機密情報共有の枠組み、いわゆる「Five Eyes」(ファイブアイズ)参加国の8つの情報機関が、共同でサイバーセキュリティ勧告(CSA)を発表している。ロシアのウクライナ侵攻が地政学的な安定性に影響を及ぼしており、より悪質なサイバー攻撃が仕掛けられる可能性があるという。
提供:Shutterstock
3月にJoe Biden米大統領が述べていたように、「進展するインテリジェンスから、ロシア政府がサイバー攻撃のオプションを探っていることが分かる」とされている。
この勧告は、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランドサイバーセキュリティセンター(NCSC)、英国家サイバーセキュリティセンター(NCSC)、英国家犯罪対策庁(NCA)が共同で発表したものだ。
CSAによると、ウクライナ侵攻を進めるロシア政府への支持を公言するサイバー犯罪グループが存在し、これらのグループは、ロシア政府やロシア国民に対するサイバー攻撃が認識された場合、報復としてサイバー作戦を実施すると脅しているという。
ウクライナに物資支援を行っている国や組織に対してサイバー攻撃を仕掛けると脅迫するグループや、ウクライナのウェブサイトに破壊的な攻撃を仕掛けたグループもある。
ロシアと協調し、重要インフラ組織を脅かすサイバー犯罪グループとして、The CoomingProject、Killnet、Mummy Spider、Salty Spider、Scully Spider、Smokey Spider、Wizard Spider、The Xaknet Teamが確認されているという。Primitive BearとVenomous Bearは、国家を後ろ盾とするAPTだが、ロシア政府に属しているわけではないとみられているようだ。
ファイブアイズ参加国の各サイバーセキュリティ機関は、ウクライナ侵攻以降、複数のロシア政府機関が各地のITネットワークに悪質なサイバー攻撃を仕掛けているのを確認している。ロシア連邦保安庁(FSB)、ロシア対外情報庁(SVR)、ロシア軍参謀本部情報総局(GRU)などの機関が、IT/OTネットワークに悪質なサイバー攻撃を仕掛けているという。
こういった悪質な活動を踏まえ、これらの機関は重要インフラネットワークの防御責任者に対し、サイバー対策の強化や悪質な活動の兆候を特定するためのデューディリジェンスを実行して、破壊的なマルウェア、ランサムウェア、DDoS攻撃、サイバースパイなどの潜在的なサイバー脅威に備えるよう呼びかけている。
またCSAでは、増大するサイバー脅威から保護するため、重要インフラ組織に対し、直ちに次の4つの予防策を講じるよう促している。
第一に、ITネットワーク資産のオペレーティングシステム、アプリケーション、ファームウェアなどのソフトウェアを更新することだ。インターネットに公開されている機器へのリモートコード実行(RCE)やDoSの攻撃が可能になる恐れのある、悪用されている既知の脆弱性、重要かつ高度な脆弱性へのパッチ適用を優先する必要がある。また、一元管理されたパッチ管理システムの利用を検討し、OTネットワークでリスクベースの評価戦略を用いて、パッチ管理プログラムに加えるべきOTネットワーク資産とゾーンを決定するよう推奨している。
第二の予防策は、多要素認証の導入を最大限に拡大し、サービスアカウントを含むアカウントに強力なログインパスワードの設定を要求することだ。
さらなる予防策として、組織がエンドユーザーの意識向上トレーニングを実施すること、リモートデスクトッププロトコル(RDP)をはじめとするリスクとなる可能性のあるサービス利用時に、安全性を確保し、厳密に監視することが挙げられている。
「RDPの悪用はランサムウェアの初期感染経路で最もよく見られるものの1つだ。RDPなどのリスクの高いサービスにおいては、オンパス攻撃者を使用し、セッションへの権限のないアクセスが可能になる恐れがある」と説明されている。
Biden大統領は3月、ウクライナ侵攻に対する制裁への報復としてロシアがサイバー攻撃を検討しているとし、サイバー防御の取り組みを強化するよう米国内の組織に呼びかけた。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
