1. HOME
  2. ブログ
  3. 中国国家が支援する集団による米国重要インフラを狙ったサイバー攻撃に関して、今後も継続されるとの予測を報告

中国国家が支援する集団による米国重要インフラを狙ったサイバー攻撃に関して、今後も継続されるとの予測を報告

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下CPR)は、Microsoft社が2023年5月24日に発表した中国が支援するハッカー集団が政府や通信組織を含む様々な業界の重要なサイバーインフラを侵害しているとの警告 < https://www.theguardian.com/us-news/2023/may/24/microsoft-china-hacker-critical-infrastructure-us-guam > を受け、同種の攻撃が今後も継続されるとの予測を報告した。

米国、オーストラリア、カナダ、ニュージーランド、英国の当局は「米国や国際的なサイバーセキュリティ当局は、中華人民共和国(PRC)の国家支援によるサイバーアクター(通称 Volt Typhoon)に関連する、最近発見された注目すべき一連の活動を強調するために、この共同サイバーセキュリティ勧告(CSA)を発表する」との声明を出している。この五カ国は情報ネットワーク「ファイブ・アイズ」を構成している。

この勧告とMicrosoftの当該ブログ記事 < https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/ > には、Volt Typhoonが、侵害されたSOHOネットワークエッジ機器(ルーターを含む)を介して、ターゲットのすべてのネットワークトラフィックをプロキシ化することが説明されている。ASUS、Cisco、D-Link、NETGEAR、Zyxel製のデバイスの多くでは、所有者がHTTPまたはSSH管理インターフェースをインターネットに公開することが可能であり、Microsoftは所有者に対し、このような事態を避けるためのインタフェース管理を促している。

過去にも見られた、ネットワークデバイスを狙った攻撃

Volt Typhoon のような中国の APT グループは、これまでにも高度なサイバースパイ活動を展開してきた。彼らの主な目的は多くの場合、戦略的な情報収集、標的型攻撃、あるいは将来的な作戦を見据えたネットワークへの足場固めにある。今回の勧告では、これらの脅威アクターが採用するさまざまな手法が指摘されており、特に興味深いものとして、「Living off the land」攻撃(※1)を用いてルーターなどのネットワーク機器を悪用する手法がある。

※1:Living off the landとは、侵害したシステム内にすでにインストールされたツールを活用するサイバー攻撃手法のこと。

先般CPRは、過去数ヶ月間に欧州の外務機関を狙った一連の標的型攻撃について注意深く監視し、現時点までに判明している事実をまとめた最新のレポートを公開した。このレポートによると、これらのキャンペーンは中国の国家支援型APTグループ「Camaro Dragon」によるものであり、同じく中国の国家支援型APTグループ「Mustang Panda」の活動と類似している事が判明している。

CPRがこのキャンペーンを包括的に分析した結果、TP-Link社のルーターに、専用に作成された悪意あるファームウェアが埋め込まれていることを発見した。このインプラントは、「Horse Shell」と名のカスタマイズされたバックドアを含む様々な有害コンポーネントを備えており、攻撃者による持続的なアクセスの維持と、匿名のインフラ構築、侵害されたネットワークへの水平展開を可能にする。

スパイ行為の対象は米国だけではない

2023年3月、CPRは、東南アジアの政府機関、特にベトナム、タイ、インドネシアなど、領土に関する主張や戦略的インフラプロジェクトを持つ国々に対する中国発のスパイ攻撃にスポットライトを当て、詳細を明らかにした。

2021日7月、CERT-FRは、中国系の脅威アクターであるAPT31が行った大規模なキャンペーンについて報告した。彼らは、このアクターが「Pakdoor」と名付けたマルウェアを使用し、それによって侵害されたルーターを組織化したメッシュネットワークを使用していることを発見した。

2021年のCISA勧告では、中国が支援するAPTグループが利用する一般的な手法を挙げている。その勧告では、攻撃者が検出の回避とコマンド&コントロール(C&C)のホストを目的とし、作戦インフラの一部として脆弱なルータをターゲットとしていることに言及している。

エッジデバイスが攻撃対象となる理由

近年、CRPは中国の脅威アクターによるエッジデバイスの侵害への関心の高まりについて確認している。その目的は、より強固で匿名性の高いC&Cインフラを構築し、標的とする特定のネットワークへの足掛かりを得ることにあり、中国が支援するAPTグループが利用する一般的な手法を挙げている。その勧告では、攻撃者が検出の回避とコマンド&コントロール(C&C)のホストを目的とし、作戦インフラの一部として脆弱なルータをターゲットとしていることに言及している。

ルーターのようなネットワークデバイスは、しばしば組織のデジタル資産の境界とみなされ、インターネットベースの通信における最初の接点として機能する。ルーターは、ネットワークトラフィックを正当なものから悪意のあるものまでルーティングし、管理する役割を担っている。これらのデバイスを侵害することで、攻撃者は自分たちのトラフィックを正規の通信に紛れ込ませることができ、検出は著しく困難になる。また、これらのデバイスを再設定または侵害することにより、攻撃者はネットワークを通じて通信のトンネル化が可能になり、トラフィックの効果的な匿名化と、従来の検出方法による回避が可能になる。

この戦略は、Volt Typhoonの「Living off the land」アプローチも補完するもの。これらの脅威アクターは、最新のセキュリティシステムで検出可能なマルウェアを使用するのではなく、wmic、ntdsutil、netsh、PowerShellなどのネットワーク管理ツールを活用する。その結果、悪意ある活動が無害な管理タスクの中に紛れ込み、防御側は正規のユーザーに紛れた攻撃者を特定することが困難になる。

また、このような手法により、APTグループはネットワーク内での持続性を維持することができる。SOHO(Small Office / Home Office)ネットワーク機器の侵害は、中間インフラとして使用することができ、彼らの活動の他の要素が発見され除去されたとしても、真の攻撃源を隠し、ネットワークに対する支配を維持することができる。APTにとって隠された足場は強力なツールであり、脅威が排除されたと組織が安心した後に、攻撃の第二波やデータの流出を可能にする。

ファームウェアに依存しない攻撃の性質

移植された悪意あるコンポーネントについて、ファームウェア依存型でない性質が明らかになったことにより、広範なデバイスとベンダーがリスクにさらされる可能性が示されている。CPRはこの調査結果が組織や個人のセキュリティ態勢の改善に貢献することを期待するとともに、ネットワーク上の不審な動きにも警戒するよう注意を促している。

ネットワークを保護するために 

最近のスパイ攻撃の発見は、同様の攻撃に対する防御策の重要性を浮き彫りにしている。そこで、検知と保護のための推奨事項を紹介する。

ソフトウェアのアップデート − ルーターなどの機器のファームウェアやソフトウェアを定期的に更新することは、攻撃者による悪用の可能性がある脆弱性の防御のため重要。
最新パッチの適用 − 特に重要なセキュリティパッチを適用することで、ランサムウェア攻撃に対する脆弱性を低減することができる。
デフォルトの認証情報を変更する − インターネット接続機器のデフォルトのログイン情報をより強力なパスワードに変更し、可能な限り多要素認証を使用する。攻撃者は多くの場合、デフォルトの認証情報や強度の低い認証情報を使用しているデバイスをインターネット上でスキャンしている。
防止優先のセキュリティを用いる  − チェック・ポイントのネットワーク・セキュリティ・ソリューションは、Camaro Dragon APT グループが使用するような高度な攻撃に対して、高度な脅威防御とリアルタイムのネットワーク保護機能を提供する。これには、エクスプロイト、マルウェア、およびその他の高度な脅威に対する保護も含まれます。チェック・ポイントの Quantum IoT Protectは、IoT デバイスを自動的に識別・マッピングしてリスクを評価し、ゼロ・トラスト・プロファイリングとセグメンテーションによって IoT/OT デバイスへの不正アクセスを防止し、IoT デバイスへの攻撃をブロックする。

製造業の顧客は、マルウェアやサイバー攻撃からデバイスを保護するためのより良い対策が可能。米国と欧州の新しい規制では、ベンダーおよびメーカーは、デバイスがユーザにリスクを与えないことを保証し、デバイスの内部にセキュリティ機能を搭載することが求められている。

Check Point IoT Embedded with Nano Agent® は、ファームウェア・セキュリティを内蔵した接続機器を可能にするオンデバイス・ランタイム保護を提供している。Nano Agent®は、ルータ、ネットワーク機器、その他のIoTデバイスにおいて、最高のセキュリティ機能を提供し、悪意のある活動を防止するカスタマイズ・パッケージ。Check Point IoT Nano Agent®は、メモリ保護、異常検知、コントロール・フロー・インテグリティといった高度な機能を備えている。デバイス内部で動作し、IoTデバイスのセキュリティを確保する最前線として機能する。

本プレスリリースは、米国時間2023年5月25日に発表されたブログ(英語)< https://blog.checkpoint.com/security/latest-chinese-state-sponsored-attacks-on-critical-us-infrastructure-spies-a-continuation-of-trend-reports-check-point-research/ > をもとに作成。

出典:PRTimes チェック・ポイント・リサーチ、中国国家が支援する集団による米国重要インフラを狙ったサイバー攻撃に関して、今後も継続されるとの予測を報告

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!