米CISA(Cybersecurity & Infrastructure Security Agency)と米連邦捜査局(FBI)は現地時間1月31日、「SOHO機器メーカーのためのセキュリティ設計改善」に関するガイダンスを発表した。
AeyeScan blog 第1回「深層学習でCAPTCHA突破」
同ガイダンスは、CISAが製品設計と開発にセキュリティを組み込むことで、メーカーが顧客へのセキュリティ負担を軽減すべきかに焦点を当てた新しい「セキュア・バイ・デザイン(SbD)アラート」シリーズの第3弾で、脅威行為者、特に中華人民共和国が支援する Volt Typhoon グループがSOHOルータを侵害するための経路を、製造業者がどのように排除できるかを検証している。
CISAとFBIは同ガイダンスで、製造業者に下記を強く求めている。
・SOHOルータのウェブ管理インターフェイス(WMI)で製品の設計・開発段階で悪用可能な欠陥を排除する。
・デフォルトの機器設定を以下のように調整する:
アップデート機能の自動化
WMI を LAN 側ポートに配置する
セキュリティ設定を削除するには、手動によるオーバーライドが必要
CISA と FBI では、Volt Typhoon の活動やその他のサイバー脅威からの保護のため、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)を通じて脆弱性を開示し、これらの脆弱性の正確な共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)を提供するよう製造業者に求めている。さらに、製品の設計・開発時にセキュリティを優先するインセンティブ構造を導入するようメーカーに求めている。
CISA と FBI では、SOHO 機器メーカーに対し、共同ガイダンス「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure by Design Software」の原則1から3に沿った「SOHO 機器メーカーのためのセキュリティ設計の改善」を読み、実施するよう促している。
1.顧客のセキュリティ成果のオーナーシップを持つ
2.抜本的な透明性と説明責任を受け入れる
3.これらの目標を達成するための組織構造とリーダーシップを構築する
