米国防請負業者は、多くが「リソース不足の民間企業」であるにもかかわらず、サイバー脅威の高まりに直面していると、NSAサイバーセキュリティ・コラボレーション・センター(CCC)の米国防産業基盤(DIB)防衛責任者であるベイリー・ビックリー氏は警告しました。
8月6日に開催されたBlack Hat USAでの講演で、ビックリー氏はNSAの「継続的自律型ペネトレーションテスト(CAPT)」プログラムの初期成果を共有しました。
この取り組みは2024年に開始され、米国防総省(DoD)の小規模請負業者向けに、Horizon3.aiのNodeZeroソリューションを通じて無料のペンテストサービスを提供しています。
講演後、Infosecurityの取材に対し、Horizon3.aiのCEO兼共同創業者であるスネハル・アンタニ氏は、このプログラムの受益者が2024年の200社から2025年には1000社に拡大する予定であることを明らかにしました。
さらにアンタニ氏は、Horizon3.aiとNSAが将来的にAIエージェントを活用してプログラムの事前テスト能力をさらに発展させる方法を模索しているとも述べました。
米国防請負業者の80%は中小企業
アンタニ氏によると、米国DIBには約30万社が含まれており、DoDの元請けおよび下請け業者が含まれます。
ビックリー氏は、これらの企業が現在多くのサイバー脅威に直面しており、特に中国の国家系サイバーグループによる脅威が最も大きいと述べました。
「中国のハッキングリソースは米国および同盟国を合わせたものよりも多く、中国は世界のどの国よりも多くの企業データを米国から盗んでいます。彼らはサプライチェーンを標的にして米国の知的財産、研究開発、軍事能力を盗み、それをもとに自国の軍事力や経済力を築けることを知っています」と彼女は述べました。
「中国による知的財産の窃盗や、Volt Typhoonのようなアクターが米国の重要インフラに事前に侵入し、好きな時と場所で破壊的なサイバー作戦を実行できるようにする新たな手法については、私たちもよく知っています」と彼女は認めました。
「しかし、彼らが好む初期侵入経路についてはあまり議論されていません。それは、インターネットに公開された既知の未修正の脆弱性を単純に悪用することであり、私たちがそれを容易にしてしまうと、彼らはコストのかかるゼロデイを使う必要すらないのです」と彼女は指摘しました。
また、中国のハッカーは「AIを活用して、これらの脆弱性の未修正インスタンスを大規模に発見・悪用する能力が非常に高まっている」とも述べました。
一方で米国防請負業者は「我が国の基盤でありながら、多くが民間企業で、正直なところリソースが不足し、ネットワークに押し寄せる悪意あるサイバー活動に圧倒されています」とビックリー氏は警告しました。
今日では、DIB企業はもはや豊富なリソースを持つ大手防衛請負業者だけでなく、80%が中小企業となっています。
「これらの企業はITを外部委託していたり、ITスタッフが最小限で、セキュリティのベストプラクティスへの意識も低いのが現状です」と彼女は付け加えました。
例としては、DoDのアプリケーションに採用されているAI企業、商業輸送会社、米軍基地を海外で支援する外資系の公益事業・通信会社などが挙げられます。
CAPT:200社のDoD請負業者で5万件の脆弱性を特定
これらの小規模防衛請負業者を支援するため、すでにDIB企業向けにサイバーサービスを提供していたNSAのCCCのメンバーが、Horizon3.ai創業者のアンタニ氏がBlack Hat USA 2023で自律型ペンテストとAIによる攻撃的サイバー作戦について講演した後、彼に連絡を取りました。
アンタニ氏とビックリー氏のチームは2023年に共同でパイロットプログラムを開発し、小規模DIB企業にペンテストサービスを提供しました。この取り組みは当初「自律型ペネトレーションテストプログラム」と呼ばれ、後に「継続的自律型ペネトレーションテスト(CAPT)」プログラムに改名されました。
このプログラムは2024年にステルス状態から公開され、200社の防衛請負業者が恩恵を受けました。
ビックリー氏は、初年度は非常に成功し、CAPTプログラムの成果として以下を強調しました:
- 2万時間のペンテスト実施
- 5万件の脆弱性を特定
- そのうち70%の脆弱性を修正
- 特定された脆弱性のうち、70%以上を業界標準よりも大幅に早い平均修正時間で修正
ビックリー氏が紹介した一例では、2025年1月にCAPTプログラムに参加した、DoDの複数部門と契約を持つ研究開発企業が、「核動力潜水艦や航空母艦に関する非常に機密性の高い情報を含む300万以上のファイルが保存されたファイル共有に、NodeZeroペンテストを5分間実行しただけでアクセスできた」といいます。
最速のドメイン全体侵害:77秒
セッション中、アンタニ氏はHorizon3.aiのチームがNodeZeroで2万時間のペンテストを行った結果得られた知見も共有しました。主な内容は以下の通りです:
- 最速の認証情報悪用はわずか5分半で発見され、防御側の対応時間は非常に短い
- ほとんどの認証情報侵害は、CVE悪用、パスワードスプレー、NTLMハッシュクラッキングなどの高度な手法を必要としなかった
- 侵害された初期認証情報の20%はドメイン管理者アカウントであり、攻撃者に即座に高レベルのアクセス権を与えた
- ドメイン全体の完全侵害までの最速時間は77秒
- ドメイン侵害までの中央値は13分で、通常5~7段階の連鎖攻撃(例:設定ミスの認証情報、サーバー、非効果的なセキュリティツール)が関与
- 一般ユーザーアカウントは最短52秒で侵害された
- AWSユーザー認証情報の侵害には89分かかり、クラウドネイティブ環境は構成要素が少ないため一般的により安全である可能性を示唆
アンタニ氏によれば、現在ではAI駆動型の攻撃は従来の手法よりも高速で、スケーラブルかつ徹底的です。
「サイバー戦争の未来は、アルゴリズムが基本となり、人間は例外的な場合にのみ介入することになるでしょう」と彼は付け加えました。
最後にアンタニ氏は、Horizon3.aiが2024年にAnthropic社によって導入されたAIエージェントの基盤インフラであるModel Context Protocol(MCP)サーバーをNodeZeroに統合し、今後PACTプログラムの一環としてペンテスト演習に活用する計画であると述べました。
「MCPサーバーを使えば、実際に問題をより迅速に修正するためのエージェントワークフローに移行できます」とアンタニ氏は締めくくりました。
翻訳元: https://www.infosecurity-magazine.com/news/dod-contractors-nsa-cyber-services/