An Open Letter to the Japanese Government on Cybersecurity

Credits

John
Github: https://github.com/johnjhacking
Daichi
Twitter: https://twitter.com/da1mshlomd

Background

Every nation that has grown in the Cybersecurity space has felt the woes of malicious threat actors exploiting their systems. The United States for instance, has felt the pain of continued occurrences of ransomware, with one of the worst US Government-affected instances being DarkSide’s attack on the Colonial Pipeline. The pipeline carries fuel from Texas to as far away as New York. Forty-five percent of all fuel consumed on the East Coast arrives via this system. The Colonial Pipeline ransomware attack was one instance of heaps of malicious threat activity carried out over the years.

The United States, however, is one country out of dozens that allow responsible vulnerability reporting. In previous years, allowing ethical hackers to report discovered security concerns was premature, offloading nearly all government vulnerability discoveries onto the plate of US CERT/CC. A breakthrough as a result of the Cybersecurity & Infrastructure Security Agency’s Binding Operational Directive (BOD) 20-01 made it a federal requirement for every government entity to develop, publish, and maintain a vulnerability disclosure program - opening the door for ethical hackers to report security issues in good faith.

Other countries such as the United Kingdom and the Netherlands operate their own form of responsible vulnerability disclosure. The United Kingdom operates through a third party, allowing hackers to conduct vulnerability assessment through Hackerone. The UK’s scope of Government assessment is defined here and issues are routed to the National Cyber Security Centre. In a similar sense, the Netherlands also allows responsible vulnerability reporting through their National Cyber Security Centrum, here.

Lack of Adaptation

The Japanese Government operates a base level of Cybersecurity emergency alerting through JPCERT/CC but much like the adolescent disclosure policies offered by the United States and other NATO Governments in the past, CERT/CC offers limited assurance of safe reporting. Japan isn’t a stranger to exploitation though, for instance, in May of 2021, Fujitsu’s software-as-a-service platform was hacked - resulting in a suspension of all projects using ProjectWEB. In July of 2021, the Japanese Government announced that various Japanese companies were targeted by APT-40, a Chinese state funded cybercriminal group.

Japan has hosted various hacking competitions and has been known to hire whitehat hackers through various private firms for consultation. In retrospect, this isn’t enough. It’s not a surprise that Japan has the third-largest GDP in the world, and the digital expansion hasn’t slowed.

Deconstructing Disclosure

Japan lacks appropriate mitigations for Cybersecurity instances, effectively increasing the attack surface of internet connected assets. Hackers operating in good-faith do not have the appropriate reassurance to communicate with the Japanese Government or companies. As an example, if a citizen were to discover a vulnerability while utilizing a Japanese Government website, they would be unlikely to report it due to fears of prosecution. In a similar sense, hackers equipped with the skills to assist organizations with finding vulnerabilities will not do so without knowing whether they’d be safe to do so.

There have been many instances in which hackers have been willing to assist governments and organizations in identifying vulnerabilities in good-faith, without expecting monetary compensation. As an example, Sakura Samurai has helped the United Nations, Indian Government, Fermilab and the Department of State, which are all Government entities. While the news coverage might sound alarming, the severity of the situation would have increased ten-fold given malicious intent operated by a threat actor or cybercriminal group. The United Nations, Indian Government, Fermilab, and the State Department all benefited from responsible vulnerability reporting and are just several examples of thousands of vulnerabilities reported by hackers with good intention.

Proposed Resolve

Japan’s Government should reconsider the role that hackers with good intentions play in vulnerability disclosure. Japan needs to consider a more receptive vulnerability disclosure policy to adapt to increasing attack surface. While it would be unrealistic to ask the Japanese Government to write a policy similar to CISA’s operational binding, the idea of an expansion should be considered. Japan could benefit from the expertise of hackers who are willing to help Government and enterprise organizations.

Japan can lead by example by creating a basic vulnerability disclosure process for vulnerabilities identified on .jp assets, and over time, mandate Government organizations to maintain their own vulnerability disclosure program much like CISA did. Over time, encouragement from the Japanese Government may inspire enterprises to follow suit and offer Bug Bounty Programs to pay hackers for vulnerability reports. The strongest fight is the one fought with the assistance of hackers from around the world that are willing to help Japan.

The battle for increased security doesn’t have to be fought alone. Hiring private consulting companies to evaluate Cybersecurity posture is a great step in the right direction, but private firms cannot cover the absolute breadth of all Government assets. Responsible vulnerability reporting and disclosure is the future of crowdsourced assistance for Governments around the world.

サイバーセキュリティについて、日本政府への公開書簡

時代は前へ進んでいく、しかし、サイバー分野において日本政府はNATO加盟国や諸外国から取り残されている

Credits

John Jackson
Twitter: https://twitter.com/johnjhacking
Daichi (mshlomd), Security Researcher
Twitter: https://twitter.com/da1mshlomd

公開書簡を書くにあたって

　サイバーセキュリティ分野に関する知識や経験を蓄えてきた国の多くは、昨今、被害拡散目的の脅威アクターらによって自国のシステムが悪用され続けていることを身を持って理解していると思います。合衆国での例を挙げれば、当局に影響を与えたコロニアル・パイプライン社のランサムウェアを使った事案は、記憶に新しいニュースです。テキサス州から遠くニューヨークまで結ぶパイプラインを管理している会社で、米国東海岸で消費される約４５％にあたる量の燃料がこの運送基盤を経由しています。このコロニアル・パイプライン社に対してのランサムウェア攻撃は、長年続いている悪質な脅威活動のなかで世間一般に知れ渡った一例にすぎません。

　責任の所在がはっきりした形で脆弱性報告を認めている国として、米国や諸外国が挙げられます。数年前までは、倫理的価値観のあるハッカーが自ら発見したセキュリティにおける懸念点を当局と共有するといった仕組みが未熟であったため、脆弱性発見については、ほとんど全てUS CERT/CCの手に委ねられていた形となっていましたが、現在では、米国土安全保障省が発表した「「Binding Operational Directive（仮訳：団結的運用指令）」により、連邦政府レベルで脆弱性公開プログラムの開発、公開、管理を行うことが必須とされたことで、倫理的思考を持ったハッカーが善意でセキュリティの問題点を報告する道が開かれています。英国やオランダといった国でも、それぞれ独自の脆弱性公開方法を採用しています。英国政府は、Hackeroneと呼ばれる第三者機関を通して、善意あるハッカーが脆弱性診断を行うことを可能にしています。英国政府が監督している診断領域についてはこちら（英文）で詳しく記載があり、対象となる領域の問題はNational Security Centre（国家安全保障センター）へと送られます。同様に、オランダもNational Cyber Security Centrumを通して（詳細はこちら）脆弱性報告が可能となっています。

不十分な整備

　日本政府は、サイバーセキュリティ分野における緊急通知をJPCERT/CCを通して、必要最低限のレベルで行っていますが、これは米国やNATO諸国の政府がはるか昔に採用していた仕組みと同様で、CERT/CC経由での報告で達成可能な安全性を考えれば、非常に限定的なものです。日本自体、被害が一切ないことはなく、2021年5月には富士通のSAASプラットフォームが攻撃を受けProjectWebを使っていたプロジェクト全ての稼働停止になりました。また、2ヶ月後の2021年には、日本政府は日本企業の多くがAPT-40と呼称される中国政府に支援されているサイバー犯罪グループの標的になっていたと発表しています。さらに、日本国内で数多くのハッキング大会が主催されているのは周知の事実でありますし、コンサルティングを目的に民間企業を通してホワイトハッカーを雇っていることもよく知られています。いままでの施策を現時点から振り返ってみると、とても十分とは言えないでしょう。現在世界３位のGDPを誇っている日本で、デジタル分野における成長が止まらないことは当然のことです。

報告、とは一体

　日本のサイバーセキュリティ有事対応・収束を適切な形で行える手段は十分でないといった要因から、インターネットに接続された資産に対しての攻撃可能範囲(= attack surface)を広げてしまっています。しかし、善意を持って活動しているハッカーたちは、日本政府や日本の企業に対して身の危険を感じずに連絡できる手段を持っていません。例えば、日本政府のウェブサイトを使用している間に、何かしらの脆弱性を発見した一市民は、処罰されるのではないかという意識が働き報告をしないでしょう。同じようなケースでは、組織の脆弱性発見を手助け可能な知識やスキルを持ったハッカーがいたとしても、安全である保証がなければ、行動に移すことはないと考えるのが現状では普通です。

　政府機関や組織が脆弱性を発見することの手伝いを、ハッカーが善意で金銭的報酬を求めずに行った事例は数多くあります。桜の侍グループは、国際連合、インド政府、Fermilab、米国国務省などの政府機関を支援してきました。このような話は、一見すると危険なにおいがするかもしれません。しかし、考えてみてください。脆弱性を見つけた人が善意を持った人ではなく、脅威アクターやサイバー犯罪者集団であった場合、彼らが悪用した場合の方が、事の深刻さは何十倍にもなり得るでしょう。国連、インド政府、Fermilabs、国務省はいずれも、責任ある脆弱性報告の恩恵を受けています。そして、これらはハッカーが善意で報告した何千もの脆弱性のほんの一例に過ぎないのです。

解決に向けた提案

　日本政府は、脆弱性開示の分野において善意を持ったハッカーが担う役割を再検討するべきであると考えます。攻撃可能域はますます広がっていきます。その範囲の拡大に柔軟に適応していくためには、より受容的な脆弱性開示ポリシーを検討する必要があるでしょう。CISAが開示したようなBODポリシーを日本政府に求めるのは非現実的であるとは思いますが、現状をどう変えていけるのかは検討するべき事項であると考えています。日本は、政府機関や企業、組織に協力する意思のあるハッカーの専門知識から恩恵を受けられる国であると信じています。

　日本の領域内（.jp）の資産で特定された脆弱性に関する基本的な脆弱性開示プロセスを構築し、他国と歩幅を合わせていき、ある程度の時間と経験を積んだ後、CISAが行ったような形で、日本の政府機関に独自の脆弱性開示プログラムを維持管理することを義務付けていけるでしょう。日本政府が先立って行動することで、企業もこれに倣い、脆弱性の報告を受けたハッカーに報酬を支払うバグ・バウンティ・プログラムを提供するようになるかもしれません。日本に協力的なハッカーたちが世界中から集結する力は、何にも勝る強い力なのです。

　セキュリティを高める道のりを、ひとりぼっちで歩む必要はありません。コンサルティングを行なっている民間企業を雇って、サイバーセキュリティ体制を評価するのも方向性としては正しい有意義な一歩ではありますが、民間企業には政府が管理する全ての資産を網羅することなど絶対的に不可能なことです。責任ある脆弱性の報告と開示ができる未来は、クラウドソース時代の世界中の政府が恩恵を受けることができる支援に満ち溢れた未来だと思っています。