インフォセック簡報 8月29日、米連邦緊急事態管理庁(FEMA)は、そのCISO、CIO、および他の22名の職員を無能であるとして解雇しましたが、これはオンライン攻撃への対応ではないと主張していました。新たな資料によると、FEMAの主張は虚偽である可能性があります。
国土安全保障省のクリスティ・ノーム長官によれば、監査でFEMAに深刻なセキュリティ問題があることが判明し、「根深い官僚たち」が同庁のセキュリティ体制について嘘をついていたことが明らかになりました。
「これらのディープステートの人物たちは、自分たちの失敗を隠すことに熱心で、国土や米国市民の個人データを守ることには関心がなかったため、私は直ちに彼らを解雇しました」と彼女は述べています。
重要なのは、ノーム長官は「データの損失はなかった」と述べていましたが、実際にはそうではないようです。Nextgovに渡されたプレゼン資料によると、攻撃者は6月に盗まれた認証情報を使ってFEMAのCitrixシステムに侵入しました。その後、攻撃者はFEMAのリージョン6(アーカンソー州、ルイジアナ州、ニューメキシコ州、オクラホマ州、テキサス州)サーバーからデータをアップロードしました。FEMAがこの攻撃に気付いたのは7月になってからだったとされています。
7月までに、サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)は、NetscalerのADCおよびGatewayプラットフォームに存在するCVSS 9.3のバグを悪用する、いわゆるCitrixBleed 2攻撃へのパッチ適用を各機関に指示していました。このバグはセッショントークンなどの機密データを盗み、多要素認証を回避できるもので、6月にはすでに警告が出ていましたが、どうやら無視されていたようです。
現在、FEMAのIT部門は全面的な刷新が進められており、先月新たなスタッフが雇用され、緩いセキュリティの修正にあたっています。幹部は職員にパスワードの変更と多要素認証の有効化を指示しました。
PAN、PAN、PAN!衝撃に備えよ
Palo Alto NetworksのGlobalProtectおよびPAN-OSプロファイルを運用している場合は、今すぐ対応が必要です。これらのシステムに対するスキャン攻撃が急増しています。
金曜日、セキュリティ企業Greynoiseは警告を発し、同社のトラッカーがPANシステムへのスキャンが1,300のユニークIPから観測されていると報告しました。そのうち93%が「疑わしい」、残り7%が「積極的に悪意ある」と分類されています。通常、このような活動は「200IPを超えることはほとんどなかった」と指摘しています。
「10月3日の急増は、過去3か月でPalo AltoのログインポータルをスキャンするIPの最大のバーストでした。ほぼすべての関与インフラは過去48時間以内に初めて観測されました。トラフィックはターゲットを絞って構造化されており、ほとんどがPalo Altoのログインポータルを狙い、明確なスキャン・クラスターに分かれていました」と述べています。
攻撃者は米国内のターゲットを最も多くスキャンし、次いでパキスタン、メキシコ、フランス、オーストラリア、英国のシステムが狙われました。研究者たちは、先月Cisco機器に対して見られた攻撃を模倣していると考えており、既存の脆弱性を悪用し、パッチ未適用のシステムを探しているギャングがいることを示唆しています。
防衛請負業者、セキュリティ不備で87万5千ドルを支払い
セキュリティ調査の結果、米国防請負業者のジョージア工科研究法人(ジョージア工科大学に関連)は、システムのセキュリティ対策を怠ったとして政府に87万5千ドルの和解金を支払うことに合意しました。
政府によると、同組織はDARPA、空軍、国防総省と契約を結んでいましたが、セキュリティ体制について虚偽の申告をしていました。2021年12月に発覚するまで数年間、セキュリティソフトウェアはインストールされていなかったか、適切に管理されておらず、組織全体を監視する中央IT運用もありませんでした。
ジョージア州のサイバーセキュリティチームの2名が内部告発し、政府監査人に問題を通報したことで事件が発覚しました。クリストファー・クレイグ氏とカイル・コザ氏は、それぞれ和解金の一部として201,250ドルを受け取りました。
「請負業者が国防総省との契約で求められるサイバーセキュリティ基準を守らなければ、機密政府情報が悪意ある攻撃者やサイバー脅威にさらされることになります」と、司法省民事部のブレット・シュメイト次官補は述べています。
「国防総省や他の機関と協力し、司法省はサイバーセキュリティ要件違反を追及し、契約者がその義務を果たさなかった場合には責任を問うことを続けます。」
米政府の和解でよくあることですが、両組織は非を認めず、支払いに同意しました。
チャットコントロール、正念場へ
エンドツーエンド暗号化(E2EE)を破る欧州委員会の提案が今月山場を迎えており、プライバシー擁護者たちは、意思決定プロセスで重要な役割を果たす可能性があるドイツの動向に注目しています。
現在欧州議長国を務めるデンマーク代表団は、すべてのEU市民に「不適切な内容」をスキャンするソフトウェアの使用を義務付ける法案を再度押し通そうとしています。実質的に、いわゆるチャットコントロール法の下でメッセージ [PDF]が強制的にスキャンされることになります。
2022年以降、欧州議会の一部議員は「子どもの保護」を理由に暗号化の破壊を推進しています。先月は600人のセキュリティ・学術専門家が議員に反対票を投じるよう要請しましたが、欧州の立法プロセスは複雑で、最終的には人口比に左右されます。法案可決には、EU加盟国の人口多数派の支持が必要であり、ドイツがキープレイヤーとなります。
今週、ドイツの各団体はチャットコントロール連合を結成し、政府にデンマークの提案に反対するよう圧力をかけています。彼らは、この規則の導入は個人のプライバシー喪失だけでなく、大きなセキュリティ問題を引き起こすと主張しています。Signal [PDF]や他の暗号化メッセージアプリは、EUが法案を実施した場合、欧州でのサービス停止を警告しています。
「もしこのようなチャットコントロール法が導入されれば、私たちはプライバシーの喪失だけでなく、安全な通信インフラへの攻撃の門戸を開くことになるでしょう」と、カオス・コンピュータ・クラブの広報エリナ・アイクシュテット氏は述べています。
EU議員は10月14日(火)にチャットコントロール法案の採決を行います。
中国、オンライン詐欺犯に死刑判決
中国政府は自国民に対するサイバー犯罪の取り締まりに本気で取り組んでおり、国境を越えたミャンマーで詐欺センターを運営していたギャングのメンバー11人に死刑判決を下しました。
過去10年間、犯罪者たちは報道によると1万人以上のスタッフを使ってコールセンターを運営していました。裁判では、警備員が逃亡を試みた少なくとも10人の労働者を殺害し、多数を負傷させたことが明らかになりました。
リクルーターたちは多くの労働者を「良い仕事がある」と誘い、コールセンターに連れてきた後、監禁し、金融詐欺の仕事を強制していました。今年、中国政府はミャンマーやタイでこうした拠点を摘発し、犯罪ネットワークに巻き込まれた自国民を本国送還しました。
このギャングは、オンライン詐欺、ギャンブル、売春スキームを通じて少なくとも14億ドルを稼いだと推定されています。即時の死刑判決に加え、他の5人には2年間の執行猶予付き死刑判決、さらに11人には終身刑、さらに十数人が5年から24年の懲役刑および財産没収の判決を受けました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/06/infosec_in_brief/
