Senate bill would require FCC to issue binding cyber rules for telecom firms
2024/12/10 NextGov — 12月10日 (火) に提出された法案が Federal Communications Commission (FCC) に対して指示するのは、最低限のサイバー要件や年次システム・テストを取り込んだ、必須のサイバー・セキュリティ・コンプライアンス・ルールのリストに従うよう、通信事業者に義務付けよというものだ。この法案は、Salt Typhoon と呼ばれる中国のサイバー・スパイ集団による、広範かつ多数の通信事業者と盗聴システムへのハッキングに対応するものである。この問題に関しては、いまもフォレンジック分析が続いているが、依然としてハッカーたちは、一部のネットワークに潜んでいると思われる。
Secure American Communications Act を提案されている FCC は、通信会社に対して、National Intelligence/CISA/FCC が共同で設計した、サイバー・セキュリティ・プロトコルの実装の義務付けと、通信データの不正な傍受の阻止を徹底するようプッシュしてきた。
さらに通信事業者には、年次の脆弱性テストの実施と、必要に応じた是正措置、発見事項と改善努力の文書化という項目がある。それに加えて、FCC のサイバー・セキュリティ・ルールへの準拠を評価するための、年次の独立監査を受け、監査人が不遵守の領域を報告することになる。
この法案がプロバイダーに義務付けるのは、テストと監査に関する年次の報告書であり、そこにはコンプライアンス証明書が添えられ、 CEO と CISO が署名することになる。
FCC の広報担当者に対して、この法案に関するコメントを求めたが、すぐには応じなかった。通信サプライチェーン全体の民間企業を代表する Telecommunications Industry Association も、すぐにはコメントを返さなかった。
先週に FCC の Jessica Rosenworcel は、この草案について幹部と情報を共有した。この草案が採択されると、法執行機関からの盗聴要求を収容するシステムへの、ネットワークを介した不正アクセスに対する保護が、通信会社に直ちに義務付けられる。
また、同委員長は、別の規則制定案の通知についても、幹部と情報を共有した。この草案が、全面的に承認されると、通信プロバイダーから FCC に対して、セキュリティ態勢に関する年次の証明書の提出が義務付けられる。
米国の盗聴環境は、1994 年の法執行機関向け通信支援法により規制されており、”合法的なアクセス” 監視要求に対応するシステムを、通信会社は設計する必要がある。Salt Typhoon による侵害は、少なくとも2人の被害者のシステムを通過し、それぞれの CALEA 環境へと広がっていったと、先週に FBI の上級職員が語っていた。
CALEA 法がプロバイダーに義務付けるのは、不正な傍受に対するシステムの保護であり、それを強制する規制権限を FCC に与えている。しかし、長年にわたり FCC は、この権限を十分に活用していないと、Ron Wyden 上院議員の事務所は主張している。
Wyden は、「独自のサイバー・セキュリティ規則を、通信会社が作成することを認めると、FCC 決定した瞬間から、外国のハッカーたちが、米国の通信システムの深部に潜り込むことは避けられなかった。通信会社と連邦規制当局は職務を怠り、その結果として、米国人の通話/メッセージ/通話記録が、外国のスパイによりアクセスされ、我が国の国家安全保障は弱体化している」と指摘している。
法執行機関の監視ツールキットにおいて、CALEA は信頼できる手段となっているが、FCC が最後にレビューした 2005 年以降において、大幅な更新は行われていない。その間に盗聴の手段は、アナログ電話回線を物理的に盗聴する行為から、複数のチャネルで通話/テキスト/トラフィックを収集するという、デジタル通信に対するリモートでの受へと進化している。
現在の基準において FCC が許可するのは、それぞれの通信事業者の判断により、ネットワークに合わせた盗聴ソリューションの開発/機器メーカーからのソリューションの購入/第三者に依頼する CALEA 準拠の評価を行うことである。
CALEA システムにおいても、法執行機関は安全なログイン・ポータルを通じて、盗聴を要求できる。それを受ける形で、通信会社の監督官が承認すると、捜査官は対象の電話メタデータ (通話時間/通話時間/通話者をマッピングする通話詳細記録/位置情報データなど) を受け取り、通信パターンや移動を追跡できる。
先週に政府高官が指摘した内容は、民間部門が使用する自主的なサイバー・セキュリティ・ガイダンスでは、通信ネットワークの保護においては不十分であることが判明している。つまり、最低限のサイバー要件を満たしていれば、中国のサイバー・スパイによる侵入を防げる可能性があったというものだ。
これまでに Salt Typhoon は、AT&T/Verizon/Rumen/T-Mobile などの、米国および海外の約80社のプロバイダーを捕らえているが、最近になって T-Mobile は、自社のネットワークから Salt Typhoon を排除できたと述べている。
以前のメディア報道によると、このハッキング集団は、次期大統領ドナルド・トランプの関係者を含む、約 150人の厳選された高価値ターゲットの通信にアクセスしたとされる。この攻撃は1~2年ほど続いていた可能性があり、被害者のうちの8社は米国の通信会社だったと、政府高官は述べている。
侵入が続く中ではあるが、当局が米国人と連邦政府職員に提案するのは、暗号化されたメッセージング・サービスの使用である。その一方で Nextgov/FCW は、暗号化されたメッセージに関する勧告に便乗する、フィッシング攻撃が連邦議会議員を標的にしていると報じている。
この件に関しては、ずっと NextGov を追いかけているわけですが、いつものセキュリティ・メディアとは違う観点から、記事を構成してくれるのでイイ感じです。おかげさまで、視野が広がります。前回は 2024/12/05 の「米 FCC の提案:Salt Typhoon 攻撃に対応する盗聴セキュリティの基準」でしたが、その後を掘り起こしてくれています。いまは、特定の議員が FCC に対して、ガンガンに圧をかけているという状況のようです。よろしければ、以下のリストも、ご参照ください。
2024/12/04:米国の通信キャリア8社が侵害された:Salt Typhoon
2024/12/03:中国 APT とテレコム・スパイ:広範な目的を持っている
2024/11/28:中国由来の Salt Typhoon:被害は T-Mobile にも?
2024/11/27:Salt Typhoon の武器庫:破壊力を維持し続ける秘密は?
2024/10/06:Salt Typhoon :Verizon/AT&T などに侵入
IoT OT Security News 
You must be logged in to post a comment.