選挙に関与する個人、組織、およびインフラストラクチャを悪意のあるサイバー活動から保護することは、この重要な民主的プロセスを標的とする攻撃者の数が年々増加しているため、進化し続ける脅威の状況において引き続き課題となっています。 選挙は、Mandiant が世界中で追跡しているさまざまな敵対者の動機と作戦に直面しています。スパイ活動の脅威、破壊的および破壊的な攻撃、情報操作、恐喝犯罪などです。
アクターが特定の選挙をターゲットにする理由の詳細はさまざまであり、アクターがターゲットにすることを決定する可能性のある選挙の頻度が不足しているため、誰が、何を、どのように予測することが困難になる可能性があります。 2020 年にイランの攻撃者が「プラウド ボーイズ」組織になりすましてフロリダ州の有権者に脅迫メールを送信したことを観察したように、新しい選挙サイクルでは、労力が少なくても、新たな脅威活動がもたらされる可能性があります。国内外の歴史的な脅威活動に目を向けることで、過去の観察結果を活用して、2022 年 11 月の米国中間選挙に対するさまざまな脅威に備え、対応することができます。
Mandiant は、中間選挙を取り巻くサイバー脅威活動が混乱と分裂を引き起こすと中程度の自信を持って評価していますが、実際の投票デバイスの顕著な侵害や、投票の完全性に影響を与えるその他の活動はありそうにないと考えています。
- 特に、選挙の前後に米国の人口を標的とする情報操作 (IO) が見られる可能性があります。私たちは、ロシア、イラン、中国が米国の政治や 2020 年の候補者や問題についてコメントしているロシア、イラン、中国の利益を支援していると疑われる情報操作の例を多数観察しており、ロシア、イラン、中国が依然として最も重要な外国の IO の脅威であると考えています。有権者を脅したり、影響を与えたりする。
- 最近の活動が示すように、選挙に向けて進行中の IO キャンペーンは、米国民内に分裂を引き起こし、民主主義制度を弱体化させ、それぞれに沿った物語を促進するという幅広い目的の一環として、関連する政治問題に焦点を当てるようにメッセージを方向転換する可能性があります。キャンペーンの関心。
- また、スパイ活動が米国の選挙組織、インフラストラクチャ、政党、政府、およびその他の関連グループや個人を標的にすることも確信しています。ロシア、中国、イラン、北朝鮮、およびその他の国に関連するグループの活動を追跡しており、米国および/またはその他の国の選挙に関連する組織や個人を標的としており、情報収集、足場の確立、後でデータを盗むなどの明らかな目的を持っています。重要な選挙インフラストラクチャに対する破壊的な攻撃の 1 つの既知のケースに対する活動。
- 2016 年と 2020 年の米国大統領選挙のサイクル中に、サイバー侵入活動によって支援されたものを含め、情報操作を含む重大で多面的なキャンペーンが観察されました。
- 分散型サービス拒否 (DDoS) 攻撃やランサムウェアなどの破壊的および/または破壊的な活動が、政府や選挙関連の組織やインフラストラクチャに影響を与えることは、ある程度の自信を持って評価しています。
最近観察された IO 活動は、2022 年の中間選挙をめぐる物語の宣伝へのキャンペーンのピボットを浮き彫りにします
Mandiant は最近、2022 年の米国中間選挙をめぐる問題を含む、米国の政治問題に関する物語を促進する 3 つの別々の IO キャンペーンによる活動を観察しました。 IO キャンペーンには、選挙期間外の特定の立場や政治家を支持するものなど、政治的言説を対象とするコンテンツの継続的な宣伝が含まれることがよくあります。
以前に特定された、米国を標的とした、外国の関係者による IO 活動は、地方または地域の政治に影響を与えようとする試みを示しています。これは、中間選挙に影響を与えるという特定のアクターの関心とは直接相関しない可能性がありますが、そのようなデモは、少なくとも、地方レベルで米国の政治に影響を与えることに関心があることを示しています。たとえば、ロシアに関連するさまざまなオンラインおよび現実の影響活動は、カリフォルニアやテキサスなどの州での継承運動の支援を含め、米国の地方および地域をターゲットにしています。
「アメリカおよびヨーロッパを拠点とする市民のためのニュースルーム」(NAEBC)
Mandiant は、「Niels Holst」と「Alan Krupka」という 2 つの偽のペルソナによる活動が継続していることを確認しました。連邦捜査局 (FBI) の調査を引用したロイターの記事によると、NAEBC はロシアのインターネット調査機関 (IRA) に関連する個人によって運営されていました。ニュース サイト自体にはアクセスできなくなりましたが、サイトにリンクした限られた一部のペルソナはアクティブなままで、Gab ソーシャル メディア プラットフォームで米国の右寄りの視聴者を対象としたコンテンツを宣伝しています。最近、これらのペルソナは、中間選挙、経済、エネルギー価格、ロシアのウクライナ侵攻など、現在の米国の政治的トピックに関連する物語を宣伝しています.両方のペルソナ アカウントは半定期的に投稿し、多くの場合、アカウントの運営者によって作成された一見オリジナルの投稿が散在する、一見無関係な他のユーザーからのコンテンツを再投稿します。
ドラゴンブリッジ
Mandiant は、DRAGONBRIDGE に関連するソーシャル メディア アカウントが、中華人民共和国 (PRC) の政治的利益を支援するために運営されていると判断した情報操作キャンペーンであり、米国の政治システムを否定的に描写し、コメントするコンテンツを促進していると確信を持って評価しています。 2022 年の米国中間選挙に関連するトピックを含む、さまざまな国内の政治的、社会的、経済的問題。アカウントは、米国が直面している経済的および社会的問題を浮き彫りにし、国が政治的内紛と二極化によって引き裂かれていると描写しました。 西側のレアアース採掘企業をターゲットにした DRAGONBRIDGE メッセージで最初に観察された戦術を利用して、一部のアカウントは懸念を装うために一人称代名詞を使用してコメントを投稿し、自分がアメリカ人であることをほのめかしました。
偶数政治
Mandiant は、米国の個人を装ったものを含む、調整された非真正なソーシャル メディア アカウントのネットワークによって宣伝されている、真正でないニュース サイトであると高い確信を持って評価したものを特定し、顧客に報告しました。さらに、このサイトを宣伝する EvenPolitics およびソーシャル メディア アカウントがイランの政治的利益を支持するために運営されているとの確信度は低いと評価しました。それ以来、ソーシャル メディアのアカウントは停止されていますが、EvenPolitics は、潜在的な選挙結果を予測する世論調査モデル、ジョージア州上院選挙、リズ チェイニー下院議員の共和党予備選挙、アリゾナ州共和党知事予備選挙、およびフォワード政党。他のEvenPoliticsの記事と同様に、コンテンツはThe WeekやThe Guardianなどの主流メディアが発行したオリジナルのニュース記事から盗用および変更されたようです.
前回の米国中間選挙前後の活動
Mandiant は、過去 3 回の米国の選挙サイクル中に、外国の利益に役立つ情報操作を特定し、報告しました。たとえば、親イランの「 著名な偽装者」影響力キャンペーンでは、2018 年の米国中間選挙で出馬する米国の政治家候補になりすまして、本物ではないペルソナを利用して、望ましい物語を宣伝しました。このキャンペーンはまた、手紙、ブログ投稿、およびゲスト コラムを地元の米国の報道機関に掲載することに成功し、本物でないジャーナリストのペルソナを利用して実在の個人にインタビューを行い、インタビュー対象者はイランの利益に沿った見解を表明しました。
サイバースパイ活動
最近観察された活動パターンや、米国の人種を含む過去の選挙の標的に基づいて、APT41、APT31、APT29、および APT42 が米国政府やその他の選挙関連組織を標的にする可能性が高いと予想されます。このリストは、2022 年の米国中間選挙に先立って、関連する政府、市民社会、メディア、およびテクノロジー組織の防御戦略とハント ミッションの優先順位を決定するための有用なガイドになる可能性があることを提案します。ただし、このリストは包括的なものと見なすべきではありません。追加の既知のアクターまたはこれまで観測されていなかったグループも、関連するサイバー脅威活動に関与する可能性があります。
|
最近、米国政府またはその他の選挙関連組織が標的にされました |
米国または国際選挙の過去のターゲティング |
|
|
APT41 |
Mandiant は、2021 年に米国の州政府を標的とした複数の APT41 キャンペーンを観測しました。このキャンペーンには、USAHERDS と Log4J の脆弱性の悪用が含まれていました。 |
2016 年 7 月と 8 月、APT41 は香港のメディア アウトレットを標的に、立法評議会選挙の前に SOGU マルウェアを使用しました。このグループは、民主主義を支持する編集内容を理由に、スピア フィッシング キャンペーンでメディア組織を標的にした可能性があります。 |
|
APT31 |
Googleは、 2022 年 2 月に「米国政府関係の著名な Gmail ユーザー」を標的とした APT31 フィッシング キャンペーンをブロックすることに成功したと報告しました。 |
2020 年 6 月、Googleは、APT31 がバイデン陣営のスタッフをフィッシング攻撃の標的にしたと報告しました。 2020 年 10 月、Googleは、なりすましの McAfee 資格情報収集の試みを使用して、バイデン陣営のスタッフに対する追加の APT31 フィッシングを報告しました。 |
|
APT29 |
Mandiant は引き続き、APT29 フィッシング キャンペーンとサードパーティによる侵害を検出して報告しています。これらは、主にヨーロッパと南北アメリカの外交および外交政策機関を標的にしていると思われます。 |
オープンソースによると、APT29 は 2016 年の米国大統領選挙に先立ち、民主党全国委員会 (DNC) を侵害しました。 |
|
APT42 |
2021 年 3 月から 6 月にかけて、 APT42は、米国を拠点とするシンクタンクの侵害された電子メール アカウントを使用して、同様の組織の中東研究者、中東およびイランの政策に関与する米国政府関係者、およびその他の個人を標的にしました。 |
MicrosoftとGoogleは、2019 年後半から 2020 年夏にかけて、米国の選挙運動スタッフなどを標的としたイランの脅威活動を独自に報告しました。Mandiant は、両方の報告がAPT42活動に言及していると考えています。 |
サイバー犯罪
多くの選挙関連組織も、ランサムウェアやその他の種類のサイバー犯罪の標的になったり、影響を受けたりする危険にさらされています。この活動は、政治的動機により選挙プロセスを混乱させようとする攻撃者によって引き起こされたものではないかもしれませんが、選挙の実施に連鎖的な影響を与える可能性のあるビジネス プロセスに影響を与える可能性があります。ただし、UNC2448 などの国家が後援または関連する攻撃者も、選挙プロセスを混乱させるために金銭目的の活動を装ってランサムウェアを利用する可能性があります。
ハクティビズム
ハクティビストは、選挙関連の問題に動機付けられて、意見を表明したり混乱を引き起こしたりすることを目的として、データ漏洩や Web サイトの改ざんなどの活動を行う可能性があります。例としては、ポルトガルのハクティビスト グループによる 2020 年 11 月のデータ漏洩が含まれます。これは、ブラジルの選挙に関する古くて捏造された可能性のあるデータを漏洩したものであり、イランのハクティビストは、2020 年の米国大統領選挙に先立ち、米国に批判的なメッセージを表示するために米国の商用 Web サイトを改ざんしました。選挙。また、国家が支援する攻撃者は、選挙を標的とするものを含め、彼らの作戦を支援するための戦術として、偽のハクティビスト フロントを活用した歴史があることにも注意してください。たとえば、偽のハクティビスト ペルソナである Guccifer 2.0 は、2016 年の米国大統領選挙を標的とする一環として、ロシアの参謀本部情報総局 (GRU) によって利用されました。
インサイダーの脅威
インサイダーの脅威は、選挙管理者にとって懸念事項となっています。 2021 年、判事は、選挙管理委員会に所属していない個人が投票機の秘密のパスワードを撮影して公開すること、および投票機のパスワードのコピーを作成することを役人が許可したことが明らかになった後、選出された郡役人が将来の選挙を監督することを禁止しました。プロセスにセキュリティの脆弱性をもたらしたマシンのハード ドライブと設定の変更。他の州でも同様の事件が発生しており、内部関係者によるセキュリティ侵害の増加が懸念されています。
ターゲット — 選挙のエコシステム
さまざまな脅威アクターが存在するのと同様に、選挙に対するサイバー脅威がどこで (どのように) 発生するかにも多様性があります。国家が支援する攻撃者によるサイバー スパイ活動やサイバー攻撃、情報操作、ハクティビズム、さらにはサイバー犯罪でさえも、選挙でさまざまな形で進化したエンティティに脅威を与える可能性があります。
大まかに言えば、選挙の攻撃対象領域には、選挙システムとインフラストラクチャ、選挙管理者と選挙の実施に関与する組織、および政治運動プロセスに関与する組織が関与します。これには、脅威によって悪用または活用される可能性のあるニュースおよびメディア組織が含まれます。俳優。標的化の容易さと脅威活動 (サイバースパイ活動、情報操作、恐喝など) の性質は、これらのカテゴリ内のエンティティによって異なります。
課題と考慮事項
他のタイプのインフラストラクチャまたは潜在的なターゲットを保護する場合と比較して、選挙管理者とセキュリティ担当者はいくつかの固有の課題に直面します。これらすべての脅威が、選挙プロセスへの影響において同等のリスクを表しているわけではないことを強調することが重要です。
- イベント固有のアクティビティ:特定のアクターが選挙をターゲットにする理由は、イベントごとに異なる場合があります。選挙関連の IO 活動を観察すると、Mandiant のサンプル数が限られていること、および公開されている第三者の報告に基づくと、大統領選挙と総選挙は中間選挙よりも多くの投票数を対象としているようです。ただし、この評価は注意バイアスの影響を受ける可能性があります。地方選挙、地方選挙、中間選挙よりも、大統領選挙や総選挙に関連する活動を探すことに多くの時間を費やす擁護者が多い可能性があります。
- 意図の評価: 選挙を標的とする攻撃者によるリスクを評価する際の課題の 1 つは、特定のエンティティ (国家インフラなど) を標的にすることが、選挙関連の脅威活動以外の目的である可能性があることです。同時に、このようなインフラストラクチャの足がかりは、将来、選挙中心の活動にも活用される可能性があります。標的となった特定のデータや犠牲者の可視性、および特定のグループに起因する過去の任務のタスクを可視化することで、敵対者の動機に関する追加の洞察が得られる場合があります。
- 脅威の伝達: 選挙プロセスにおける信頼は不可欠であるため、選挙中に発生する可能性のある進行中のインシデントの詳細を伝達することは、利害関係者がより広範な一般市民であるため、対応の複雑さが増します。どのターゲットが影響を受けたか、どのような方法で影響を受けたかについてのタイムリーなコミュニケーションは、選挙管理者がナビゲートしなければならないプロセスにおける信頼を確保する上で重要な要素となります。
選挙参加者とインフラストラクチャに対する脅威の歴史的理解、および選挙を標的とすることに関心を示した脅威アクターによる現在の活動に対するグローバルな可視性は、セキュリティ チームが将来の脅威の出現を調査し、優先順位を付け、予測するのに役立つことを証明できます。他の作戦におけるそのような脅威アクターの最近のツール、戦術、および手順について通知し、可視性を提供する脅威インテリジェンスは、選挙擁護者をより適切に武装させることができます。組織はこのような洞察を運用して、ネットワークと潜在的なターゲットをプロアクティブに強化し、この重要な民主的プロセスに対する脅威に備えることができます。
Mandiant が選挙の確保にどのように役立っているかについては、選挙のセキュリティ ページをご覧ください。
参照: https://www.mandiant.com/resources/blog/2022-midterm-election-threats
Comments