータに伝染する。

Microsoftは先月末、サポート終了のOSに対してパッチを発行するという異例の措置を取った。しかし100万台ものコンピュータが無防備な状態におかれているという。英国のセキュリティ専門家であるKevin Beaumont氏のツイートによれば 「マルウェアがひとたび組織のファイアウォール内のパソコンに入り込むことに成功すれば被害規模は桁違いに拡大する」という。

NSAは秘密主義で知られるこの組織としては異例の警告を公表し、「脅威が著しく増大している」と述べ、ユーザーにパッチの適用を強く勧告していた。

万一パッチしていないなら今こそすべきだ。

【Japan編集部追記】CISAによれば、影響を受けるシステムは次のとおり。PC向けOSは、Windows 2000、Windows、Vista、Windows XP、Windows 7。サーバー向けOSは、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2。

原文へ

滑川海彦@Facebook