Scan PREMIUM Monthly Executive Summary は、大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理にたずさわる方々や、事業部長、執行役員、取締役、経営管理、セキュリティコンサルタントやリサーチャーに向けて毎月上旬に配信しています。
前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的としており、分析を行うのは株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏です。なお「総括」以外の各論全文は本日朝配信の Scan PREMIUM 会員向けメールマガジンで限定配信しています。
>>Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針
>>岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」
【前月総括】
9 月は、国家安全保障領域に関する注目すべき報告や調査結果が相次いで公表され、海外展開を行う企業・組織にとって、セキュリティガバナンスを再考する契機となったのではないでしょうか。とりわけ、重要インフラ関連システムの遠隔運用やデータ転送といったインフラ制御権を海外事業者に委ねることのリスクについては、各国で警鐘が鳴らされています。
チェコ国家サイバー情報安全庁(NÚKIB)は、チェコ国内の小規模太陽光発電所で使用される太陽光インバーターの95 ~ 99 %が中国製であることを指定し、このことが安全保障上の脅威となり得ると警告しています。同警告は、単なる注意喚起ではなく中国の法的環境と過去のサイバー攻撃事例を根拠とした脅威の公式認定として位置付けられるものです。
さらに、中国の金盾(通称、グレートファイアウォール)に関する機密文書が流出し、同国および関係国におけるデジタル権威主義体制の実態が改めて浮き彫りとなりました。流出資料には、金盾の運用を担う中核組織である「积至(海南)信息技术有限公司(Geedge Networks)」や、中国科学院情報工程研究所傘下の「Massive and Effective Stream Analysis Laboratory(MESA Lab)」に関する契約記録や監視技術仕様が含まれていました。文書によれば Geedge Networks 社は、中国国内の新疆省、江蘇省、福建省などで監視・検閲サービスを提供しているだけでなく、カザフスタン、パキスタン、エチオピア、ミャンマーなど少なくとも 4 か国に輸出していることが明らかとなっています。
注目の脅威動向ですが、セキュリティ企業である CrowdStrike 社の発行アカウントに登録された複数の npm パッケージが、現在進行中のサプライチェーン攻撃によって改変されたことが報告されています。この攻撃は、以前に報じられた「Shai-Halud」等の npm サプライチェーン攻撃との関連が指摘されており、被害範囲および新たな標的の拡大が懸念されています。オープンソースパッケージのサプライチェーンは、昨今最も厄介な脆弱性のひとつになっており、本報告は開発プロセスの安全性や資格情報管理の強化等の重要性を再認識させるものです。