解説:ロシアのサイバー攻撃を回避するために今すぐ実施すべき10の事項 ~テクノロジーインサイトブログを翻訳してご紹介しています~ ロシアによるウクライナへの侵攻は日を追うごとに激化しており、世界中が注視しています。この侵攻は、地政学的な観点と相まって、NATO、米国、その他多くの西側諸国からの緊張の高まりをもたらし、ロシアやロシアと協力関係にある国家による西側諸国へのサイバーセキュリティ攻撃のリスクを高めました。 米国、EU、英国などの同盟国およびパートナーは、このウクライナ侵攻に呼応して、ロシアに対する金融制裁やその他ビジネスへの制裁に至るまで、全方位攻撃を発表しています。これらの制裁措置には、ロシアを抑止するための象徴的なものと、ロシア経済を直ちに混乱させることを目的とした極端なものの両方が含まれ、制裁内容は各国で多少異なるものの、ほぼ協調し、補完し合う形で行われています。さらに、米国を拠点とする多くの大手企業や世界中の企業が、ロシアのウクライナ侵攻に「No」を突き付ける形で、ロシアでの事業をすべて中止する動きを見せています。 ロシアは「痛みを伴う」対応を行うと脅迫しており、ロシアやロシアと協力関係にある国家によるサイバーセキュリティ攻撃がエスカレートすることも十分に予想されます。そのため、経済制裁を発動する国の政府や重要インフラ、ロシアから事業を撤退する企業に対し、混乱をもたらすことを目的としたサイバーセキュリティ攻撃の件数や強さが増加する可能性があります。 この記事では、企業がサイバー脅威の防御、サイバーインシデントへの対応、企業のレジリエンスを高める際に考慮すべき推奨事項や関連資料を説明します。 最優先事項であるサイバーセキュリティ ロシアの侵攻に伴い、ウクライナのコンピュータやネットワークは、データを消去するマルウェアに感染しました。ウクライナ政府や銀行のウェブサイトに対しDDoS攻撃を行い国民や政府のサイバーセキュリティ担当者の注意をそらしつつ、ウクライナの通信を妨害していると報じられています。ウクライナ当局は対応策として、「デジタルに精通した人材(タレント)」を招集、また、ホワイトハッカーによる「IT(情報技術)部隊」を創設し、ロシアに対してサイバーセキュリティ攻撃を仕掛けることを命じました。 ウクライナのシステムが狙われることで、世界中の重要なインフラやビジネスが危険にさらされています。また、ウクライナのシステムに影響を及ぼすマルウェアの拡散や、ランサムウェア攻撃の増加等の危険性が高まっています。 これまで、ロシアが支援するAPT(Advanced-Persistent-Threat:高度で持続的な脅威)は、防衛産業基盤や医療・公衆衛生、エネルギー、通信、政府施設など、米国内外のさまざまな重要インフラ組織を対象に、高度な能力を駆使してサイバーセキュリティ攻撃を仕掛けてきました。 サイバーセキュリティ攻撃の手法を鑑みると、ロシアからのサイバーセキュリティ活動だけに注目するのは間違いです。ウクライナと西側諸国は、プロキシウェブがロシア政府のサイバーセキュリティ戦略と作戦の中心であり、ロシア政府が世界中にハッカーを配置していることも認識する必要があります。ロシア政府は、サイバーセキュリティ攻撃を否定しますが、西側諸国は、ロシアのサイバーセキュリティ脅威を評価し、サイバー空間で活動するロシアのプロキシを特定することにインテリジェンスを集中させることを検討するべきです。 プーチンがSWIFTからの排除とロシア中央銀行に対するさらなる制裁による影響に対し、報復措置を取ってこないとは考えにくいです。この制裁により、サイバーセキュリティ攻撃の可能性が高まり、ロシアのウクライナ侵攻が、より大きな紛争となる可能性があります。NATOのイェンス・ストルテンベルグ事務総長は、深刻なサイバー攻撃はNATOの建国条約の第5条を発動させる可能性があるとロシアに警告しています。この条文では、「一つのNATO加盟国対する攻撃は、すべての加盟国対する攻撃として扱われる」と定めています。 国家にとって重要なインフラや卓越した技術を持つ企業や政府機関は、ロシアによるAPTに対処するために、予防、検知、インシデント対応策のベストプラクティスに沿って十分に準備する必要があります。 ロシアのサイバー攻撃を回避するために今すぐ実施すべき10の事項 今すぐにやるべきこと 仮定に基づいた対処:高度なサイバー攻撃者が既に存在し、いつでもビジネスを混乱させることができる状態にあると仮定します。さらに、サイバー脅威に対する信頼できるインテリジェンスを活用し、あなたの組織がロシアに通常狙われるかどうか、またどのような理由で狙われるかを判断します。 コミュニケーションの掌握:関連する全てのサイバーおよびレジリエンス・チームが厳戒態勢であることを確認します。これには、経営層や法務、上級管理職、主要なサードパーティーに対して、行動を起こすための準備が必要であると通知することや、フィッシングやその他のソーシャルエンジニアリング攻撃に対して警戒を続けるよう従業員に注意を喚起することが含まれます。 復旧の確認:主要なバックアップの完全性の確認を含め、復旧プロセスが正確で、必要な関係者に周知され実行できる状態であることを確認するなど、主要な復旧活動を実行するために、あらゆる緊急措置を講じます。 サードパーティーとのエンゲージメントの見直し:フォレンジックやサイバー攻撃対応に関するパートナー、法律事務所、保険会社など、主要なサードパーティーとの既存の契約を見直します。 最新情報を入手:最新のニュースを確認します。また、既存の脅威情報および情報共有ソースを可能な限り活用します(例:サイバーセキュリティインフラセキュリティ庁(CISA:Cybersecurity & Infrastructure Security Agency)の「Shields Up」サイト、各業界のISAC、マイクロソフトなど)。その他、情報源となりうる資料のリンクを、この記事の最後に紹介しています。 急いで次にやるべきこと コントロールの強化と安全性の確保:重要なコントロールを強化し、リスクの高いエリアを保護します。これには、現在のセキュリティパッチレベルの見直し(および短期的にはスキャン頻度の増加)、インターネットに公開されている領域の脆弱性の検証、MFA(多要素認証)およびその他のアクセスコントロールが有効で適切に設定されていることの確認が含まれます。 対応能力の評価:すべての危機管理およびサイバー攻撃対応能力に関して、テスト、シミュレーション、そしてチェックします。危機管理は、インシデントそのものへの対応だけでなく、すべてのキーパーソンが自分の役割を理解しているかどうかを確認することも含みます。 現在の復旧手順書の見直し:既存の業務継続計画および復旧計画を包括的にレビューし、それらが完全かつ最新であることを確認します。内外のリソースが利用可能かどうか、また、ビジネスサービスを提供する主要なサードパーティーとの依存関係や、外部ステークホルダー(従業員、規制当局、顧客など)と行うコミュニケーションプロトコルに、特に焦点を当てる必要があります。 テクノロジーの評価:ハイブリッドワークフォース(リモート勤務とオンサイト勤務の柔軟な組み合わせ)をサポートするすべてのテクノロジーへの注目度を高め、見直します。すべてのリモートまたは外部アクセスポイントの脆弱性が減らされ、最新バージョンのエンドポイント検出技術でカバーされていることを確認します。 期待値の設定:サイバー攻撃によるサービスの中断の可能性と、そのリスクを管理するための現在の措置について、経営層や上級管理職で期待値を設定(または再設定)します。 上記の10の事項は、現在のロシア情勢をめぐるリスク管理に役立ちます。また、より将来を見据えた企業にとっては、サイバー攻撃に限らず、環境変化やパンデミックなど、ますます不安定になる世界で起こる極端な事象に対する長期投資と考えられます。さらに、企業は、現在の戦略に基づくサイバーセキュリティプログラムによって、敵対者を撃退し、検知と対応の俊敏性を高め、既存の回復力を拡大可能とする必要があります。適切な資金調達、リーダーシップ、ビジョンによるサイバーセキュリティプログラムは、ビジネスと脅威の両方に必要なものであり、将来待ち受ける課題に立ち向かう準備ができていることを保証するための鍵となります。 参考資料:CISA(Cybersecurity & Infrastructure Security Agency)からの推奨事項 バイデン大統領は、現在のロシア・ウクライナ危機に関する国内の準備・対応策を調整する主な連邦機関として、国土安全保障省(DHS)を指定しました。DHSは、特定の脅威に対し、必要な場合には、連邦政府の取り組みが調整されるよう適切な措置を講じています。サイバーセキュリティインフラセキュリティ庁(CISA)からの推奨事項は、組織がサイバーセキュリティ攻撃に備えて対応し、脅威を軽減するために利用することが出来ます。 CISAの「Shields Up」サイト には、サイバーセキュリティの向上と重要資産の保護に関する情報とともに、すべての米国企業を対象としたサイバーセキュリティ攻撃防止策の推奨項目を掲載しています。リモート勤務とオンサイト勤務の柔軟な組み合わせ(ハイブリッドワークフォース)が増えていることを考えると、これらの項目は、米国に限らず、全てのグローバル企業に拡大されるべきです。 CISAが最近発表した「重要インフラを標的とした海外からの影響力行使への備え、及びその影響の軽減」と題する洞察は、サイバーセキュリティの脅威やデータ保護に関する堅実なチェックリストを提供しています。 CISAが2022年1月に発表した洞察:「潜在的な重要脅威から保護するための今すぐ実施すべきサイバーセキュリティ対策」 CISAが最近発表した警告「米国の重要インフラに対するロシアの国家支援によるサイバー脅威の理解と軽減」は、ロシアが利用することが知られている製品の脆弱性情報、及び攻撃手法や能力、アプローチを提供しています。 ロシアによる悪質なサイバー活動に関する最近および過去の事例については、以下の関連製品を参照するか、cisa.gov/uscert/russiaをご覧ください。 FBI-DHS-CISA ロシア対外情報庁(SVR)のサイバー作戦:ネットワーク防御のための傾向とベストプラクティス NSA-FBI-CISA ロシア参謀本部諜報機関(GRU)が、企業やクラウド環境を侵害するブルートフォースキャンペーンを世界規模で実施中 FBI-CISA ロシア国家が支援するAPT攻撃者が米国政府を侵害 CISA-FBI APT攻撃者による、SLTT(州や準州など)や重要インフラ、選挙組織に対する脆弱性を付いた連鎖的な攻撃 CISAのWebサイト SolarWindsおよびActive Directory/M365の脆弱性により影響を受けたネットワークの修復 CISAの警告 エネルギー分野をはじめとする重要インフラを標的としたロシア政府のサイバー活動 CISAのICS(制御システム)警告 ウクライナの重要インフラに対するサイバー攻撃について (2022年3月8日) 英語版ブログ「10 Steps to Take Now to Guard Against Russian Cyber Attacks」へのリンクはこちら Topics サイバーセキュリティ/プライバシー
