CISAが「リモートアクセスソフトウェアの保護に関する共同ガイド」を公開：サイバーセキュリティ対策への導入を推奨

米国サイバーセキュリティ・社会基盤安全保障庁（CISA）が「リモートアクセスソフトウェアのセキュリティ確保に関するガイド」を発表した。

[＠IT]

　米国サイバーセキュリティ・社会基盤安全保障庁（CISA）は2023年6月6日、米国の連邦捜査局（FBI）や国家安全保障局（NSA）、複数国家情報共有・分析センター（MS-ISAC）、イスラエル国家サイバー総局（INCD）とともに「リモートアクセスソフトウェアのセキュリティ確保に関するガイド」を公開した。

　このガイドには、リモートアクセスソフトウェアの合法的な使い方、よく見られるセキュリティ侵害の戦術、テクニック、手順、さらにはこのソフトウェアを悪用する悪意ある行為者を検出して防御する手段について書かれている。

　リモートアクセスソフトウェアは、情報技術（IT）や運用技術（OT）、産業制御システム（ICS）のサービスを維持し改善するための多様な機能を組織に提供する。しかし、悪意ある行為者は、被害者のシステムに簡単かつ広範囲にアクセスするためにリモートアクセスソフトウェアを悪用することがある。

　CISAは、悪用を検知し防御するために、各組織のサイバーセキュリティ要件に沿った形で実施すべき推奨事項と最も効果的な方法について、この共同ガイドを検討することを推奨している。

「リモートアクセスソフトウェアの保護に関する共同ガイド」の目的

　「リモートアクセスソフトウェアの保護に関する共同ガイド」の目的は、リモートアクセスソフトウェアの悪意を持った使用、検出方法、全ての組織に対する推奨事項を含む、リモートアクセスソフトウェアの概要を組織に提供することだ。リモートアクセスソフトウェアは、組織がネットワークやコンピュータおよびその他のデバイスを内部的に監視するためのプロアクティブかつ柔軟なアプローチを提供する。しかし、サイバー脅威者は、これらのツールを被害者のシステムへのアクセスに利用することが増えている。

　リモートアクセスに関するソフトウェアとツールは、ITやOT、ICSのサービスを維持し改善するためのさまざまな機能を備えており、組織がネットワークやコンピュータ、その他のデバイスをリモートで監視するための将来を見越した柔軟なアプローチを可能にする。

　リモートアクセスソフトウェアを使えば、マネージドサービスプロバイダー（MSP）やIT ヘルプデスクなどが、離れた場所から複数のネットワークやデバイスを管理できる。また、ITやOT、ICSの各専門家が問題の解決に努め、事業の継続計画や災害復旧の戦略において重要な役割を果たすなど、大小問わずさまざまなビジネス環境において重要な要素として機能している。

　しかし、リモートアクセスソフトウェアの有益な機能の多くは、悪意ある行為者にとって容易かつ強力なツールであるため、これらのビジネスを脆弱（ぜいじゃく）なものにしている一面もある。

リモートアクセスソフトウェアの悪意ある使用

　リモートアクセスソフトウェアは、IT/OTチームに、ネットワークやデバイスの異常な問題を早期に検出し、システムをプロアクティブに監視する柔軟な方法を提供する。リモートアクセスソフトウェアは組織で合法的に使用されているが、セキュリティツールやプロセスによって悪意があると判断されないことがよくある。この種の侵入は、LOTL（Living Off the Land）攻撃に分類される。悪意のある行為者は悪意のある活動を維持するために環境に既に存在するツールを使用する。

　特にRMMソフトウェアは、デバイスやシステムを監視、操作したり、高度な権限を付与したりするための大きな機能を備えている。そのため、悪意のある行為者が侵害されたネットワーク上で永続性を維持し、横方向に移動するための魅力的なツールとなり得る。このように、リモートアクセスソフトウェアは、サイバー脅威者、特にランサムウェアグループにとって、一般的で価値の高い手段となっている。

　中堅、中小企業は、自社のIT、OT、ICSインフラを補完し、ネットワーク環境を拡張するために、自社でそれらの能力を開発せずにMSPや各種リモートアクセスソフトウェアを使用することに頼っている。このため、企業は、サービスプロバイダーのサプライチェーンの侵害や悪用、リモート機能の悪意ある使用に対してより脆弱（ぜいじゃく）になるのだ。