国家主導のサイバー侵入は、オーストラリア政府と組織の両方にとってますます大きな懸念事項となっている。リチャード・マーレス国防大臣は昨年、国家主体による重要インフラへの関心が高まっていると警告した。
サイバーセキュリティ企業Tenableのチーフセキュリティストラテジスト、ネイサン・ウェンツラー氏は、国家が支援する脅威アクターは、通常、ステルスで侵入し、拡散していくと述べた。ウェンツラー氏は、オーストラリアの組織は、他のアクターと同様に、彼らを真剣に扱うべきであり、そうでなければ地政学的紛争の際に深刻なリスクに直面することになると述べた。
ウェンツラー氏によると、ロシアの支援を受けた組織「ミッドナイト・ブリザード」による最近の国家主導のマイクロソフトへの攻撃は、大企業が攻撃を免れるという考えが誤りであることを示した。企業は自社の環境を完全に理解し、リスク管理アプローチを成熟させる必要がある。
オーストラリアでは国家主導のサイバー攻撃が懸念されている
オーストラリアでは、国家が支援するサイバー脅威活動が増加しています。オーストラリアサイバーセキュリティセンターによると、2023年6月までの1年間でサイバー犯罪の報告件数は23%増加し、9万4000件に達しました。この増加の一部は、重要インフラに対する国家が支援する攻撃によるものとされています。
ACSCの報告書は、国家主導の活動が増加した理由の一つは、オーストラリア、英国、米国の間で「原子力潜水艦やその他の先進的な軍事能力に重点を置いた」新たなAUKUS防衛パートナーシップが設立されたことだと述べている。
参照:なぜ不確実性がオーストラリアのサイバーセキュリティ戦略における最大の課題なのか
産業および重要インフラのセキュリティを専門とするドラゴスのサイバーセキュリティ年次報告によると、世界中の産業組織を攻撃者が標的とする傾向が続いており、その一部は国家支援団体と関連していることが判明した。
「地理的に孤立しているにもかかわらず、オーストラリアもこの猛攻撃から逃れることはできません。実際、ドラゴスのインテリジェンスチームは、オーストラリアの重要インフラ施設を直接標的とする攻撃者の事例を数多く確認しています」と、ドラゴスの主任ハッカーであるコナー・マクラーレン氏は述べています。
マクラーレン氏によると、これらには「戦略的なサイバースパイ活動」も含まれている。
ボルト台風はオーストラリアの地政学的利益に対する脅威の一例である
オーストラリアとニュージーランドは昨年、ファイブアイズの他の情報機関パートナーと共に、ハッキングネットワーク「ボルト・タイフーン」と中国との関連性を指摘した。ボルト・タイフーンがスパイ活動や破壊工作を目的として、数千台のデバイスと米国の重要インフラに侵入したことが判明した。
Volt Typhoonと関連グループは、拡散する際にサイバーセキュリティ専門家の間で通常は警戒されない「環境寄生型」の手法を採用しているが、もし足場を築けば、オーストラリアの重要インフラや組織に対する潜在的な脅威として挙げられている。
テッセレント社のCEO、カート・ハンセン氏は先日、TechRepublic Australiaに対し、現在の地政学的環境は、緊張が高まった場合、商業組織にとってリスクとなり、ビジネスモデルが危険にさらされる可能性があると述べた。ハンセン氏は、組織に対し、こうした攻撃への警戒を強めるよう強く求めた。
国家が支援するサイバー攻撃はなぜ、どのようにして起こるのか
Tenableのウェンツラー氏によると、国家が支援する攻撃に共通するパターンはステルス性だ。攻撃者は攻撃手法において目立たず、「ネットワークに侵入し、デバイスやシステムを侵害し、機会を伺うための待ち伏せアプローチ」を採用しているとウェンツラー氏は述べた。
通常、彼らの目的は拡散することです。
「被害を与えることも、警戒を呼ぶこともありません」とウェンツラー氏は説明した。「しかし、拡散は止まりません。国家主導の攻撃者は金銭的な報酬を求めていないため、最初の攻撃をきっかけにさらなる侵入を行い、認証情報やアプリケーションにアクセスしようとするのです。」
結局のところ、これらの行為者は、紛争が発生した場合に危害を加える可能性を望んでいます。
「彼らは重要なインフラや軍事作戦を停止させようとしている。水道や電力といったサービスを停止させることで、パニックを引き起こしたり、市民に影響を与えたりしようとしている」とウェンツラー氏は述べた。
国家主体は金融犯罪として真剣に扱われる必要がある
ウェンツラー氏によると、オーストラリアの組織は国家が支援するサイバー攻撃者をあまり真剣に受け止めていない可能性がある。その主な理由は、ランサムウェア攻撃者のような従来のサイバー犯罪者とは異なり、国家が支援する攻撃者は直接的な経済的被害を及ぼさないためだ。
「しかし、彼らが引き起こす被害ははるかに大きいのです」とウェンツラー氏は述べた。「金銭的損失は言うまでもなく大きな問題ですが、環境内のあらゆるものに侵入するという、綿密で計画的な性質を考えてみてください。そして、必要であれば、彼らはすべてを破壊してしまうのです。」
これはしばしば政府の問題とみなされるが、ウェンツラー氏は、これらの行為者は重要なインフラの枠を超えようとしており、スーパーマーケットやホテルなどのサービス提供者は国民に対して責任を負っていると述べた。
「民間部門であっても、こうしたことに目をつぶることはできない」とウェンツラー氏は語った。
真夜中の猛吹雪:オーストラリアのサイバーセキュリティ専門家への教訓
マイクロソフトが2023年1月に国家支援の脅威アクター「Midnight Blizzard」による侵害を公表したことは、いかなる組織も国家支援の攻撃から逃れられないという警告です。たとえリソースと意識を高めたとしても、大企業は依然として侵害に対して脆弱です。
参照:2024年にオーストラリア市場を支配するサイバーセキュリティの主要トレンド
「多くの組織は、大企業の方がうまくやっている、つまり、私たち中小企業だけが心配しなければならないという考えを持っています。しかし、それは間違いです」とウェンツラー氏は述べた。「これは、同じような課題が誰にでも起こり得るという、非常に顕著な例です。」
アイデンティティ認証情報は脅威アクターが足場を築くための重要なベクトル
ミッドナイトブリザードの侵害は、アイデンティティと認証情報に光を当てました。ウェンツラー氏は、オーストラリアのサイバーセキュリティチームが学ぶべき教訓は、認証情報の管理を明確にし、忘れられたり保護されていない認証情報が存在しないようにすることだと述べました。
これは、サービスアカウント、つまり人間以外のアカウントでよくある状況です。ウェンツラー氏によると、これらのアカウントはアプリケーションや自動化機能に割り当てられて機能するものの、より高い権限を持っているにもかかわらず、見落とされたり忘れられたりすることがよくあるそうです。
「彼らは攻撃者にとって格好の標的です」とウェンツラー氏は述べた。「こうしたアカウントを入手できれば、インフラへの強力なアクセスが可能になり、誰も注意を払わない可能性が高いのです。アイデンティティ、そしてあらゆるものが持つ権利や権限を把握する必要があります。」
相互接続された環境では、セキュリティに対する総合的なアプローチが必要です
ウェンツラー氏は、マイクロソフトへの攻撃は、セキュリティ機能を「小さな孤立したサイロ」のように扱うことができるという誤解も明らかにしたと述べた。つまり、Windows システムにパッチを適用したり、クラウド インフラストラクチャを強化したりするといったタスクのチェックリストを実行するだけで、セキュリティを保護することができるという誤解だ。
「問題は、これらすべてが相互に関連し合っていることです」と彼は述べた。「Windowsシステムはクラウド環境へのアクセスを提供する可能性があり、それが重要なインフラにまで影響を及ぼす可能性があります。これらすべてが互いに結びついていることを忘れてはなりません。」
サイバーチームが国家主導の安全保障上の脅威にどう対抗できるか
ミッドナイト・ブリザードによるマイクロソフトへの侵入を受けて、ウェンツラー氏は、サイバーチームは、多要素認証が有効になっていることを確認したり、最小権限の原則などのベストプラクティスのアプローチを適用したりするなど、セキュリティ対策を再検討して、個人情報の侵害リスクを最小限に抑える必要があると主張した。
しかし彼は、重要なのは組織の環境を総合的に理解することを目指し、セキュリティに対して成熟したリスク管理アプローチを採用し、脅威が発生した場合に政府機関や執行機関に支援を求める準備を整えることだと付け加えた。
組織の相互接続された環境を理解することを目指す
ウェンツラー氏は、組織は事前に対策を講じ、自社の環境を可能な限り完全に理解する必要があると述べた。これは特に、国家支援を受けた脅威アクターの活動を特定するのに役立った。彼らは「環境寄生型」の手法を用いて、サイバーセキュリティチームにとって明らかな警告を発していなかったため、検知がはるかに困難だった。
サイバーセキュリティ運用に積極的なリスク管理アプローチを採用する
組織は、NIST や The Essential Eight などのフレームワークに従うことも推奨されています。これらのフレームワークは、時間の経過とともに、壁を築いて脅威の攻撃者がそれを跳ね返すことを期待することに重点を置くことから、サイバー セキュリティに対するより積極的なリスク管理アプローチをアドバイスする方向に移行しています。
「セキュリティとは、IT サービスの実装だけでなく、リスク管理に大きく関わるものであるという考えを受け入れると、リスクの状況を理解し始める必要があります。つまり、積極的に行動し、環境を理解し、リスク プロファイルを理解し、それに基づいて、どのようなセキュリティ制御が適切であるかなど、次に何をすべきかについて適切な判断を下す必要があるということです」とウェンツラー氏は述べています。
法執行機関に支援を求める準備をしておく
組織は、国家が支援する脅威アクターの問題を通常のセキュリティインシデントと同様に解決しようとする可能性が高いが、ウェンツラー氏は、国家の脅威アクターに関する詳細な知識を持つ法執行機関や地方自治体当局と連携することも重要だと述べた。脅威はより広範囲に及ぶ可能性があるため、これは他の組織にとっても支援となる。
ウェンツラー氏は、法執行機関が追加のリソースを提供することもあると述べた。しかし、多くの民間組織では、依然として政府機関や法執行機関の連絡先をインシデント対応計画に含めていないと指摘した。インシデント発生時に探すのではなく、事前に連絡すべき相手を文書化しておくことが重要だと彼は述べた。
