米国CISAによるランサムウェア対策プログラムRVWPとは
セキュリティを高めたい
先生、「RVWP」って最近ニュースで見たんですけど、何のことか教えてください。
情報セキュリティ専門家
「RVWP」は、アメリカが始めたサイバー攻撃対策の新しい取り組みのことだね。ランサムウェアという、データを盗んでお金を要求する攻撃から国を守るために作られたんだよ。
セキュリティを高めたい
へえー。具体的に何をするんですか?
情報セキュリティ専門家
簡単に言うと、インターネットで、みんなが使っているシステムの弱点を探して、その弱点を持っている会社や組織に知らせるんだ。そうすることで、悪者に攻撃される前に対策できるようにしているんだよ。
RVWPとは。
「情報セキュリティの分野で使われる『RVWP』という言葉について説明します。『RVWP』は『Ransomware Vulnerability Warning Pilot』の略語で、アメリカ合衆国のCISAという機関が2023年から始めた、重要な社会基盤を守るためのランサムウェア対策プログラムの一つです。このプログラムは、重要な社会基盤のサイバー攻撃からの保護に関する法律であるCIRCIA法に基づいています。アメリカではランサムウェアによる被害が増えていることを受け、インターネット上で発見された、攻撃に利用される可能性のあるシステムの弱点を見つけ出し、その弱点を持つ企業や組織に警告することで、国全体のセキュリティを向上させることを目指しています。プログラム開始にあたり、CISAはマイクロソフト社のメールソフトの残っている弱点を見つけ出し、該当する93の企業や組織に警告しました。国が行うシステムの弱点調査と警告という取り組みは、日本ではNICTという機関がインターネットにつながる機器を対象に『NOTICE(National Operation Towards IoT Clean Environment)』という似た取り組みを行っています。」
ランサムウェアの脅威の高まり
近年、企業や組織にとって、機密情報が奪われ、その解除と引き換えに金銭を要求する「ランサムウェア」の脅威が増大しています。従来型のコンピューターウイルスと異なり、ランサムウェアは感染した端末内のファイルを暗号化し、利用できなくします。そして、その暗号を解除するために金銭を要求してきます。企業は業務に必要なデータを使えなくなり、業務が停止してしまうことで大きな損害を被ります。
特に、電力、ガス、水道などの社会にとって重要なインフラが攻撃を受けると、私たちの生活や経済活動に大きな影響が及ぶ可能性があります。このような事態を防ぐため、重要なインフラを管理する企業・組織は、ランサムウェアに対するセキュリティ対策を強化することが急務となっています。
具体的には、外部からのアクセスを制限するファイアウォールや、怪しいメールを遮断するスパムフィルターなどの導入、そして、万が一感染した場合でも被害を最小限に抑えるため、定期的なデータのバックアップなどが有効な対策として挙げられます。
さらに、従業員一人ひとりがセキュリティに対する意識を高め、怪しいメールを開封しない、不審なウェブサイトにアクセスしないなど、基本的な対策を徹底することが重要です。
ランサムウェアとは | 特徴 | 対策 |
---|---|---|
機密情報を奪い、金銭を要求する脅威 | ファイルを暗号化し、利用不可にする 暗号解除のために金銭を要求 |
|
米国におけるRVWPの開始
近年、身代金目的の不正アクセス事件は世界中で増加の一途を辿っており、社会全体に大きな脅威を与えています。特に、電力や水道など、私たちの生活に欠かせない重要な社会インフラストラクチャが攻撃を受けた場合、その影響は計り知れません。
こうした状況を受け、米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2023年から新たなランサムウェア対策プログラム「RVWP(Ransomware Vulnerability Warning Pilot)」を開始しました。RVWPは、重要インフラストラクチャに対するサイバー攻撃を未然に防ぐことを目的とした、積極的な取り組みです。
具体的には、CISAが持つ豊富な情報網を駆使し、電力会社や病院などの重要インフラストラクチャを運営する組織に対し、システムに存在する脆弱性に関する情報を事前に通知します。これにより、組織は攻撃を受ける前に対策をとることが可能となり、被害の発生を防ぐことが期待されます。
RVWPは、米国政府がサイバーセキュリティ対策に積極的に取り組んでいる姿勢を示すものであり、世界各国からの注目を集めています。日本においても、重要インフラストラクチャに対するサイバー攻撃は深刻な脅威となっており、米国RVWPの取り組みを参考に、効果的な対策を講じていく必要があります。
プログラム名 | 実施機関 | 目的 | 対象 | 対策内容 |
---|---|---|---|---|
RVWP (Ransomware Vulnerability Warning Pilot) |
CISA (米国サイバーセキュリティ・インフラストラクチャセキュリティ庁) |
重要インフラストラクチャに対するサイバー攻撃の未然防止 | 電力会社、病院など、重要インフラストラクチャを運営する組織 | システムに存在する脆弱性に関する情報を事前に通知 |
RVWPの仕組みと特徴
– RVWPの仕組みと特徴RVWP(ランサムウェア脆弱性警告パイロットプログラム)は、インターネット上に公開されている様々なシステムを対象に、自動的に脆弱性を検査する仕組みです。このプログラムは、既に知られている脆弱性を持つシステムを特定し、それらのシステムを運用している可能性のある企業や組織に対して、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から直接警告を発します。具体的には、RVWPはまず、インターネット上で公開されているシステムをスキャンし、既知の脆弱性がないか調べます。そして、脆弱性が発見された場合、CISAはその情報に基づいて、該当するシステムを運用している可能性のある企業や組織を特定します。この際、CISAはWHOISデータベースなどの公開情報を利用します。そして、CISAは特定した企業や組織に対して、脆弱性が発見されたこと、そして早急に修正する必要があることを警告します。RVWPの大きな特徴は、公的機関であるCISAが主体となって脆弱性情報を収集し、積極的に注意喚起を行う点にあります。従来の脆弱性情報公開は、セキュリティ研究者などが発見した情報を公開するケースが一般的でした。しかし、このような方法では、情報が必ずしも該当する組織に届かず、結果として脆弱性が放置されてしまう可能性もありました。RVWPは、CISAが直接警告を発することで、より確実に情報を届け、迅速な脆弱性対策を促すことを目指しています。
項目 | 内容 |
---|---|
プログラム名 | RVWP(ランサムウェア脆弱性警告パイロットプログラム) |
目的 | インターネット上に公開されているシステムの脆弱性を自動的に検査し、該当する組織に対策を促す |
実施主体 | アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA) |
手順 | 1. インターネット上のシステムをスキャンし、既知の脆弱性を検査 2. WHOISデータベース等を用いて、該当システムの運用組織を特定 3. 脆弱性に関する警告を、運用組織に対して直接通知 |
特徴 | 公的機関が主体となって脆弱性情報を収集し、積極的に注意喚起を行う |
ProxyNotShell脆弱性への対策
近年、企業や組織にとって、情報セキュリティ対策はますます重要な課題となっています。特に、メールサーバーは重要な情報が集まる場所であるため、サイバー攻撃の標的になりやすく、セキュリティ対策の強化が急務です。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が開始した「リスクおよび脆弱性低減プログラム(RVWP)」では、実際に発生しているサイバー攻撃から得られた知見を基に、企業や組織に対して、より効果的なセキュリティ対策を支援しています。
RVWPの活動の一環として、CISAは「ProxyNotShell」と呼ばれる、Microsoft Exchangeサーバーの脆弱性を悪用した攻撃の増加を確認しました。この脆弱性を放置すると、攻撃者にシステムに侵入され、機密情報が盗まれたり、システムを不正に操作されたりする可能性があります。CISAは、インターネット上にあるシステムをスキャンし、ProxyNotShellの脆弱性が残っている93の企業・組織を特定し、早急にセキュリティ対策を講じるよう警告しました。
このように、CISAは実際に発生しているサイバー攻撃の情報を迅速に分析し、企業・組織に対して注意喚起を行うとともに、具体的な対策を促すことで、サイバー攻撃の被害を未然に防ぐ取り組みを積極的に行っています。今回のCISAによる迅速な対応は、RVWPが効果的に機能していることを示す好例と言えるでしょう。
機関 | プログラム | 概要 | 脆弱性 | 影響 | 対策 |
---|---|---|---|---|---|
米国土安全保障省 CISA | リスクおよび脆弱性低減プログラム(RVWP) | 実際に発生しているサイバー攻撃から得られた知見を基に、企業や組織に対して、より効果的なセキュリティ対策を支援するプログラム。 | ProxyNotShell (Microsoft Exchangeサーバーの脆弱性) |
システムへの侵入、機密情報盗難、システムの不正操作 | CISAはインターネット上のシステムをスキャンし、ProxyNotShellの脆弱性が残っている93の企業・組織を特定し、早急にセキュリティ対策を講じるよう警告。 |
日本における取り組み
– 日本における取り組み日本では、アメリカ合衆国のRVWPと同様に、国の機関が中心となって、製品やシステムの脆い部分に関する情報収集や注意喚起を行う活動が進められています。その代表例として、国立研究開発法人情報通信研究機構(NICT)が進める「NOTICE(National Operation Towards IoT Clean Environment)」という取り組みがあります。この取り組みでは、インターネットに接続されたIoT機器の脆弱性情報を集め、その情報を元に、該当する機器を使っている人に対して注意を促す活動を行っています。具体的には、NICTは、国内外の様々な情報源からIoT機器の脆弱性情報を収集し、分析しています。そして、その結果に基づいて、ウェブサイトやメールマガジンなどを通じて、利用者に対して注意喚起を行っています。また、必要に応じて、機器の製造者に対して、脆弱性の修正を促すなどの働きかけも行っています。NOTICEのような取り組みは、IoT機器の安全性を高め、サイバー攻撃から利用者を守る上で非常に重要です。近年、IoT機器は、私たちの生活に欠かせないものとなっています。しかし、その一方で、IoT機器の脆弱性を悪用したサイバー攻撃も増加しており、大きな脅威となっています。このような状況の中、国が主体となって脆弱性情報を収集し、注意喚起を行うことは、利用者の安全を確保する上で非常に重要と言えるでしょう。
取り組み名 | 実施機関 | 概要 | 活動内容 |
---|---|---|---|
NOTICE (National Operation Towards IoT Clean Environment) |
国立研究開発法人情報通信研究機構 (NICT) | インターネットに接続されたIoT機器の脆弱性情報を集め、該当する機器を使っている人に対して注意を促す。 | – 国内外の様々な情報源からIoT機器の脆弱性情報を収集・分析 – ウェブサイトやメールマガジンなどを通じて、利用者に対して注意喚起 – 必要に応じて、機器の製造者に対して、脆弱性の修正を促す |
RVWPの今後の展望
ランサムウェア被害警告パートナーシップ(RVWP)は、始まったばかりの取り組みですが、企業や組織を狙った身代金要求型ウイルス攻撃から、社会にとって欠かせない重要なインフラを守るための取り組みとして、大きな期待が寄せられています。
RVWPは、今後さらに対象範囲が広がっていく見込みです。より多くの企業や組織が参加することで、攻撃に関する警告をより多くの組織へ迅速に届けることができるようになると期待されます。そして、攻撃の未然防止や被害の軽減に繋がると考えられています。
また、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、RVWPを通じて得られた攻撃の手口や傾向などの知見を活かし、ランサムウェアへの対策に関する手引きやツールの開発、提供を進めていく予定です。 これらの情報共有や対策支援を通じて、CISAは、企業や組織のサイバーセキュリティ対策力の向上を図り、ランサムウェア攻撃による被害の発生や拡大の抑制を目指しています。
取り組み | 目的 | 期待される効果 |
---|---|---|
ランサムウェア被害警告パートナーシップ(RVWP) | 企業や組織を狙った身代金要求型ウイルス攻撃から、社会にとって欠かせない重要なインフラを守る。 |
|
CISAによる対策支援 | RVWPを通じて得られた知見を活かし、ランサムウェアへの対策に関する手引きやツールの開発、提供を進める。 | 企業や組織のサイバーセキュリティ対策力の向上、ランサムウェア攻撃による被害の発生や拡大の抑制。 |