海の向こうの“セキュリティ”

中国の脅威グループ「Volt Typhoon」による被害など、米CISA長官が警鐘を鳴らす重要インフラへのサイバー攻撃問題

米重要インフラに対する中国の脅威に関する公聴会でのCISA長官の声明

 米国では、中国共産党の支援を受けていると見られる脅威グループによる重要インフラへのサイバー攻撃が深刻な問題となっています。そのような中、米下院の中国共産党に関する特別委員会は、現地時間2024年1月31日に公聴会「アメリカ国土と国家安全保障に対する中国共産党のサイバー脅威(The CCP Cyber Threat to the American Homeland and National Security)」を開きました。

 公聴会では、証人として出席した米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)のJen Easterly長官が、中国のサイバーアクターとして具体的に「Volt Typhoon」の名前を挙げ、中国による脅威が如何に深刻で切迫したものであるかを説明しました。そして、その中で以下のように述べています。

 残念なことに、重要インフラの多くを支える技術基盤は本質的にセキュアではありません。何十年もの間、「ソフトウェア開発者たち」は自社製品の欠陥に対する責任から免れてきたからです。そのため、セキュリティよりも機能や市場投入の早さを優先するという誤ったインセンティブが働き、わが国はサイバー侵略に対して脆弱なままになっているのです。これは止めなければなりません。テクノロジー企業は、中国やその他のサイバーアクターが、テクノロジー製品の欠陥を悪用して私たちの重要インフラの開いているドアに入り込み、破壊的な攻撃を準備するといったことができないようにしなければなりません。企業はセキュア・バイ・デザインである(=設計上安全な)製品を製造し、提供しなければなりません。

 さらにEasterly長官は「国家安全保障にとって重大な岐路に立っている」として、以下のような5つの集団行動への緊急の呼び掛け(urgent call)を行いました。

1. サイバーセキュリティは国家安全保障であるので、サイバーインシデントの被害者は全て、1人に対する脅威が多くの人にとっての脅威であることを認識し、毎回CISAまたはFBIに報告すべきである。

2. 全ての重要インフラ事業体は、現地のCISAチームとの関係を確立すべきであり、中国のサイバーアクターによって悪用されている脆弱性の特定と修復を支援するために、我々(訳註:CISA)の無料サービス、特に脆弱性スキャニングプログラムに登録すべきである。

3. 全ての重要インフラ事業体は、CISAのサイバーセキュリティ・パフォーマンス目標(Cybersecurity Performance Goals)、およびサプライチェーン全体を含むサイバーハイジーン(衛生)への必要な投資を推進するためにNSAおよびFBIとともに発行してきた多くのアドバイザリとともに、これらのサービス(訳註:上記2.で紹介しているサービスのこと)を利用すべきである。

4. 全ての重要インフラ事業体は、レジリエンス(回復力)への取り組みにもっと労力を投じるべきである。攻撃を想定して準備し、重要なシステムの継続性を継続的にテストして訓練することで、障害があっても稼働し、迅速に回復して米国民にサービスを提供し続けることができるようにしなければならない。

5. 最後に、全てのテクノロジーメーカーは、セキュア・バイ・デザインである製品を作り上げ、テストし、出荷しなければならない。我々は、テクノロジー製品の欠陥が衝撃的な異常事態となるような未来、つまり、セキュリティを優先することによって責任あるイノベーションを行うソフトウェア開発者のための測定可能な注意基準とセーフハーバー規定に基づいたソフトウェア責任制度によって支えられる未来を目指さなければならない。

 その上で、Easterly長官は、これらのステップは重要インフラ組織のCEO、取締役会、全ビジネスリーダー各自がサイバーリスクを中核的なビジネスリスクとして扱い、それらを管理することが優れたガバナンスと基本的な国家安全保障の両方の問題であると認識している場合にのみ達成可能であるとしています。

 「中国 vs. 米国」の文脈で語られていますが、Easterly長官の声明、特に今回紹介した最も重要な部分は、比較的普遍性が高く、攻撃者が誰であろうと、また攻撃対象がどこの国であろうと、重要インフラへの脅威に備える上で必要なポイント、またはそのヒントとなっています。関係者の皆様には一度は目を通し、何らかの参考にしていただければと思います。

CISAとFBIによるSOHO機器のメーカー向けのセキュリティデザイン改善のためのガイダンス

 中国の脅威グループ、特にVolt Typhoonによる米国の重要インフラに対する攻撃の踏み台として、SOHO(Small Office/Home Office)ルーターが侵害されて悪用されるケースが多い事態を受け、現地時間2024年1月31日、CISAは米連邦捜査局(Federal Bureau of Investigation、以降FBI)と連名でガイダンス「セキュア・バイ・デザイン警告:SOHO機器メーカー向けのセキュリティデザイン改善(Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers)」を公開しました。これはSOHO機器のメーカー向けに新たに作成されたガイダンスで、CISAがFBIなどの関連機関と連名で2023年に公開したガイダンス「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ(Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software)」の原則1~3に沿った内容になっています。

原則1. 顧客のセキュリティの結果に責任を負う
原則2. 徹底的な透明性と説明責任を受け入れる
原則3. これらの目標を達成するための組織構造とリーダーシップを構築する

 今回公開されたガイダンスの中で、SOHOルーターの問題として以下のような点が挙げられています。

  • 基本的なセキュリティ機能を持たないセキュアでない製品が広く販売され、使用されている。
  • 自動更新機能を持たず、ウェブ管理インタフェースに悪用可能な欠陥を多数含む製品が多い。
  • 管理インタフェースがデフォルトで公衆インターネットに公開される製品がある。

 これらの問題を踏まえ、上記原則1~3について以下のように説明しています。

原則1. 顧客のセキュリティの結果に責任を負う。

 原則1は、顧客と一般大衆を同じように保護するためにメーカーが投資すべき主要なセキュリティ分野に焦点を当てている。これらの領域には、予測可能な脅威からデバイスを保護するデフォルト構成の設定が含まれる。例えば、SOHOルーターのメーカーは次の点を考慮すべきである。

  • 理想的にはユーザーが何もしなくても、セキュリティの脆弱性に対処するための自動化された署名付きソフトウェアアップデートを実装する(NIST IR 8425「ソフトウェアアップデート(Software Update)」を参照)。
  • ウェブ管理インタフェースをLAN側ポートに配置して脆弱な露出から保護する。
  • 製品からの全ての脆弱性クラスの排除に取り組むなどして、公衆インターネットにさらされた場合でも安全に使用できるように、管理インタフェースシステムのセキュリティを向上する。
  • セキュアなデフォルト設定を顧客が解除するには手動で行わなければならないようにし、(解除した場合に代わりに)補う制御機能を実装していない限り、解除を思いとどまらせるように十分に強い文言を含める(NIST IR 8425「製品構成(Product Configuration)」を参照)。

原則2. 徹底的な透明性と説明責任を受け入れる。

 メーカーは製品の脆弱性を開示する際に透明性を持って主導すべきである。そのために、メーカーはSOHOルーターに関連する脆弱性クラスをトラッキングし、CVEプログラムを通じて顧客に開示すべきである。メーカーは、CVEレコードが正確かつ完全であることを確認すべきである。メーカーが正確なCWEを提供することが特に重要であり、そうすることによって、業界は個々のCVEだけでなく、ソフトウェア欠陥のクラスをトラッキングできるようになり、顧客は特定のベンダーの開発プラクティスにおいて改善が必要な可能性がある領域を理解できるようになる。また、それらの脆弱性の根本原因を特定して文書化し、全ての脆弱性クラスの排除に取り組むことが事業目標であると宣言すべきである。

原則3. これらの目標を達成するための組織構造とリーダーシップを構築する。

 ソフトウェアおよびハードウェアのメーカーの経営幹部は、コストに気を配るのと同じように、製品のセキュリティを優先すべきである。リーダーは全体像、すなわち、顧客、我が国の経済、そして我が国の国家安全保障が現在、製品にセキュリティを組み込まないとのビジネス上の決断の矢面に立たされていることを考慮しなければならない。さらに、ビジネスをセキュア・バイ・デザインの(=安全な設計による)ソフトウェア開発に向けることによって、複雑さだけでなく財務コストや生産性コストの削減にもつながる可能性がある。リーダーは適切な投資を行い、明示された事業目標としてセキュリティを促進する適切なインセンティブ構造を開発すべきである。

 今回公開されたガイダンスは、基本的には2023年に公開されたガイダンス「サイバーセキュリティリスクのバランスを変える:セキュア・バイ・デザイン・ソフトウェアの原則とアプローチ」のSOHO機器メーカー向けの「簡易版」のような内容となっています。つまり、本来読むべきは、この簡易版ではなく、「完全版」の方ではあるのですが、その完全版が30ページを超える内容となっているのに対し、今回の簡易版は2ページと極めてコンパクトにまとまっており、まずは最低でもこちらの簡易版に目を通して欲しいとの意図なのでしょう。また、簡易版の内容はSOHO機器に特化しているとはいえ、完全版の重要なエッセンスは盛り込まれていますので、SOHO機器のメーカーに限らず、サイバー攻撃の対象(踏み台を含む)になりうる製品のメーカーで、まだ完全版に目を通していない場合は、まずはこの簡易版だけでも目を通しておくことを強くお勧めします。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。