米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月26日(米国時間)、「FBI-DHS-CISA Joint Advisory on Russian Foreign Intelligence Service Cyber Operations|CISA」において、ロシア対外情報庁が米国および海外の企業を継続的に標的にしていることを記したアラートが発行されたと伝えた。アラートは次のページに掲載されている。
-
Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders | CISA
上記のアラートは米国連邦捜査局(FBI: Federal Bureau of Investigation)、米国土安全保障省(DHS: Department of Homeland Security)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が共同で発表したもの。ロシア対外情報庁に関連すると見られる持続的標的型攻撃アクター「APT29(別名: Dukes、CozyBear、Yttrium)」は最近発生したSolarWinds Orion製品の脆弱性の端を発するサイバーセキュリティインシデントに関連しているほか、主に政府機関のネットワーク、シンクタンクや制作分析機関、情報技術企業などを標的としており、情報収集を行っていると説明されている。
上記のアラートは米国連邦捜査局、アメリカ国家安全保障局(NSA: National Security Agency)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁が発表した次のサイバーセキュリティアドバイザリを補完するものとされており、どちらのドキュメントもチェックすることが望まれる。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁は、次のドキュメントに関してもチェックすることを推奨している。
- NSA-CISA-FBI Joint Advisory on Russian SVR Targeting U.S. and Allied Networks | CISA
- FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government | The White House
米当局はこのところSolarWinds Orion製品のサイバーセキュリティインシデントがロシア対外情報庁に関連するAPTアクターによって行われたものと結論づけており、米国内企業などに対して注意を呼びかけている。
