米国のサイバーセキュリティ機関CISAは木曜日、2019年から2024年にかけて発出した緊急指令(Emergency Directives)10件を終了すると発表した。
CISAによると、終了した指令は連邦政府機関に対する緊急かつ差し迫ったリスクを緩和するという任務を達成したという。
「発出以降、CISAは連邦政府機関と緊密に連携し、是正対応を推進し、ベストプラクティスを定着させ、システム上の課題を克服してきました。これにより、より安全な米国のために、より強固でレジリエントなデジタル基盤を確立しました」と同機関は述べている。
終了となったCISAの緊急指令のうち3件、すなわち「ED 19-01: DNSインフラの改ざんの緩和」、「ED 21-01: SolarWinds Orionのコード侵害の緩和」、および「ED 24-02: 国家主体によるMicrosoft社内メールシステム侵害に起因する重大リスクの緩和」については、目的が達成され、指令は不要となったため廃止されたとCISAは説明している。
残る7件の指令、すなわちED 20-02、ED 20-03、ED 20-04、ED 21-02、ED 21-03、ED 21-04、ED 22-03は、連邦政府機関に対し、Microsoft、Pulse Connect、VMwareの製品における脆弱性への対処を指示していた。
対象となった欠陥には、NSAが報告したWindowsのバグ、ワーム化可能なWindows DNSサーバーの欠陥、悪名高いZerologon脆弱性、中国のハッカーに悪用されたExchangeのゼロデイ、ロシアのハッカーに悪用されたWindows Print Spoolerの問題、そして2022年以降に悪用されている2件のVMwareの脆弱性が含まれていた。
指令のうち1件(2021年発出)は、CVE-2021-22893(CVE-2020-8243およびCVE-2021-22894と併せて悪用された)とCVE-2021-22900を含む、Pulse Connect Secureの4つの脆弱性を対象としている。
対象となった脆弱性はすべて、CISAのKnown Exploited Vulnerabilities(KEV)カタログに現在掲載されており、必要な対応は拘束力のある運用指令(Binding Operational Directive: BOD)22-01で定義されている。同指令は、連邦政府機関に対し、KEVに追加された欠陥を数週間以内に解消することを義務付けている。
「これら10件の緊急指令の終了は、連邦政府全体にわたる運用面での協働に対するCISAのコミットメントを反映しています。今後もCISAは、透明性、設定可能性、相互運用性を優先するSecure by Designの原則を推進し、あらゆる組織が多様な環境をより適切に防御できるようにしていきます」と、CISA暫定局長のマドゥ・ゴットゥムッカラ氏は述べた。
