英国の国家サイバーセキュリティセンター(NCSC)は、オーストラリア、カナダ、ニュージーランド、米国のファイブ・アイズの同盟国とともに、国家重要インフラ(CNI)の運営者に緊急警告を発し、国家サイバーセキュリティセンター(NCSC)がどのようにサイバーセキュリティを強化するかについて新たな詳細を共有した。支援を受けた攻撃者は、その土地から離れた場所で生活するテクニックを使用してネットワーク上に留まります。
Living-off-the-land とは、通常は眉をひそめることのない自然に発生するトラフィックに溶け込むために、ユーザーの IT システム上の既存の正当なツールを悪用することを指します。 これらのツールまたはバイナリ (LOLbin とも呼ばれます) を悪用することで、悪意のある攻撃者は比較的簡単にセキュリティ防御やチームをすり抜け、給与管理者のサービスのために個別に動作することができます。
NCSCは、最も成熟したサイバーセキュリティ技術を備えた組織であっても、地上からの攻撃を簡単に発見できない可能性があると述べ、そのような活動が英国のCNIにとって明らかな脅威となる可能性が「高い」と評価した。 そのため、エネルギー供給会社、水道会社、通信事業者などのすべての CNI 事業者に対し、侵害の検出と脆弱性の軽減に役立つ一連の推奨措置に従うよう求めています。
特に、中国とロシアのハッカーが、侵害された CNI ネットワーク上で陸上に生息していることが観察されていると警告しました。この技術の顕著な代表者の 1 つは、Sandworm として知られる GRU 支援の高度持続的脅威 (APT) 攻撃者です。 LOLはウクライナの標的を攻撃するために広範囲に活動している。
NCSCの運営ディレクター、ポール・チチェスター氏は「英国の重要インフラの運営者は、サイバー攻撃者が高度な技術を使って被害者のシステムに隠れているという警告に留意することが極めて重要だ」と述べた。
「攻撃者が検出されずに活動を続けることは、重要なサービスの提供に対して永続的で潜在的に非常に深刻な脅威をもたらします。 組織は、ネットワーク上で見つかった悪意のあるアクティビティを探し出し、軽減するために、最新のガイダンスに記載されている保護を適用する必要があります。」
オリバー・ダウデン副首相は、「最前線のオンライン化が進むこの新たな危険で不安定な世界において、私たちはシステムを保護し、将来も保証しなければなりません」と付け加えた。 「今週初め、私は英国経済全体の信頼と回復力を構築し、成長を解き放つための手段としてサイバーセキュリティを検討する独立したレビューを発表しました。
「英国全土の重要インフラの回復力を高めることで、私たちに危害を加えるサイバー攻撃者から身を守ることができる」と同氏は付け加えた。
守備側の優先行動
CNI 事業者にとって、標準的なベスト プラクティスの一環として、サイバー セキュリティ体制に対して多層防御のアプローチを採用することが不可欠ですが、新たに公開されたガイダンスでは、次のような優先推奨事項の概要が示されています。
- セキュリティ チームはロギングを実装し、帯域外の一元的な場所にログを集約する必要があります。
- ユーザー、ネットワーク、アプリケーションのアクティビティのベースラインを確立し、アクティビティ ログを継続的に確認および比較するための自動化を実装する必要があります。
- 警報音を減らす必要があります。
- アプリケーションの許可リストを実装する必要があります。
- ネットワークのセグメンテーションと監視を強化する必要があります。
- 認証制御を実装する必要があります。
- ユーザーおよびエンティティの行動分析 (UEBA) を活用するよう努めるべきです。
これらおよびその他の推奨事項の詳細は米国当局によって公開されており、サイバーセキュリティ・インフラセキュリティ庁 (CISA) の Web サイトで読むことができます。
LogRhythm カスタマー ソリューション エンジニアのガブリエル ヘンペル氏は次のように述べています。「重要なインフラストラクチャ システムは非常に複雑で相互接続されているため、攻撃から保護することが難しいだけでなく、システムが持つ可能性のある脆弱性を理解し、軽減するには専門知識が必要です。
「多くの場合、重要なインフラストラクチャ組織にはリソースの制約があるため、人員と財務の両方の観点からセキュリティ対策を実装および維持することが困難になります。」
CNIへの攻撃から生じるコストは、インシデント対応、システムの復旧と交換にかかる初期費用、その後に発生する可能性のある規制上の罰金や訴訟費用など、多段階になる可能性が高いとヘンペル氏は述べた。 しかし、これに続いて、さまざまなシステムを通じてサプライチェーンの激しい混乱が連鎖的に起こり、最終的には消費者のコストを押し上げる可能性があります。
「この共同警告は、同じサイバー脅威が世界中に影響を与えているという憂慮すべき事実を浮き彫りにしている」とヘンペル氏は付け加えた。
「情報とインテリジェンスのリアルタイム共有、共同研究イニシアチブ、サイバーセキュリティの統一規格とフレームワークの開発など、国際協力を強化する機会は数多くあります。
「しかし、重要なインフラストラクチャーに対する脆弱性や攻撃に全体的に真に対処するには、国内だけでなく地球規模で官民パートナーシップを発展させることの重要性を強調することも重要です。 これらの攻撃は同時に地理的に世界中に広がり、官民の組織にまで及ぶため、これらの面全体にも対処する必要がある」と彼女は述べた。
ボルトタイフーンが吹き込む
同時に、ファイブ・アイズの各エージェンシーは、2023 年 5 月にマイクロソフトを通じて初めて注目された、ボルト タイフーンとして知られる中国の APT の詳細を共有する別の勧告も発表しました。
Volt タイフーンも LOLbin を積極的に悪用しており、特に米国の CNI システムを侵害するために広範囲に使用されています。 つい先週、米国当局はボルト・タイフーン作戦を中断し、数百台の脆弱なCiscoおよびNetgearルータをハイジャックし、CNIオペレータへの後続攻撃を難読化するために使用されるボットネットを作成した。
CISAは、ボルト・タイフーンが通信、エネルギー、運輸、水道分野の米国CNI事業者のネットワークに侵入したことを確認したと発表した。
同庁は、APTの標的と行動パターンは次のとおりであると警告した。 ない これは中国の伝統的なサイバースパイ活動と一致しており、知的財産 (IP) の盗難に焦点を当てる傾向があります。
そのため、ボルト・タイフーンは、特に台湾をめぐる地政学的な緊張が紛争にエスカレートした場合に妨害できる運用技術(OT)資産への横方向の移動を可能にするために、事前に位置を決めていると高い自信を持って評価している。
「PRC(中華人民共和国)のサイバー脅威は理論上のものではありません。政府や業界パートナーからの情報を活用し、CISAチームは複数のセクターにわたる重要インフラへのボルト・タイフーンの侵入を発見し、根絶しました。 そして、我々がこれまでに発見したことはおそらく氷山の一角だ」とCISA長官のジェン・イースタリー氏は語った。
「本日の共同勧告およびガイドは、業界、連邦、および国際パートナーとの効果的かつ継続的な運用協力の成果であり、すべての利害関係者にタイムリーで実用的なガイダンスを提供するという当社の継続的な取り組みを反映しています。 私たちは国家安全保障にとって重大な岐路に立っています。 私たちはすべての重要インフラ組織に対し、これらの勧告の措置を検討して実行し、ボルト・タイフーンや陸上での活動の疑いがある場合は CISA または FBI に報告することを強く推奨します。」