米国の国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、連邦捜査局(FBI:Federal Bureau of Investigation)、および合衆国エネルギー省(DOE:United States Department of Energy)は3月24日、ロシア政府が支援するサイバー攻撃グループの活動に関する共同サイバーセキュリティアドバイザリ「Alert (AA22-083A): Tactics, Techniques, and Procedures of Indicted State-Sponsored Russian Cyber Actors Targeting the Energy Sector」を公開した。

  • Alert (AA22-083A): Tactics、Techniques、and Procedures of Indicted State-Sponsored Russian Cyber Actors Targeting the Energy Sector

    Alert (AA22-083A): Tactics, Techniques, and Procedures of Indicted State-Sponsored Russian Cyber Actors Targeting the Energy Sector

このアドバイザリでは、米国および国際的なエネルギー関連組織を対象とした複数の既知の攻撃キャンペーンについて、その戦術や使用された技術、侵入手順、および被害の緩和策などがまとめられている。

米国の司法省は、ロシア連邦保安庁の3人の役員とロシア連邦中央科学研究所の従業員について、米国および国際的な石油精製所、原子力施設、およびエネルギー関連組織に対する次の侵入キャンペーンに関与したとして起訴した。

  • 2011年から2018年にかけて行われた、国際的なエネルギーセクターへの侵入キャンペーン
  • 2017年に行われた、中東を拠点とするエネルギーセクターに対するTRITONマルウェアによる侵害

AA22-083Aでは、これらの攻撃キャンペーンで使用されたTTP(戦術/技術/手順)が公表した上で、侵害のリスクを軽減するために実施するべき緩和策を提示している。組織の責任者がすぐに実行できるアクションとしては次のようなものがある。

  • 情報技術と産業用制御システム(ICS)ネットワーク間に、堅牢なセグメンテーションを実装する
  • システムに対するアクセスに多要素認証を導入する
  • 特権アカウントの作成や変更、使用、および関連づけられた権限などを適切に管理する

CISA、FBI、およびDOEでは、エネルギーセクターおよびその他の重要なインフラストラクチャ組織に対して、AA22-083Aで示されている緩和策および付録の推奨事項を実施して、侵害のリスクを軽減するよう呼びかけている。