米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は2月16日、「Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology|CISA」において、ロシアが支援するサイバー攻撃者が米国の防衛関連企業ネットワークを標的としてサイバー攻撃を仕掛けており、米国の機密情報および技術の入手を行っていると報告した。関連する組織に対し、被害者とならないように緩和策の適用を求めている。

  • Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology|CISA

    Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology | CISA

報告では、少なくとも2020年1月から2022年2月まで、アメリカ連邦調査局(FBI: Federal Bureau of Investigation)、米国家安全保障局(NSA: National Security Agency)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はロシアが支援する攻撃者が米国における認証済み防衛契約組織を標的として定期的にサイバー攻撃を仕掛けていることを観測していると説明している。標的となっているのは当局と契約を結んでいる組織およびその下請け企業などが含まれており、対象となる組織は多岐にわたっているという。

報告書は関連する組織に対してサイバー攻撃による侵入を受けているかいないかにかかわらず、推奨される緩和策を適用することを求めている。多くの項目が要求されている。主なポイントを取り出すと次のとおり。

  • 多要素認証の使用
  • 強力でユニークなパスワードの使用
  • アカウントロックアウトと時間制限付きアクセス機能の導入
  • 公開するクレデンシャル情報の最小化
  • ログの一元管理化
  • ソフトウェアとパッチ管理プログラムの導入
  • アンチウイルスプログラムの導入
  • エンドポイント検知・対応ツールの使用
  • 厳密な構成管理プログラムの適用
  • 最小特権の原則の実施
  • 信頼関係の見直しと適用
  • リモートワーク環境のベストプラクティスの適用
  • ユーザの意識向上のためのベストプラクティスの適用
  • ベストプラクティスの追加的な緩和策の実施

歴史的にロシアが支援する攻撃者は、初期アクセスの方法としてスピアフィッシング、クレデンシャルハーベスティング、ブルートフォース攻撃、パスワードスプレー攻撃、弱いアカウントの使用、既知の脆弱性の悪用など、一般的な戦術を使用しているという。

報告書に掲載されている緩和策は米国企業のみならず日本の企業においても有効な緩和策として適用できる。内容を確認するとともに、緩和策の取り込みなどを検討することが望まれる。