米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は最近、新たな一連の必須サイバーセキュリティ指令を発令し、すべての連邦文民機関に対し、古いルーター、ファイアウォール、VPN ゲートウェイ、スイッチなど、ベンダーサポートが終了したエッジネットワーク機器およびソフトウェアを包括的に調査して削除するよう求めました。規制当局は、このような「耐用年数が終了した」エッジデバイスは、国家レベルのハッカーが政府ネットワークに侵入する主な入り口の1つとなっており、限られた時間内に修復する必要があると強調した。
「拘束力のある運用指令26-02」と題されたこの文書は、CISAとホワイトハウス管理予算局が共同で発行した。これは、連邦 IT システムの長年にわたる顕著な弱点、つまり、パッチが適用されていない時代遅れのネットワーク境界インフラストラクチャに対処することを目的としています。 CISAは、多くの攻撃において、攻撃者は盗んだ認証情報やフィッシングメールに頼らず、政府ネットワークへの足がかりを得るために、何年も更新されておらず、維持されなくなった古いルーターやファイアウォールをまず探すと指摘している。
新しい指令の下では、連邦政府機関はメーカーのサポートサイクル内にあるデバイスを直ちにアップデートする必要があり、サポートが終了したデバイスは12か月以内に交換する必要がある。指令の発効日から 3 か月以内に、政府機関はすべてのエッジ デバイスの徹底的なインベントリを完了し、どのデバイスがメーカーのサポート期間を超えているかを示す必要があります。翌年、関連機関はこれらの「サービス終了」機器を段階的に廃止し、新しいバッチの機器が短期間で再び保証対象外状態に陥るのを防ぐために、同時に交換計画を策定する必要があります。
この指令はさらに、サポートされていないすべてのデバイスをそれまでに連邦政府のネットワークから完全に削除する必要がある 18 か月の期限を設定しています。この文書では、「再発」を防ぐために、清掃後の古い機器が密かにネットワーク環境に再接続されないように継続的な追跡メカニズムを確立することも政府機関に求めている。
CISA長官代理のマドゥ・ゴトゥムッカラ氏は、この動きは「時期尚早」であり「避けられない」ものだと述べた。 CISA は長年にわたり、攻撃者がセキュリティ アップデートを受け取らなくなったネットワーク デバイスを悪用して、すでに最新のエンドポイント保護が導入されている政府システムを侵害する方法を監視してきました。 CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのニック・アンダーセン氏も、国家支援のハッカー組織と営利目的の攻撃グループの両方がこうした古い機器をターゲットにし、古いファームウェアの脆弱性を悪用して侵入するケースが増えていると指摘した。成功すると、ネットワーク内を横方向に移動したり、データを盗んだり、重要な業務運営を妨害したりする可能性があります。
CISA が管理する既知の悪用された脆弱性ディレクトリには、12 月に公開された製造中止の D-Link ルータに関連する脆弱性を含む、製造中止のネットワーク機器に関連する複数の攻撃が文書化されています。同庁はまた、サイバースパイ活動を行うために古いネットワーク機器を広範囲に使用した中国による2025年の国家攻撃にも言及した。
この指令は連邦文民機関に義務付けられているが、直接的な金銭的または法的罰則を課すものではない。 CISAと行政管理予算局は、進捗状況の追跡や実績の公開報告を通じて圧力をかけることになるが、実際には、政府機関は優先度の高いセキュリティタスクとしてそのような「まとめられた運用指令」を実行することが多い。
導入の取り組みをサポートするために、CISA は、メーカーのサポート期間が近づいているか、サポート期間を過ぎている連邦環境で一般的に見られるデバイス モデルの内部「サービス終了エッジ デバイス リスト」を作成しました。セキュリティ上の理由から、潜在的な攻撃者にターゲットの手がかりが提供されることを避けるために、このリストは公開されません。州政府、地方自治体、民間企業など、連邦行政システム外の機関に対して、CISA は機器メーカーと積極的にコミュニケーションをとり、使用する機器のサポート サイクルとリスクの状態を理解することを推奨しています。