彷彿 Stuxnet／セキュリティ業界資金調達史上最高／サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary]

　大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「 Scan PREMIUM Monthly Executive Summary 」をお届けします。※「●」印は特に重要な事象につけられています。

＞＞ Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針


【1】前月総括

　4 月 15 日、バイデン アメリカ合衆国大統領は、米国大統領選挙への介入や米国企業へのサイバー攻撃などを理由に、ロシアへの制裁を強化する大統領令に署名したことが報じられました。セキュリティ研究者らの間では著名な、Positive Technologies 社が、ロシア対外情報庁（ SVR ）を含む政府機関へ支援をしていたとして、制裁対象に含まれていることは様々な憶測を呼んでいるようです。これは、SVR の傘下とみられる APT グループ「 Cozy Bear 」が、昨年話題となった「 SolarWinds Orion プラットフォーム」を悪用した米国へのサイバー攻撃に関与したとされているためです。

　国内の動向ですが、警視庁は宇宙航空研究開発機構（ JAXA ）を含む、日本組織を狙ったサイバー攻撃に関与したとして、中国人男性を書類送検したことを発表しました。これは、APT グループ「 Tick 」によるサイバー攻撃に関する報道で、中国人民解放軍（ PLA ）の 61419 部隊（現在は戦略支援部隊のネットワークシステム部に統合）の関与が指摘されています。2015 年 12 月の PLA の再編後の攻撃キャンペーンを含むものとみられますので、今後の捜査の進捗にも注目が集まります。

　脅威情報としまして、米国や英国の政府機関が、Fortinet VPN の脆弱性を悪用したサイバー攻撃に対して改めて注意喚起を発出しています。これは、2020 年以前に報告された脆弱性（ CVE-2018-13379、CVE-2020-12812、CVE-2019-5591 ）への対応を失念している組織に向けてのものです。また、Pulse Connect Secure においても、米 CISA より脆弱性（ CVE-2019-11510、CVE-2020-8260、CVE-2020-8243、およびCVE-2021-22893 ）を悪用した攻撃に対してアラートが発出されています。カプコンのランサムウェアを悪用した二重脅迫事案では、予備の VPN 装置が標的となったことが報告されていますので、同製品の利用組織においては機器の棚卸も兼ねて対策を実施することが求められます。

　また、サイバー戦争に関連した報道におきましては、イランの中部ナタンズの核施設で起きた異常事態について、「テロ」によるものだと断定したことが報じられています。同報道に対して、イスラエルの公共放送は情報機関筋の話とし、イスラエルの対外諜報機関であるモサドが関与したサイバー攻撃によるものと報じています。一方で、米ニューヨーク・タイムズは、停電は爆発が原因で、地下にある遠心分離機に送電するシステムが破壊されたと伝えています。第 2 の Stuxnet とも噂されるだけに、今後の報道から目が離せません。

　米国家情報長官室は、製造分野を対象として、産業サプライチェーンを狙ったサイバー攻撃対処に関するベストプラクティスを公開しています。PDF 1 ページにまとめられた同資料では、製造・生産業界では、サプライチェーンへの安全性確保のために、物理的、人的、サイバーの脅威に対処する必要があるとし、7 つのポイントを紹介しています。これは、現在の経済スパイ活動対策を考える上で参考になるポイントが明記されていますので、製造分野以外の組織も目を通しておくことを推奨します。