ウクライナ政府が、ITシステムやウェブサイト改ざんを狙った破壊的なマルウェア攻撃に見舞われていることなどを受け、米国政府は組織に「今すぐ」防御を強化するよう呼びかけた。
米サイバーセキュリティ・インフラセキュリティ庁(CISA)は、重要インフラの事業者だけでなく、米国すべての組織を対象に、「CISA Insights」を新たに公開している。この中で、ウクライナのシステムやウェブサイトがサイバー攻撃を受けたことなどから、組織が重大なサイバーリスクを認識し、速やかに対策を講じて、破壊的な侵害に遭遇した場合の影響を軽減できるよう、セキュリティのチェックリストを提示した。ウクライナの関係当局は、ロシアの情報機関とつながりのあるハッカーがサイバー攻撃を仕掛けた可能性があるとして非難している。
Ukraineの関係当局はメディアに対し、現地時間1月14日に発生した攻撃で、少なくとも2つの政府機関で多数のシステムが使用不能になったと述べた。
今回の破壊的なマルウェア攻撃は、ランサムウェア「NotPetya」を用いた2017年の攻撃を彷彿とさせる。NotPetyaは実質的に、回復のメカニズムを持たないランサムウェアだった。実際のターゲットはウクライナの企業であったと考えられているが、海運大手のMaerskを筆頭に、複数のグローバル企業が被害に遭った。Maerskはサーバー4000台、PC4万5000台で再インストールする必要があった。NotPetyaの被害者の多くは、ハッキングされたウクライナの会計ソフトの更新機能を通じて感染したとみられている。
CISA Insightsは、「過去にも、NotPetyaや『WannaCry』といった同様のマルウェアが、重要インフラに深刻で広範な被害を与えているため、この破壊的なマルウェアが確認されたことは極めて憂慮すべき事態だ」と指摘している。
CISAは、ウクライナに対するサイバー攻撃が確認される以前にも、米国の重要インフラ事業者を対象に、アドバイザリーを公開している。ロシアの国家が関与するハッカーが最近用いている戦術や手法に加え、VPNや「Microsoft Exchange」、VMware、Oracleのソフトウェアなどのエンタープライズシステムに対する攻撃の詳細を提供した。また、米国とウクライナの運用技術(OT)や産業制御システム(ICS)のネットワークを狙った破壊的攻撃にも触れている。
CISAは、新たに公開した文書が、「米国のあらゆる組織の上級管理職に、重要なサイバーリスクを認識するように促すためのもので、深刻な被害を及ぼす攻撃の可能性と、その影響を低減するために、至急短期的な措置を講じる必要がある」と強調した。また、「ウクライナの組織と業務を行っている場合は、そうした組織からのトラフィックを注意深く監視、検査、隔離して、そのトラフィックに対するアクセス制御を慎重に検討すべきだ」としている。
CISAは、組織のネットワークへのすべてのリモートアクセスを確認し、特権アクセスと管理者アクセスに多要素認証を求めるよう推奨している。このほか、利用可能なアップデートでシステムにパッチを適用すること、必須ではないポートとプロトコルの無効化、使用しているクラウドサービスの見直しとCISAのガイダンスで説明されている強力な制御の導入、脆弱性スキャンの実施などをチェック項目として挙げている。
またCISAは、侵入発生時に対応できるよう、危機対応チームの編成、対応策の策定、キーパーソンの指名、インシデントレスポンスの演習などを推奨している。
さらに、破壊的なサイバーインシデントへのレジリエンスを向上するため、バックアップ手順をテストし、バックアップをネットワーク接続から隔離することや、重要データを迅速に復元できるようにすることを推奨している。また、ICSシステムやOTシステムを持つ組織は、ネットワークが停止しても、重要な機能が動作可能であることを確認すべきだとしている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
