この協業の一環として、Silent Pushは調査と知見を提供し、CISAの最新刊行物である「Bulletproof Defense: Mitigating Risks from Bulletproof Hosting Providers.」の内容に寄与しました。CISAはNSA、FBI、国防総省サイバー犯罪センター(DoD Cyber Crime Center)、および複数の国際的なサイバー機関と連携し、サイバー犯罪を最も根強く助長する要因の一つ――インフラが意図的に悪意ある行為者へ貸し出される「ブレットプルーフ・ホスティング」事業者――に対処するため、このガイダンスを策定しました。
CISAの報告書は、業界における中核的な課題を浮き彫りにしています。保護が不十分、または設定不備のシステムは、脅威アクターが大規模に活動する機会を増大させます。ブレットプルーフ・ホスティングのインフラは、しばしばインターネット全体に紛れ込み、組織が検知して封じ込めることを困難にします。
CISAとそのパートナーは、インターネットサービスプロバイダー(ISP)およびネットワーク防御担当者に対し、このインフラの有効性を低下させるため、より能動的な戦略を採用するよう促しています。推奨事項には次が含まれます:
- 悪意あるインターネット資源の高信頼リストを整備する
- これらのリストに基づいてフィルタリングやブロックを適用する
- 犯罪活動を繰り返し支えるホスティング・インフラに対する可視性を向上させる
- ブレットプルーフ・ホスティング事業者が悪性リソースをオンラインに維持し続ける自由度を制限する
このガイダンスは、Joint Ransomware Task Force(JRTF)を通じて策定されており、ブレットプルーフ・ホスティングと、重要セクターを標的とするランサムウェア・キャンペーンとの結びつきが強まっていることを反映しています。
私たちの見解
本刊行物は、長年にわたりサイバー作戦を形作ってきた問題に、待望の明確さをもたらします。ブレットプルーフ・ホスティングのインフラは、脅威アクターにキャンペーンのための信頼できる基盤を提供することで、サイバー犯罪活動を可能にします。このインフラが特定され、制約されると、防御側は新たに出現する脅威の規模と影響を低減するための、より実効的な機会を得られます。
私たちの取り組みは、防御側が悪意あるリソースを早期に検知し、インフラの変化を追跡し、これらの作戦の背後にあるパターンを理解できるよう支援することに焦点を当てています。この問題がCISAおよび国際パートナーによって正面から取り上げられたことは、より広いセキュリティ・コミュニティにとって重要な一歩です。
私たちは「インフラ・ロンダリング」に関する公開調査において、悪意ある行為者が主要クラウドプロバイダーからIPアドレスを不正に入手し、CNAMEチェーンを介してそれらをマッピングすることで、被害者に対して詐欺サイトが迅速に読み込まれるようにしている手口を詳述しました。これは、CISAのガイダンスが対象とするブレットプルーフ・ホスティング活動の一例です。私たちは、悪意あるインフラが大規模な作戦を助長する前に、防御側がそれを特定し、妨害できるよう支援することにコミットしています。
先制的サイバー防御で見据える今後
ブレットプルーフ・ホスティング事業者に対する可視性を高め、サイバー犯罪活動を支援する能力を制限することは、実務的で効果の大きい対策です。ISPおよびネットワーク防御担当者がCISAのガイダンスにある推奨事項を実装すれば、攻撃者にとっての運用環境はより制約され、コストも増大します。
この議論に知見を提供し、エコシステム全体で能動的防御を強化する取り組みを支援できる機会に感謝します。
追加リソース
翻訳元: https://www.silentpush.com/blog/cisa-bph/
