カジノサイト OPM の余波

どう見てもそれは世紀のハックでした。 1年前の6月、米国人事管理局（OPM）は、現職、元職、将来の連邦職員および請負業者の身元調査記録が盗まれていたことを世界に明らかにした。当初、OPM は、この侵害の影響を受けたのは 420 万人だけだったと発表しました。

しかし、さらなる調査の後、2,150 万人がこの侵害の影響を受けていることがすぐにわかりました。その内訳は、OPM を通じて身元調査を申請した 1,970 万人、および非申請者 (申請者の配偶者または同居人) 180 万人です。 

これらの個人は、社会保障番号が侵害されただけでなく、身元調査フォームの記入に使用したユーザー名とパスワードも侵害されました。彼らが住んでいた場所、一緒に住んでいた家族、そして以前の仕事に関する詳細な情報も盗まれました。そして、不運にも 560 万人については、身元調査員が収集した指紋や面接の詳細などの情報が漏洩しました。

この違反は、米国連邦政府の人事部門にとって大きな当惑でした。公聴会が開始され、被害者に警告するための通知が展開されました。OPM ディレクターのキャサリン・アーチュレッタ氏は、ハッキングがどのように起こったのか、またなぜ OPM に標準セキュリティ機能 (社会保障番号の漏洩を防ぐための暗号化など) が欠けていたのかについての質問に答えながら、火に足を向けていました。

アルチュレータ氏は最終的に 2015 年 7 月に辞任し、連邦政府はセキュリティを全体的に評価し強化するためのサイバーセキュリティの取り組みを開始することになります。 OPM にとって、これはこれまで実施されていなかったさまざまな措置を導入することを意味すると、OPM 報道官のサミュエル・シューマッハ氏は述べています。 

最初は、すべてのネットワーク ユーザーに多要素 (PIV) 認証を強制することで、より厳格なアクセス制御を実装することでした。これは管理予算局のサイバー スプリント中に完了した大規模な取り組みです。 

「また、エンタープライズ ネットワーク アクセス制御ソリューションの実装を通じて、ネットワークとシステムの継続的な監視を拡張しました。これは、ネットワーク アクセスを監視および制御し、特定されたすべての脅威と未知のデバイスを即座に隔離します」とシューマッハ氏は説明します。 「このテクノロジーにより、OPM は潜在的な脅威をリアルタイムで効果的に封じ込め、根絶することができます。これらのアクションにより、境界および内部のセキュリティ防御が大幅に向上しました。」

シューマッハ氏は、なぜOPMが侵害前にこれらのシステムを導入していなかったのかについては説明しなかったが、今後はOPMがサイバーインシデントへの対応を明確にし、迅速化する計画であると述べた。

「私たちは組織全体のサイバーリスクを評価し、行動に優先順位を付け、計画を策定し、将来のサイバー攻撃を最小限に抑えるためにコンピューターとネットワーク環境に多くの機能強化を実施しました。」と彼は付け加えました。 「私たちは他の代理店パートナーと協力して、テクノロジーの導入だけでなく、OPM内のプロセスやサイバートレーニングの改善にも取り組んでいます。私たちは、私たちが管理者である情報のさらなる損失を防ぐために全力を尽くすことに取り組んでいます。」

これらの措置により、OPM はネットワークに保存されているデータを保護する上でより良い立場に立つことができ、シューマッハ氏は、OPM は引き続きセキュリティ体制を改善する計画であると述べています。

これは、「政府機関と協力して質の高い IT 人材を雇用し、行政管理予算局やその他の機関と学んだ教訓を共有して、政府の事件対応能力を向上させ、従業員と国民に身元を保護するために必要なサービスを提供する」ことでこれを実現します。

一部の分野では進歩が見られましたが、OPMは、情報が侵害されたことを被害者に警告するための通知プロセスの処理方法について批判されています。 Security Management の記事執筆時点では、2,150 万人の被害者のうち 93% がメールで侵害について通知を受けていました。

OPM は、データが盗まれたと信じているが通知レターを受け取っていない個人を引き続き支援するために、オンライン認証センターを設立しました、とシューマッハ氏は言います。 「センターは、身元調査侵入の影響を受けたが、PIN コードを紛失したことを知らせる手紙を受け取った人々も支援します。」

また、被害者をさらなる被害から守るために、OPM は、1 億 3,000 万ドル以上の契約で、ID エキスパートを通じて信用および個人情報回復サービスを提供しています。当初、このサービスは 2018 年まで提供されていましたが、議会は 2025 年までサービスへの資金提供を許可する法案を可決しました。

2016 年 3 月 13 日の時点で、このサービスに登録しているのは 2,595,318 人だけです。これは、一部の被害者がそのサービスが必要ないと考えているか、そのサービスが効果的であると信じていないためである可能性があります。 

Ntrepid の CTO であるランス・コットレル氏は、クレジットおよび個人情報盗難の監視サービスのみを提供するだけでは、将来のサイバー攻撃の標的となる被害者を防ぐのに十分ではないと主張する評論家の 1 人です。

「[侵害] の発表が発表され、何が起こっているかの範囲と性質を理解し始めた後、社内の非常に多くの人がこの影響を直接受けたため、これを自分たちの標的として捉えました」とコットレル氏は言います。 「そして、私たちの大多数が『自分を守るために何をする必要があるだろうか？』と言い始めました。」

彼らの答えは、個人情報盗難に対する保護を受けられないというものでした。その代わり、侵害された詳細データのレベルにより、極悪非道な個人が非常に標的を絞った攻撃を行うことが可能になるという認識のもと、Ntrepid が所有する Passages の Cottrell 氏とその他の企業は、OPM データ侵害の被害者が自社製品のコンシューマ版を無料で利用できるようにする取り組みを開始しました。

Passages は個人のインターネット ブラウザを取得し、それを強化された仮想マシンに隔離します。このマシンはブラウザとローカル ネットワークからのすべての通信を分離し、ユーザーの身元と所属企業を攻撃者から隠し、感染したダウンロード ファイルをプライベート クラウドに隔離し、Firefox を使用しているため通常のインターネット ブラウザと同様に動作します。

このシステムは、Web 配信型マルウェア、水飲み場攻撃 (正規の Web サイトがマルウェアに感染する)、スピア フィッシング、受動的情報漏洩、ドライブバイ ダウンロードからユーザーを保護します。そして、これは、将来、前例のないレベルの高度なサイバー攻撃を標的とする可能性が高い OPM データ侵害の被害者にとっては特に有益である可能性がある、とコットレル氏は言います。

「Passages を使用すると、Web サイトにアクセスしたときに自分が誰であるかがわかります」と彼は説明します。 「標的型攻撃の場合、彼らが狙っている人物とは似ていないため、その攻撃は文字通り決して起こりません。」

Passages はエンタープライズ レベルで利用可能であり、民間企業や政府機関によって使用されていますが、コンシューマ バージョンは Ntrepid にとって新しい取り組みであり、特定のデータが収集されないようにするために製品に変更を加える必要があります。 

これを実現するために、Ntrepid は「重要な管理機能だけでなく、[エンタープライズ バージョンの] すべての監査および追跡ツールも削除して、当社のシステムによるユーザーのアクティビティ (ユーザーがどこに行ったか、何を見たか) をまったくキャプチャしないようにしています」と Cottrell 氏は説明します。 「私たちはそれを持ちたくないのです。データが存在すると、内部関係者の脅威、外部からの脅威、ハッカー、外国政府に対して脆弱になります。唯一の安全なアプローチは、データが私たちのシステムに存在しないようにすることです。」

Ntrepid は、2 月に OPM データ侵害の被害者にパッセージを利用可能にする計画を正式に発表し、3 月の第 1 週にサンフランシスコで開催された RSA カンファレンスで被害者向けの最初のサインアップを開催しました。このソリューションが被害者にいつ提供されるかについては明確な期限はありませんが、Ntrepid の CEO、リチャード ヘルムズ氏は、2016 年末までに展開する予定だと述べています。

ヘルムズ氏は、このアプローチを取ることで、連邦政府が確保している境界線の延長を検討するよう促すことを期待していると述べた。コットレルも同意します。

「職場には安全なシステムがあり、人々が自宅にコンピューターを持っていて、機密扱いではない機密性のない活動をそこで行っていることはわかっています。それが彼らの問題なのです」とコットレル氏は言う。 「しかし、ターゲティングの仕組み、つまり個人の自宅のコンピュータを乗っ取って電子メールにアクセスし、より良いアクセスを得るためにチェーン上の次の人物に対してフィッシング攻撃を仕掛けることができる方法を考えると、それは実際には雇用主の問題です。政府の問題なのです。」 

OPM 後に生じたもう 1 つの懸念は、サイバー侵害を特定して他者に警告した個人を解雇したり中傷したりする傾向があることだと、Arbor Networks の CTO 兼 CSO である Sam Curry 氏は述べています。

「違反があったという事実はひどいことです」と彼は説明します。 「それを発見し、それを強調した人々が中傷されるべきではありません。現在、特に私たちの物事の扱い方に関して、偏見があり、誰かが問題を報告するために前に出ることが奨励されないという、私たちが望まないシステムを作成する可能性があると思います。」

その代わりに、サーベンス・オクスリー法の下で内部告発者が奨励されているように、問題を報告したり脆弱な領域を特定したりするために名乗り出た人々に報いることに改めて重点を置くべきだとカリー氏は言う。

また、個人が問題を報告するよう奨励するこの取り組みを支援するのは、サイバーセキュリティとは何か、なぜそれが重要なのかについての継続的な啓発と教育の取り組みです。国会議事堂でのこの取り組みの先頭に立っているのは、コーディネーターのアリ・シュワルツ氏が率いる、最近設立されたサイバーセキュリティ政策と法律のための連合です。

この連合は、サイバーセキュリティに関連してますます複雑化する立法および規制政策に対処するため、教育と政策立案者との協力に重点を置いています。シュワルツ氏は、連合が2月に設立されて以来、サイバーセキュリティに関連するリスクについて政策立案者に詳細を提供するためにセキュリティ企業を参加させることに独自の焦点を当てているため、大きな関心が寄せられていると述べた。 

元ホワイトハウス大統領特別補佐官（サイバーセキュリティ担当）であるシュワルツ氏は、ここ数年でサイバーセキュリティに関心を持つ議会議員や行政府がますます増えていると語る。 

「大統領の国家行動計画を見れば、それが大統領の予算案といかに結びついているかがわかります」とシュワルツ氏は、今年初めに発表されたオバマ大統領のサイバーセキュリティ国家行動計画について説明する。 「この分野では予算が 45 パーセント増加しています。その多くが政府機関自体を守るという考えに当てられていることがわかります。」