PSA(公共広告)
2020年9月23日
FBIとCISA(サイバーセキュリティ・インフラストラクチャ セキュリティ庁 )は、2020年選挙への脅威に関するシリーズの一環として本PSAを発行しており、米国の一般市民が準備をし、忍耐強く選挙に参加できるようにしています。
投票プロセスに対するサイバー脅威はスローになる可能性はあるが、投票を妨害しません
連邦捜査局(FBI)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバー犯罪者が選挙インフラを侵害しようとする試みは、投票を遅らせる可能性はあるが、投票を妨げることはできないということを一般市民に知らせるため、この発表を行っています。FBIとCISAは、これまでのところ、米国人の投票を妨げたり、2020年の選挙の投票数を変更したりするような脅威は確認していません。FBIとCISAが追跡した試みはすべて局所的なものであり、ブロックされているか、最小限に抑えられているか、あるいは容易に緩和されています。
FBIとCISAは、サイバー活動が登録した有権者の投票を妨げたり、投票された投票用紙の完全性を損なったり、有権者登録情報の正確性に影響を与えたりしたことを示唆する報告はありません。しかし、仮にそのような影響があったとしても、選挙管理者は、登録済みの有権者が投票できるようにするための仮投票、紙のバックアップ、投票用紙のバックアップなど、サイバー事件の影響を最小限に抑え、投票への混乱を最小限に抑えてサイバー事件から回復するための複数の安全策や計画を実施していることを、一般の人々は認識しておくべきです。FBIとCISAは、大規模な投票操作の試みを検知されずに行うことは困難であるとの評価を続けています。
それにもかかわらず、サイバー犯罪者は、有権者の登録や有権者登録情報の保管、投票以外の選挙プロセスの管理、非公式な選挙の夜の報告を行う選挙システムを狙った攻撃を続けています。これらの試みにより、これらのシステムに選挙関係者が一時的にアクセスできなくなる可能性があり、投票や結果の報告に時間がかかる可能性がありますが、投票や結果の報告を妨げることはありません。
FBIとCISAは、今後も潜在的な脅威に迅速に対応し、選挙インフラを強化するための勧告を提供し、脅威や侵入活動を関係者に通知し、米国の選挙を脅かそうとするサイバー犯罪者にリスクと結果を課していきます。
推奨事項
- 信頼できる情報源から情報を求める。
- 常に投票情報の出所を考慮しましょう。自問自答してみてください。
この情報を"信用していいのか?"
- 信頼できる情報源から選挙情報を入手し、コンテンツを作成した人物を確認し、その意図を考慮してください。通常の商習慣に影響を与える可能性のあるこれらのスキームやその他のスキームには、常に注意を払うようにしてください。
- 投票登録、投票所、郵送による投票、仮投票プロセス、および最終的な選挙結果に関する情報については、州および地方自治体の選挙担当者に頼るようにしてください。
- 有権者情報や投票システムの危殆化に関する報告を複数の信頼できる情報源から確認し、ソーシャルメディアやその他の手段でそのような情報を共有する前に、他の信頼できる情報源を探すことを検討してください。
- 投票システムを標的にしたサイバー攻撃などの犯罪の可能性がある場合は、FBIに報告してください。
FBIは、選挙犯罪、悪質な外国影響力操作、選挙インフラやその他の米国の民主的機関を標的とした悪質なサイバー活動の調査と起訴を担当しています。CISAは、選挙コミュニティを含む重要なインフラの所有者や運営者が、物理的およびサイバーの脅威からの回復力を維持できるように支援します。FBIとCISAは、米国の選挙プロセスのセキュリティ、完全性、回復力を維持するためのサービスと情報を提供しています。
被害者の報告と追加情報
FBIとCISAは、一般の方が不審な活動や犯罪行為に関する情報を、最寄りのFBI現地事務所(www.fbi.gov/contact-us/field)に報告することを推奨しています。メディア・リテラシーなどの一般的な用語やベストプラクティスを含む追加の支援については、以下のウェブサイトをご覧ください。
- Protected Voices(保護された声): www.fbi.gov/investigate/counterintelligence/foreign- influence/protected-voices(影響力/保護された声)。
- 選挙犯罪とセキュリティ: www.fbi.gov/scams-and- safety/common-scams-and-crimes/election-crimes-and-security、および
- #Protect2020: www.cisa.gov/protect2020。
https://www.cisa.gov/sites/default/files/publications/PSA_CyberThreats_Final-508.pdf
国家サイバー認識システムは、SLTT、重要インフラストラクチャ、および選挙組織に対する脆弱性を連鎖させているAPTアクターに警告を発します。
オリジナルリリース日: 2020年10月09日|最終修正 2020年10月12日
概要
この共同サイバーセキュリティ勧告は、MITRE Adversarial Tactics, Techniques, and Common Knowledge(ATT&CK®)フレームワークを使用しています。参照されているすべての脅威行為者のテクニックについては、ATT&CK for Enterprise フレームワークを参照してください。
注:この共同サイバーセキュリティ勧告の分析は進行中であり、提供される情報は包括的なものではありません。Cybersecurity and Infrastructure Security Agency(CISA)は、新しい情報が入手可能になると、このアドバイザリを更新します。
この共同サイバーセキュリティ勧告は、連邦捜査局(FBI)の協力を得て、CISAによって作成されました。
CISAは最近、Windows Netlogonに含まれる新しい特権昇格脆弱性CVE-2020-1472に加えて、複数のレガシー脆弱性を悪用した高度な永続的脅威(APT)攻撃者を観察しました。脆弱性チェーニングとして知られるこの手口は、1回の侵入で複数の脆弱性を悪用し、ネットワークやアプリケーションを危険にさらすものです。
最近のこの悪意のある活動は、連邦政府、州政府、地方自治体、部族、および準州政府(SLTT)のネットワークに向けられていることが多いですが、それだけではありません。選挙情報に近いからといって、これらのターゲットが選択されているようには見えませんが、政府ネットワークに収容されている選挙情報には何らかのリスクがあるかもしれません。
CISA は、この活動により選挙支援システムへの不正アクセスが発生した事例をいくつか把握していますが、選挙データの完全性が損なわれたという証拠は今のところありません。選挙関係者、それをサポートするSLTTのITスタッフ、およびベンダーが、この悪意のあるサイバー活動から身を守るために取ることのできる手段があります。
APT の活動者が使用する一般的な戦術、技術、手順(TTP)には、レガシーネットワークアクセスや仮想プライベートネットワーク(VPN)の脆弱性を利用し、最近の重要な脆弱性である CVE-2020-1472 Netlogon の脆弱性を利用することが含まれています。CISA は、Fortinet FortiOS Secure Socket Layer (SSL)VPN 脆弱性 CVE-2018-13379 が悪用されてネットワークへのアクセスが可能になった事例を複数認識しています。また、CISAでは、脅威行為者がMobileIronの脆弱性CVE-2020-15505を悪用しているケースもあまり見られていません。これらの悪用は最近になってからも観察されていますが、この活動は現在も継続しており、まだ展開されていません。
最初のアクセスを獲得した後、アクターはCVE-2020-1472を悪用して、すべてのActive Directory(AD)のアイデンティティサービスを侵害します。その後、アクターは、VPN やリモートデスクトッププロトコル (RDP) などの正当なリモートアクセスツールを使用して、侵害された資格情報を使用して環境にアクセスすることが観測されています。観測された活動は複数のセクターを対象としており、SLTTの事業体に限定されていません。
CISAでは、ネットワークのスタッフや管理者が、Juniper CVE-2020-1631、Pulse Secure CVE-2019-11510、Citrix NetScaler CVE-2019-19781、Palo Alto Networks CVE-2020-2021(このリストは網羅的なものではありません)を含む、これらの脆弱性や類似の脆弱性が悪用されたことがある、または悪用される可能性のある脆弱性について、インターネットに面したインフラストラクチャを確認することを推奨しています。
技術的な詳細
初期アクセス
APTの脅威行為者は、インターネットに面したインフラストラクチャのレガシー脆弱性(Exploit Public-Facing Application [T1190]、External Remote Services [T1133])を積極的に利用して、システムへの初期アクセスを狙っています。APT のアクターは、主に Fortinet FortiOS VPN の脆弱性 CVE-2018-13379 を経由して初期アクセスを獲得しているようです。
今回のキャンペーンでは観測されませんでしたが、以下に列挙されている他の脆弱性もネットワークアクセスに利用される可能性があります(分析が進んでいるため、これらの列挙されている脆弱性は包括的なものではありません)。ベストプラクティスとして、インターネットに面したインフラストラクチャ内の既知の脆弱性にすべてパッチを当てることが重要です。
Citrix NetScaler CVE-2019-19781
MobileIron CVE-2020-15505
パルスセキュア CVE-2019-11510
パロアルトネットワークス CVE-2020-2021
F5 BIG-IP CVE-2020-5902
Fortinet FortiOS SSL VPN CVE-2018-13379
CVE-2018-13379 は FortiOS SSL VPN ウェブポータルに存在するパストラバーサル脆弱性です。認証されていない攻撃者はこの脆弱性を悪用して、特別に細工された HTTP リソース要求を介して FortiOS のシステムファイルをダウンロードすることができます[1]
MobileIron コアおよびコネクタの脆弱性 CVE-2020-15505
CVE-2020-15505 は、MobileIron Core & Connector のバージョン 10.3 以前のバージョンに存在するリモートコード実行の脆弱性です[2]。この脆弱性により、特権を持たない外部の攻撃者が脆弱なシステム上で任意のコードを実行することが可能になります。モバイルデバイス管理(MDM)システムは、外部デバイスの設定管理に不可欠なものであるため、通常、このようなシステムは高度なセキュリティ対策が施されています。
特権エスカレーション
最初のアクセス後、APT のアクターは複数の手法を用いて環境へのアクセスを拡大しています。アクターは、Windows Netlogon の CVE-2020-1472 を利用して特権を昇格させ、Windows AD サーバへのアクセスを取得しています。また、アクターは、Mimikatz や CrackMapExec ツールなどのオープンソースのツールを利用して、AD サーバから有効なアカウント認証情報を取得しています (Valid Accounts [T1078])。
Microsoft Netlogon リモートプロトコルの脆弱性。CVE-2020-1472
CVE-2020-1472 は、Active Directory のコア認証コンポーネントである Microsoft Windows Netlogon Remote Protocol (MS-NRPC) の脆弱性です[3]。 この脆弱性により、ドメインコントローラへのネットワークアクセス権を持つ認証されていない攻撃者が、すべての AD ID サービス (Valid Accounts: Domain Accounts [T1078.002]) を完全に侵害してしまう可能性があります。悪意のある行為者はこの脆弱性を利用して、ネットワーク上の他のデバイスを危険にさらすことができます(Lateral Movement [TA0008])。
永続性
システムアクセスが達成されると、APTアクターは、正当な資格情報(Valid Accounts [T1078])を悪用してVPNやリモートアクセスサービス(External Remote Services [T1133])を介してログインし、永続性を維持します。
対策
この共同サイバーセキュリティ勧告に記載されている脆弱性やその他の脆弱性を持つ、外部に面したインフラ機器を持つ組織は、「侵入を想定した」メンタリティを持って前進すべきです。初期の悪用とエスカレーションが唯一の目に見える悪用活動である可能性があるため、ほとんどの緩和策は、より伝統的なネットワークの衛生とユーザ管理活動に焦点を当てる必要があります。
システムを最新の状態に保つ
システムと機器に迅速かつ熱心にパッチを当てる。徹底したパッチ適用サイクルを確立し、一貫して維持することが、敵対的な TTP に対する最良の防御であり続けます。本報告書で言及されている CVE のパッチ情報については、表 1 を参照してください。
https://us-cert.cisa.gov/ncas/alerts/aa20-283a
2つとも 注意深く読んで
Q