25 年後の太陽の日の出: 私たちは 25 年経って賢くなったでしょうか?

Jul 11, 2023

ワシントン DC、2023 年 2 月 28 日 - 25年前の1998年2月、米国はソーラー・サンライズとして知られる一連のサイバー侵入に見舞われ、当時の国防副長官ジョン・ハムレは「国防総省がこれまでに見た中で最も組織的かつ体系的な（サイバー）攻撃」と呼んだ。 。」 ELIGIBLE RECEIVER 1997 (ER97)[1]、米国のサイバーインフラへの攻撃に政府がどのように対処するかについて答えよりも多くの疑問を提起した複数の政府機関による無通告訓練の直後に急遽行われたSOLAR SUNRISEは、訓練ではありませんでした。 1 年も前に ER97 によって提示された仮説シナリオと同様に、SOLAR SUNRISE 攻撃には、地政学的な動機を持つ可能性のある国際的主体による国防総省 (DOD) ネットワークの侵害と、民間および民間部門の組織およびインフラストラクチャーの関与が含まれていました。 どちらのエピソードでも、「ここの責任者は誰ですか?」という根強い疑問も生じました。

SOLAR SUNRISE の 25 周年を記念して本日ここで取り上げられた文書は、外交と捜査の絡み合ったメカニズムに光を当て、新たなサイバー脅威に対する複数機関による対応の必要性を示唆しています。 この記録はまた、サイバー捜査における民間部門と民間部門の協力の重要性を強調し、「イスラエルから来た10代のハッカーの指揮下で」活動していた「カリフォルニア出身の2人の若いハッカー」が米国のサイバーセキュリティへの備えに重大な影響を与えていたことを明らかにしている。 【資料1、7ページ】

一連の政府システム侵入は、1998 年 2 月 1 日から 26 日までの 3 週間にわたって行われ、機密扱いではない国防総省システムが焦点となっていました。 1998 年 2 月 25 日付けの FBI メモには、「Solar Sunrise; CITA Matters」というタイトルの攻撃の原因が記載されており、「侵入者はドメイン ネーム サーバーをターゲットにし、「statd」の脆弱性を悪用して root ステータスを取得したようです」と述べられています。 Solaris 2.4 オペレーティング システムでは。」 [文書 2、p.1] このメモはさらに、2 月 1 日以来、コロンバス空軍基地のアンドリュース空軍基地 (AFB) で侵入または侵入の試みが検出され、「少なくとも 11 の国防総省システムが侵害されたことが知られている」と説明しています。 、カークランド空軍基地、マクスウェル空軍基地（ガンター別館）、ケリー空軍基地、ラックランド空軍基地、ショー空軍基地、マクディル空軍基地、真珠湾海軍基地、および沖縄海兵隊基地。 [pp. [1-2] 1999 年の統合参謀本部へのプレゼンテーションのスライド [文書 3] は、軍事システムだけでなく、ハーバード大学やノートルダム大学などの大学や民間部門にも影響を及ぼした侵入の広範な分布をさらに示しています。インターネット サービス プロバイダー Maroon.com を含む:

資料4、11ページ

このプレゼンテーションでは、攻撃中に侵入者が通過した複数のノードがその出所を隠し、法的規制によって調査の一部が妨げられたため、帰属に関する課題も強調しています。

資料4、14ページ

FBI、国防情報システム局 (DISA)、国防総省などのさまざまな機関の捜査官は、侵入者やその出身国をすぐには特定できませんでしたが、アラブ首長国連邦のノードであるエミルネットの使用が始まりました。国防総省の上層部に響くであろう警鐘。

最初の侵入が検知されたのは、米国が第一次湾岸戦争（1991年）でのイラクの敗北後に確立された制裁体制の一環である武器査察の支援と実施のため、イラクに約2,000人の海兵隊を派遣したときだった。 長年の相対的な協力の後、1997年にイラク政府は査察官に特定地域への立ち入りを許可することを拒否し、国連安全保障理事会は決議を通じてイラクの遵守を求めた。 1997年10月にアメリカの査察官が追放され、その後1998年1月にバグダッドが特定の3つの場所を立ち入り禁止とする宣言を行った後、緊張が高まった。 1998 年 2 月 6 日までに、アメリカの軍事介入が差し迫っているように見え、ペルシャ湾に約 2,000 人の海兵隊員が派遣され、この地域に派遣された 3 隻目のアメリカ空母によって強化されました。

米国が軍隊の配備を準備しているとき、機密扱いではない国防総省システムへの最初の侵入が検知されました。 ハッカーの経路を追跡しようとした調査員は、アラブ首長国連邦の ISP であり、イラクへの唯一のインターネット ゲートウェイの 1 つであるエミルネットの使用を発見しました。 この情報は、侵入のタイミングと国防総省システムの組織的標的と相まって、「米国はイラクからのサイバー攻撃の被害者だったのか?」という疑問を引き起こしました。

国家安全保障局 (NSD) とコンピュータ捜査・インフラ脅威評価センター (CITAC) からすべての現場事務所に宛てた FBI 内部メモでは、これらの懸念が肯定され、「米国政府が継続的に発生しているこれらの侵入の規模とタイミングがどのように行われるか」と述べられている。各国は大規模な軍事作戦を準備しており、国防総省に大きな懸念を引き起こしている。」 【資料4、1ページ】

問題のシステムは機密扱いではなかったが、システム上で生成、保存、送信された重要な情報は、国防総省がイラクで作戦を継続する能力の中心であった。 1998年6月の上院政府問題委員会での証言で、当時のCIA長官ジョージ・テネットは、「機密システムへの侵入や機密記録へのアクセスはなかったが、物流、管理、会計システムにはアクセスされた。これらのシステムは、私たちの軍隊を管理し、現場に配備するために必要なデータの中核です。」 【資料1、7ページ】

同様に、米国太平洋軍（USPACOM）が発行した指導文書は、侵入を防止し検出するために構築された軍と政府のシステムの完全性に対する全体的な信頼レベルがこの侵入によって低下したことを示唆している。 この指令は、「太平洋戦域内での日常および緊急時の作戦を完全にサポートするには、強力な情報システムのセキュリティ体制が不可欠である」と主張する一方で、システムの「現在の統計は疑わしい」と警告し、「セキュリティパッチのインストール」を推奨している。 」 [資料5、3ページ]。 さらに、「Solaris 2.4 オペレーティング システムを使用するユーザー」は、「インストール日がシステム管理者のアクティビティと一致していることを確認するために」日付/タイムスタンプを確認する必要がありました。 同文書はさらに「.milや.govからの活動も見直すべきだ。信頼関係が存在すると仮定しないでください」と警告している。 個人には、「NIPRNET に何が置かれているかについての opsec (運用セキュリティ) の意識を高める」ようアドバイスされました。 [p.5]

この文書は、侵入と攻撃者のおそらく次のステップに関する多くの疑問と一般的な不確実性を明らかにしていますが、同時に政府機関間の協力と民間人や民間部門との協力の価値も示しています。 日付のないFBIメモは、おそらくさまざまな機関や事務所からの受領者に、裁判所命令（罠と痕跡の可能性が高い）を得るために必要な証拠の負担、つまり政府は「証拠が存在することを示す具体的で明確な事実を引用しなければならない」ことを思い出させた。電信または電子通信の内容、または求められた記録やその他の情報が進行中の犯罪捜査に関連しており、重要であると信じる合理的な根拠。」 [文書 6、p.2] その後、この文書は「対象となる関連サイト」を検討し、そのサイトの調査に関与する機関と連携させました。

資料6、3ページ

他の文書は、政府機関と大学や民間人を含むさまざまな民間団体との間にある程度の協力があったことを示している。 2 月 24 日付けの FBI メモには、「ハーバード大学コンピューター サービス グループの *編集済み* とのインタビュー結果」[文書 7] という概要が記載されており、「ハーバード大学からのシステム記録は SA [特別捜査官] に引き渡された *編集済み*」と記載されています。 WFO [ワシントン現地事務所]、1998 年 2 月 13 日午後 3 時頃…ボストン [現地事務所] はハーバード大学のコンピュータの完全バックアップについて、すべてのシステム ユーザーから同意を得ているところです。 [p.1-2]

同様に、ランドルフ空軍基地の空軍特別捜査局（AFOSI）が入手した申立人の陳述書である文書8は、影響を受けたシステムや関与したシステムにアクセスできる一部の民間人が捜査に協力する意欲があることを明らかにしている。 声明の中で告訴人は、「私のマシンをベースにした個人が…インターネット上の軍用マシンに違法にアクセスしていた」ことを知った後、空軍の現地調査員と面会したと述べた。 声明では、「現場職員は当時私からいかなる情報も取ろうとはせず、パスワードや情報も求めなかった」と述べ、むしろ「（私が協力する意思があれば）その場合に限り、私のデータのトリミングをオフにするよう私に指示した」と述べた。ログ ファイルを crontab に保存し、それ以外のマシンの構成は変更しないでください。」 [p.3] その後、その人物は現場エージェントに「ハッキング活動の発生が記録された一般的な時刻」を要求し、エージェントはそれを提供した。 この情報を入手した人物は、トリミングをオフにするために提供されたコマンドを発行しました。 別の現場調査員から連絡を受けた告訴人は、彼らが行った支援措置は「完全に私の同意の下で行われたものであり、[現場調査員は]私がハードドライブをバックアップしたり協力したりする必要がないことを私に明確に示してくれた」と断言した。全然彼らと一緒だよ。」 [p.4] 告訴人の陳述書に添付された表紙で、差出人は次のように述べている、「これがその陳述書です。私はまだ読んでいます。たくさんの有益な情報のようです。私たちのスタッフは現場で[告訴者との関係をすり抜けようとしています。] -提供] 現在システム ログを記録しています。」 [p.1]

3週間にわたる熱烈な捜査の後、捜査当局は犯人を特定した。彼らはカリフォルニア州クローバーデール在住の2人のティーンエイジャーで、年長のイスラエル人ティーンエイジャー、エフド・“ザ・アナライザー”・テネバウムの指導を受けていた。

資料4、17ページ

この事件はおそらく肯定的な結論に達しましたが、厄介な疑問が残りました。子供たちにこれができるなら、意志の強い洗練されたハッカーは何ができるでしょうか?

1997 年の ELIGIBLE RECEIVER 演習と SOLAR SUNRISE 攻撃の両方から学んだ教訓により、米国政府は重要な行動をとりました。 1998 年 5 月、クリントン政権は大統領政策指令 63 [文書 9] を発表し、軍と経済の「相互に強化し、依存する」関係を強調しました。

私たちの軍事力のおかげで、将来の敵は、国、集団、個人を問わず、米国内での攻撃を含む非伝統的な方法で私たちに危害を加えようとするかもしれません。 私たちの経済は相互依存し、サイバーでサポートされたインフラストラクチャーへの依存度を高めているため、インフラストラクチャーや情報システムに対する従来とは異なる攻撃は、軍事力と経済の両方に重大な損害を与える可能性があります。 [p.2]

重要インフラに対する脅威への調査と対応をより促進するために、PPD 63 は「FBI が現在の組織 [3] を本格的な国家インフラ保護センター (NIPC) に拡張する」ことを正式に承認し、このセンターは「国家の重要なインフラとして機能する」脅威の評価、警告、脆弱性、法執行機関の調査と対応組織。」 [p.12] NIPC は「インフラに対する脅威に関する情報を収集するための全国的な中心点」を提供する任務を負っており、「事件に対する連邦政府の対応を促進し、調整し、攻撃を軽減し、脅威を調査するための主要な手段を提供する」ことになっていたそして再建の取り組みを監視することだ。」 [p.13]

おそらく SOLAR SUNRISE の最も価値ある貢献は、1997 年の ELIGIBLE RECEIVER の調査結果を確認したことです。

資料4、16ページ

マイケル・A・ヴァティス所長が最初に指揮を執ったNIPCは、こうしたギャップを埋める、あるいは少なくとも最小限に抑えることを目的として創設された初の省庁間融合センターであった。 著者との会話の中でヴァティス氏は、PPD 63がNIPCの正式な設立に「大統領の権限」を与えたが、「NIPCは[1998年]2月に司法省/FBIによって立ち上げられた。ちょうどSOLAR SUNRISEが起こっていたときだった」と明らかにした。 ヴァティス氏によれば、2月の攻撃ではまだ初期段階にあったものの、NIPCは「単一の組織が調査と政府機関間の行動を調整できることの価値を証明し、その結果、調査は迅速に終了した」[4]。ヴァティス氏は、上院司法委員会の技術、テロリズム、政府情報に関する小委員会での 1999 年 10 月の証言 (「米国の重要なコンピュータ インフラストラクチャに対する外国ベースの脅威に対して行われている保護努力の調査」) [文書 10] で、NIPC の概要を説明しました。異種の依存機関の人材だけでなく、民間部門の鉱山専門知識も融合した統合的なアプローチ。

NIPC の使命には、明らかに FBI 以外の多くの機関の関与と専門知識が必要です。 これが、NIPC が FBI の中にありながら、すべての関連機関の職員を集めた省庁間センターである理由です。 NIPC には、79 名の FBI 職員に加えて、現在、国防総省 (軍務および関連機関を含む)、CIA、DOE、NASA、国務省、および米国秘密情報局を含む連邦法執行機関からの 28 名の代表者が所属しています。米国郵政公社、そして最近まではオレゴン州警察だった。 NIPC は州および地方の法執行機関から追加の代表者を探しているところです。

しかし明らかに、政府職員だけに頼ることはできません。 私たちの使命に必要な技術的専門知識の多くは民間部門にあります。 したがって、当社は技術的およびその他の支援を提供する請負業者に依存しています。 私たちはまた、民間部門の代表者がセンターにフルタイムで勤務するよう手配しているところです。 特に、司法長官と米国情報技術協会 (ITAA) は 4 月に、ITAA が政府と情報技術 (IT) 業界間の「サイバー市民パートナーシップ」の一環として NIPC に詳細な人員を派遣すると発表した。 NIPC に勤務する情報技術業界の代表者は、当社の技術的専門知識と情報通信インフラストラクチャに対する理解を強化するでしょう。 [pp.31-32]

彼の証言から 20 年以上が経ち、ヴァティスは次のように述べています。すべての関連機関、国際パートナー、州および地方自治体、民間部門の活動を調整する権限を与えられた運営メカニズムである必要がある。」必須) 過去 20 年間に情報共有と知識の融合を強化するプログラムが行われ、「SOLAR SUNRISE の夜明け以来、私たちは 25 歳年をとったが、25 歳は賢くなったのだろうか?」という疑問が生じています。

資料1

プロクエスト データベース

これは、1998 年に上院政府問題委員会で行われたサイバーセキュリティに関する一連の公聴会の第 2 回の完全な記録です。 主に国防総省における情報セキュリティに焦点を当てています。

資料2

サイバー紛争研究協会 (CCSA) FOIA

FBIのアルバカーキ現地事務所から国家安全保障局/刑事捜査局、そしてラスクルーセスとロズウェルの駐在局に宛てたこのメモは、SOLAR SUNRISE捜査の進捗状況を説明しており、「ラスクルーセス[駐在局]とロズウェルの手がかりを確立する」ことを目的としている。 【駐在官庁】。 同報告書は、侵入者が「ドメインネームサーバーをターゲットにし、Solaris 2.4オペレーティングシステムの『statd』脆弱性を悪用してルートステータスを取得したようだ」と指摘している。

資料3

ジェイソン・ヒーリーとカール・グリンダル

この 1999 年の統合参謀本部へのプレゼンテーションでは、適格受信者 97 とソーラー・サンライズの両方の出来事と調査結果が説明されており、ソーラー・サンライズの侵入は「適格受信者による調査結果が確認された」、すなわち「法的問題は未解決のままである」、「有効な問題は存在しない」と指摘されている。 「兆候と警告システム」、政府の「侵入検知システム」は「不十分」、「国防総省と政府の組織的欠陥が効果的な対応能力を妨げている」、「特徴付けと帰属の問題が残っている」としている。

資料4

CCSA FOIA

FBI 国家安全保障局からのこのメモは、SOLAR SUNRISE に関する報道機関の問い合わせに対するガイダンスを提供しており、「捜査は機密レベルで機密扱いにされている…かなり詳細な報告書が技術出版物に掲載された」と述べており、FBI は「全国マスコミはこのように引き続き関心を寄せるだろう。」

資料5

CCSA FOIA

米国太平洋軍 (USPACOM) が発行したこの情報セキュリティ ガイダンス文書では、Solaris 2.4 オペレーティング システムの潜在的な脆弱性について職員に通知し、「オペレーティング システムの最新のパッチがインストールされていることを確認する」よう求めています。 このメモではまた、「ネットワーク コントロール センターは、疑わしいまたは悪意のあるネットワーク アクティビティに対して可能な限り迅速な対応を確保するために、ローカルの侵入検知システム トラフィックを確認する際に積極的な役割を果たすよう要求する」とも述べています。

資料6

CCSA FOIA

この日付のない FBI 文書には、SOLAR SUNRISE 捜査の対象となったさまざまなサイトと、関与した機関の範囲がリストされています。 このメモは、裁判所命令を取得するための法的要件、すなわち「電信または電子通信の内容が進行中の犯罪捜査に関連しており、重要であると信じる合理的な根拠があることを示す明確な事実」を捜査員に思い出させている。

資料7

CCSA FOIA

ボストン現地事務所からFBI本部に宛てたこのメモでは、「ハーバード大学のシステム記録がFBIに引き渡された」が、現地事務所は「ハーバード大学のコンピュータの完全バックアップについて、依然としてすべてのシステムユーザーから同意を得ている」と報告している。

資料8

CCSA FOIA

空軍特別捜査局（AFOSI）が撮影した、匿名の告発者のこの声明では、ある民間人のSOLAR SUNRISE調査への熱心な協力が詳しく述べられている。 自分のコンピュータが軍事システムへの侵入に関与していたことを知った個人は、証拠を保全するためのコマンドを実行し、それらのログとシステムのバックアップを捜査官に引き渡します。

資料9

アメリカ科学者連盟 (www.fas.org)

この指令の序文では、米軍と経済が「特定の重要なインフラとサイバーベースの情報システムへの依存度が高まっている」と指摘されている。 18ページにわたるこの指令の残りの部分では、物理的またはサイバーの脅威に直面した際に「重要なインフラの継続性と有効性を確保する」という大統領の意図が明記されている。 この指令はまた、国家目標を明確にし、脆弱性を軽減するための官民パートナーシップを概説し、ガイドラインを示し、構造と組織を指定し、連邦政府の重要なインフラの保護について議論し、NSCサブグループにさまざまなタスクを完了するためのスケジュールを作成するよう命じています。 、年次実施報告書を作成するよう指示します。 この指令はまた、FBI 内に国家インフラ保護センター (NIPC) を正式に設立しますが、NIPC は 1998 年 2 月の SOLAR SUNRISE サイバー侵入捜査中に設立されました。

資料10

米国政府印刷局

技術、テロ、政府情報小委員会でのこの公聴会の記録には、当時国家インフラ保護センター所長だったマイケル・A・ヴァティス氏と、当時重要インフラ保証局所長だったジョン・S・トリタック氏の証言が含まれている。 彼らの証言には、1997 年の適格受信者演習と SOLAR SUNRISE のサイバー侵入捜査から学んだ教訓、重要インフラに迫りつつあるさまざまなサイバー脅威、サイバーインシデントの防止、検出、対応、調査のために各事務所が行っていた取り組みが詳しく詳述されています。

[1] ER-97 文書の分析、パート I とパート II は、Cyber​​ Vault プロジェクトを通じて見つけることができます。

[2] ティム・マウラー「SOLAR SUNRISE: イラクからのサイバー攻撃?」 激しい領域: サイバースペースの紛争、1986-2012、121-123 ページ。

[3] 当時の FBI の「現在の組織」は、前述の文書で頻繁に参照されているコンピューター調査およびインフラストラクチャ脅威評価センター (CITAC) でした。

[4] Michael A. Vatis、著者への電子メールメッセージ、2023 年 2 月 27 日。

[5] 同上。