【IPA】 注意喚起 インターネット境界に設置された装置に対するサイバー攻撃について~ネットワーク貫通型攻撃に注意~
概要
昨今、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われ、ネットワーク貫通型攻撃としてAPT攻撃に利用されている。
ネットワーク内部へ不正にアクセスされた場合、保有情報の漏えいや改ざんの可能性がある他、他組織への攻撃の踏み台(中継)になるなど大きな被害が予想されるため、日々の確認および、平時の備えが大切になってくる。
一般的な対策
1.日々の確認
- 各種ログ監視による不審なアクセス等がないかの確認
- 製品ベンダーやセキュリティベンダー等より発信される情報の収集
- 自組織で利用するネットワーク機器の外部公開状態の確認
2.平時の備え
- 製品ベンダから発信された情報を基に対応するための体制整備
- ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
- 整備した体制、対応手順が運用可能なものであるかの確認と随時の改善
最近の動向と具体的な対策
2023年6月、米MANDIANTからネットワーク貫通型によるAPT攻撃のレポート「ステルス性増す中国のサイバースパイ:検知回避の戦術がさらに進化」*脚注1 が公開された。 具体的には、ルータやVPNなどインターネット境界に設置された装置が標的とされ、ゼロデイや既知のエクスプロイトにより侵害される事例が挙げられており、最近では、攻撃者グループ「Volt Typhoon」による重要インフラを標的とした攻撃キャンペーン*脚注2 や、「Camaro Dragon」の活動*脚注3、公開アプリケーションの脆弱性を悪用する「Storm-0558」の活動*脚注4 等が報告されている。
近年、我が国においてもこのようなネットワーク貫通型攻撃がサイバー情報窃取活動における攻撃の初段(イニシャルベクトル)に用いられるケースが増加しており、特に今年に入り、特定のVPN装置*脚注5,*脚注6 やオンラインストレージ構築パッケージソフトウェアを稼働させているサーバー*脚注7 を悪用した実例を確認している。
これらの脆弱性に該当する装置やサービスを使用する各組織におきましては、ベンダーやSIer(保守契約の無い場合は販社等)へ相談し、修正プログラムやアップデートといった対策を行うとともに、既に侵害・内部侵攻を受けている可能性を考慮しアクセスログ等に不審点がないかを確認してほしい。
近年のサイバー情報窃取事案においては、侵害されたネットワーク装置やWebサーバ上にChina Chopper(中国菜刀)と呼ばれるwebshellのファイルがバックドアとして設置されるケースがあるため、不審なファイルが増えていないかといった観点でも注意が必要である。
特に、VPN装置を狙う攻撃の中にはアジア地域特有の活動と見られるものもあり、ケースによってはIPA等からご連絡させていただく場合がある。
加えて、5月に経済産業省より公開した「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」*脚注8 を活用し、自組織のサイバー状況把握を推進するようにしてほしい。
脚注
- 脚注1ステルス性増す中国のサイバースパイ:検知回避の戦術がさらに進化
- 脚注2Volt Typhoon targets US critical infrastructure with living-off-the-land techniques
- 脚注3THE DRAGON WHO SOLD HIS CAMARO: ANALYZING CUSTOM ROUTER IMPLANT
- 脚注4Analysis of Storm-0558 techniques for unauthorized email access
- 脚注5CVE-2023-28461 Detail : Array Networks Array AG Series and vxAG (9.4.0.481 and earlier)
- 脚注6FortiOS & FortiProxy – Heap buffer overflow in sslvpn pre-authentication
- 脚注7Proselfのゼロディ脆弱性による攻撃発生について
- 脚注8ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~
出典:IPA 【注意喚起】インターネット境界に設置された装置に対するサイバー攻撃について~ネットワーク貫通型攻撃に注意しましょう~