FBI / 連邦捜査局（組織）

米CISAとFBIが米国の衛星ネットワークへの脅威を警告、Viasatへのサイバー攻撃を受け

ウクライナでの戦争に端を発した欧州の衛星ネットワークへの最近の攻撃が、やがて米国にも波及する恐れがあるとして、米政府は衛星通信ネットワークへの「脅威の可能性」について警告した。

今週発表されたCISA（米サイバーセキュリティ・インフラセキュリティ庁）とFBI（米連邦捜査局）の共同勧告は、衛星通信（SATCOM）ネットワークプロバイダーや衛星ネットワークに依存する主要なインフラ組織に対し、サイバー攻撃の可能性の高まりに備えサイバーセキュリティを強化するよう促すとともに、侵入が成功してしまえば顧客環境にリスクをもたらすと警告した。

この勧告では、脅威を受ける特定のセクターの名前は挙げられていないが、衛星通信の利用は米国全土に広がっている。推定で約800万人の米国人が、インターネットアクセスのためにSATCOMネットワークに依存している。衛星通信システムの分析を専門とするサイバーセキュリティの専門家、Ruben Santamarta（ルーベン・サンタマルタ）氏はTechCrunchに対し、ネットワークは航空、政府、メディア、軍など幅広い業界で利用されており、遠隔地にあるガス施設や電力サービスステーションなどでも利用されていると述べた。

サンタマルタ氏によれば、特に軍が注意すべきなのは、最近SATCOMプロバイダーのViasat（ヴィアサット）が受けたサイバー攻撃だ。2月に欧州で数万人の顧客が通信不能になった。被害の規模を示す一例だ。

「ウクライナの軍隊はこの種の衛星端末を使っていました」とサンタマルタ氏はTechCrunchに語った。「ウクライナ軍の代表の1人が、通信の面で大きな損失があったことを認めています。ですから、明らかに今、影響を受けている最も重要な分野の1つなのです」。

同氏は、例えば海運業界にとって、攻撃が成功すれば、サイバーセキュリティの問題だけでなく、安全への脅威となる可能性があるという。「船舶は安全運航のために衛星通信を利用しており、遭難信号を送信する必要がある場合、無線周波数またはSATCOMチャネルで送信することができます。もし、そのような救難信号を送れないとしたら、それは問題です」と同氏は述べた。

今回の合同勧告は、欧米の情報機関が先月、ViasatのKA-SATネットワークを襲ったサイバー攻撃の調査を開始し、ロシアの侵攻開始時に欧州全域で大規模な通信障害を引き起こしたと報じられた数日後に発表されたものだ。

この障害はまだ完全に解決していないが、ウクライナや欧州の他の地域で何万人もの顧客の衛星インターネットサービスに影響を与え、ドイツではおよそ5800基の風力タービンを停止させたという。

このサイバー攻撃は当初、分散型サービス妨害（DDoS）攻撃によるものと考えられていたが、その後疑問視されるようになった。Viasatはまだ技術的な詳細を発表していないが、攻撃者が衛星ネットワークの管理セクションの設定ミスを利用してモデムにリモートアクセスしたことを確認している。サンタマルタ氏によると、このことは、攻撃者が悪意のあるファームウェア・アップデートを端末に展開した可能性が高いことを示唆している。

「攻撃者は、正規の制御プロトコルを悪用してコマンドを出すために、地上局を侵害または偽装することに成功し、端末に悪意のあるファームウェア・アップデートを展開した可能性が高い」と同氏はこの攻撃の分析で述べている。

Viasatはウクライナ軍に衛星通信サービスを提供していることから、今回のサイバー攻撃は、ロシアの侵攻初期にウクライナ全域の通信を妨害しようとした可能性があるとみられている。

「私たちは現在、これが意図的で、それ自体独立した、外部要因によるサイバー事案であると考えています」とViasatの広報担当者であるChris Phillips（クリス・フィリップス）氏は話す。「Viasatによる継続的な、そして現在も続く対応により、KA-SATネットワークは安定しました」と同氏は述べ、フランス宇宙司令部のMichel Friedling（ミシェル・フリードリング）司令官が、この事件の結果　Viasatの顧客端末が「永久に使用できない」状態になったとのツイートに反論した。

「Viasatは、この事案で影響を受けた欧州の固定ブロードバンドユーザーへのサービスを再開するために、販売代理店と積極的に協力しています。私たちは重要なインフラと人道支援に重点を置いています」とフィリップス氏は付け加えた。「私たちは大きな前進を続けており、複数の解決作業が完了し、他の作業も進行中です」。

米政府の勧告によると、SATCOMネットワークを標的とした同様の攻撃のリスクが高まっているため、米国の組織は「悪意のあるサイバー活動の兆候を報告し共有するための閾値を大幅に下げる」べきだという。

画像クレジット：Al Drago / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）a

米政府機関が警告、ウクライナを標的にしているワイパー型マルウェアは他国にも飛び火する可能性

米国サイバーセキュリティー・インフラセキュリティー庁庁（CISA）および連邦捜査局（FBI）は、ウクライナ国内組織の攻撃に用いられているワイパー型マルウェアが米国内の企業に影響を及ぼす可能性があると警告する共同勧告を発表した。

週末に公開された勧告は、WhisperGate（ウィスパーゲート）およびHermeticWiper（ハーメティック・ワイパー）という最近ウクライナ国内組織に対する攻撃で使われたことがわかった2つの破壊的マルウェア種に関する情報を提供している。

WhisperGateはワイパー型マルウェアの一種で、ランサムウェアを装っているが、ファイルを暗号化するのではなく、システムのマスターブートレコードを破壊の標的にしている。このマルウェアを最初に見つけたのはMicrosoft Threat Intelligence Center（マイクロソフト脅威インテリジェンス・センター）で、去る1月にウクライナの政府、非営利団体、テック企業を含むターゲットに対する複数のサイバー攻撃で使用されていた。

もう1つの破壊的ワイパー型マルウェアであるHermeticWiperは、ロシアによる侵攻が開始される直前にウクライナ企業を標的にして使用された。セキュリティ製品企業のESETが発見したこのマルウェアは、コンピュータを制御不能に陥らせる。ESETが観察したウクライナ国内数百のコンピュータを標的としたその攻撃は、国のいくつかの重要なウェブサイトをオフラインに追いやった一連の分散型サービス妨害（DDoS）攻撃の数時間後に出現した。

共同勧告は、米国企業に対する脅威でロシア・ウクライナ緊張に直接結び付くものは見つかっていないが、各企業は防御体制を強化し、警戒を強める必要があると警告している。

「破壊的マルウェアは組織の日常業務に直接的脅威をもたらし、重要な資産やデータの利用に影響を及ぼす可能性がある」とCISAおよびFBIは勧告で言った。

「ウクライナ国内組織に対するさらなる破壊的サイバー攻撃が起きる可能性は高く、意図せず他国の組織に波及することもありうる。組織は警戒を強め、そのような事象に対する計画、準備、発見、対応の能力を確認すべきだ」と付け加えた。

米国は、一連のワイパー攻撃を正式にロシアに結びつけていないが、マルウェアを拡散する脅威の行為者は、ロシアの「いわれなきウクライナ侵攻」につながっている、と勧告は述べている。

CISAとFBIは、組織が破壊的ワイパー型マルウェアから身を守るためのセキュリティ侵害インジケーター（IOC）を提供するとともに、多要素認証を有効化し、アンチウイルス・アンチマルウェア・プログラムの導入、スパムフィルターの設定、あらゆるソフトウェアのアップデート、ネットワークトラフィックのフィルタリングなどの対策を講じることで、自らを保護するよう企業に要求した。

画像クレジット：Justin Sullivan / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nob Takahashi / facebook ）

FBIが新たに「ランサムウェアの爆発的増加」に対応する暗号資産犯罪ユニット立ち上げ

米国連邦捜査局（FBI）は、暗号資産関連犯罪やランサムウェアによる利益を追跡するための専門部署を新たに立ち上げることを発表した。

Lisa Monaco（リサ・モナコ）司法副長官は、今週開催されたMunich Cyber Security Conference（MCSC）での講演で、Virtual Asset Exploitation Team（VAXU、仮想資産搾取ユニット）の設立を発表し、この新部署は「市場がイノベーションを生み出すのと同じ速さで、それを悪用する脅威の行為者」に米国政府が対応するのに一役買うと述べた。

さらにモナコ氏は、FBIが現在100種類以上のランサムウェアの亜種を追跡していることを指摘し「ランサムウェアの爆発的な増加と暗号資産の乱用」も同チームの担当に含まれると述べた。Chainalysisの報告によると、詐欺師が2021年に世界の被害者から奪った暗号資産は77億ドル（約8860億円）以上で、前年に比べて80％増加しているという。

FBIのVAXUユニットは、暗号資産の専門家、ブロックチェーン分析、暗号資産の押収を1つにまとめ、捜査を行うとともに、FBIの他の部署にトレーニングを提供する。この専門部署は、デジタル資産の犯罪利用を調査するために2021年末に創設された米国司法（DOJ）の部門である国家暗号資産執行チーム（NCET、National Cryptocurrency Enforcement Team）の一部を構成し、特に暗号資産取引所や、暗号資産の悪用を可能にしたり犯罪行為を助長するその他の技術に重点を置いていく。

モナコ氏はこう述べている。「ランサムウェアやデジタル恐喝は、暗号資産を利用した他の多くの犯罪と同様に、犯罪者が支払いを受ける場合にのみ機能します。つまり、彼らのビジネスモデルを破壊しなければならないということです。通貨は仮想かもしれませんが、企業に伝えたいメッセージは具体的です。『私たちに報告していただければ、お金の流れを追うことができ、あなたの組織を助けるだけでなく、うまくいけば次の被害者が出るのを防ぐことができます』」。

また、モナコ氏は今週、サイバー犯罪者の検挙経験を持つ連邦検事のEun Young Choi（チェ・ウンヨン）氏をNCETの初代ディレクターに任命したことを発表した。

「NCETは、デジタル資産を取り巻く技術が成長・進化する中で、あらゆる種類の犯罪者による不正利用に対抗するための取り組みを司法省が加速・拡大していく上で、極めて重要な役割を果たすことになるでしょう」とチェ氏は述べている。

今回の発表は、2016年に暗号資産取引所Bitfinex （ビットフィネックス）のハッキングで盗まれたとされる9万4000以上のBitcoin（現在の価値は36億ドル / 約4200億円）を司法省が押収し、同省による「史上最大」の金融資産押収となった数週間後に行われた。

画像クレジット：Stefani Reynolds / Getty Images

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

FBI、BlackByteランサムウェアが米国の重要インフラを狙っていると警告

米国連邦捜査局（FBI）とシークレットサービス（Secret Service）のアドバイザリーによると、BlackByteランサムウェアギャングが少なくとも3つの米国の重要インフラセクターを標的にし、カムバックを遂げたようだ。

BlackByteはRaaS（Ransomware as a Service、ランサムウェア・アズ・ア・サービス）事業者で、ランサムウェアのインフラを他者にリースし、身代金の収益の一定割合を得ることを目的としている。このギャングは、2021年7月にソフトウェアの脆弱性を悪用して世界中の企業の被害者をターゲットにして出現した。BlackByteは米国、欧州、オーストラリアの製造業、医療、建設業に対する攻撃をセキュリティ研究者が確認するなど、当初は一定の成功を収めた。しかし数カ月後に、サイバーセキュリティ企業のTrustwaveがBlackByteの被害者がファイルを無料で復元できる復号化ツールを公開したことで、ギャングは苦境に立たされた。このグループの単純な暗号化技術により、このランサムウェアがアマチュアの仕業であると考える人もいた。ランサムウェアは、AESでファイルを暗号化する際に、セッションごとに固有の鍵ではなく、同じ鍵をダウンロードして実行していた。

しかし、このような挫折にもかかわらず、BlackByteの活動は再び活発化しているようだ。FBIと米国シークレットサービス（USSS）は、米国時間2月11日に発行されたアラートの中で、同ランサムウェアが米国内外の複数の企業を危険にさらしており、その中には政府機関、金融サービス、食品・農業関連など、米国の重要インフラに対する「少なくとも」3つの攻撃が含まれていると警告している。

このアドバイザリーは、ネットワーク防御者がBlackByteの侵入を識別するためのセキュリティ侵害インジケータを提供するもので、ランサムウェアギャングがSan Francisco 49ers（サンフランシスコ・フォーティナイナーズ）のネットワークを暗号化したと主張する数日前に公開された。BlackByteは、13日に行われたスーパーボウルの前日に、盗まれたとする少数のファイルを流出させることで、攻撃を公表した。

Emsisoft（エムシソフト）のランサムウェア専門家で脅威アナリストであるBrett Callow（ブレット・キャロウ）氏は、TechCrunchに対し、BlackByteは最も活発なRaaS事業者ではないものの、過去数カ月の間に着実に被害者を増やしてきたと述べている。だが最近、米国政府がランサムウェア業者に対して行っている措置を受けて、BlackByteは慎重なアプローチを取っているのではないかという。

「FBIとUSSSのアドバイザリによると、BlackByteは政府を含む少なくとも3つの米国の重要インフラセクターへの攻撃に投入されています。興味深いことに、ギャングのリークサイトにはそのような組織は掲載されていません。これは、それらの組織が（身代金を）支払ったか、データが漏洩しなかったか、あるいはBlackByteが漏洩したデータを公開しないことを選択したことを示しているのかもしれません」と述べています。「REvilのメンバーが逮捕されて以来、ギャングはデータを公開することにより慎重になっているようで、特に米国の組織の場合はそうした傾向が見られます」。

このランサムウェアはREvilと同様に、ロシア語やCIS言語を使用しているシステムのデータを暗号化しないようにコーディングされているため、BlackByteがロシアを拠点としていることを示す兆候はあるものの、だからといって「ロシアやCISを拠点とする人物によって攻撃が行われたと考えるべきではない」とキャロウ氏は述べている。

また「ギャングに属する関係者は、RaaSを運営する人物らと同じ国にいるとは限りません」と同氏は付け加えた。「彼らは、米国を含むどこにでも存在し得ます」。

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル（数億円）の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事：ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会（FTC）からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル（約1兆3242億円）のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル（約5412億円）の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル（約625億円）のシリーズAと、Laceworkの5億2500万ドル（約605億円）のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

4.Microsoftのユーザーデータに対する法的要求の3分の1は、口外禁止になっている

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt（トム・バート）氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。。

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット：Getty Images

［原文へ］

（文：Zack Whittaker、翻訳：Hiroshi Iwatani）

【コラム】2人のFBI捜査官が私の家にきた、米国における法的要求と報道の自由について

2020年8月、予告なしに2人のFBI捜査官が私の家の玄関先にやってきて、前年に掲載したTechCrunchの記事について質問したいと言ってきた。

記事の内容は、あるハッカーがグアテマラのメキシコ大使館のサーバーから、ビザや外交官パスポートを含む数千件の書類を持ち出したというものだった。そのハッカーによると、脆弱なサーバーについてメキシコ当局に連絡したが無視されたため、大使館のファイルへのリンクをツイートしたという。「返事がない場合は公開する」とハッカーは言っていた。

関連記事：ハッカーがメキシコ大使館の文書を大量にネット公開

私は取材時の常套手段として、ニューヨークのメキシコ領事館にコメントを求めた。広報担当者によると、メキシコ政府はこの問題を「非常に深刻」に受け止めているとのことだった。私たちは記事を公開し、それで終わったように思えた。

1年後、FBIが私の家のドアをノックしてきた。終わったというのは間違いだったようだ。私は捜査官との会話を断り、ドアを閉めた。

私たちが記事を発表した後、メキシコ政府は外交ルートを通じて米国司法省にハッキングの調査あるいはハッカーの特定への協力を依頼した。私がそのハッカーと接触したことで、メキシコ政府は私を関係者としたに違いない。それで1年後に訪問してきたのだろう。

訪問の1カ月後、メキシコ政府はFBIに対し書面による質問リストを提出し、私たちに回答を求めてきたが、その多くはすでに記事の中で回答されているものだった。私たちの司法省への回答は、すでに発表した内容以上のものではなかった。

報道者に対する法的要求は珍しいことではない。メディア業界で働く上での職業病と考える人もいる。要求は脅しの形で行われることも多く、ほとんどの場合、ジャーナリストや報道機関に記事の撤回を迫り、場合によっては記事の公開前に中止させる。特にサイバーセキュリティを扱うジャーナリストは明るく元気な見出しではあまり知られておらず、企業や政府は自らのセキュリティ対策の不備を恥ずかしい見出しで報じられるのを避けようとするため、法的な脅迫を受ける傾向がある。

例えば、米国ミズーリ州のMike Parson（マイク・パーソン）知事とSt. Louis Post-Dispatch（セントルイス・ポスト・ディスパッチ）紙との間で最近起きた対立を見て欲しい。知事は、この新聞社の記者が州の教育局のウェブサイトに何千もの社会保障番号が掲載されているのを発見した後、違法なハッキングを行ったと訴えた。この記者は、社会保障番号が流出した3人に確認を取った上で、州にセキュリティの不備を速やかに報告し、データが削除されるまで記事の公開を保留していた。

パーソン知事は、この報道が州のハッキング法に違反しているとし、法執行機関と州検察官に同紙の調査を命じ「州に恥をかかせようとしている」と主張した。これに対し法律家や議員、さらにはパーソンの所属する政党のメンバーまでもが、倫理的にまったく問題のない行為であると認められた新聞社を非難した知事を嘲笑した。パーソンは、自身の政治活動委員会が費用を負担した動画の中でまたもや非難し、いくつかの誤った主張をした他、新聞社を「フェイクニュース」呼ばわりした。2021年11月初め、教育局は、最終的に62万人以上の州の教育者に影響を与えた過失について謝罪した。

違法性や不適切性の主張は、悪意のあるハッカーに悪用される前に流出した個人情報やセキュリティ上の欠陥を発見して公開するセキュリティ研究者に対して広く用いられる戦術だ。独立系ジャーナリストと同様に、セキュリティ研究者も単独で活動していることが多く、たとえ彼らの活動が完全に合法的であり、将来起こりうる最悪のセキュリティ事故を防ぐのに役立ったとしても、彼らは裁判の高額な訴訟費用を恐れて法的な脅しに応じるしかない。彼らに経験豊富で意欲的なメディア法務チームがついているとは限らない。

これまでにも不当な法的要求を断ったことはあったが、仕事をしているだけで連邦捜査官が玄関先にやってくるというのは、私にとっては初めての経験だ。違法行為があったとは聞いていないが、もし私がメキシコの地を踏んだ場合、メキシコがどのような見解を示すかわからないのは不安だ。

しかし、最もダメージが大きいのは、紙面に載らない法的な脅しや要求だ。法的な要求には本来、口封じの効果がある。時には成功することもある。ジャーナリズムにはリスクがつきものであり、報道局が常に勝つとは限らない。法的な脅しは、放置すると仕事をすることが法的に有害となるため、セキュリティ研究とジャーナリズムの両方に対する萎縮効果がある。これは、世界の情報量の減少、そして時には安全性の低下にもつながる。

［原文へ］

（文：Zack Whittaker、翻訳：Dragonfly）

イランに支援されたハッカーがランサムウェアでインフラ分野の組織を標的に、米政府が警告

米政府は、オーストラリア、英国の政府とともに、イランの支援を受けたハッカーが米国の重要インフラ分野の組織を標的にしており、一部のケースではランサムウェアを使用していると警告した。

イランとランサムウェアを結びつける珍しい警告は、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）、オーストラリア・サイバーセキュリティセンター（ACSC）、英国の国家サイバーセキュリティセンター（NCSC）が現地時間11月17日に発表した共同勧告に盛り込まれている。

この勧告によると、イランの支援を受けた攻撃者が、少なくとも3月以降Fortinetの脆弱性を、10月以降はMicrosoft Exchange ProxyShellの脆弱性を悪用して、米国の交通機関や公衆衛生分野の重要インフラ組織、およびオーストラリアの組織にアクセスしているという。ハッカーの目的は、最終的にこのアクセスを利用して、データ流出、恐喝、ランサムウェアの展開などの後続作業を行うことにある。

例えば、2021年5月、ハッカーはFortigateを悪用して、米国の地方自治体のドメインを管理するウェブサーバーにアクセスした。その翌月にCISAとFBIは、ハッカーがFortinetの脆弱性を悪用して、米国の小児医療専門病院のネットワークにアクセスしたことを確認している。

今回の共同勧告は、Microsoft（マイクロソフト）が発表したイランのAPTの進化に関する報告書と併せて発表された。イランのAPTは「資金を集めるため、あるいは標的を混乱させるためにランサムウェアをますます利用している」。報告書の中でMicrosoftは、2020年9月に始まった攻撃でランサムウェアを展開し、データを流出させている6つのイランの脅威グループを追跡している、と述べている。

同社は、Phosphorusと呼ぶ（APT35としても知られる）、特に「攻撃的」なグループを取り上げている。以前はスピアフィッシング電子メールを使って、2020年の米選挙の大統領候補者などを含む被害者を誘い出していたが、Microsoftによると、このグループは現在、ソーシャルエンジニアリング戦術を採用して被害者との信頼関係を構築してから、Windowsに組み込まれたフルディスク暗号化機能であるBitLockerを使ってファイルを暗号化しているとのことだ。

CISAとFBIは、イランの攻撃者がもたらす脅威を軽減するために、OSのアップデート、ネットワークセグメンテーションの実施、多要素認証と強力なパスワードの使用など、一連の行動をとるよう組織に呼びかけている。

画像クレジット：Scott Olson / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

「ランサムウェア犯は企業の非公開情報を脅迫に利用している」とFBIは警告

FBI（連邦捜査局）は、複数のランサムウェアグループが、被害者に身代金の支払いを強要する手段として、合併、買収などの「重大かつ一刻を争う財政的事象」に関わっている企業を標的にしていると警告した。

今週FBIは、民間企業向け勧告の中で「サイバー犯罪者はしばしば、

重大な財務事象に関わっている標的企業の非公開情報を見つけ出し、身代金要求に従わなければ情報を暴露すると脅す手口をとっています」と伝えた。

「初期の予備調査段階で、サイバー犯罪者は非公開情報の存在を特定し、それを公表するという脅迫に使ったり、被害者に身代金を支払わせるよう誘導するゆすりの材料にしようとしています。記者発表、合併、買収など被害者の株価に影響する差し迫った事象は、ランサムウェア犯がネットワークを標的にしたり脅迫のスケジュールを決めるきっかけになります」とFBIはいう。

「被害者がすぐに身代金を払わなければ、ランサムウェア犯はこの情報を公表すると脅し、従わなければ投資家の反感を買うことになります」。

FBIは、企業に支払いを強要するために、ランサムウェアグループが交渉進行中の合併や買収の情報を利用している事例をいくつか特定したと語った。

2020年、ランサムウェアグループ、REvilの長年のメンバーが、被害者に身代金支払いを強要するために、NASDAQ証券取引所を利用することを推奨した。数週間後、別のランサムウェアグループは、交渉の際に被害者の上場株式に言及した。同じ年、別のランサムウェア攻撃を解析した結果、ハッカーが被害者のネットワークで規制当局への財務提出資料や今後のプレスリリースに関連する非公開情報を探すために使ったキーワードをいくつか特定した、とFBIは語った。

2021年4月、ランサムウェアのDarkSide（ダークサイド、その後BlackMatter［ブラックマター］に改名が、証券トレーダーと協力して支払わなかった被害者を罰しようとしていることを公表した。現在は閉鎖されているブログに投稿したメッセージで、犯人はトレーダーらに対し、被害企業の内部情報を提供するので、データがリークしてニュースが公表される前に株式を空売りできる、と言って連絡をよこすよう促した。

「私たちのチームとパートナーは、NASDAQなどの証券取引所で取引している多くの企業のファイルを暗号化しています」とロシアのハッキンググループの投稿に書かれている。「もし企業が支払いを拒めば、我々は公開前に情報を提供するので、あなたは安く株を手に入れることができます」。

FBIは以前から、サイバー犯罪者の身代金要求に屈しないよう企業に要請してきた。ハッカーを「つけあがらせ」、新たな企業を標的にして別の犯罪行為の資金源にすることになるからだ。しかし同局は「企業が機能不全に直面した時、上層部は株主、社員、顧客を守るためにあらゆる選択肢を検討することを理解している」ことを付け加えた。

今回の警告に先立ち、わずか数週間前にFBIは（CISA［サイバーセキュリティ・インフラストラクチャセキュリティ庁］、NSA［国家安全保障局］とともに）上述したランサムウェアグループ、BlackMatterが米国の食品農業分野に関わる2つの組織を含む、重要インフラストラクチャーとされる「複数の」組織を標的にしていたことを発表している。

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Carly Page、翻訳：Nob Takahashi / facebook ）

ランサムウェアBlackMatterのグループが米国食品業界を標的にしているとNSA、FBI、CISAが注意喚起

CISA（サイバーセキュリティ・インフラストラクチャセキュリティ庁）、FBI（米連邦捜査局）、NSA（米国家安全保障局）は共同で勧告を発表し、ランサムウェア「BlackMatter」のグループが米国の食品・農業分野の2つの組織を含む、重要インフラとみなされる「複数」の組織を標的にしていると警告した。

当局は被害者の名前を明らかにしなかったが、アイオワ州に本拠地を置く農業サービスプロバイダーのIowa New Cooperativeは9月にランサムウェア攻撃を受け、ハッカーからシステム解除と引き換えに590万ドル（約6億7600万円）を要求された。この攻撃に続いて、ミネソタ州に本社を置く農場供給・穀物販売協同組合であるCrystal Valleyにも同様に攻撃を受けた。

今回の勧告では、BlackMatterの脅威の概要、その戦術（バックアップデータの保存先やアプライアンスの暗号化ではなくワイピングなど）、検知シグネチャ、緩和策のベストプラクティスなどが紹介されている。また、BlackMatterは、Colonial Pipeline（コロニアル・パイプライン）への攻撃の背後にあったとFBIが発表した、今はなきランサムウェア「DarkSide」が「再ブランド化した可能性」があるとの見方も広がっている。

BlackMatterは、ランサムウェア・アズ・ア・サービス（RaaS）を提供している。他のグループがそのインフラを借りることができ、被害者が身代金を支払えば、そこから上前をはねる。勧告では、BlackMatterの身代金要求額は、暗号資産（暗号資産）で8万〜1500万ドル（約916万〜17億円）だと指摘している。

当局はまた、特に重要インフラに属する組織に対し、サイバーセキュリティの防御を強化し、強力なパスワードや多要素認証の使用など、セキュリティのベストプラクティスに従うよう促している。加えて、すべてのOSを最新の状態に保ち、ホストベースのファイアウォールを使用し、すべてのバックアップデータを確実に暗号化することを推奨している。

ランサムウェアの攻撃を受けた組織は直ちに報告し、ハッカーからの身代金の要求を拒否することも勧告している。

「身代金を支払うことで、敵対者がさらに別の組織を標的としたり、他の犯罪者がランサムウェアの配布に関与するようになったり、あるいは違法活動の資金源となったりする可能性があります」と3機関は警告している。「身代金を支払っても、被害者のファイルが復元される保証はありません」。

BlackMatterは、日本のテクノロジー大企業のOlympus（オリンパス）も攻撃しており、同社のヨーロッパ、中東、アフリカのネットワークが停止する事態となった。

画像クレジット：Joe Raedle / Getty Images

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

「黒人のハーバード」と呼ばれる名門ハワード大学がランサムウェア攻撃を受け授業を中止

教育機関を狙うランサムウェア攻撃が活発化している中、最新の被害者となったワシントンD.C.のハワード大学（Howard University）は、米国時間9月7日の授業を中止すると発表した。ハワード大は、カマラ・ハリス米副大統領の母校として知られる全米屈指の名門黒人大学だ。

今回のインシデントは、学生がキャンパスに戻ってきてから数週間後の米国時間9月3日に、同大学のエンタープライズ・テクノロジー・サービス（ETS）が同大学のネットワーク上で「異常なアクティビティ」を検知し、調査のために意図的にシャットダウンした際に発覚した。

「調査と現在までに得られた情報に基づき、本学がランサムウェアによるサイバー攻撃を受けたことが判明しました」と大学側は声明を発表した。攻撃の背後に誰がいるのか、身代金がいくら要求されたのかなど、詳細は明らかにされていないが、これまでのところ、9500人の学部生・大学院生の個人情報への不正アクセスや流出を示唆する証拠はないとしている。

「しかし、我々の調査は継続しており、何が起こったのか、どのような情報がアクセスされたのか、事実を明らかにするために努力を続けています」と声明は述べている。

ハワード大学は、ITチームがランサムウェア攻撃の影響を十分に評価できるようにするため、9月7日の授業を中止し、不可欠なスタッフ以外キャンパスを立ち入り禁止にしている。また、調査中はキャンパス内のWi-Fiも停止するが、クラウドベースのソフトウェアは引き続き利用可能だという。

「これは非常に変動的な状況であり、すべてのセンシティブな個人データ、研究データ、臨床データを保護することが我々の最優先事項です」と大学側は述べている。「我々は、FBIおよびワシントンD.C.市政府と連絡を取り合い、犯罪による暗号化から大学とみなさんの個人データをさらに保護するために、追加の安全対策を導入しています」とも。

しかし大学側は、その改善策は「一晩で解決できるものではなく、長い道のりになるだろう」と警告している。

ハワード大学は、パンデミックが始まって以来、ランサムウェアの被害に遭った多くの教育機関の中で最新の犠牲者だ。FBIのサイバー部門は最近、この種の攻撃を仕掛けるサイバー犯罪者は、遠隔教育への移行が広まっていることから、学校や大学を重点的に狙っていると警告している。2020年、カリフォルニア州立大学では、医学部のサーバー内のデータを暗号化したNetWalkerハッカーグループに114万ドル（約1億2600万円）を支払い、ユタ大学では、ネットワーク攻撃で盗まれたデータの流出を防ぐため、ハッカーに45万7000ドル（約5000万円）を支払っている。

Emsisoftの脅威アナリストであるBrett Callow（ブレット・キャロウ）氏が先月発表したところによると、ランサムウェア攻撃により、2021年にはこれまでに830の個別の学校を含む58の米国の教育機関や学区が授業の中断を強いられたとのこと。Emsisoftは、2020年には84件のインシデントが1681の個別の学校、短大、大学での学習を中断させたと推定している。

キャロウ氏は7日に「今後数週間で、教育分野のインシデントが大幅に増加すると思われる」とツイートした。

関連記事：ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

画像クレジット：Howard University

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

中国当局が米国在住のウイグル人をハッキングしているとFBIが警告、一般にも捜査協力求める

FBIは、中国政府が直接訪問とデジタル戦略両方の手法を使って、米国在住のウイグル人イスラム教徒を脅迫し、口を封じ、嫌がらせ行為を行っていると警告を発している。

中国政府は、中国の新疆ウイグル自治区に住むウイグル人やその他の主にイスラム教徒の民族に対する扱いについて、長年にわたり人権侵害を指摘されてきた。国連の人権委員会によると、これまで100万人以上のウイグル人が収容所に拘留されており、その他多くのウイグル人が国家に支援されたサイバー攻撃によって標的にされ、ハッキングされているという。中国はこの主張を繰り返し否定している。

関連記事：iPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑い

ここ数カ月、中国政府は、米国をはじめとする西側民主主義諸国に拠点を置く海外の政府批判者を封じ込めるための活動をますます積極的に行っている。これらの取り組みが、FBIの目に留まった。

FBIは非機密の公報の中で、中国政府関係者が「transnational repression（トランスナショナルリプレッション、国境を越えた抑圧）」を行っていると警告している。これは、外国政府が国境を越えて、物理的、デジタル的な手段でディアスポラや亡命コミュニティのメンバーを脅したり、口止めすることを指す言葉だ。米国在住のウイグル人をはじめ、チベット人、法輪功修練者、台湾・香港の活動家など、中国人難民や反体制派の人々に中国政府への服従を強要しようとしているという。

「従わなかった場合の脅しとしては、米国在住者の家族や友人の中国国内での拘束、中国国内の資産の差し押さえ、継続的なデジタルおよび対面での嫌がらせ、中国政府による強制送還の試み、コンピュータのハッキングやデジタル攻撃、オンラインID乗っ取りなどが日常的に行われています」とFBIは警告している。

この公報は、ビデオサーベイランスニュースサイト「IPVM」が報じた。

FBIは、米国在住の個人がハラスメントに直面している4つの事例を取り上げた。2021年6月の1件では、中国政府は、米国政府が出資するニュースサービス「Radio Free Asia」で中国とウイグル人への抑圧について報道を続けたことへの報復として、米国在住のウイグル人ジャーナリスト6人の家族数十人を拘禁した。公報によると、2019年から2021年3月にかけて、中国当局はWeChat（ウィーチャット）を使って米国在住のウイグル人に電話したりメールを送り、ウイグル人の虐待について公に議論することを禁じたという。この人物の家族複数人はその後、新疆ウイグル自治区の収容所に拘束された。

「中国政府は、米国政府が2020年、新疆における中国の人権と民主主義の侵害に対抗するため、中国政府関係者を制裁し、公的・外交的なメッセージを増やしたにもかかわらず、このような活動を続けています」とFBIは述べている。「このような国境を越えた抑圧活動は、米国の法律や個人の権利を侵害するものです」とも。

FBIは、米国の法執行機関職員および一般市民に対し、中国政府による嫌がらせの疑いがある事件を報告するよう求めている。

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

Palantirの不具合により一部FBI職員が暗号ハッカーの個人データに不正アクセスしていた疑い

PayPal（ペイパル）の創業者であるPeter Thiel（ピーター・ティール）氏が設立したAI企業Palantir（パランティア）は、CIAや米移民・関税執行局（ICE）などを顧客に持っているが、宜しくない理由で再び注目を浴びている。新たな報道によると、FBIが使用している同社の極秘ソフトウェアプログラムに不具合があり、権限を持たないスタッフが1年以上にわたって個人データにアクセスできたとのこと。ニューヨーク・ポスト紙によると、この不具合は、ハッカーとして告発されたVirgil Griffith（ヴァージル・グリフィス）容疑者に対するマンハッタン連邦裁判所の裁判で、検察官が書簡の中で明らかにしたもの。Palantirは声明の中でこの主張を否定し、障害はFBIがソフトウェアを誤って使用したことが原因だと述べている。

グリフィス容疑者は、暗号資産やブロックチェーン技術が米国の制裁を逃れるのに役立つという情報を北朝鮮に提供した疑いで、2019年に逮捕された。問題となっている事件は、当局が2020年3月に連邦政府の捜査令状によって入手した、ハッカーである容疑者のソーシャルメディアデータにまつわるものだ。書簡によると、Twitter（ツイッター）とFacebook（フェイスブック）の情報は、デフォルト設定でPalantirのプログラムにアップロードされており、事実上、権限を持たないFBI職員がアクセスできるようになっていた。

2020年5月から2021年8月までの間に、3人のアナリストと1人の捜査官が4回、この資料にアクセスしていた。書簡によれば、グリフィス容疑者の事件を担当するFBI捜査官は、2021年8月初めに同僚からこの問題を指摘されたという。情報にアクセスしたスタッフは、自分たちの捜査に使った覚えはないと検察官に語ったという。

書簡には「FBIのアナリストが、別の捜査を行う過程で、令状執行報告にアクセスするプラットフォームでの検索により、被告人とその別の捜査対象者との間のコミュニケーションを特定した」と記されている。

Palantirは、この問題から距離を置こうとしている。「当社のソフトウェアに不具合はありませんでした」とニューヨークポスト紙に声明を出し「顧客」が「令状執行報告を保護するために確立された厳格なプロトコル」に従わなかったためだ、と付け加えた。

成長を続けているPalantirにとって、ソフトウェアの欠陥による大きなPR危機は最も避けたいことだ。2020年秋に株式を公開して以来、同社の収益は急増しているが、運営上の損失も増加している。Palantirの顧客は現在、政府機関、IBMなどの重鎮テック企業、さらには鉱業グループのRio Tinto（リオ・ティント）にまで及んでいる。さらに同社は、商業宇宙企業と協力して237個の衛星からなるメタコンステレーションを管理している。

編集部注：本稿の初出はEngadget。著者Saqib Shah（サキブ・シャー）氏は、Engadgetの寄稿ライター。

［原文へ］

（文：Saqib Shah、翻訳：Aya Nakazato）

FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行

ヒューストンの裁判所は、米国内にある数百のMicrosoft Exchange（マイクロソフト・エクスチェンジ）メールサーバーのバックドアの「コピーと削除」を行うというFBIの作戦に許可を与えた。数カ月前、そのサーバーの4つの未発見の脆弱性を突いたハッカー集団が、数千ものネットワークに攻撃を加えている。

米国時間4月13日、米司法省はこの作戦を公表し「成功した」と伝えた。

2021年3月、Microsoftは、新たな中国の国家支援型ハッカー集団Hafnium（ハフニウム）が、企業ネットワークが運用するExchangeメールサーバーを狙っていることを発見した。4つの脆弱性を連結すると、脆弱なExchangeサーバーへの侵入が可能となり、コンテンツが盗み出せるようになる。Microsoftはその脆弱性を修復したが、パッチではサーバーのバックドアを塞ぐことはできず、もうすでに突破されている。その数日後には、他のハッカー集団が同じ欠陥のある脆弱なサーバーへの攻撃を開始し、ランサムウェアがばら撒かれてしまった。

感染したサーバーの数は、パッチの適用により減少した。しかし、数百ものExchangeサーバーは脆弱なまま残されている。バックドアは見つけにくく、取り去るのも困難だからだと、司法省は声明で述べてる。

「この作戦では、米国のネットワークへの不正アクセスを継続できるよう、1つのハッカー集団が残していった、維持管理と持続性の強化のためのウェブシェルを排除しました」と声明は記している。「FBIは、ウェブシェルを通じてウェブシェルのみ（一意のファイルパスから識別）を消し去るよう指示するコマンドをサーバーに送り、削除を実行しました」。

FBIによれば、それはバックドアを削除したサーバーからオーナーに、通知メールの送信を試みるという。

John C. Demers（ジョン・C・デマーズ）次官補は、この作戦は「破壊的なハッキング行為に対して、司法省は、起訴だけでなく、あらゆる手段を持ちいて関与する旨を示すもの」だと話している。

司法省はまた、この作戦ではバックドアの削除のみを行ったが、そもそもハッカーが悪用した脆弱性にパッチを当てるものでも、中に残されたマルウェアを排除するものでもないと言っている。

FBIがサイバー攻撃を受けた民間のネットワークを実際にクリーンアップしたのは、これが最初だと思われる。2016年、最高裁判所は、米国の判事が管轄区外での捜査および押収の令状発行を可能にする提案を行った。当時、批評家たちはこの提案に反対だった。FBIが仲のいい裁判所に頼めば、世界中どこでもサイバー作戦が合法的に行えるようになってしまうのを恐れてのことだ。

フランスなど他の国では、同様の権限を行使してボットネットを乗っ取り、遠隔で破壊したことがある。

FBIも司法省も、本稿の公開までにはコメントの要求に応じていない。

カテゴリー：セキュリティ

タグ：FBI、米国、ハッキング、Microsoft

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：金井哲夫）