-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
オリンピック始まる、セキュリティ対策もお忘れなく
東京オリンピック・パラリンピックが始まりましたね。
ビッグイベントにはサイバーリスクが付きもの、といったことがよく言われます。
実際、過去のオリンピック(平昌、リオデジャネイロ、ソチ、ロンドン)ではサイバー攻撃が発生しています。
参考:
【Flashpoint】(英語サイト)
Tokyo Olympics 2020: Tracking the Cyber Threat Landscape
http://www.flashpoint-intel.com/blog/tokyo-olympics-2020-cyber-threat-landscape/(外部リンク)
というわけで、オリンピック期間中の今、もう一度セキュリティ対策を見直してみませんか?
開催直前、FBIがサイバー攻撃への警戒を促す
米国のFBI(連邦捜査局)は、オリンピック開催直前の7月19日付でサイバー攻撃への注意喚起を発表していました。
【FBI】
Private Industry Notification : Potential for Malicious Cyber Activities to Disrupt the 2020 Tokyo Summer Olympics
(19 July 2021)
発表では「これまでのところ具体的なサイバー脅威を認識していない」とされていますが、
今回のオリンピックにどのようなサイバーリスクがあるか、対策として何をすべきかが簡潔にまとめられており、
せっかくなので全文を翻訳してみました。
以下、翻訳です。
(注)以下、見出しの文章と文中の太字は、訳者が見やすさを向上させる意図で付したものです。
目次
東京オリンピックのサイバーリスク
東京2020夏季オリンピック大会が有害なサイバー活動によって妨害される可能性について
要旨
FBIは、東京2020夏季オリンピック大会 [原文:Tokyo 2020 Summer Olympics] の関係機関等に対し、同大会を妨害したいサイバーアクターたちが、分散型サービス拒否(DDoS)攻撃、ランサムウェア、ソーシャル・エンジニアリング、フィッシング、インサイダー脅威を利用して、中継放送を妨害したり、慎重に扱うべきデータを窃取した上で、場合によっては漏洩させ、もしくは脅迫の材料にしたり、オリンピックを支える公開または非公開のデジタル・インフラストラクチャに影響を与えたりする恐れがあると、注意喚起を行っています。悪意のある活動により、メディア放送を取り巻く環境、ホスピタリティ、運輸、チケットの発券、警備など、複数の機能に混乱が生じる恐れがあります。FBIはこれまでのところ、今回のオリンピックに対する具体的なサイバー脅威を認識しておりませんが、パートナーに対し、引き続きの警戒と、ネットワークおよびデジタル環境におけるベストプラクティスの継続を推奨しております。
フィッシング、「獲得済みの」アクセスも利用か
脅威の概観
大規模な、注目度の高いイベントは、犯罪者および国家型サイバーアクターにとっては、金銭を得、混乱を引き起こし、自らの悪評をとどろかせ、敵の信用を傷つけ、イデオロギー的な目的を宣伝する機会となります。東京2020夏季オリンピック大会では、会場での観戦が禁止されたことで、オリンピック史上初めて放送およびデジタル・プラットフォームを通じてのみ観戦されることになります。このことから同大会は、上記のアクターたちの関心をより一層集める可能性があります。敵対者たちは、同大会開催に先立ってソーシャル・エンジニアリングやフィッシングを利用することでアクセスを獲得する、もしくは、すでに獲得済みのアクセスを利用してマルウェアを埋め込み、影響を受けるネットワークを大会期間中に崩壊させる可能性があります。ソーシャル・エンジニアリングとフィッシングは依然として、上記のような攻撃を実行するために必要なアクセスを、敵対者たちに与えているのです。
平昌オリンピックの開会式で発生した攻撃
例えばFBIは、2018年の平昌冬季オリンピック大会を支えたコンピューターに侵入した罪で、ロシアのサイバーアクターを告発しました。この侵入は、2018年2月9日の開会式に対する破壊的なサイバー攻撃につながりました。同アクターは大会前、韓国の一般市民および政府関係者や、オリンピックの選手、パートナー、観客、およびオリンピック委員会の関係者を、スピアフィッシングと有害モバイルアプリの標的にしていました。このロシアのアクターは、マルウェアの真の出所を曖昧にするために北朝鮮のグループが使用するコードを模倣し、犯人誤認の余地を残していました。
標的は「メディア、ホテル、公共交通、チケット発行」など
サイバーアクターは、ランサムウェア、もしくはインターネット上で購入可能なその他の有害ツールおよびサービスを利用して、インターネットサービスプロバイダーおよび/もしくはテレビ放送局に対するDDoS攻撃を実行し、オリンピック期間中のサービスを中断させる恐れがあります。また、ホテル、公共交通機関、チケット発行サービス、イベントセキュリティ関連インフラ、これに類するオリンピックを支える機能に関連するネットワークも、同様にアクターの標的となる可能性があります。
富士通の不正アクセスにも言及
犯罪者または国家型アクター(動機は異なる)は、さまざまなオリンピックもしくはオリンピック支援組織から盗んだ慎重に扱うべきデータを、不正に取得した上で漏洩させる、あるいは、身代金要求の材料とする恐れがあります。2021年5月下旬には、日本のIT機器・サービス企業である富士通が、東京オリンピック・パラリンピック競技大会組織委員会と国土交通省を含む、同社の法人顧客および政府顧客の一部が保有するデータに被害を与える、不正アクセス事案を公表しています。
対策は?
推奨される事項
FBIは、サービスプロバイダーやその他の関連パートナーに対し、重要なサービスの中断を最小限に抑えるための事業継続計画を整えることと、継続性や能力ギャップをあらかじめ評価しておくことを推奨しています。また、リモートワーク環境の拡大や仮想プライベートネットワーク(VPN)サービスの利用増加を考慮し、FBIはネットワークを定期的に監視することと、ベストプラクティスを採用することを推奨しています。また、悪質なサイバーアクターによる脅威に対処するために、セキュリティポリシー、ユーザー同意書、パッチ適用計画を見直す、もしくは確立することも提案しています。
ネットワークに関するベストプラクティス
・メーカーのアップデートが利用可能になり次第、速やかにオペレーティングシステム、ソフトウェア、ファームウェアのパッチ適用、アップデートを行う。
・ネットワークシステムとアカウントのパスワードを定期的に変更し、複数のアカウントでパスワードを使い回ししない。
・可能であれば多要素認証を利用する。
・リモートアクセス/リモートデスクトッププロトコル(RDP)のログを監視し、使用されていないリモートアクセス/RDPポートを無効にする。
・定着したセキュリティポリシーに従って既知かつ許可されたプログラムの実行のみをシステムに許可する、アプリケーションおよびリモートアクセスのリスティングポリシーを実施する。
・管理者ユーザーアカウントを定期的に監査するとともに、最小権限の原則に基づいてアクセス管理を設定する。
・ログを定期的に監査し、新規のアカウントが正規のユーザーであることを確認する。
・ネットワーク上でオープンポート、リスニングポートをスキャンし、不要なポートをミディエイトする。
・重要資産のオフラインバックアップの割り出し、および作成を行う。
・ネットワークのセグメンテーションを実施する。
・アンチウイルスおよびアンチマルウェアのソリューションを自動的に更新するとともに、ウイルスとマルウェアのスキャンを定期的に行う。
リモートワーク環境に関するベストプラクティス
新型コロナウイルスの影響で、リモートワーク環境が拡大し、仮想プライベートネットワーク(VPN)サービスの利用が増加していることから、FBIはこうしたネットワークを定期的に監視すること、ベストプラクティスを採用することを推奨しています。
・VPN、ネットワークインフラデバイス、および、リモートワーク環境で使用されているデバイスを、最新のソフトウェアパッチとセキュリティ設定を用いて定期的にアップデートする。
・可能であれば、全てのVPN接続に多要素認証を導入する。物理的なセキュリティトークンは多要素認証の形式として最も安全であり、次に安全なものが認証アプリケーション。多要素認証が利用できない場合は、リモートワークを行う従業員に対して強力なパスワードの使用を義務付ける。
・ネットワークトラフィックを監視し、承認されていないプロトコルや予期しないプロトコルがないか確認する。
・攻撃者の侵入口として使用される可能性のある、使われていないVPNサーバーを停止し、潜在的な攻撃対象領域(attack surface)を減らす。
ランサムウェアに関するベストプラクティス
FBIは身代金を支払うことを推奨していません。身代金の支払いは、ファイルの復旧を保証するものではありません。支払うことで、悪意のあるサイバー犯罪者がつげあがって新たな組織を狙うようになる、他の犯罪アクターがマルウェアの配信に手を染める誘因ができる、不正な活動に資金が提供されてしまう、という恐れがあります。身代金が支払われたかどうかに関わらず、FBIは、ランサムウェアのインシデントをFBI支部に報告すること、もしくは、FBIのインターネット犯罪苦情センター(IC3)にIC3.govを通じて報告書を提出することを推奨しています。上記のネットワークに関するベストプラクティスに加え、FBIは以下のことも推奨しています。
・オフラインの暗号化されたデータバックアップを維持する。これらのバックアップを定期的にテストし、最新の状態に保つ。
・基本的なサイバーインシデント対応計画(ランサムウェアインシデント時の対応と通知の手順、および、重要なシステムに一定期間アクセスできなくなった場合のための計画を含む)を作成、維持、実施する。
ユーザーの意識に関するベストプラクティス
・エンドユーザーに知識とトレーニングを提供する。標的を絞ったソーシャル・エンジニアリング、ランサムウェア、フィッシング詐欺などを防ぐため、潜在的なサイバー脅威とその手口について、従業員や利害関係者に知ってもらう。また、情報セキュリティの原則と技術に関するトレーニングをユーザーに提供する。
・報告手順について従業員が知ってもらう。不審な活動を目にしたり、サイバー攻撃を疑ったりした場合に何をすべきか、誰に連絡すべきかを従業員が認識している状態を確保することで、脅威の特定と緩和戦略の採用を迅速かつ効率的なものにする。
最後に…
以上、FBIの注意喚起についてご紹介しました。
なお、マキナレコードでは、平日毎日、海外のサイバーニュースのダイジェストを更新・公開しています。
よろしければ、こちらもご覧ください。
Cyber Alert【平日毎日更新】
https://codebook.machinarecord.com/category/cyber-alert/
Weekly Cyber Digest【毎週金曜更新(平日のみ)】
https://codebook.machinarecord.com/category/weekly-cyber-digest/
Analyst’s Choice【毎月1回更新】
:弊社インテリジェンスアナリストによる脅威分析
https://codebook.machinarecord.com/category/analysts-choice/
