DHS、HSIN情報共有プラットフォームへのハッカー侵入を確認

米国土安全保障省(DHS)は、連邦・州・地方および民間セクターのパートナーが利用する機密性の高い情報共有プラットフォーム「Homeland Security Information Network(HSIN)」が侵害されたサイバー攻撃について調査を進めています。

この侵入はNextgovが最初に報じたもので、事情に詳しい匿名の関係者2名によると、身元不明の脅威アクターがここ数週間のうちに実行したもので、5月下旬から6月上旬にかけて発生したとみられています。

DHSは現在この攻撃を調査中であり、特定の脅威アクターや外国政府への帰属は行っていないとされています。システムから文書が窃取されたかどうかも、依然として不明です。

Nextgovの情報筋によると、脅威アクターはHSINのサーバーに加え、共同作業に使われているSharePointシステムも標的にしていました。これを受け、DHSの情報分析局はこの侵害の被害状況の評価を実施しています。

Homeland Security Information Networkは、政府機関、国際機関、民間セクターのパートナー間で機密扱いではないものの取り扱いに注意を要する情報を共有するためのDHSのプラットフォームです。

承認されたユーザーはこのネットワークを通じて、データへのアクセス、パートナー機関とのリクエストのやり取り、業務管理、計画されたイベントの安全・警備の調整、インシデント対応、そして地域社会を守るために必要な重要情報の共有を行うことができます。

このプラットフォームはリアルタイムでの通信、アラート、インシデント管理に対応しており、要注意人物や潜在的な脅威に関する情報のやり取りにも使われています。

米国は現在、国内各地で開催されているワールドカップの試合の警備を統括している最中であるため、Nextgovは今回の侵害によって警備計画、省庁間の連携、対応手順が漏えいした可能性があるとの懸念を示しています。

DHSの広報担当者は声明の中で、機密システムには影響がなかったと強調しつつ、この事案についてBleepingComputerに確認しました。

「国土安全保障省は、特定の機密扱いではないレガシーの情報共有環境に関わる最近のサイバーインシデントを認識しています」とDHSはBleepingComputerに語りました。

「我々は直ちに対応し、影響を受けたシステムを隔離して脆弱性を緩和するとともに、包括的なフォレンジック調査を開始しました。機密ネットワークが影響を受けたことを示す兆候はなく、システムはパートナーに対して稼働を続けています。これは現在進行中の調査であるため、これ以上の運用上の詳細は現時点でお伝えできません」

HSINは2023年にも一度セキュリティインシデントに見舞われており、その際は契約業者のコーディングミスに起因するアクセス設定の不備により、プラットフォームの情報部門であるHSIN-Intel内の制限付きデータが露出しました。

Wiredが確認したDHS内部メモによれば、このミスによってアクセス権限が限られた許可済みグループではなく「全員」に設定されてしまい、機密性の高い米国人の個人情報を含むその他の個人識別情報が、HSINの全ユーザーに露出する結果となりました。

攻撃者に先んじて、あらゆる層をテストする

セキュリティチームが記録できている攻撃の成功例はわずか54%、アラートが発生するのはたった14%にすぎません。残りは環境内を検知されずに通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/dhs-confirms-hackers-breached-hsin-info-sharing-platform/

ソース: bleepingcomputer.com