CISAのレッドチームが重要インフラプロバイダーに攻撃を仕掛けた結果は：Cybersecurity Dive

CISAは大規模な重要な社会インフラ提供者に向けてレッドチームによる演習を実施した。近年、サイバー攻撃の標的になる機会が増えている社会インフラ提供者はレッドチームによる攻撃を防御できたのか。

[David Jones，Cybersecurity Dive]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、2022年の3カ月間に大規模な重要な社会インフラ提供者に向けてレッドチームによる評価を実施後（注1）、防御を強化してフィッシング耐性のある多要素認証を有効にするよう促した。

重要インフラを対象にしたレッドチーム演習の結果は

　評価活動では、CISAのレッドチームがスピアフィッシングメールを使って、地理的に離れた場所にあるワークステーションにアクセスすることに成功した。レッドチームはこのアクセスを活用し、ネットワーク内を横断して、専門的なサーバに隣接する複数のワークステーションにアクセスするルートを獲得している。

　評価対象の組織はレッドチームによるラテラルムーブメント（横展開）や持続的な活動、指揮および制御活動といった複数の行動をほとんど検出できなかった。しかし、サービスアカウントに関する強力なパスワードと多要素認証の使用によって、機密性の高いビジネスシステムに対するレッドチームのアクセスを防御できた。

　CISAによる評価は、ウクライナ戦争に関連する懸念が高まり（注2）、ランサムウェア攻撃が活発化する中、重要な社会インフラ提供者の備えについて疑問を投げかけている。

　CISAは1年以上前から、エネルギーや水、公共事業などの主要な分野を標的とした脅威活動に注意するよう促してきた。「重要な社会インフラ提供者がどのような種類であるか」や、「なぜこの組織が評価を依頼したのか」は開示されていない。

　この報告書はネットワーク防御に関する懸念、特にCISAが成熟したセキュリティプログラムと呼ぶものを備えた組織にレッドチームが持続的にアクセスできるようになった場合の懸念を強調している。

　サイバーセキュリティに関するサービスを提供するSynSaberの共同設立者兼CEOであるジョリ・ヴァンアントワープ氏は、CISAの報告書では、レッドチームによる攻撃シミュレーションが重要インフラ提供者のシステムにどのような影響を与えたかについて明示的に言及していない点に注目した。

　ヴァンアントワープ氏は「議論されているITシステムが組織の日常業務に悪影響を及ぼす可能性があるとしても、不正操作やプロセス制御、運用の中断に関する明確な言及や証拠はない」と述べている。

（注1）CISA Red Team Shares Key Findings to Improve Monitoring and Hardening of Networks（CISA）
（注2）Ukraine discovers lingering breaches 1 year into Russia invasion（Cybersecurity Dive）

原文へのリンク