米連邦捜査局(FBI)は、2020年の東京オリンピックに対して攻撃が計画されている証拠はまだ発見されていないものの、今後開催されるオリンピックを標的にしている可能性のある攻撃者について警告しています。
https://www.ic3.gov/Media/News/2021/210719.pdf
米国の情報機関であるFBIは、発表した民間企業向けの通知で「FBIは現在までのところ、今回のオリンピックに対する特定のサイバー脅威を認識していませんが、パートナー企業に対して、警戒を怠らず、ネットワークおよびデジタル環境におけるベストプラクティスを維持することを奨励します」と述べています。
FBIの説明によると、2020年の東京オリンピックを標的とした犯罪者や攻撃者による攻撃には、分散型サービス拒否(DDoS)攻撃、ランサムウェア、ソーシャルエンジニアリング、フィッシングキャンペーン、インサイダー脅威などが考えられます。
このような攻撃は、大会のライブ放送を妨害したり、ブロックしたり、ITシステムを暗号化する前やハッキングした後に機密データを流出させたり、オリンピックを支えるデジタルインフラに影響を与えたりする可能性があります。
攻撃者の最終的な目的は、”金儲け、混乱を招くこと、自分の名声を高めること、敵の信用を落とすこと、イデオロギー的な目標を進めること “であると考えられます。
今年の夏季オリンピックは、COVID-19のパンデミック規制で要求されているように、デジタルプラットフォームやテレビ放送のみで視聴される初めての大会であることから、攻撃者のさらなる注目を集める可能性が高まっています。
今年は、少なくとも1件、東京2020組織委員会に属するデータがすでに侵害されています。
2021年5月下旬、富士通は、東京2020組織委員会や日本の国土交通省を含む複数の企業や政府機関の顧客のデータが侵害されたことを公表しました
富士通、日本政府機関情報のハッキングを受けProjectWEBプラットフォームを一時停止
東京2020夏季オリンピックはすでにフィッシングの誘い文句に使われている
2019年12月、東京2020夏季オリンピックの担当者は、すでに「東京オリンピック・パラリンピック競技大会組織委員会(東京2020)」を装ったフィッシングキャンペーンに注意を促す警告を発しています。
攻撃者が東京2020オリンピックを標的にしたのは初めてではなく、2019年9月にはアメリカと日本の両方の受信者がフィッシングキャンペーンの潜在的な標的として監視されていました。
KYODO NEWSの報道によると、今回の攻撃は脅威インテリジェンス企業のAntuitが、ダークウェブ上で議論しているハッカーグループを監視しているうちに発覚したというものです
Antuitの日本支社副社長の五十嵐修平氏は「ハッキンググループは中国系の可能性が高い」と述べています。
米司法省は昨年、平昌冬季五輪を標的にしたハッキング作戦で、ロシアが支援するハッキンググループ「サンドワーム」に所属するとみられるロシア主要情報局(GRU)の諜報員6人を起訴していました。
2017年12月から2018年2月にかけて、「サンドワーム」は韓国の市民や関係者、オリンピック選手、パートナー、訪問者、国際オリンピック委員会(IOC)関係者を対象に、スピアフィッシング攻撃を行い、悪意のあるモバイルアプリケーションを開発していました。
また、2018年平昌冬季オリンピックを支援するコンピューターへのハッキングでも起訴され、2018年2月のオリンピック開会式に対する「Olympic Destroyer」と呼ばれるマルウェアを使用した破壊的なマルウェア攻撃を行いました。
「ロシアの攻撃者は、北朝鮮のグループが使用したコードをエミュレートすることで、マルウェアのソースを難読化し、帰属組織を見誤らせる手法を取っています。」とFBIは述べています。
この攻撃の直接的な結果として、開会式を報道する現場のジャーナリストが使用していたインターネットとテレビのシステムに障害が発生しました。
このような過去の事件を踏まえて、FBIは、”悪意のある攻撃者による現在の脅威に対応するために、セキュリティポリシー、ユーザー契約、パッチ適用計画を見直し、または確立すること “を提案しています。
また、米国のセキュリティサービスは、2020年東京夏季オリンピックの関係者やITインフラに対する潜在的な攻撃を軽減、あるいはブロックするためのベストプラクティスのリストを共有しています。
https://www.ic3.gov/Media/News/2021/210719.pdf
FBIが推奨する対応方法
- オペレーティングシステム、ソフトウェア、ファームウェアは、メーカーのアップデートがリリースされ次第、パッチを当てて更新する
- ネットワークシステムやアカウントのパスワードを定期的に変更し、複数のアカウントでパスワードを使い回さないようにする
- 可能であれば多要素認証を利用する
- リモートアクセス/リモートデスクトッププロトコル(RDP)のログを監視し、使用していないリモートアクセス/RDPポートを無効にする
- アプリケーションやリモートアクセスのリスティングポリシーを導入し、確立されたセキュリティポリシーに基づいて、既知の許可されたプログラムの実行のみをシステムに許可する
- 管理者のユーザアカウントを定期的に監査し、最小特権の概念に基づいてアクセス制御を設定する
- ログを定期的に監査し、新規アカウントが正当なユーザーであることを確認する
- ネットワーク上で開いているポート、聞いているポートをスキャンし、不要なポートを閉鎖する
- 重要な資産を特定し、オフラインでバックアップを取る
- ネットワークのセグメンテーションを行う
- アンチウイルスおよびアンチマルウェア・ソリューションを自動的に更新し、ウイルスおよびマルウェアのスキャンを定期的に行う
FBIが推奨するリモートワーク
- VPN、ネットワークインフラ機器、リモートワーク環境で使用する機器を定期的に最新のソフトウェアパッチとセキュリティ設定で更新する
- 可能であれば、すべてのVPN接続に多要素認証を導入する。多要素認証の形式としては、物理的なセキュリティ・トークンが最も安全であり、次に認証アプリケーションが挙げられます。多要素認証が利用できない場合は、リモートワークに従事する従業員に強力なパスワードの使用を求めるようにする
- ネットワークトラフィックを監視し、承認されていないプロトコルや予期せぬプロトコルがないかを確認する
- 攻撃者の侵入口となりうる未使用のVPNサーバーを停止し、潜在的な攻撃対象を減らす
FBIが推奨する対ランサムウェア
- オフラインで暗号化されたデータのバックアップを維持する。それらのバックアップを定期的にテストし、常に最新の状態に 最新の状態に保つこと。
- 基本的なサイバーインシデント対応計画を作成し、維持し、実施する。基本的なサイバーインシデント対応計画を作成、維持、実施する。重要なシステムに一定期間アクセスできなくなる可能性に対する計画を含む、基本的なサイバー事件対応計画を作成し、維持し、実施すること。
FBIが推奨するユーザの意識向上
- エンドユーザの意識向上とトレーニングを提供する。標的型ソーシャルエンジニアリング、ランサムウェア、フィッシング詐欺などを防ぐために、従業員や関係者が潜在的なサイバー脅威とその提供方法について認識するようにする。また、情報セキュリティの原則と技術に関するトレーニングをユーザーに提供する
- 報告手順に関する従業員の知識向上を行う。脅威を迅速かつ効率的に特定し、緩和策を採用するために、不審な活動を目にしたり、サイバー攻撃の疑いがある場合、何をすべきか、誰に連絡すべきかを従業員が認識していることを確認する。
Comments