監察総監室による米国国土安全保障省の監査で、米国のサイバーセキュリティを担う同省全体に及ぶさまざまな欠陥が明らかになった。
36ページの監査報告書(PDF)は、「[国土安全保障省(DHS)]はサイバーミッションの調整努力を強化できる」という肯定的なタイトルで公開され、昨日9月15日火曜日に公表されました。
監査人は、移民関税執行局(ICE)と米国シークレットサービス(USSS)の両方の内部ウェブサイトに「権限のない個人が機密データにアクセスできる可能性がある」多数の脆弱性を特定した。
これらの内部 Web サイトの脆弱性には次のものが含まれます。
- ICEとUSSSにおけるクロスフレームスクリプティングの脆弱性。これらの脆弱性を悪用されると、攻撃者は正当なユーザーを欺いて機密情報を提供させたり、特権機能を実行したり、クリックジャッキング攻撃を実行したりする可能性があります。
- ICEにおける反射型クロスサイトスクリプティングの脆弱性。これが悪用されると、攻撃者がユーザーアカウントを乗っ取り、ワームの拡散を助長し、サービス拒否攻撃を引き起こす可能性があります。
- ICEにおける構造化クエリ言語インジェクションの脆弱性。この脆弱性を悪用されると、データベースなどの基盤インフラが改変される可能性があります。
- USSSウェブサイト上で、機密情報を含む可能性のあるファイルが保護されていませんでした。このファイルを閲覧すると、ウェブサイトをホストするウェブサーバーの詳細なシステム情報が不正な人物に提供される可能性があります。
- USSSウェブサイトにおけるセッション固定の脆弱性により、攻撃者は正当なユーザーになりすますことができます。この脆弱性を悪用されると、同省のサイバーデータの機密性と完全性に影響を及ぼす可能性があります。
監査人は次のように述べた。「ICEは、選定したウェブサイトが脆弱性評価ツールでスキャンされていないと述べた。これにより、ICEがウェブサイトベースの脆弱性を特定し、解決する能力が制限される。ICEは、当社のツールが特定した具体的な脆弱性を認識していなかった。」
USSS に関しては、「最近ウェブサイト評価ツールを導入し、監査時点では特定された問題を解決中だった」とのことです。
さらに、監査では、「ICE は、効果的で標準化された一連のセキュリティ制御を維持するために必要な DHS の基本構成設定をすべて Windows ワークステーションとサーバーに実装していない」と指摘されています。
DHS は、オペレーティング システムをインストールまたは構成する際に最低限のセキュリティのベースラインを確保するためのガイドラインとパラメータを提供するために、必要なベースライン構成設定を確立しました。
ガイドラインには、ユーザー アクセス、パスワード管理、監査、コンピューター サービスなどの制御が含まれます。
OIG 監査により、ICE がベースライン構成ガイダンスで概説されている選択された Windows 7 制御設定の 79% しか実装していなかったことが明らかになりました。
さらに、ICE は、DHS ベースライン構成ガイダンスで概説されている選択された Windows 2008 サーバー セキュリティ制御設定の 58% のみを実装しました。
監査人は、監査後にICEが「ローカル管理者アカウントの名前変更を除いて、Windows 2008サーバーの選択された制御を更新した」と付け加えた。
DHS の使命は、「サイバー インシデントに対する国家の保護、予防、緩和、回復」の調整と、「連邦ネットワーク (.gov) の保護」の監督であると述べられています。
ICE、USSS、国家保護プログラム局(NPPD)を含む「DHSとそのいくつかの構成要素の主要なサイバー責任の一部」を示す表が提供されました。
