FCCが通信事業者にサイバーセキュリティ強化を呼びかけ

米連邦通信委員会（FCC）は、通信事業者に対し、増大するランサムウェア攻撃の脅威に対抗するため、サイバーセキュリティ対策の強化を緊急に要請しました。システムの定期的なパッチ適用、多要素認証（MFA）の有効化、そしてネットワークのセグメント化が主要な推奨事項として挙げられています。この警告は、米国の通信ネットワークがサイバー攻撃に対して脆弱であり、国家安全保障、公共の安全、および事業運営に重大なリスクをもたらす可能性があるという認識に基づくものです。

急増するランサムウェア攻撃と中小規模事業者の被害

FCCの公安・国土安全保障局が1月29日に発表した警告によると、過去1年間で中小規模の通信事業者におけるランサムウェア被害が顕著になっています。これらの攻撃は、サービスの中断、情報漏洩、および重要なファイルへのアクセス不能といった深刻な影響を引き起こしています。さらに、委員会は、2022年から2025年の間に世界の通信企業に対するランサムウェア攻撃が4倍に増加したというデータも引用し、この脅威が急速に拡大している現状を強調しました。

FCCが推奨する主要な対策とベストプラクティス

FCCの警告では、ランサムウェア攻撃者の手口を詳述し、攻撃を阻止するためのベストプラクティス、および侵入発生時の対応方法について説明しています。特に推奨されている対策は以下の通りです。

• システムの定期的なパッチ適用：既知の脆弱性を解消するために、システムを常に最新の状態に保つ。
• 多要素認証（MFA）の有効化：不正アクセスを防ぐために、複数の認証要素を使用する。
• ネットワークのセグメント化：攻撃の影響範囲を限定するために、ネットワークを分離する。
• サプライチェーンの脆弱性監視：サードパーティベンダーのセキュリティ対策を評価し、監視することで、外部からの脅威リスクを低減する。
• データの定期的なバックアップ：攻撃や障害発生時でもデータを復旧できるようにする。
• 従業員へのセキュリティ訓練：フィッシング詐欺やソーシャルエンジニアリング攻撃に対する意識を高める。
• インシデント対応計画のテスト：実際に攻撃が発生した際に迅速かつ効果的に対応できるように、計画を定期的に見直し、テストする。

また、この警告には、FCCの官民連携組織である通信セキュリティ・信頼性・相互運用性評議会（CSRIC）が作成したベストプラクティスも付録として含まれており、ソフトウェアパッチの検証、強力なパスワードの強制、最小権限の原則の採用などが挙げられています。

高まる業界への監視と政治的背景

通信企業のサイバーセキュリティリスクは、2024年に中国政府のハッカー集団「Salt Typhoon」による米国および海外の通信企業への侵害が明らかになって以来、大きな注目を集めています。専門家は、老朽化したシステムが混在する通信ネットワークを完全に保護することは極めて困難であると指摘しています。

一部の政策立案者は、FCCや他の機関に対し、通信事業者のセキュリティ不備に対する責任追及を強化するよう求めています。特に、ロン・ワイデン上院議員（民主党、オレゴン州）は、サイバーセキュリティ・インフラセキュリティ庁（CISA）が2022年の通信分野の脆弱性に関するレポートを公開するまで、ドナルド・トランプ大統領が指名したCISA長官候補の承認を阻止すると表明しています。ワイデン議員はまた、FCCに対して通信事業者への新たなサイバーセキュリティ要件を課すこと、および司法省に対してSalt Typhoonの被害企業による潜在的な刑事違反を調査することを求めています。

一方で、トランプ政権は逆の方向へと進んでいます。昨年11月、FCCはバイデン政権時代の法的解釈を撤回し、通信事業者のサイバーセキュリティ義務が増加する可能性があった規制強化を事実上放棄しました。

元記事: https://www.cybersecuritydive.com/news/fcc-telecommunications-ransomware-warning/811100/