政府閉鎖が米国の情報共有とサイバー防御に脅威

出典: Lightspring via Shutterstock

米連邦政府の長期的な閉鎖は、国家のサイバーセキュリティ態勢に広範な影響を及ぼす可能性があり、最も差し迫った懸念は、民間部門と政府間のサイバー脅威インテリジェンス共有の混乱です。

他の主な懸念事項としては、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）がその任務を継続できるかどうか、そして現在サイバーセキュリティのために依存している契約業者や第三者を解雇せざるを得ない連邦機関での潜在的な脆弱性が挙げられます。

サイバー脅威インテリジェンス共有への後退の可能性？

10月1日午前0時1分に始まった政府閉鎖は、2015年サイバーセキュリティ情報共有法（CISA 2015）が2025年9月30日の失効日までに議会で再承認されなかったことにより、同法の失効と重なりました。

CISA 2015 は、善意で脅威データを共有した企業に対し、プライバシーや独占禁止法関連の責任から保護する重要な法的保護を提供していました。セキュリティ専門家はこの法律を、マルウェアのシグネチャや攻撃パターンなどのサイバー脅威指標を民間部門と連邦・州・地方政府間で自主的に交換することを促進する上で不可欠と広く考えています。

もし政府閉鎖が法改正の努力を停滞または遅延させた場合、米国組織が国家支援の敵対者やサイバー犯罪集団、ハクティビストからの脅威にさらされているこの時期に、インテリジェンス共有への影響は重大となる可能性があります。

「2015年サイバーセキュリティ情報共有法の米国国家安全保障における重要性は過小評価できません」とSysdigのサイバーセキュリティ戦略家クリスタル・モリン氏は述べています。「法的保護がなければ、多くの法務部門はセキュリティチームに脅威インテリジェンスの共有を控えるよう助言するでしょう。その結果、より遅く、より慎重なプロセスとなります。」

法的保護や情報公開法（FOIA）の盾が失われるため、法務部門はセキュリティチームに共有を縮小または全面的に停止するよう助言する可能性が高いです。その変化は高精度な脅威インサイトの流れを減少させ、組織が敵対的なキャンペーンを拡大前に阻止する能力を妨げると彼女は述べています。「リアルタイムの情報共有の代わりに、失効が起きれば、より慎重で遅延し、限定的な交換が行われることになり、CISAが過去8年間で築き上げてきた勢いが弱まるでしょう。」

Cequence Securityの最高情報セキュリティ責任者（CISO）ランドルフ・バー氏は、CISA 2015がセキュリティ専門家や防御者がよりオープンに協力できる仕組みを提供したと述べています。敵対者は攻撃を強化するために自由に知識を共有しているからです。「その不均衡は解消されていませんが、CISAは私たちにギャップを埋める仕組みを与え、防御者が以前は不可能だった方法で協力できるようにしました」とバー氏は言います。CISAが更新されなければ、「セキュリティチームは独自のフィードや分断されたインテリジェンス、自分たちの解釈に頼らざるを得なくなるでしょう」と彼は述べます。それは検知の遅延、文脈の制限、そして業界が過去10年で築いた集団的なレジリエンスの低下につながるとバー氏は付け加えます。

大量一時帰休とスタッフへの影響

政府閉鎖はCISAでの大量一時帰休を引き起こし、同庁が近年多くの人々が頼りにしてきた脅威分析、インシデント対応、民間部門パートナーへの支援などの重要な機能を果たす能力を妨げる可能性があります。米国国土安全保障省（DHS）が政府閉鎖の数日前に発表したガイダンスによると、CISAは予算切れの場合、従業員の65％、すなわち1,651人を一時帰休させることになると示されています。

CISAの人員削減は、積極的な脅威ハンティングを一時的に制限し、インシデント対応の取り組みを遅らせる可能性があると、SOCRadarのCISOエンサル・セケル氏は警告します。また、政府と民間部門全体の国家レベルでの調整の有効性も低下する可能性があります。「その純粋な効果は、敵対者が常に弱点を探っているこの時期に、脅威の状況を監視する目が減ることになるでしょう」とセケル氏は述べています。

CISA職員が一時帰休となることに加え、連邦機関でサイバー関連の職務に従事するすべての契約業者も自宅待機となる可能性が高いと、Lumifi CybersecurityのフィールドCISO、マイク・ハミルトン氏は述べています。これらの人々は、脆弱性の修正やインシデント対応に不可欠な存在だと彼は言います。

「脆弱性が発表され、ベンダーがインターネットに公開されている製品向けにパッチをリリースすると、国家や犯罪グループは連邦の露出をスキャンし、脆弱な製品を特定してそれを悪用し、これらの機関を侵害します」とハミルトン氏は予測します。「イベントを監視するアナリストや対応チームがいないことで、これらの攻撃者がネットワークに入り込む可能性が高まります。最低限でも、これにより機密通信や機関の運営が危険にさらされます。」

政府閉鎖をテーマにしたソーシャルエンジニアリングの増加

政府閉鎖に関連したフィッシングやその他のソーシャルエンジニアリングの増加も予想されています。多くの活動は、一時帰休となった脆弱で不安な労働者から資格情報やその他の機密データを盗むことに集中するでしょう。「人事・給与・福利厚生に関連する偽のフォームや本人確認依頼、あるいは閉鎖終了の公表前に復帰を促す早期通知などの手口が増加する可能性があります」とProCircularの最高技術責任者（CTO）ブランドン・ポッター氏は予測します。「『緊急の給与更新』『一時帰休の確認』『一時帰休手当受給のための対応が必要』などのメール件名がよく使われるでしょう」と彼は述べています。

これらの詐欺は資格情報や多要素認証バイパストークンの収集を目的としており、信頼性を高めるために類似ドメインが使われる可能性があります。ポッター氏は「脅威者がこれらのフィッシングメールと並行してビッシング（電話詐欺）を仕掛け、メールや依頼の正当性を高めるために電話をかけてくることも十分あり得ます」と述べています。

ポッター氏は、連邦機関はインシデント対応計画を見直し、可能であれば模擬シナリオを実施して、連邦支援を待つ間の対応準備状況を把握すべきだと助言しています。また、HRや給与、福利厚生など、政府閉鎖情報の正規の連絡経路を確立し、従業員にフィッシングの警告サインや一般的なセキュリティ意識を再確認させる必要があります。「アイデンティティに注力してください」とポッター氏は述べます。「アイデンティティ脅威の監視を強化し、すべてのアカウント、特にシステムやネットワークへの特権アクセスを持つアカウントに多要素認証が有効になっていることを100回目でも確認してください。」