パブロフのデジタルハウス:ロシアは脆弱性分析のために内向きに焦点を合わせる [レポート]
ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。
スコープノート:過去1年間、Recorded Futureは、中国と米国の2か国の国家脆弱性データベース(NVD)の 公開速度、 使命、 および有用性 を調査しました。 私たちは、同じ分析手法をロシアの脆弱性データベースに適用して、何が得られるかを確認することにしました。 このレポートには、ロシア連邦技術輸出管理庁(FSTEC)が公開した脆弱性の詳細な分析、ロシア政府の公式文書、Recorded Futureデータ、およびオープンソースインテリジェンス(OSINT)が含まれています。 本レポートのために分析したデータは、2018年3月30日にまとめられたものです。
Executive Summary
ロシアの脆弱性データベースは非常に焦点を絞っています。 しかし、それは不完全で遅く、テクノロジー企業やユーザーに対するロシア国家の支配を支援することを意図している可能性があります。 一般的に、ロシアは既知の脆弱性の10%しか公開しておらず、中国の国家脆弱性データベース(NVD)よりも平均83日遅く、米国のNVDよりも50日遅く、カバーしているいくつかの技術が不完全です。
主な判断
ロシアの脆弱性データベースは、ロシア連邦技術輸出管理庁(FSTEC)によって運営されています。 FSTECは、国家機密を保護し、防諜および防諜活動を支援する責任がある軍事組織です。
FSTECの脆弱性データベースは、BDU(Банк данных угроз безопасности информации)とも呼ばれます。 BDUは、NVDが報告した107,901件のCVEのうち、11,036件(約10%)の脆弱性しか公開していません。
FSTECは、ロシアの国家支援の脅威グループによって悪用された脆弱性の61%を公開しています。 これは、標準の10%を大幅に上回っています。しかし、FSTECの出版物に対するロシアの諜報機関の影響を判断するには、データは不十分である。
FSTECは、主にロシアの国家情報システムに脅威を与える脆弱性をBDUデータベースに登録しています。 これにより、研究者は、ロシア政府のネットワークで使用されている技術、ハードウェア、およびソフトウェアに関する情報を得ることができます。
背景
ロシア連邦技術輸出管理局(FSTEC)は2004年に設立され、 国防省 (MOD)の下部組織です。 FSTECは、モスクワに中央オフィス、7つの地域「本部」、およびFSTECの 技術情報保護問題に関する国家科学研究実験研究所 、またはGNIII PTZI FSTECとして知られる情報セキュリティ研究および試験機関を持っています。
モスクワのFSTEC本社は、モスクワの 105066にあります。スタラヤ・バスマンナヤ、17歳。
首相の公式ウェブサイトは、FSTECを「政府の政策の実施、省庁間の協力と相互作用の組織化、国家安全保障の分野での特別および統制機能の行使を担当する連邦執行機関」と説明しています。
2016年に発表されたさらなる公式文書によると、FSTECは国家政策を実施し、部門間の協力を組織し、次の分野で国家安全保障の特別な機能を行使します。
- 情報システムのセキュリティ
- ロシアに対する外国の技術的脅威に対抗する
- 国家機密のセキュリティ
- 輸出管理
組織のタイトルに示されているように、最初の3つの領域は、技術的管理の使命に真っ向から該当します。 FSTEC文書の広範なレビューによると、輸出管理は、技術的管理下にあるすべてのタスクと機能よりもはるかに少ないFSTECリソースのシェアを前提としている可能性があります。 技術統制の任務は、内部統制、国家情報システム、およびロシアで販売されている外国技術を対象としています。
国防省に従属している一方で、FSTECは、特に国家機密の技術的管理とセキュリティの領域において、はるかに長く、より広範な権限のリストを持っています。FSTECのウェブサイトに掲載されている文書によると、FSTECは、化学兵器や核兵器に使われる可能性のある物質をめぐる取引も規制し、技術情報に対抗し、外国の科学研究のためのロシア領土の使用に関する意見を発表し、さまざまな種類のシステムや装置から放出される放射線の研究に資金を提供している。
FSTECには、 役職によって任命された政府高官の委員会もあります。 この委員会には、ロシア軍参謀本部第一副長官、内務副大臣、連邦保安庁(FSB)傘下の経済安全保障局長、SVR副局長などが含まれる。 理事会の主な 機能は 、FSTEC予算の設定と管理、および部門間の機能の調整です。
FSTECの4つの主要な機能の下での 無数の責任 の中で、この組織は国家機密の保護においてFSBと協力し、技術的な防諜と防諜活動を支援し、国家 機密を扱う政府関係者の通信を監視する権限も与えられています。
FSTEC is currently run by Director Vladimir Selin, who has been in that position since May 2011. Selin is supported by one First Deputy Director, Sergey Yakimov, and four Deputy Directors. In addition to his position as Director of FSTEC, Selin is also a member of the Defense Ministry Board, and Deputy Chairman of the Commission on State Secrets (on which he sits with Chief of the General Staff of the Russian Military General Valery Gerasimov).
州の公式文書によると、2015年に FSTECには 、セキュリティ、保護、または保守要員を含まない合計1,111人の従業員が割り当てられました。 1,111人の従業員のうち、225人はモスクワ本社に、残りの886人はFSTECの7つの地域オフィスに分散しています。
技術的管理に重点を置いたミッションを考えると、これら1,111人の従業員の大多数はこのマンデートに関連する問題に取り組んでいる可能性があり、FSTECの輸出管理業務を支持している人ははるかに少数です。
FSTECの脆弱性公開プロセス
FSTECは、脆弱性公開データベースも運営しており、Webサイト bdu.fstec.ru/vul を介してパブリックアクセスを提供しています。 ホームページには、データベースの目的は「情報セキュリティシステムに対する既存の脅威に対する利害関係者の意識を高める」ことであり、幅広い顧客、運用者、開発者、情報セキュリティの専門家、試験所、および認証機関向けに設計されていると記載されています。
FSTECはまた、データベースには「情報セキュリティと脆弱性に対する主な脅威、主に国家情報システムおよび重要な施設の生産および技術プロセスを管理するための自動化システムに特徴的なものに関する情報が含まれている」と述べています。2インチ
ホームページFSTECのSecurity Threats Databaseの
FSTECは、このデータベースが網羅的であるとは主張していません。 その代わりに、国家が使用する情報システムや「重要施設」の脆弱性を公開することに重点を置いています。 この使命は、FSTECの7つの地域部門の責任と活動にも表れています。 各地域本部に課せられる任務の大部分は、圧倒的に外国の技術情報に対抗し、各地区内の国家情報システムとデータを保護することに集中している。 各地域本部に課せられた10または11の任務のうち、上位7つは外国の技術情報収集への対抗と国家情報システムの保護に関するもので、残りは輸出管理に関するものである。
データベース(BDU)への脅威や脆弱性の報告は比較的簡単です。 FSTECは、脆弱性エントリ自体と厳密に一致する提出フォームを提供します。
FSTEC脆弱性対策情報提出フォーム
FSTEC BDU entry for CVE-2018-8148.
FSTECは、データベース全体をExcelまたはXMLファイルとして取得するための簡単なダウンロードリンクも提供しています。 これらのダウンロードには、内部ID、対応するCVE識別子、影響を受ける技術、サポートドキュメントへのリンク、深刻度評価など、他の脆弱性データベースに典型的なフィールドが含まれています。 この文書には、FSTECが初めて脆弱性を開示した日付は含まれていません。 2017年1月1日以降にFSTECが公開した脆弱性について、独自の手法を用いてこれらの日付を設定しました。
FSTECは公共サービス組織ではありません
FSTECは、国防省(MOD)に従属し、国防省(MOD)によって運営され、管理上はの一部である組織です。 ディレクター、副ディレクター、および地域本部 FSTECの上級リーダーシップ のすべての責任者を含む現在の 3 はすべて元軍将校であり、その多くはFSTEC内の以前の役割で将校または予備役の役職を兼任していました。
FSTECヴォルガ地区事務所の責任者であるPavel Maksyakovの伝記のスクリーンショット。
FSTECの主な使命は、法律に次ぐ法律と秩序に次ぐ秩序において、明示され、文書化され、繰り返されることです。国家安全保障は、その包括的な任務である。 中国の CNITSEC ( CNNVDを運営)など、他の国の「姉妹」組織とは異なり、FSTECは公共サービスの使命を持っているとは主張せず、代わりに、主に国家情報システムに脅威をもたらす脆弱性を脆弱性データベース(BDU)に入力します。 しかし、FSTECは、公然とした国家機密の使命を持つ公然とした軍事組織であるという点で、CNITSECとは異なります。
2014年に中国の李克強首相とロシアのドミトリー・メドベージェフ首相が会談した際、ロシア政府は中国商務部をCNITSECや国家安全部ではなく、FSTECの機能的なカウンターパートと見なしている。 これはおそらく、FSTECが国内の情報および技術環境の技術的管理に主眼を置いているためであり、これはCNITSECよりもはるかに広範な使命です。
FSTECは公然とした軍事組織であるため、FSTECの脆弱性データベースに関する質問は、主に、FSTECが少数の脆弱性を公開している理由に集中しています。 以下に示すように、BDUは非常に遅く、包括的ではありません。 FSTECが公開している数少ない脆弱性は、攻撃的なサイバー作戦に対するロシア軍の意図よりも、FSTECの使命とロシアの国家情報システムについて多くを物語っています。
脅威分析
FSTECは、米国の脆弱性データベース(NVD) が確立されてから約15年後の2014年に脆弱性データの公開を開始しました。 以下に示すように、FSTECの脆弱性を年別に公開すると、2014年は当初は少なかったものの、2015年に急増し、その後2016年から2018年にかけては公開件数が減少傾向にあることが分かります。
ロシアの脆弱性を年ごとに公開しました。
2015年に何が起こったのか?
FSTECのBDU識別子とNVDのCVE識別子のマッピングを調べたところ、マッピングが常に1対1であるとは限らないことがわかりました。 FSTECは、複数のCVEを単一のBDU脆弱性にリンクすることがあり、また、単一のCVEに対して脆弱な異なるオペレーティングシステムに対して複数のBDU識別子を作成することがありました。 ロシアのBDUは、NVDが報告した107,901件のCVEのうち、約11,036件、つまり約10%を占めています。 この違いは、FSTECが開始するのが遅れたためだけに起因しているわけではなく、FSTECがカバーするCVEの約25%は、FSTECが運用を開始する何年も前のものでした。
BDU識別子とCVE識別子の間には非線形の相関関係があるにもかかわらず、FSTECが2015年に他のどの年よりもはるかに多くの脆弱性を公開したことは明らかです。 これは、2015年がBDUデータベースの実験的な年であり、FSTECがその機能や有用性を評価したためと考えられる。 2015年のFSTEC年次活動報告書(2016年3月発行)では、BDU実験の結果については触れられていませんが、データから、公開される脆弱性の範囲と数を大幅に減らすことが決定されたことは明らかです。 また、範囲を狭めることは、国家が使用する情報システムや「重要施設」の脆弱性を報告するというデータベースの 公的な使命とより一致しています。
また、最も早く公開した脆弱性のうち、75%がブラウザや産業用制御関連ソフトウェアの脆弱性でした。
前回のレポートでは、中国と米国の国家脆弱性データベースの脆弱性開示率の違いを評価し、中国は平均して米国よりもはるかに早く開示していることがわかりました。2017年から2018年に公開された、3つの国内脆弱性データベース間で共通する一連の脆弱性を調査したところ、ロシアの脆弱性の開示は、米国と中国の開示に大きく遅れをとっていることがわかりました。 ロシアの脆弱性の開示は不完全であるだけでなく、非常に遅いです。
各国の異なる脆弱性データベースで脆弱性の開示が遅れる日数。
FSTECがどのようにして脆弱性を開示対象として選択したかを理解するために、FSTECがカバーする技術ベンダーを調査しましたが、全体のカバレッジレベルが10%であることから、予想よりも高い割合でFSTECがカバーしていました。 次の 2 つのグラフの黒い線 (10 の値) は、FSTEC が公開しているすべての脆弱性の 10% を表しています。 補償範囲が 10% 未満のすべてのベンダーは「カバー不足」と見なされ、10% を大幅に超えるすべてのベンダーは「カバー超過」と見なされます。
FSTECの対象となるベンダーCVEの割合。
FSTECの対象となるベンダーCVEの割合。
同様の分析では、FSTECは、すべてのテクノロジーのベースラインレベルのカバレッジと比較して、カバーされているコンテンツ管理システム(WordPress、Joomla、Drupalなど)、およびIBMとHuaweiを大幅に下回っていることが示唆されています。
ロシアのAPT脆弱性のカバレッジ
2016年のRecorded Future の出版物では、ロシアのAPTが使用する脆弱性、特にどのベンダーが最も広く代表されているかを分析しました。
Recorded Futureのブログ「Running for Office: Russian APT Toolkits Revealed」からの画像。
これらすべてのテクノロジーのベンダーは、FSTECが重点を置いた領域にリストされていました。 これは、FSTECが各ベンダーで発見された脆弱性の10%をはるかに超える脆弱性を公開したことを意味します。 しかし、これらのベンダーはそれぞれ、世界で最も広く使用されているソフトウェアの一部を製造しており、ロシアのAPTグループがこれらの技術を標的にすると予想するのは妥当でしょう。
この点をより徹底的に調査するために、過去4年間にロシアのAPTグループによって悪用されたすべての脆弱性の最新分析も実施しました。 CVE番号と米国のNVDおよびCNNVDによっても公開された脆弱性のみを使用して、その期間にロシアのAPTグループによって利用された49の脆弱性を特定しました。
これらの49の脆弱性のうち30件、つまり61%がFSTECによって公開されました。 これは、FSTECの平均である10%を大幅に上回っています。 さらに、公開された30件の脆弱性のうち18件は、ロシア軍の主要情報局(GRU )に起因する APT28によって悪用されています。 これは、FSTECがロシア軍によって悪用された脆弱性の60%を公開していることに相当します。 これは、FSTECの統計平均である10%をはるかに超えています。
繰り返しになりますが、これらの脆弱性の多くは、世界で最も広く使用されているソフトウェアに対するものです。 しかし、ソフトウェアベンダーと脆弱性自体の双方の報告率が異常に高いことは、2つの可能性を提起します。 まず、FSTECの使命はロシア政府の情報システムを保護することであるため、これはロシア政府のシステムがこれらのプログラムを利用しており、それ自体もこれらの脆弱性にさらされていたことを示しています。 これは、FSTECの出版物を調べることで、ロシア政府の情報システムに関する洞察が得られることをさらに確認するものです。
第二に、FSTECは軍事組織であり、その役員には数人の 軍事情報メンバーが おり、機密システムを保護するために定期的に軍情報と対話します。 軍事情報機関が、脆弱性に関する知識を持ってロシア国家情報システムを保護する義務を負う可能性や、ロシアの軍事ハッカーがFSTECが公開した脆弱性を作戦に利用している可能性もある。
公的記録と入手可能なデータは、FSTECとロシアの国家が支援するサイバー作戦との関係を判断するにはまだ十分ではありません。 しかし、FSTECの脆弱性データベースが、CNNVDが中国の諜報機関に利用しているのとは異なる方法で、ロシアの諜報機関によって利用されていることは明らかです。 中国では、CNNVDが諜報機関が使用している脆弱性の公開を遅らせたり隠したりしていますが、ロシアでは、FSTECが諜報機関が使用している脆弱性を公表して、脆弱性から保護する可能性があります。
FSTECがカバーしているが、上記にリストされていない唯一のカバレッジの高いベンダーはNovellです。
当社のオーバーカバレッジ分析から、FSTECは他のどのベンダーよりもAdobeに重点を置いており、Adobeの全脆弱性のほぼ半分をカバーしていることがわかっています。 しかし、FSTECが対象外のAdobeの脆弱性を詳しく調べたところ、FSTECはCVSSスコアが10のAdobeの脆弱性を386件、CVSSスコアが8を超えるAdobeの脆弱性を871件公開していないことがわかりました。 FSTECは、データが最も関心を示している技術分野の脆弱性の開示についてさえ包括的ではありません。
FSTECが脆弱性情報の真剣なリソースであるならば、それはより速く、より包括的でなければなりません。 FSTECの 企業パートナー でさえ、BDUデータベースを独占的に使用すると主張していません。 FSTECが脆弱性をほとんど公開していない理由について、以下の3つの仮説を検討します。
技術ライセンス
FSTECの技術管理ミッションの主な部分は、製品レビューを実施し、ロシアで製品を販売したい企業にライセンスを発行することです。 2017年6月のロイターの記事によると、FSBとFSTECは、「ファイアウォール、ウイルス対策アプリケーション、暗号化を含むソフトウェアなどのセキュリティ製品のソースコードを、国内での輸入販売を許可する前に」レビューを実施しています。FSBは、BDUデータベースの管理において FSTECのパートナー でもある エシュロン と呼ばれる会社を含む、認定パートナー企業を利用してレビューを実施していると伝えられています。
エシュロンやその他多くの認定FSTECパートナーのウェブサイト4によると、FSBは暗号化および暗号化ツールのレビューを担当し、FSTECは「機密情報」の開発または生産および技術的保護のためのライセンスを発行しています。FSTECライセンスは、ロシアでのソフトウェアの製造と販売に広く必要です。
デジタルセキュリティ 、 V.P.イヴァンニコワロシア科学アカデミーのシステムプログラミング研究所 、 Rusbitech 、 All-Tech-Soft 、 Perspective Monitoring など、 BDUの管理におけるFSTECのパートナー の中で、FSTEC、FSB、およびMODのレビューで顧客を支援できるのはエシュロンだけです。
ただし、FSBとは異なり、FSTECはレビューを行うためにパートナーや仲介者を使用しません。 2016年10月、FSTECはウェブサイトで、FSTECは「仲介者」と交流せず、「ライセンスのための政府サービスの提供」において民間組織と協力しないという説明を発表しました。
FSTECは、発行する各認証について、ライセンシーの登録簿を公開しています。 2018年には14件の開発・生産登録ライセンスが発行され、今年は66件の技術保護ライセンスが発行されました(2018年7月9日現在)。 これは、2017年に発行された140の開発および生産ライセンスと293の技術保護ライセンスとは対照的です。
ハネウェル社、アルカテル・ルーセント、カスペルスキー、ファーウェイ、ヒューレット・パッカード、ボンバルディア、アトス、シマンテックなど、多くの有名な国際企業がこれらの認証を取得しています。
FSTECが実施した外国技術査察のスケジュール。
FSTECライセンスを取得するための基準は非常に広いため、ソフトウェア会社からのどの情報が承認プロセスに不要と見なされるかを評価することは困難です。 さらに、認証制度や資格は異なりますが、企業がFSTECと共有しなければならない情報は、FSBがライセンスを取得するために必要な情報と非常によく似ています。 これには、人員、施設、製品、ソフトウェアの製造とテストなどに関する広範なデータが含まれます。
今後の展望
FSTECが脆弱性をほとんど公開していないのはなぜですか?
上記の調査が示すように、FSTECは既知の脆弱性の約10%しか広く公開していません。 より大きな疑問は、「なぜ?」です。 ユーザーの脆弱性の90%に対処していない脆弱性開示データベースにリソースを浪費するのはなぜですか? 考えられる仮説は3つあります。
FSTECはリソースが大幅に不足しており、ロシアのユーザー向けの主要な技術とこれらの技術の主要な脆弱性にのみ焦点を当てることができます。
FSTECは軍事組織であり、国家の脆弱性データベースとして信頼できる「ちょうどいい」コンテンツを公開しています。 ロシア政府は、外国のソフトウェアのレビューを要求するなど、FSTECの他の技術的管理責任のベースラインとして脆弱性調査を必要としています。
FSTECは、オフェンシブと情報セキュリティの二重の使命を持ち、競合するニーズに基づいて公開しています。 これは、中国のNVD(CNNVD)の機能と似ています。
以前の調査では、NIST Information Technology Laboratory(ITL)が約400人の科学技術スタッフを雇用し、年間約1億2000万ドルの予算を保有していることを明らかにしました。ITLは7つの部門で構成されており、米国のNVDを含む多数のデータベースとシステムを運営しています。 これに対し、ロシアのFSTECには、警備員、警備員、保守要員を除いた1,111人の従業員がおり、官僚構造と任務範囲はほぼ同等である(わずかに大きくはないにしても)。 NIST ITLとFSTECは類似の組織ではありませんが、この緩やかな比較は、FSTECがその使命に対してリソースが大幅に不足しているわけではなく、公開された脆弱性の10%のみを報告することは、リソースの制約によるものではなく、選択の関数であることを示しています。
さらに、FSTECは、最も焦点を当てている技術の適切なカバレッジさえ提供していません。 上記の例に示されているように、FSTECはAdobeの脆弱性の約半分を公開しています。ただし、CVSSが「重大」または「高」の1,000を超えるAdobeの脆弱性がまだ欠落しています。 Adobeが本当にそれほど重要である場合、FSTECは、可能な限り高い重大度スコアでこれらの脆弱性の公開を省略しません。 このことから、FSTECは、単にいくつかの重要な技術に焦点を当てるだけでは、出版の必要性を判断していないという結論に至ります。 これはまた、FSTECがリソースを大幅に不足させ、NVDに追いつくための人員や資本を持っていないという仮説そのものを除外します。
第二に、FSTECがCNNVDのモデルに従って、公開と攻撃的なサイバーミッションとのバランスを取ろうとしているという仮説3を支持する証拠は見つかりません。 FSTECは公共サービス組織ではありません — そのデータベースは包括的でもタイムリーでもなく、広範な保護ミッションをサポートするのに十分な脆弱性を公開していません。 FSTECの使命は、ロシアの国家および重要インフラシステムを保護し、防諜活動を支援するという、非常に焦点を絞った具体的なものです。
さらに、FSTECは、ロシアの国家支援の脅威グループによって悪用された脆弱性に関する報告をめぐって報告し、CNNVDは中国の諜報機関によって悪用された脆弱性の公開を遅らせたり隠したりしています。 どちらかといえば、FSTECは、ロシア政府の優先事項やソフトウェアに関する洞察をもたらすいくつかの脆弱性を公開するため、ロシア国家情報システムのサポートに少し焦点を当てすぎている可能性があります。
最後に、仮説2がロシアのNVDの使命と意図を正確に説明していると高い確信を持って評価する。 この意図は、FSTECの脆弱性データベースが国家情報システムのベースラインを提供し、外国の技術レビューの正当な隠れ蓑を提供することです。 2017年2月に州情報システムの検査と要件に関するFSTEC文書が修正されたことによると、BDUデータベースの脆弱性は、包括的な脆弱性リストではなく、国家情報システムのセキュリティのベースラインを提供することを目的としています。このことは、2015年に脆弱性の公開が急増したことでも実証されており、この年はデータベースの将来の機能にとって実験的な年であり、その後の公開の減少につながりました。 私たちの調査とデータは、BDUデータベースが包括的であることを意図したものではなく、政府の情報システムのセキュリティとソフトウェア検査のベースラインにすぎないことを示しています。
また、FSTECとFSBの機能的、 管理的、非公式な重複を考えると、ロシアのAPTグループが好むことが知られている正確な技術にBDUデータベースが焦点を当てているのは、FSBの自社の活動とこれらの技術の悪用可能性に関する知識から派生している可能性もあります。 FSTECがカバーしている脆弱性とロシアのAPTグループが最もよく使用している脆弱性が重複していることを除けば、この理論を裏付ける証拠は最小限です。
この目的のために、FSTECが公開している脆弱性は、攻撃的なサイバー作戦でどの脆弱性を標的にするかよりも、ロシア政府機関がネットワーク上で使用しているハードウェアとソフトウェアについてより多くの情報を伝えます。
2This content was machine translated using Google Translate.
3Biographies of each regional head can be found under the “Территориальные органы” tab at https://fstec.ru.
4See http://rusbitech.ru/about/certificate/, and https://www.altx-soft.ru/license.htm
関連ニュース&研究