サポート終了(EOS)のエッジデバイスを標的とした悪用キャンペーンが続く中、米国の主要サイバーセキュリティ機関は、こうしたデバイスをすべて12か月以内に廃止するよう指示する通達を発出した。
2月5日、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、拘束力のある運用指令 26-02:サポート終了エッジデバイスに起因するリスクの軽減を公表した。
この指令は、すべての民間連邦機関、行政府、各省庁および機関に適用される。
「EOSエッジデバイスを稼働させている機関の情報システムが悪用される差し迫った脅威は重大かつ恒常的であり、連邦財産に対する重大な脅威となっている」とCISAは声明で述べた。
同庁は、他の攻撃ベクトルとは異なり、この問題は、指令で示されたライフサイクル管理の実践に従うことで是正できると指摘した。
インターネットなどの外部環境にさらされる連邦ネットワークの「エッジ」または公開領域に配備されたEOSデバイスが、廃止の対象として特に狙い撃ちされている。
CISAは、EOSデバイスは連邦ネットワーク上の他の場所に存在すべきではないとも指摘した。
寿命末期(EOL)デバイスは国家支援型の脅威アクターにとって魅力的な標的となっており、古い、またはサポートされていないハードウェアをネットワークへの侵入口として悪用するケースが増えている。
寿命末期デバイス廃止のタイムライン
まず各機関がEOSデバイスを特定できるよう、CISAはEOSエッジデバイス一覧を作成した。
この一覧を用いて、連邦機関は指令発出から最初の3か月以内に脆弱性を特定し、是正することが求められる。
指令の発出から12か月以内の日付でEOSとなる、またはそれ以前にEOSとなったすべてのデバイスは廃止し、その対応をCISAに報告しなければならない。
その後12か月以内にEOSとなるすべてのエッジデバイスは、棚卸し(インベントリ化)しなければならない。
指令の発出日から18か月以内に、各機関のネットワークから特定されたEOSエッジデバイスをすべて撤去し、必要に応じて、最新のセキュリティ更新を受け取れるベンダーサポート対象のデバイスに置き換えること。
次に各機関は、2年以内に、自組織環境内のすべてのエッジデバイスを継続的に発見するためのプロセスを確立し、EOSである、または12か月以内にEOSとなるデバイスのインベントリを維持しなければならない。
翻訳元: https://www.infosecurity-magazine.com/news/us-agencies-scrap-end-of-support/
