ホワイトハウスの新しい報告書によると、米国連邦政府機関が報告したサイバーセキュリティインシデントの件数は2023年に前年比9.9%増の3万2211件となり、政府全体で発生した最も深刻なインシデントの詳細も明らかにされた。
発生したインシデントの総数のうち、大多数(38%)は「不適切な使用」に分類され、システムが機関の許容使用ポリシーに違反する方法で使用されたことを意味します。報告書は、機関はセキュリティポリシー違反を検知する能力はあるものの、実際に違反が発生するのを防ぐ能力はないと指摘しています。
次に多かったインシデントは、予想通り、フィッシングと悪意のあるメールによるもので、2022 年の 3,011 件から 2023 年には 6,198 件へと、前年比で最も大きな増加を記録したベクトルでした。
5,687件のインシデントは特定のベクトルで分類できなかったため、「その他/不明」という曖昧な形でまとめられました。Webベースの攻撃は、不注意や盗難による機器の故障とは異なり、前年比でわずかに増加し、3,569件でした。
報告書[PDF]では、紛失や盗難などの内訳は示されていないが、もし示されていれば興味深いものだっただろうが、2023年の年間件数は1,832件から3,135件に増加した。
ネットワークやサービスに対するブルートフォース攻撃は、1,000 件を超える件数 (1,147 件) を記録した唯一の他のベクトルでしたが、前年比でインシデント数の増加率が最も大きく、前年の 197 件から増加しました。
しかし、攻撃が毎年増加しているにもかかわらず、国家サイバーインシデント評価システム(NCISS)で「中」レベルより上の評価を受けたものはありませんでした。NCISSは、個々の脆弱性に対するCVSSのような役割を果たし、国家や経済の安全保障、公共サービスの提供、外交関係など、社会のさまざまな側面にどの程度の影響を及ぼす可能性があるかに基づいてインシデントを評価します。
大多数(31,621件)はベースラインカテゴリーに分類され、社会に影響を与える可能性が「極めて低い」と判断されました。「低い」(社会に影響を与える可能性は「低い」)に分類されたのはわずか348件で、31件は「中程度」(社会に「影響を与える可能性がある」)に分類されました。229件については、分類に必要な情報が不足していました。
最も興味深い事件
米国に対する事件の影響度の等級分けとは別に「重大事件」があり、2023年には連邦政府機関全体で11件が報告され、保健福祉省、司法省、財務省からも複数の報告があった。
M-23-03によれば、重大なインシデントとは、覚書[PDF]からそのまま引用した2つの説明のいずれかを満たす場合に定義されます。
-
米国の国家安全保障上の利益、外交関係、経済、または米国民の公共の信頼、市民の自由、公衆衛生と安全に明白な損害をもたらす可能性のある事件
-
個人を特定できる情報(PII)が漏洩、改変、削除、またはその他の方法で漏洩した場合、米国の国家安全保障上の利益、外交関係、または経済、あるいは米国民の公共の信頼、市民の自由、または公衆衛生と安全に明白な損害をもたらす可能性のある違反。
保健福祉省
2023年に発生した11件の重大インシデントのうち2件は、保健福祉省(HHS)によるものでした。報告書によると、1件目は、同省のメディケア・メディケイド・サービスセンターを支援する請負業者が所有・運営するシステムに対するランサムウェア攻撃でした。
この攻撃はネットワークファイル共有を標的とし、280万人分の個人情報(そのうち約半数は当時死亡していた)が漏洩しました。氏名、住所、生年月日、メディケアID、銀行口座情報などが漏洩しました。
最初は、これはメディケアとメディケイドの管理サービスを扱うマキシマス社の MOVEit インシデントではないかと思われましたが、そのケースでは 280 万人ではなく 800 万~ 1,100 万人が影響を受けており、ランサムウェアの展開も実際には発生していませんでした。
HHSのもう一つの重大インシデントも、やはり請負業者の責任によるものでした。そのうち2社は、個人データを保管するシステムへのアクセスを狙ったゼロデイ攻撃の標的となりました。188万人分のデータが侵害された可能性があると推定されており、これには通常のあらゆるデータタイプに加え、場合によっては社会保障番号や医療診断情報も含まれていました。
財務省
財務省は2023年にも2件の重大なインシデントを記録したが、最初のインシデントは同じデータセットの2度の開示に関係していたため、2つの別々のインシデントであると主張することもできる。
2022年9月に内国歳入庁(IRS)によって発表されたこの事件により、氏名、住所、メールアドレス、電話番号が記載された990-Tフォームが一般の人々がダウンロードできるようになった。
コーディングエラーにより、この事態が発生しました。データは公開ウェブサーバーからすぐに削除されたにもかかわらず、担当ベンダーがステージングサーバーからデータを削除しなかったため、誤ってデータが再度公開されてしまいました。
2件目の事件は、国名を伏せた海外の国家支援攻撃者によるフィッシング詐欺に遭い、国務省監察総監室(OIG)の職員がログイン認証情報を知らずに渡してしまった事件だ。
彼らのアカウントは約 15 時間乗っ取られ、あらゆる種類のファイルにアクセスすることができたが、横方向の移動やマルウェアが持ち込まれる前に追い出された。
正義
司法省は2023年度に2度のランサムウェア攻撃の標的となった。最初の攻撃は米国連邦保安官局(USMS)のコンピュータを標的とし、USMS職員の個人データが流出したものの、迅速な対応により影響は限定的だった。
2件目の事例については、詳細についてはほとんど明らかにされていません。この事例は、案件のデータ分析サポートを提供するベンダーを襲ったものです。この事例では個人情報と医療データが漏洩しましたが、影響を受けたすべての人に必要な信用情報監視サービスが提供されました。
インテリア
内務省で発生した重大な事案はたった1件で、それは全くの偶然でした。報告書は、認可を受けた開発者が給与計算システムのセキュリティポリシーを誤って変更し、人事担当者が連邦政府機関の顧客36社の記録を閲覧できる状態にしてしまった事例を紹介しています。
この結果、約14万7000人の個人情報が漏洩した可能性があると考えられています。また、影響を受けたシステムを運用していたインテリア・ビジネス・センターは、インシデントの原因となったアーキテクチャ変更後のプライバシー影響評価を実施していませんでした。同センターは事後、社内プロセスとトレーニングを強化しました。
消費者金融保護局
CFPB で発生した情報漏洩事件では、ある元従業員が、ある金融機関に関係する約 256,000 人の消費者の個人データが詰まった 14 通のメールと 2 つのスプレッドシートを送信したことが発覚した。
CFPBは、不正行為を行った職員に対し、メールの削除と削除の証拠の提示を要求したが、要求は無視された。公式評価では、これらのメールに含まれるデータは個人のアカウントへのアクセスや個人情報の窃盗に利用されることはないとされていたが、それでも影響を受けた一部の個人には通知が送られた。
交通機関
複数の管理システムが侵害され、TRANServeイニシアチブをサポートする駐車場および交通機関給付システム(PTBS)から個人データが盗まれたため、約237,000人が影響を受けた可能性がある。
攻撃者は、名前が不明なシステムの未修正の重大な脆弱性を悪用してアクセスを獲得した。
「商用ウェブアプリケーション開発プラットフォーム」という偽りのコードを使用、氏名、自宅や勤務先の住所、社会保障番号の下4桁などの詳細情報を盗み出した。
人事管理局
- FBIはLockBitの被害者に対し、無料の暗号解読キーを得るためにすぐに行動を起こすよう呼びかけている。
- アメリカ政府は、偽装メールを通じて労働組合から盗まれた500万ドル以上の回収を目指している
- 米国規格協会が年齢確認ソフトウェアの優秀さを報告
- ああ、あの週の後、中国と西洋世界の今後がどうなるのか気になる
MOVEitの名前はここでは明示されていませんが、Cl0pが2023年度におけるOPM唯一の重大インシデントの原因であったことはほぼ間違いありません。OPMの請負業者は、連邦職員の視点調査(FESE)の運営を支援するためにMOVEit MFTを使用していました。その後、司法省と国防総省の約63万2000人の職員のデータへの不正アクセスが発生しました。
エネルギー
繰り返しになりますが、これはエネルギー省の廃棄物隔離パイロットプラントとオークリッジ関連大学に影響を及ぼした、MOVEit 関連のもう一つの事件であることはほぼ間違いありません。核廃棄物などの危険物質にさらされた可能性のある人々を支援するプログラムの対象となっていた 34,000 人の元エネルギー省職員の個人情報と健康データが漏洩しました。
科学局の職員約 66,000 人も影響を受け、氏名、生年月日、社会保障番号の全部または一部、パスポートの詳細、国籍が漏洩しました。®
