パブロフのデジタルハウス:ロシアは脆弱性分析のために内向きに焦点を合わせる

パブロフのデジタルハウス:ロシアは脆弱性分析のために内向きに焦点を合わせる [レポート]

insikt-group-logo-updated.png
ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。

スコープノート: 過去 1 年間、Recorded Future は 出版速度、 missions、および 効用 中国と米国の2か国の国家脆弱性データベース(NVD)のうち。私たちは、ロシアの脆弱性データベースに同じ分析手法を適用して、何がわかるかを確認することにしました。このレポートには、ロシア連邦技術輸出管理局 (FSTEC) が発行した脆弱性、ロシア政府の公式文書、 Recorded Future データ、およびオープン 情報源 インテリジェンス (OSINT) の詳細な分析が含まれています。 このレポートのために分析されたデータは、2018年3月30日にまとめられたものです。

Executive Summary

ロシアの脆弱性データベースは非常に焦点を絞っています。 しかし、それは不完全で遅く、テクノロジー企業やユーザーに対するロシア国家の支配を支援することを意図している可能性があります。 一般的に、ロシアは既知の脆弱性の10%しか公開しておらず、中国の国家脆弱性データベース(NVD)よりも平均83日遅く、米国のNVDよりも50日遅く、カバーしているいくつかの技術が不完全です。

主な判断

背景

ロシア連邦技術輸出管理局(FSTEC)は2004年に設立され、 国防省 (MOD)に従属しています。FSTECは、モスクワに中央オフィス、7つの地域「本部」、およびFSTECの 技術情報保護問題の国家科学研究実験研究所 (GNIII PTZI FSTEC)として知られる情報セキュリティ研究および試験機関を持っています。

russian-vulnerability-analysis-1.png

モスクワのFSTEC本社は、 モスクワの105066にあります。スタラヤ・バスマンナヤ、17

首相の公式ウェブサイトは、FSTECを「政府の政策の実施、省庁間の協力と相互作用の組織化、国家安全保障の分野での特別および統制機能の行使を担当する連邦執行機関」と説明しています。

2016年に発表されたさらなる公式文書によると、FSTECは国家政策を実施し、部門間の協力を組織し、次の分野で国家安全保障の特別な機能を行使します。

組織のタイトルに示されているように、最初の3つの領域は、技術的管理の使命に真っ向から該当します。 FSTEC文書の広範なレビューによると、輸出管理は、技術的管理下にあるすべてのタスクと機能よりもはるかに少ないFSTECリソースのシェアを前提としている可能性があります。 技術統制の任務は、内部統制、国家情報システム、およびロシアで販売されている外国技術を対象としています。

FSTECは国防省に従属しているが、特に技術的管理と国家機密のセキュリティの分野で、はるかに長く、より広範な権限のリストを持っている。FSTECのウェブサイトに掲載されている文書によると、同組織は化学兵器や核兵器に使用される可能性のある物質を取り巻く通商を規制し、技術情報に対抗し、外国の科学研究のためのロシア領土の使用に関する意見を発表し、さまざまな種類のシステムやデバイスから放出される放射線の研究に関する研究に資金を提供している。

FSTECには、 役職ごとに任命された政府高官の理事会もあります。この委員会には、ロシア軍参謀部第一副長官、内務副大臣、連邦保安局(FSB)傘下の経済安全保障局長、SVR副局長などが含まれる。理事会の主な機能は、FSTEC 予算の設定と管理、および部門間の機能の調整です。

FSTECの4つの主要な機能の下での 無数の責任 の中で、組織はFSBと協力して国家機密の保護、技術的な防諜活動と対スパイ活動のサポート1、 および国家機密を扱う政府関係者の通信を監視する権限も与えられています。

FSTECは現在、2011年5月からその職に就いているウラジミール・セリン所長が運営しています。セリンは、セルゲイ・ヤキモフ第一副局長1名と 副局長4名によって支えられています。FSTECの所長としての地位に加えて、セリンは 国防省理事会のメンバーであり、国家機密委員会の副委員長でもあります(ロシア軍の ヴァレリー・ゲラシモフ大将の参謀総長と同委員会に出席しています)。

公式の州文書によると、2015年に FSTECには 、セキュリティ、保護、またはメンテナンスの要員を除いて、合計1,111人の従業員が割り当てられました。1,111人の従業員のうち、225人がモスクワ本社に勤務し、残りの886人がFSTECの7つの地域オフィスに分散しています。

技術的管理に重点を置いたミッションを考えると、これら1,111人の従業員の大多数はこのマンデートに関連する問題に取り組んでいる可能性があり、FSTECの輸出管理業務を支持している人ははるかに少数です。

FSTECの脆弱性公開プロセス

FSTECは脆弱性公開データベースも運営しており、Webサイト bdu.fstec.ru/vul を介してパブリックアクセスを提供しています。ホームページには、データベースの目的は「情報セキュリティシステムに対する既存の脅威に対する関係者の意識を高めること」であり、幅広い顧客、オペレーター、開発者、情報セキュリティ専門家、試験機関、認証機関向けに設計されていると記載されています。

FSTECはまた、データベースには「情報セキュリティと脆弱性に対する主な脅威、主に国家情報システムおよび重要な施設の生産および技術プロセスを管理するための自動化システムに特徴的なものに関する情報が含まれている」と述べています。2インチ

russian-vulnerability-analysis-2.png

FSTECのセキュリティ脅威データベースのホームページには、データの目的と対象者がリストされています。

FSTECは、このデータベースが網羅的であるとは主張していません。 その代わりに、国家が使用する情報システムや「重要施設」の脆弱性を公開することに重点を置いています。 この使命は、FSTECの7つの地域部門の責任と活動にも表れています。 各地域本部に課せられる任務の大部分は、圧倒的に外国の技術情報に対抗し、各地区内の国家情報システムとデータを保護することに集中している。 各地域本部に課せられた10または11の任務のうち、上位7つは外国の技術情報収集への対抗と国家情報システムの保護に関するもので、残りは輸出管理に関するものである。

データベース(BDU)への脅威や脆弱性の報告は比較的簡単です。 FSTECは、脆弱性エントリ自体と厳密に一致する提出フォームを提供します。

russian-vulnerability-analysis-3.png

FSTEC 脆弱性 提出フォーム

russian-vulnerability-analysis-4.png

CVE-2018-8148 の FSTEC BDU エントリ。

FSTECは、データベース全体をExcelまたはXMLファイルとして取得するための簡単なダウンロードリンクも提供しています。 これらのダウンロードには、内部ID、対応するCVE識別子、影響を受ける技術、サポートドキュメントへのリンク、深刻度評価など、他の脆弱性データベースに典型的なフィールドが含まれています。 この文書には、FSTECが初めて脆弱性を開示した日付は含まれていません。 2017年1月1日以降にFSTECが公開した脆弱性について、独自の手法を用いてこれらの日付を設定しました。

FSTECは公共サービス組織ではありません

FSTECは、国防省(MOD)に従属し、国防省によって運営され、行政上の一部である組織です。局長、副局長、地域本部 3 の長を含む現在の FSTEC上級幹部 は全員元軍将校であり、その多くはFSTEC内で以前の役割で将校または予備役の役職を兼任していました。

russian-vulnerability-analysis-5.png

FSTECヴォルガ地区事務所の責任者であるPavel Maksyakovの伝記のスクリーンショット。

FSTECの主な使命は、明確で文書化され、法律に次ぐ法律と秩序に次ぐ秩序で繰り返されます。国家安全保障はその包括的な使命です。中国の CNITSEC ( CNNVDを運営)など、他の国の「姉妹」組織とは異なり、FSTECは公共サービスの使命を持っているとは主張せず、代わりに脆弱性データベース(BDU)に、主に国家情報システムに脅威をもたらす脆弱性を入力します。 ただし、FSTECは、FSTECがあからさまな国家秘密の使命を持つあからさまな軍事組織であるという点で、CNITSECとは異なります。

2014年に中国の李克強首相とロシアのドミトリー・メドベージェフ首相が会談した際、ロシア政府は中国商務部をCNITSECや国家安全部ではなく、FSTECの機能的なカウンターパートと見なしている。 これはおそらく、FSTECが国内の情報および技術環境の技術的管理に主眼を置いているためであり、これはCNITSECよりもはるかに広範な使命です。

FSTECは公然とした軍事組織であるため、FSTECの脆弱性データベースに関する質問は、主に、FSTECが少数の脆弱性を公開している理由に集中しています。 以下に示すように、BDUは非常に遅く、包括的ではありません。 FSTECが公開している数少ない脆弱性は、攻撃的なサイバー作戦に対するロシア軍の意図よりも、FSTECの使命とロシアの国家情報システムについて多くを物語っています。

脅威分析

FSTECは、米国国家脆弱性データベース(NVD) が設立されてから約15年後の2014年に脆弱性データの公開を開始しました。 以下に示すように、年ごとに公開されたFSTECの脆弱性は、2014年に最初に公開された公開量が少なく、2015年に急増し、その後2016年から2018年にかけて公開される公開量が減少したことを示しています。

russian-vulnerability-analysis-6.png

ロシアの脆弱性を年ごとに公開しました。

2015年に何が起こったのか?

FSTECのBDU識別子とNVDのCVE識別子のマッピングを調べたところ、マッピングが常に1対1であるとは限らないことがわかりました。 FSTECは、複数のCVEを単一のBDU脆弱性にリンクすることがあり、また、単一のCVEに対して脆弱な異なるオペレーティングシステムに対して複数のBDU識別子を作成することがありました。 ロシアのBDUは、NVDが報告した107,901件のCVEのうち、約11,036件、つまり約10%を占めています。 この違いは、FSTECが開始するのが遅れたためだけに起因しているわけではなく、FSTECがカバーするCVEの約25%は、FSTECが運用を開始する何年も前のものでした。

BDU と CVE 識別子の間には非線形の相関関係があるにもかかわらず、FSTEC が 2015 年に他のどの年よりもはるかに多くの脆弱性を公開したことは明らかです。これはおそらく、2015年がBDUデータベースの実験的な年であり、FSTECがその機能と有用性を評価したためでしょう。2015年のFSTEC年次活動報告書(2016年3月発行)では、BDU実験の結果については言及されていませんが、公開されている脆弱性の範囲と数を大幅に削減する決定が下されたことはデータから明らかです。範囲を狭めることは、国家または「重要施設」が使用する情報システムの脆弱性を報告するというデータベースの 公共の使命ともよりよく一致しています。

また、最も早く公開した脆弱性のうち、75%がブラウザや産業用制御関連ソフトウェアの脆弱性でした。

前回のレポートでは、中国と米国の国家脆弱性データベースの脆弱性開示率の違いを評価し、中国は平均して米国よりもはるかに早く開示していることがわかりました。2017年から2018年に公開された、3つの国内脆弱性データベース間で共通する一連の脆弱性を調査したところ、ロシアの脆弱性の開示は、米国と中国の開示に大きく遅れをとっていることがわかりました。 ロシアの脆弱性の開示は不完全であるだけでなく、非常に遅いです。

russian-vulnerability-analysis-7.png

各国の異なる脆弱性データベースで脆弱性の開示が遅れる日数。

FSTECがどのようにして脆弱性を開示対象として選択したかを理解するために、FSTECがカバーする技術ベンダーを調査しましたが、全体のカバレッジレベルが10%であることから、予想よりも高い割合でFSTECがカバーしていました。 次の 2 つのグラフの黒い線 (10 の値) は、FSTEC が公開しているすべての脆弱性の 10% を表しています。 補償範囲が 10% 未満のすべてのベンダーは「カバー不足」と見なされ、10% を大幅に超えるすべてのベンダーは「カバー超過」と見なされます。

russian-vulnerability-analysis-8.png

FSTECの対象となるベンダーCVEの割合。

russian-vulnerability-analysis-9.png

FSTECの対象となるベンダーCVEの割合。

同様の分析では、FSTECは、すべてのテクノロジーのベースラインレベルのカバレッジと比較して、カバーされているコンテンツ管理システム(WordPress、Joomla、Drupalなど)、およびIBMとHuaweiを大幅に下回っていることが示唆されています。

ロシアのAPT脆弱性のカバレッジ

2016年のRecorded Future の出版物では、ロシアのAPTが使用する脆弱性、特にどのベンダーが最も広く代表されているかを分析しました。

russian-vulnerability-analysis-10.png

Recorded Futureのブログ「Running for Office: Russian APT Toolkits Revealed」からの画像。

これらすべてのテクノロジーのベンダーは、FSTECが重点を置いた領域にリストされていました。 これは、FSTECが各ベンダーで発見された脆弱性の10%をはるかに超える脆弱性を公開したことを意味します。 しかし、これらのベンダーはそれぞれ、世界で最も広く使用されているソフトウェアの一部を製造しており、ロシアのAPTグループがこれらの技術を標的にすると予想するのは妥当でしょう。

この点をより徹底的に調査するために、過去4年間にロシアのAPTグループによって悪用されたすべての脆弱性の最新分析も実施しました。 CVE番号と米国のNVDおよびCNNVDによっても公開された脆弱性のみを使用して、その期間にロシアのAPTグループによって利用された49の脆弱性を特定しました。

これら 49 件の脆弱性のうち 30 件、つまり 61% は FSTEC によって公開されました。これはFSTECの平均である10%を大幅に上回っています。さらに、公開されている 30 件の脆弱性のうち 18 件が APT28 によって悪用されており、これはロシア軍の主要情報総局 (GRU) による もの と考えられています。これは、FSTECがロシア軍によって悪用された脆弱性の60%を公開したことに相当します。これはFSTECの統計平均である10%をはるかに超えています。

繰り返しになりますが、これらの脆弱性の多くは、世界で最も広く使用されているソフトウェアに対するものです。 しかし、ソフトウェアベンダーと脆弱性自体の双方の報告率が異常に高いことは、2つの可能性を提起します。 まず、FSTECの使命はロシア政府の情報システムを保護することであるため、これはロシア政府のシステムがこれらのプログラムを利用しており、それ自体もこれらの脆弱性にさらされていたことを示しています。 これは、FSTECの出版物を調べることで、ロシア政府の情報システムに関する洞察が得られることをさらに確認するものです。

第二に、FSTECは軍事組織であり、その理事会には数人の 軍事諜報員 がおり、機密システムを保護するために軍事諜報機関と定期的にやり取りします。軍事諜報機関が脆弱性に関する知識でロシアの国家情報システムを保護する義務を負ったり、ロシアの軍事ハッカーがFSTECが公開した脆弱性を作戦に利用したりする可能性があります。

公的記録と入手可能なデータは、FSTECとロシアの国家が支援するサイバー作戦との関係を判断するにはまだ十分ではありません。 しかし、FSTECの脆弱性データベースが、CNNVDが中国の諜報機関に利用しているのとは異なる方法で、ロシアの諜報機関によって利用されていることは明らかです。 中国では、CNNVDが諜報機関が使用している脆弱性の公開を遅らせたり隠したりしていますが、ロシアでは、FSTECが諜報機関が使用している脆弱性を公表して、脆弱性から保護する可能性があります。

FSTECがカバーしているが、上記にリストされていない唯一のカバレッジの高いベンダーはNovellです。

当社のオーバーカバレッジ分析から、FSTECは他のどのベンダーよりもAdobeに重点を置いており、Adobeの全脆弱性のほぼ半分をカバーしていることがわかっています。 しかし、FSTECが対象外のAdobeの脆弱性を詳しく調べたところ、FSTECはCVSSスコアが10のAdobeの脆弱性を386件、CVSSスコアが8を超えるAdobeの脆弱性を871件公開していないことがわかりました。 FSTECは、データが最も関心を示している技術分野の脆弱性の開示についてさえ包括的ではありません。

FSTECが脆弱性情報の深刻なリソースであるならば、より高速で包括的なものでなければなりません。FSTECの 企業パートナー でさえ、BDUデータベースを独占的に使用しているとは主張していません。FSTECが脆弱性を公開していない理由について、以下の3つの仮説を検討します。

技術ライセンス

FSTECの技術管理ミッションの主な部分は、ロシアで製品を販売したい企業に製品レビューを実施し、ライセンスを発行することです。2017年6月のロイター通信の記事によると、FSBとFSTECはどちらも、「ファイアウォール、ウイルス対策アプリケーション、暗号化を含むソフトウェアなどのセキュリティ製品の情報源コード」を含む外国技術のレビューを国内での輸入と販売を許可しているという。FSBは、BDUデータベースの管理において FSTECのパートナー でもある Echelon という会社を含む、認定パートナー企業を利用してレビューの一部を実施していると伝えられている。

Echelonおよび他の多くの認定FSTECパートナーのWebサイトによると4、FSBは暗号化および暗号化ツールのレビューを担当し、FSTECは「機密情報」の開発または製造および技術的保護のためのライセンスを発行します。FSTECライセンスは、ロシアでのソフトウェアの製造と販売に広く必要です。

デジタルセキュリティ ロシア科学アカデミー副学長イヴァンニコワシステムプログラミング研究所、 ラスビテック、 オールテックソフト パースペクティブモニタリングなど 、 BDUを管理するFSTECのパートナーの中で、FSTEC 、FSB、MODのレビューで顧客を支援できると主張しているのはエシェロンだけです。

ただし、FSBとは異なり、FSTECはレビューを行うためにパートナーや仲介者を使用しません。 2016年10月、FSTECはウェブサイトで、FSTECは「仲介者」と交流せず、「ライセンスのための政府サービスの提供」において民間組織と協力しないという説明を発表しました。

FSTECは、発行する各認証について、ライセンシーの登録簿を公開しています。 2018年には14件の開発・生産登録ライセンスが発行され、今年は66件の技術保護ライセンスが発行されました(2018年7月9日現在)。 これは、2017年に発行された140の開発および生産ライセンスと293の技術保護ライセンスとは対照的です。

ハネウェル社、アルカテル・ルーセント、カスペルスキー、ファーウェイ、ヒューレット・パッカード、ボンバルディア、アトス、シマンテックなど、多くの有名な国際企業がこれらの認証を取得しています。

russian-vulnerability-analysis-12.png

FSTECが実施した外国技術査察のスケジュール。

FSTECライセンスを取得するための基準は非常に広いため、ソフトウェア会社からのどの情報が承認プロセスに不要と見なされるかを評価することは困難です。 さらに、認証制度や資格は異なりますが、企業がFSTECと共有しなければならない情報は、FSBがライセンスを取得するために必要な情報と非常によく似ています。 これには、人員、施設、製品、ソフトウェアの製造とテストなどに関する広範なデータが含まれます。

今後の展望

FSTECが脆弱性をほとんど公開していないのはなぜですか?

上記の調査が示すように、FSTECは既知の脆弱性の約10%しか広く公開していません。 より大きな疑問は、「なぜ?」です。 ユーザーの脆弱性の90%に対処していない脆弱性開示データベースにリソースを浪費するのはなぜですか? 考えられる仮説は3つあります。

  1. FSTECはリソースが大幅に不足しており、ロシアのユーザー向けの主要な技術とこれらの技術の主要な脆弱性にのみ焦点を当てることができます。
  2. FSTECは軍事組織であり、国家の脆弱性データベースとして信頼できる「ちょうどいい」コンテンツを公開しています。 ロシア政府は、外国のソフトウェアのレビューを要求するなど、FSTECの他の技術的管理責任のベースラインとして脆弱性調査を必要としています。
  3. FSTECは、オフェンシブと情報セキュリティの二重の使命を持ち、競合するニーズに基づいて公開しています。 これは、中国のNVD(CNNVD)の機能と似ています。

以前の調査では、NIST情報技術研究所(ITL)が約400人の科学技術スタッフを雇用し、年間約1億2,000万ドルの予算を保有していることを明らかにしました。ITLは7つの部門で構成され、米国NVDを含む多数のデータベースとシステムを運営しています。これに対し、ロシアのFSTECには、警備員、保護員、保守要員を含まない1,111人の従業員がおり、官僚構造と任務範囲はほぼ同等である(わずかに大きいとは言わないまでも)。NIST ITLとFSTECは類似の組織ではありませんが、この大まかな比較は、FSTECがその使命のためにリソースが大幅に不足しているわけではなく、(脅威についての)レポート作成は、公開されている脆弱性の10%しか選択の関数であり、リソースの制約によるものではないことを示しています。

さらに、FSTECは、最も焦点を当てている技術の適切なカバレッジさえ提供していません。 上記の例に示されているように、FSTECはAdobeの脆弱性の約半分を公開しています。ただし、CVSSが「重大」または「高」の1,000を超えるAdobeの脆弱性がまだ欠落しています。 Adobeが本当にそれほど重要である場合、FSTECは、可能な限り高い重大度スコアでこれらの脆弱性の公開を省略しません。 このことから、FSTECは、単にいくつかの重要な技術に焦点を当てるだけでは、出版の必要性を判断していないという結論に至ります。 これはまた、FSTECがリソースを大幅に不足させ、NVDに追いつくための人員や資本を持っていないという仮説そのものを除外します。

第二に、FSTECがCNNVDのモデルに従って、公開と攻撃的なサイバーミッションとのバランスを取ろうとしているという仮説3を支持する証拠は見つかりません。 FSTECは公共サービス組織ではありません — そのデータベースは包括的でもタイムリーでもなく、広範な保護ミッションをサポートするのに十分な脆弱性を公開していません。 FSTECの使命は、ロシアの国家および重要インフラシステムを保護し、防諜活動を支援するという、非常に焦点を絞った具体的なものです。

さらに、FSTECは、ロシアの国家支援の脅威グループによって悪用された脆弱性に関する報告をめぐって報告し、CNNVDは中国の諜報機関によって悪用された脆弱性の公開を遅らせたり隠したりしています。 どちらかといえば、FSTECは、ロシア政府の優先事項やソフトウェアに関する洞察をもたらすいくつかの脆弱性を公開するため、ロシア国家情報システムのサポートに少し焦点を当てすぎている可能性があります。

最後に、仮説その2がロシアのNVDの使命と意図を正確に説明していると高い確信を持って評価します。この意図は、FSTECの脆弱性データベースが国家情報システムのベースラインを提供し、外国の技術レビューを正当にカバーすることです。2017 年 2 月の FSTEC 文書の修正によると、州情報システムの検査と要件に関する脆弱性は、州情報システムの包括的な脆弱性リストではなく、セキュリティのベースラインを提供することを目的としています。これは、データベースの将来の機能の実験的な年であり、その後の公開の減少につながった 2015 年の脆弱性の公開の急増によってさらに実証されています。私たちの調査とデータは、BDUデータベースが包括的なものであることを意図したものではなく、政府の情報システムのセキュリティとソフトウェア検査のベースラインにすぎないことを示しています。

また、FSTECとFSBの間の機能的、 管理的、非公式的な重複を考慮すると、ロシアのAPTグループが好むことが知られている正確な技術にBDUデータベースが焦点を当てていることの一部は、FSB自身の活動とこれらの技術の悪用可能性に関する知識から派生している可能性があります。FSTEC overがカバーする脆弱性と、ロシアのAPTグループが最も使用している脆弱性との間の重複を除けば、この理論を裏付ける証拠は最小限です。

この目的のために、FSTECが公開している脆弱性は、攻撃的なサイバー作戦でどの脆弱性を標的にするかよりも、ロシア政府機関がネットワーク上で使用しているハードウェアとソフトウェアについてより多くの情報を伝えます。

1

国立防情報セキュリティセンター(NCSC) の防諜用語集によると、防諜活動 (CE)は対諜報活動のユニークなサブセットであり 、「防諜の攻撃的、または攻撃的な側面」です。「CEは攻撃的な作戦であり、野党の作戦を利用する、またはより一般的には利用を試みることによって、野党に関する情報を入手する手段です。」

2このコンテンツは Google翻訳を使用して機械翻訳されました。

3各地域首長の経歴は、 https://fstec.ru の「Территориальные органы」タブにあります。

4http://rusbitech.ru/about/certificate/ を参照してください。そして https://www.altx-soft.ru/license.htm