サイバーセキュリティおよびインフラセキュリティエージェンシー(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)などの機関は、一般的な「土地から生きる」(Living Off The Land:LOTL)技術とサイバー防御能力の一般的なギャップに関する共同ガイダンスを発表しました。LOTLは、犯罪者が合法的なIT管理ツールを使用して悪意のある活動を行う隠密なサイバー攻撃技術です。このガイダンスは、「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to US Critical Infrastructure」と題された共同サイバーセキュリティアドバイザリー(CSA)とともに発表され、中国(PRC)政府に関連するグループによる重要インフラへの攻撃に関する最近の警告に対する反応です。
FBIは、攻撃がVolt Typhoonとして知られる高度な持続的脅威(APT)グループの仕業であると信じて、米国全土の数百台のルーターからマルウェアを削除するために裁判所命令を使用しました。米国当局は、このボットネットが中国の攻撃者に重要インフラへの持続的アクセスを提供するよう設計されていると述べました。2023年5月、MicrosoftはVolt Typhoonによる米国の重要インフラ組織を対象とした潜在的で標的を絞った悪意のある活動を発見しました。
LOTLガイドは、中国の国家行為者だけでなく、ロシア連邦の国家支援行為者や、合法的なツールを利用して検出を回避するRansomware-as-a-Service(RaaS)ギャングによって展開される方法も含んでいます。このガイダンスは、LOTLが特に効果的である理由として、多くの組織が悪意のあるLOTL活動の検出を支援する効果的なセキュリティおよびネットワーク管理実践(確立されたベースラインなど)を欠いていること、活動に関連する従来の侵害指標(IOC)が一般的に欠如していること、サイバー脅威アクターがカスタムツールの開発と展開に投資することを避けることができることを指摘しています。
また、攻撃者がログを変更または消去するリスクを避けるために一度書き込み、多く読み取り可能な詳細なログを実装する、ネットワーク、ユーザー、管理、およびアプリケーション活動のベースラインを確立し継続的に維持する、すべてのログを継続的にレビューして現在の活動を確立された行動ベースラインと比較し、指定された異常に警告する自動化を構築または取得するなど、検出と強化のためのベストプラクティスが詳細に説明されています。
さらに、CISAはソフトウェアメーカーに対して、ソフトウェアの弱いデフォルト構成やパスワード、低コストまたは無コストの強化されたログの必要性、ガイドで特定されたその他の悪用可能な問題を減らすために、ソフトウェアをセキュア・バイ・デザインの原則に従って実装するよう促しています。
【ニュース解説】
サイバーセキュリティとインフラセキュリティの分野で活動する主要な米国機関が、犯罪者が合法的なIT管理ツールを利用して行う「土地から生きる」(Living Off The Land:LOTL)と呼ばれるサイバー攻撃技術に関する共同ガイダンスを発表しました。この技術は、特に中国(PRC)政府に関連するグループや、ロシア連邦の国家支援行為者、さらにはRansomware-as-a-Service(RaaS)ギャングなどによって利用されています。これらの攻撃者は、合法的なツールを悪用することで検出を回避し、重要インフラへの持続的なアクセスを確保しています。
LOTL攻撃が特に効果的である理由として、多くの組織が悪意のある活動を検出するための効果的なセキュリティやネットワーク管理実践を欠いていること、従来の侵害指標(IOC)が欠如していること、そしてサイバー脅威アクターがカスタムツールの開発と展開に投資する必要がないことが挙げられます。
このガイダンスでは、攻撃者がログを改ざんまたは消去するリスクを避けるために、一度書き込み多く読み取り可能な詳細なログの実装、ネットワークやユーザー活動のベースラインの確立と維持、すべてのログの自動レビューと異常の警告など、検出と強化のためのベストプラクティスが提案されています。
さらに、ソフトウェアメーカーに対しては、セキュア・バイ・デザインの原則に従ってソフトウェアを設計し、弱いデフォルト構成やパスワード、その他の悪用可能な問題を減らすことが求められています。これにより、エンドユーザーだけでなく、ソフトウェアメーカーもセキュリティの向上に貢献することが期待されます。
このガイダンスの発表は、サイバーセキュリティの分野での重要な一歩であり、組織がLOTL攻撃をより効果的に検出し、対処するための具体的な指針を提供します。しかし、この技術の進化と悪用の可能性を考えると、組織は常に警戒を怠らず、セキュリティ対策を更新し続ける必要があります。また、このガイダンスが提供する情報とベストプラクティスの適用は、サイバー攻撃に対する防御力を高めるだけでなく、将来的な攻撃のリスクを低減させることにも繋がります。
from FBI and CISA publish guide to Living off the Land techniques.
