CISAのランサムウェア警告を半数以上が“無視” なぜ重要インフラ組織は動けないのか?:Cybersecurity Dive
CISAは2023年、ランサムウェア防止プログラム「RVWP」の一環として重要インフラ組織に対して警告したが、実際に対応したのは半数以下だった。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、ランサムウェア攻撃を受ける可能性がある組織に直接警告をしたが、システム内の脆弱(ぜいじゃく)なデバイスを減らすための行動を取ったのは半数以下だった(注1)。
通知企業の半数しか対策せず なぜ重要インフラ組織は動けないのか?
CISAは2023年、ランサムウェア防止プログラム「RVWP」(Ransomware Vulnerability Warning Pilot)の一環として、インターネットにアクセス可能な脆弱なデバイスを運用する(電力やガス、鉄道、空港などの)重要インフラ組織に対して、ランサムウェアの脆弱性に関する警告を1754件送信した。
同庁は「私たちの調査結果によると、1754件のうち852件は、CISAからの通知を受けてパッチが適用されたり、対応策が実施されたり、オフラインにされたりした」と述べた。
CISAによると、2022年後半に開始されたパイロットプログラムは(注2)、ランサムウェア攻撃によく悪用される既知の脆弱性を持つ露出したデバイスを追跡するものだ。
CISAの広報担当者は電子メールで「RVWPとサイバーハイジーン脆弱性スキャンに関するこれらの傾向は、正しい方向への進展を示しているものの、改善の余地があることを認めている。取り組みは始まったばかりだ」と述べた。
CISAによると、アラートの3分の1以上が政府施設に送信され、4分の1がヘルスケアおよび公衆衛生機関に送られた。エネルギーや金融サービス、運輸、重要な製造業、IT部門の合計がアラートのおよそ3分の1を占めた。
CISAは、警告を受け取った後に各重要インフラ部門がどの程度対応したかを明らかにしなかった。
サイバーセキュリティ事業を営むCensysのエミリー・オースティン氏(プリンシパルセキュリティリサーチャー)は、「CISAのRVWPに関する取り組みが成功しているかどうかは、さらに多くの基礎的な測定値を把握しないと評価できない」と語っている。
「インターネットデバイスやサービスは常にインターネットに接続されているわけではない。何らかの理由でスキャン中にオンラインになり、次のスキャン中にはオフラインの状態で、また後日オンラインになる可能性のあるデバイスをプログラムがどのように評価しているかは不明だ」(オースティン氏)
一方で、重要なインフラ組織全体での行動不足は、これらの組織が既知の脆弱性を軽減するために速やかな行動を取るのを妨げる特別な課題があることを強調している。
セキュリティソリューションを提供するSectigoのジェイソン・ソロコ氏(製品を担当するシニアバイスプレジデント)は、次のように述べた。
「多くの企業では、サイバーセキュリティへの懸念が行動を促すかもしれないが、稼働時間の保証を複雑にするセキュリティ管理を導入しなければならない場合、深刻な障害にぶつかるだろう。ポンプを動かし、手術室を稼働させる必要があり、それを止めることは許されない」
「私はこの調査結果に驚いていないし、重要インフラ組織が一般企業に比べて遅れていることに何年も落たんしてきた。これらの組織には、多くの企業と同程度のセキュリティ文化がない。これを是正するには、長い道のりが必要だ」(ソロコ氏)
CISAのジェン・イースタリー氏(ディレクター)は、2024年4月22日(現地時間)の週のInstitute for Security and Technologyの年次ランサムウェアタスクフォースイベントで「これらの取り組みは、合同ランサムウェアタスクフォースと連携しており、魔法の解決策ではない。しかし、これらの取り組みがなければ攻撃の数ははるかに多かっただろう」と述べた(注3)。
(注1)Cyber Hygiene Helps Organizations Mitigate Ransomware-Related Vulnerabilities (CISA)
(注2)CISA launches ransomware warning pilot for critical infrastructure providers(Cybersecurity Dive)
(注3)CISA director pushes for vendor accountability and less emphasis on victims’ errors(Cybersecurity Dive)
関連記事
日清食品グループの“やりすぎ”なぐらいのセキュリティ対策――キーパーソンが語る10年の歩み
セキュリティ対策を前に進めるには先進企業の事例から学ぶのが近道だ。日清食品グループのセキュリティを統括するキーパーソンに、10年間にわたるITやセキュリティ対策の歩みを聞いた。2023年に最も狙われたリモートデスクトップツールは?
Barracudaは、サイバー攻撃者に悪用されるリモートデスクトップツールに関する調査結果を公開した。主に標的とされているツールとその脆弱性や攻撃手法について詳細が説明されている。管理職なら年収2000万円超え サイバーセキュリティという困難だが“もうかる仕事”
サイバーセキュリティの仕事は難しく、常に感謝されるわけでもなく、燃え尽き症候群の報告も多いが、給与は悪くないようだ。ISC2の調査からセキュリティ業務に携わる人たちの平均年収が明らかになった。「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
一般提供が開始された生成AIチャットbot「Microsoft Copilot for Security」。これはセキュリティ業務の役に立つのだろうか。セキュリティ担当者が実際に使ってみたメリット/デメリットを語った。
© Industry Dive. All rights reserved.