概要
委員会は、小規模および中規模の通信事業者でランサムウェアによる障害が増加していることを把握していると述べた。
連邦通信委員会(FCC)は、ランサムウェア攻撃の被害を避けるため、通信会社に対し、システムの定期的なパッチ適用、多要素認証の有効化、ネットワークのセグメント化を行うよう警告している。
「最近の事案は、米国の一部の通信ネットワークがサイバー攻撃に対して脆弱であり、国家安全保障、公共の安全、事業運営に重大なリスクをもたらし得ることを示している」と、FCCの公共安全・国土安全保障局は1月29日の警告で述べた。
警告によれば、FCCは過去1年の間に、「サービスを中断させ、情報を露出させ、重要ファイルから事業者を締め出した」小〜中規模の通信会社に関わるランサムウェア事案を「把握するに至った」という。
委員会はまた、通信企業に対するランサムウェア攻撃の件数が世界的に4倍に増加したことを示す最近のデータも引用し、2022年から2025年の間に増えたとしている。
FCCの警告は、ランサムウェア攻撃者の手口を説明し、阻止するためのベストプラクティスを列挙するとともに、侵入を受けた場合の対応方法を解説している。インシデント対応の章では、FCC、FBI、その他の機関への連絡方法を含め、政府への攻撃報告に関する指針を提示している。
警告に含まれる助言の一つとして、重要インフラネットワークへの侵入の相当数を占めるサプライチェーンの脆弱性を監視することが推奨されている。「サードパーティベンダーのサイバーセキュリティ対策を評価し、その脆弱性を監視することで、事業者が管理するインフラの外部で発生する脅威のリスクを低減できる」とFCCは述べた。
また、企業はデータを定期的にバックアップし、従業員を訓練し、インシデント対応計画をテストすべきだと委員会は述べた。
警告の付録には、FCCの官民連携組織である通信セキュリティ・信頼性・相互運用性評議会が作成したベストプラクティスが列挙されており、ソフトウェアパッチの検証を必須とすること、強固なパスワードを徹底すること、ネットワークアクセスに最小権限の原則を採用することなどが含まれている。
高まる懸念
通信企業が直面するサイバーセキュリティリスクは2024年に大きな注目を集めた。中国政府のハッカーが、「ソルト・タイフーン」キャンペーンの一環として、米国および海外の幅広い通信企業に侵入していたことが明らかになったためだ。専門家は、古く、保守が不十分なシステムの寄せ集めであることが多いネットワークを、通信会社が完全に保護するのは困難で、場合によっては不可能だと述べている。
一部の政策立案者は、通信事業者のセキュリティ上の不備について責任を問うため、FCCや他の機関にさらなる対応を求めてきた。オレゴン州選出のロン・ワイデン上院議員(民主党)は、CISA(サイバーセキュリティ・インフラ安全保障庁)が通信分野の脆弱性に関する2022年の報告書を公表するまで、承認を阻止するとして、ドナルド・トランプ大統領がCISA長官に指名した候補者の承認手続きを止める意向を示している。ワイデン氏はまた、FCCが通信事業者に新たなサイバーセキュリティ要件を課すこと、そして司法省がソルト・タイフーンの被害企業による潜在的な刑事法違反を捜査することを求めている。(ワイデン氏は、企業が通信支援法(Communications Assistance for Law Enforcement Act)および虚偽請求法(False Claims Act)に基づく義務、すなわち機微データを保護し、自社のサイバーセキュリティ態勢を正確に説明する義務に違反した可能性があると推測した。)
トランプ政権はこれとは逆の方向に進んでいる。11月には、FCCは撤回した。それは、通信事業者のサイバーセキュリティ上の義務を強化することになっていた、バイデン政権時代の法解釈である。
翻訳元: https://www.cybersecuritydive.com/news/fcc-telecommunications-ransomware-warning/811100/
