#2【英語記事和訳】Another Critical COVID-19 Shortage: Digital Security

概要

Date: 2020-03-24

COVID-19がサイバーセキュリティに影響を及ぼす．その一番の要因はリモートワークである．リモートワークは攻撃者にとっては攻撃が容易な環境で，防御者にとっては防御が困難な環境である．

理由の一つしてはデバイスにある．個人が使用するデバイスはNetflixを見てくつろぐようなデバイスであり，パッチが適用されていない可能性がある．

二つ目の理由として，職場のアカウントと個人のアカウントが混在してしまい，ターゲットを増やしてしまう．

この二つは，防御者からすると管理できずログも記録されないという危険性がある．

COVID-19の影響でリモートワークが活性化し，その中で個人のデバイスやアカウントが使用されると企業側がいくらセキュリティに投資していてもその効果が薄れてしまう．攻撃者は企業ではなく個人を狙うような攻撃にシフトしていく可能性がある．

これは企業だけではなく，政府も同様である．

和訳

※今回は長文であることと，わかりづらい英文だったためかなり怪しいです

以下は市の研究所のシニアリサーチャーであるJohn Scott-Railtonからの複数投稿である．

私たちは世界的な通風機，保護の準備，そして製薬の不足について知っている．しかし，仕事で家をうごくとき，防御することがより困難になり，詮索がより簡単になり安全でなくなっているだろう．

ハッカーから危険にされされている家からの仕事
国家ぐるみのハッキングを調査する研究者として，私はCOVID-19がサイバーセキュリティに何を意味するかについて考えることに挑戦し続けている．私の周りを見ることから私の推測は始まった，大幅に増加した在宅勤務，そしてハッカーにとっては容易でかつ，防御する者にとっては困難な生活にどうやってなるでしょう．

先週，フルタイムのリモートワークの無精ひげとトレーニングパンツが職場に移されたとき，ほとんどのデスクトップ機はオフィスに残された．雇用者はラップトップ機と電話の艦隊をスタッフの家に送付した．ほとんどは送付しなかった．
推測される通り，世界の事業は，個人のデバイス，個人のチャット & 携帯のアプリ，そして管理されていない，パッチが適用されていない家のwifiルータとネットワークにで固められた．これは驚くべきことであり，急速に回復している．私たちをデジタル的に再度犠牲に導くような深刻な新しい危険がまた導入されている．

より多くの入り口と少ない鍵の新しい職場
敏感な仕事は仕事のネットワークと仕事の端末上で管理されていることを確認することは管理者にとっていつも挑戦である．COVID-19の新たな現実は従業員が以下を必要としている：

リモートアクセスにはネットワークとリソースが必要
同僚が病気休暇を取るときアクセスには新しいリソースが必要
事業を管理するためには，個人のデバイスとアカウントとアプリケーションが必要

個人のデバイスで家のオフィスから主要な取引もしくは敏感な交渉に参加することは珍しいことでしょう．しばらくの間，新しい普通となるでしょう．

COVID-19の時間を見渡すこと
ほとんどの個人のデバイスの基準はデフォルトで危険なこと．Netflixを見てくつろぐことに過去2年間費やされた気難しいラップトップ機のようなCOVID-19の時代の新しい仕事のデスクトップはパッチが適用されないでしょう．

仕事と個人のアカウントの境界
仕事の会議とチャットソリューションは絶好のタイミングで混ざったカバンである．ユーザはネットワークの遅延と帯域と戦っている，そしてほかの組織と会話が必要なとき多くはWhatsAppやiMessageのようなサービス上で個人のアカウントで旋回している．
エンドtoエンドで暗号化されているチャットが動くのはおおくの価値があり，それは仕事と個人のアカウント，デバイスのさらなるぼやけに貢献している，そして個人のデバイスもしくは安全を決して考えない持ち主のアカウントがターゲットで塗られている．

…そしてあなたの敵は配信動画をもっている！
絶望的に危険なIoT/s**t は多くの家に入り込んでいる．新しい家の監視システムは多くは簡単でない一方，職場の脅威として防御者の意識にまれに入ってさえいる．
それは直ちに変えるべきである．次の瞬間，敏感な仕事の事業の多くはスマートデバイスの犠牲で管理されている．防御者は役立てるために試行し，国民国家とほかの脅威の関係者が実行する方法をとることを見つけるかもしれない：防御者の労働力に対する巨大な新しく集められた機会．おそらくこの状況における希望の兆しの部分からのメモはこれらのデバイスの危険性は最終的には深刻な注意を引き付けることになるだろう．そのとき，おそらくそうではない．

COVID-19はハッカーに翼を与える
エンドポイント，ネットワークやクラウドセキュリティへの投資は潜在的な攻撃者にとってコストを増加させる（理論的には！）．しかし繊細な仕事の事業はこれらのデバイスや環境から離れ，ITスタッフやCISOらがなにが起きたか監視できないとき，その投資の影響は急速に劣化するだろう．

防御者は盲目になるだろう
仕事の義務を引っ張ってきた個人のデバイスとアカウントは大部分は管理されていない，かつログが記録されないだろう．木曜日の午後に，その週の14回目のZoomミーティングでのトラブルシューティングで全員を助けるためにITスタッフは忙しくなるだろう．この環境では，個人の違反が気付かれる可能性はますます低くなる．
新しいCOVID-19のリモート職場のこの予測できる結果はスキルがなく，リソースがない攻撃者がレッドブルをうったようなものだろう，突然に攻撃者は翼を得る！
極端に言えば，フィッシングやRATはしばらくの間，おそらくより多くの洗練された戦術の仕事を実行するだろう．
シリア電子群のような集団は，数年前，技術高度化の限界に達し，企業や政府を効果的にターゲットにすることを困難にしたのは間違いない，今度は個人のデバイスやアカウントに焦点があてられた．その一方で，より洗練された国民国家の運営はあらゆるインセンティブをより多くの努力で試しており，その運営にあまり注意が払われないと想定している．

私たちはこれとすべて一緒ではない
もし全員が同じ時期，同じ破壊的な方法でにCOVID-19のパンデミックを経験したならば，新しい職場の危険な巨大なアドホックは恐ろしくないだろう．私たちはそうではない．各国及び各コミュニティは病気の時系列にどこか違いがある．
中国のようなよく知られている洗練されたサイバー攻撃の純輸出国は，彼らの経済を再起動させることに忙しい，そして彼らの知的なコレクションの買い物リストのアイテムをはずすようにあらわすCOVID-19の興味深い機会を間違いなく見ている．ロシアのようなほかの好戦的は人々は，忙しくCOVID-19を否定しながら，国内的には地政学的なターゲットのリストを更新し，回復しようとする．
多くのおいしい賞は，直ちにほとんど組織的に脆弱である．豊富な攻撃者はデジタルポケットを選ぶのを待ちきれない．その一方で，あなたの職場の最もおいしい部分は私たちの誰も親しくない新しい方法で現在脆弱である．

特記事項：政府は免疫力がありますか？
いいえ．政府は標的の中でも最もおいしいです．80歳の裁判官がスウェットパンツを着て10億ドルを超える訴訟を審議している．
家の巣に隔離された国会議員は中国について同僚とブレーンストリーミングをしている．
軍隊がWhatsAppを指揮統制しようとするのは，全員を一つの観測室に収容することが災害時のレシピだからである．民間人に対して広範な新しい権限を求めているときでさえ政府は決して間違った人々の手の届く範囲にはいない．

原文

Following is a guest cross-post from John Scott-Railton, a Senior Researcher at The Citizen Lab. His work focuses technological threats to civil society.

We all know about global shortages of ventilators, protective equipment, and pharmaceuticals. But as work moves home, it will be much less secure, harder to defend, and easier to snoop on.

Working From Home & At Risk...From Hackers

AS a researcher investigating state-sponsored hacking I've been trying to think about what COVID-19 means for cybersecurity. My guesses begin at as I look around me, with the massive growth of work-from-home, and how it will will make life easier on hackers, and harder on defenders.

Last week, as workplaces emptied into the stubble-and-sweatpants of full-time-remote-work most desktops stayed at the office. Some employers sent staff home with fleets of laptops and phones. Most did not.

Predictably, the worlds's business has slid into a world of personal devices, personal chat & calling apps, and un-administered, unpatched home wifi routers and networks. This is some remarkable, quick moving resiliency. It is also introducing serious new risks that could lead us to be re-victimized digitally.

The New Workplace Has More Doors, Fewer Locks

It has always been a challenge for administrators to make sure that sensitive work is conducted over work networks and on work devices. The new reality of COVID-19 is that employees need:

More remote access to networks and resources
To access new resources as colleagues take sick leave
To conduct business on personal devices, accounts and apps

Once it would be a rarity for a major deal, or sensitive negotiation to have someone joining from a home office, on a personal device. For a while, it will be the new normal.

Browsing in the time of COVID-19

The baseline for most personal devices is default-insecure. The new work desktop in the era of COVID-19 is going to be an unpatched, crusty laptop that spent the past two years Netflix & chilling. We already see plenty of COVID-19 related internet opportunism, from themed phishing and ransomeware, to more esoteric attacks. Most internet-connected personal (and work!) devices will swim in this threat-and-nuisance soup for months.

Depending on demographics and income, personal devices like laptops will do double and triple duty. Kids will submit homework, roommates format CVs, do taxes, and partners borrow something that doesn't freeze on the flavor-of-the-week teleconferencing app their work is rolling out. If ever there was a petri dish...

Blurring work & personal accounts

Work conferencing and chatting solutions are a mixed bag in the best of times. As users struggle with network latencies bandwidth, and the need to talk to other organizations, many are pivoting to personal accounts on services like WhatsApp and iMessage.

While moving to end-to-end encrypted chats has many benefits, it can also contribute to the further blurring of work and personal accounts and devices, and paint a target on a device or an account that the owner has never thought to secure.

...and your adversaries have video feed!

The desperately insecure internet-of-things/s**t has slid into many homes. While the new home panopticon leaves many uneasy, it has only rerely entered the consciousness of defenders as a workplace threat. That should change right now. For the next while, masses of sensitive work business will be conducted in the vicinity of smart devices. Defenders might find it useful to try and picture the internet of things the way nation states and other threat actors do: a massive new collection opportunity against their workforce. Perhaps a memo-from-the-dept-of-silver-lining for this situation will be that the insecurity of these devices will finally attract some serious attention. Then again, probably not.

COVID-19 Will Give Hackers Wings

Investments in endpoint, network and cloud security raise the costs for potential attackers (in theory!). But when sensitive work business moves away from these devices and environments, the impact of that investment will be quickly degraded as IT staff and CISOs cannot monitor what happened.

The Defenders Will Be Blind

The personal devices and accounts pulling work duty will be largely un-administered and un-logged. On a given Thursday afternoon, IT staff is going to be busy helping everyone troubleshoot the 14th Zoom meeting of the week. In this environment, individual breaches are even less likely to be noticed.

The predictable result of the new COVID-19 remote workplace will be like a shot of Red Bull for less skilled, less well resourced threat actors. Suddenly they will get wings!

At the extreme end, phishing and RATS will, for a while, probably do some of the work of much more sophisticated tactics.

Groups like the Syrian Electronic Army that, years ago, hit ceilings of technological sophistication that made it hard for them to effectively target companies and goverments will undoubtedly give it another go, this time even more focused on personal on personal devices and accounts. Meanwhile, the more sophisticated nation state operations have every incentive try harder, for more, and assume less attention will be paid to their operations.

We Are Not In *All* of This Together

The hugely ad-hoc insecure new workplace would be less terrifying if everyone were experiencing the COVID-19 pandemic at the same time, and in the same disruptive way. We aren't. Each country and community is somewhere different on the timeline of the illness.

Some well known net exporters of sophisticated cyberattacks, like China, are busy trying to restart their economies, and no doubt looking at the interesting opportunities that COVID-19 presents for ticking items off their intelligence collection shopping lists. Other belligerents like Russia, while busy-denying-COVID-19-is-a-thing-domestically will almost certainly go after their usual list of geopolitical targets with renewed vigor.

Many juicy prizes are at their most organizationally vulnerable right now. Plenty of threat actors can't wait to new ways that none of us are completely familiar with.

Special Note: Are Governments Immune?

Nope. They are among the juiciest of targets. 80 years old judges deliberating over billion dollar cases in sweatpants. Quarantined legislators in their home dens brainstorming with colleagues about China.

Militaries trying to do command-and-control over WhatsApp because having everyone in one bunker is a recipe for disaster. Even as they seek extensive new authorities over civilian populations, goverments have never been more within the reach of all the wrong people.

所感/メモ

COVID-19とサイバーセキュリティの関連を記した内容であり，興味があって長文だけど和訳してみた．しかし，特別攻撃の事実を観測したとか，その兆候が発見されたとかいうわけではなくこういう危険性があるので各々で注意しよう！くらいのメッセージと情報しか感じられなかった．しかし，攻撃者は世界各国に存在しており，当初COVID-19で騒がしかった中国は既に収まりつつあると耳にしている．実際，人々の不安や恐怖心をあおるような攻撃のニュースは目の当たりにしているため，COVID-19関連のサイバー攻撃にはオリンピック以上に細心の注意を払わなければならないと改めて思った．

個人と企業のデバイスやアカウントが混同されてしまうのは，リモートワークでは起こりうること．企業側がゼロトラストで実施されるような端末認証やきめ細やかなアカウント認証の合わせ技により，適切な認証・認可を与えるシステムが今まさに必要となっていると感じた．