概要

米国国家安全保障局（NSA）、サイバーセキュリティ・インフラセキュリティ庁（CISA）、連邦捜査局（FBI）は、国際的なサイバーセキュリティパートナーと協力し、インターネットサービスプロバイダ（ISP）とネットワーク防御者が「防弾ホスティングプロバイダ」に対処するための画期的なガイダンスを公開しました。この新しいフレームワークは、ランサムウェア、データ恐喝、その他重要インフラや金融機関を標的とする悪意ある活動を積極的に支援するサイバー犯罪インフラを軽減するための、協調的な取り組みです。

脅威の理解：防弾ホスティング

「防弾ホスティング（BPH）」プロバイダは、サイバー犯罪者にサービスを意図的に販売するインターネットインフラサービスとして機能します。正当なホスティング企業とは異なり、これらのプロバイダは裁判所命令、召喚状、法的差し止め要求を意図的に無視するため、悪意ある行為者にとって魅力的です。彼らはしばしば、正当な企業から盗んだりリースしたりしたインフラを転売しており、元のプロバイダが知らないこともあります。サイバー犯罪者は、このインフラをコマンド＆コントロール操作、マルウェア配布、フィッシングキャンペーン、検出や法執行機関を回避するための高速フラックス技術に悪用しています。

各機関は、サイバー犯罪者がBPHインフラを使用して重要インフラ、金融システム、高価値ターゲットを攻撃する事例が劇的に増加していることを確認しており、これは国家サイバーセキュリティレジリエンスに対する重大かつ増大する脅威であると認識しています。

推奨されるアプローチ

このガイダンスは、BPHインフラが正当なインターネットエコシステムに織り込まれているため、微妙なアプローチを強調しています。ネットワーク範囲全体をブロックすることは、意図せず正当なサービスを妨害する可能性があります。代わりに、NSAはISPとネットワーク防御者の両方に、商用およびオープンソースの脅威インテリジェンスフィードを使用して「高信頼度」の悪意あるリソースのリストを作成することを推奨しています。ネットワーク防御者は、異常な活動を特定し、通常のネットワーク動作のベースラインを維持するために、継続的なトラフィック分析を実施する必要があります。これにより、誤検知を防ぎ、コンテンツ配信ネットワークなどの正当なサービスが機能し続ける一方で、悪意のある活動がフィルタリングされるようになります。

ISPの重要な役割

ISPは、以下の方法で極めて重要な役割を果たすことができます：

• 顧客に対して悪意あるリソースリストに関する意識を高める。
• 異なるセキュリティニーズを持つクライアント向けにオプションのフィルタを提供する。
• BPHプロバイダがインフラを求める障壁となる「顧客確認（KYC）」手続きを導入する。
• 他のプロバイダと協力して業界全体の標準を確立し、説明責任フレームワークを作成する。

実践的な提言と国際協力

ガイダンスには、以下の実践的な推奨事項が含まれています：

• IPアドレスと自律システム番号の両方を追跡する集中型イベントロギングシステムの実装。
• すべてのフィルタポリシーに対する監査証跡の確立。
• ブロックされたリソースに関する問い合わせを処理するための合理化されたプロセスの作成。

これらの推奨事項を実装することで、防御者はサイバー犯罪者を、悪用苦情や法執行措置に対応する正当なインフラプロバイダへと追い込むことができます。これにより、防弾ホスティングの有用性が根本的に減少し、攻撃者にとっての運用コストが増加します。

この協調的な取り組みには、米国、オーストラリア、カナダ、オランダ、ニュージーランド、英国のパートナーが参加しており、悪意あるサイバー作戦を阻止するための国際的なコミットメントを示しています。

---

元記事: https://gbhackers.com/nsa-issues-new-guidance-to-help-isps/