最新のサイバー犯罪調査では、攻撃が再び過去最高水準に達していることが確認されています。しかし、ランサムウェアの蔓延が続き、国家による攻撃やスパイ活動関連の事件も増加する中、当局は報告されている数字は氷山の一角に過ぎない可能性があると警告しています。
米国政府監査院による最近の報告書は、米国連邦政府機関の報告メカニズムに関する課題を強調し、サイバー犯罪は報告不足である可能性が高いとしている。
大企業、中堅企業、中小企業がサイバー攻撃を報告しない理由としては、評判の失墜、事業の中断、政府へのデータ共有のリスクなどが挙げられます。こうした誤解は民間企業にも影響を与えており、サイバー犯罪への対応において連邦政府機関や法執行機関と連携することのメリットを認識していません。
7月20日、北東部サイバーセキュリティサミットに出席しました。このイベントでは、FBIと国土安全保障省の捜査官が、サイバーインテリジェンスの連携の仕組みと、企業がそれをどのように活用できるかについて説明しました。
ジャンプ先:
- 業務妨害: FBI や国土安全保障省が来たら、実際何が起こるのでしょうか?
- 法的報告責任と協力インセンティブ
- サイバーセキュリティ攻撃を受けた場合の連絡先
- 企業にとっての最終的なポイント
業務妨害: FBI や国土安全保障省が来たら、実際何が起こるのでしょうか?
連邦政府機関や当局の関与に関するよくある誤解の一つは、業務運営の混乱です。連邦政府機関に連絡すれば、既に困難な状況がさらに複雑化すると考える企業もあるかもしれません。
「FBI、国土安全保障省、あるいはその他の法執行機関について、世間では誤解されているように思います」と、FBI特別捜査官のジェフ・ハンター氏は述べた。ハンター氏はさらに、当局が到着すればサーバーをすべて没収され、事業を停止させられると企業が考えることが多いと付け加えた。「しかし、それは現実ではありません」とハンター氏は述べた。
コンピュータフォレンジック:報告と通報のメリット
ハンター氏は、FBIが当初から双方向の対話を確立することに関心を持っていることを強調した。
「例えばランサムウェアの場合、FBIはあらゆるランサムウェアの亜種を捜査しています」と彼は述べた。「そのため、迅速な通知により、その亜種に取り組んでいる実際の捜査官と直接連絡を取り、IoC(侵害の兆候)を迅速に提供することができます。」
コンピュータフォレンジックにおける侵害の兆候とは、攻撃と攻撃者に関する重要な情報を明らかにし、組織がサイバーインシデントを解決するのに役立つ証拠または手がかりであり、多くの場合メタデータのパンくずの形式をとります。
ハンター氏はさらに、FBI は、企業がトリアージ (識別、優先順位付け、解決) を行う際にブラックリストに登録したいインシデントに関連する IP のリストを提供するなどの支援もできる、と付け加えた。
「我々が電話を受けるのは大抵、『家が燃えている』からだと理解している」とハンター氏は述べ、FBIの目的はさらなる混乱を引き起こすことではなく、FBIの資源を提供することで企業を助けることだと強調した。
国土安全保障省の国土安全保障捜査タスクフォースの責任者マーク・ギブル氏はハンター氏に同意し、「あなたにとっては、これは一大事です。『あなたの家』、『あなたの城』ですから。しかし私たちにとっては、同じ日に遭遇した3件目か4件目の事件かもしれません」と付け加えた。
「つまり、IoCに加えて、すでに流出したデータの一部を発見している場合もあります」とギブル氏は述べた。「あるいは、システム上に潜む不正侵入の痕跡がどこにあるのか、ある程度の知見が得られている場合もあります。」
ギブル氏はまた、軽微な事件を報告することの重要性も強調した。
「小さな問題を抱えていることもあるでしょう」とギブル氏は言った。「そして私たちが現場に着いた時、問題はもっと大きくなるかもしれないと告げるかもしれません。これが情報です。さあ、やってみてください。『あなたの家』を直してください」
法的報告責任と協力インセンティブ
米国には、医療保険の携行性と責任に関する法律(Health Insurance Portability and Accountability Act)、グラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act)、公正信用報告法(FCRA)、カリフォルニア州消費者プライバシー法(California Consumer Privacy Act)など、連邦および州のセキュリティ侵害通知に関する法律が複数存在します。また、重要インフラにおけるサイバーインシデント報告法(CIRRA)や米国証券取引委員会(SEC)の規則といった新たな法律の制定により、企業に対してサイバー犯罪の報告を求める圧力が高まっています。
それでも、違反が発生した場合に企業が政府に通知し、協力し、連携しなければならない義務と法的要件については、より明確にする必要がある。
ギブル氏は、国土安全保障省とFBIは企業が重要な質問に答えるのを支援できると述べた。例えば、次のような質問だ。
- 同じタイプの攻撃を受けた他の企業は、過去 48 時間以内に何を行ったのでしょうか?
- 攻撃はどのように進化するのでしょうか?
- その背後に誰がいるのか、そして何が起こっているのか?
- 我が社は身代金を支払うべきでしょうか?
ギブル氏はさらに、国土安全保障省やその他の機関も、攻撃を実行している特定の脅威アクターに関する情報を保有しており、より広範な視点を提供できる可能性があると付け加えた。企業は独自の調査、準備、インシデント対応計画を有しているが、例えば国土安全保障省はサイバー犯罪に関する国内および世界規模のデータを保有しているとギブル氏は付け加えた。
参照: TechRepublic Premiumのインシデント対応ポリシー
サイバーセキュリティ攻撃を受けた場合の連絡先
企業やセキュリティチームは、サイバーセキュリティ攻撃が発生した際に誰に連絡すればよいのか、しばしば混乱を招きます。複数の機関が関与し、州や国の管轄権が影響し、様々な種類の攻撃に特化したタスクフォースが存在する中で、誰に最初に連絡すればよいのでしょうか?
「法執行機関への通報は当然ながら賢明です」とハンター特別捜査官は述べた。ハンター特別捜査官は、企業はFBI、シークレットサービス、国土安全保障省、そして連邦機関と連携するその他の地方当局に連絡を取ることができると説明した。米国のサイバー犯罪に関しては、すべての連邦および州当局が協力しており、要請があれば、企業を最も適切かつ最も近い現地のリソースに紹介する。
より具体的に、ハンター氏は企業に対し、CyWatchに連絡するようアドバイスしました。「CyWatchはFBIのサイバーセキュリティインシデント対応ホットラインで、24時間対応です。CyWatchへの連絡は、(855) 292-3937までお電話いただくか、[email protected]までメールでご連絡ください。CyWatchは、該当のインシデントを担当するFBIの現地事務所に迅速に接続してくれます。サイバースーパーバイザー、あるいは該当の亜種に実際に対応している捜査官とすぐに電話で話せるかもしれません。」
FBIは、弁護士が企業を代表していることを知った場合、早い段階で弁護士を会話に参加させるよう努めます。「私たちは全員を巻き込み、非常に協力的な会話をしたいと考えています」とハンター氏は述べました。
「事件が発生する前にFBIと事前に良好な関係を築いておくことが最も重要です」とハンター氏は述べた。こうした関係を築くことで信頼関係が築かれ、プロセスが迅速化される。
企業がFBIや国土安全保障省と既存の関係を構築すべき理由
企業がよく抱くもう一つの疑問は、特定の機関が特定のサイバー犯罪に対応しているかどうかです。攻撃の種類(国家による攻撃や暗号犯罪など)が変われば、連絡先も変わりますか?
「国土安全保障省はダークウェブとランサムウェアに重点的に取り組んでいます」とギブル氏は述べた。「一方、シークレットサービスは暗号資産の追跡に力を入れています。暗号資産の追跡について疑問があれば、シークレットサービスに質問します」とギブル氏は述べ、FBIは長年の歴史と規模を誇り、事件現場に近い地域のリソースに問い合わせを転送できると付け加えた。
「最終的には、誰かに電話していただければ、適切な担当者に連絡いたします。対応を怠ったり、無視したりすることはありません」とギブル氏は述べた。地方であっても、当局との連絡は電話または電話会議で対応可能です。また、企業が担当者の同席を希望する場合は、州または地方の法執行機関と連携して手配することも可能です。
ギブル氏もハンター氏の意見に同意し、誰に連絡すべきかという問いに対する最良の答えは、事前に関係を構築し、その連絡先をインシデント対応計画に組み込むことだと述べました。事前に関係を築いている企業は、法執行機関の担当者を既に把握しているため、インシデント発生時により安心感を得ることができます。また、既存の関係は、政府機関とのデータ共有の複雑さを乗り越える上でも役立ちます。
企業にとっての最終的なポイント
パネルディスカッションの専門家たちは、企業へのアドバイスでイベントを締めくくりました。ギブル氏は、セキュリティを自らの責任として捉え、同じ業界の関係者、法執行機関、あるいは学術関係者と連携することの重要性を強調しました。
「法執行機関はこうやって学んでいるんです。生まれつき直感的な知識を持っている人はいません」とギブル氏は言った。「頭脳の信頼度を高めましょう」
さらに、企業はデータとシステムのインベントリを実施し、攻撃発生時に支援に駆けつけるインシデント対応チームまたはフォレンジックチームを整備する必要があります。インシデント対応計画は年ごとではなく月ごとに更新し、従業員には悪意のあるメッセージを認識できるよう教育する必要があります。
「単純な話に聞こえるかもしれないが、私が調査するインシデントの大半は、依然として従業員が悪意のあるリンクをクリックしたことに起因している」とハンター氏は語った。
企業は、FBI、国土安全保障省、シークレットサービス、あるいは地方自治体といった法執行機関との関係構築によってメリットを得ることができます。連携を通じて、法執行機関が有するフォレンジック、法律、世界的な動向、特定のテクノロジーや攻撃、修復・対応技術、そしてより広範なグローバル情報といった分野の専門知識を活用できます。こうした連携は、民間セクターが攻撃に迅速かつ効率的に対応し、解決するのに役立つだけでなく、国内外のデジタルセキュリティを強化することにもつながります。
国土安全保障省に連絡を取りたい企業は、サイバー犯罪削減に向けた米国の取り組みを主導するサイバーセキュリティ・インフラセキュリティ庁(CISA)を通じて連絡を取ることができます。CISAへの連絡は、メール([email protected])または電話(888-282-0870)で可能です。また、CISAのインシデント報告サイトから様々なインシデントを報告することも可能です。FBIへの連絡は、インターネット犯罪苦情センター(IC3)を通じて可能です。IC3は、米国のサイバー犯罪報告の拠点です。
