米国政府は、中国の国家支援ハッキンググループ「Volt Typhoon」が、少なくとも5年間にわたり米国の重要インフラネットワーク内で検出されずに活動していたと発表しました。この脅威アクターの標的には、通信、エネルギー、交通、および水道・下水システムセクターが含まれており、米国とグアムが対象です。
「Volt Typhoon」は、2021年6月から活動しているとされる中国に拠点を置く隠密性の高いサイバースパイグループであり、2023年5月にマイクロソフトがこのハッキンググループが米国とグアムの重要インフラ組織に長期間潜伏し、検出されずに活動していたことを明らかにしました。このグループは、正規のシステムやネットワークの振る舞いに溶け込ませることで、検出を困難にする「土地の利用(Living off the land: LotL)」技術を主に利用しています。
さらに、Volt Typhoonは、悪意のあるトラフィックを米国内の侵害されたルーターやファイアウォールのネットワークを通じてルーティングすることで、その真の起源を隠蔽するために多段プロキシを使用するという特徴的な戦術を採用しています。サイバーセキュリティ企業CrowdStrikeは、このグループが戦略的目標を達成するために狭い被害者セットに対してオープンソースのツールを広範囲に使用していることを指摘しています。
このグループは、被害者の環境に合わせて攻撃手法をカスタマイズし、初期侵害後も長期間にわたり対象環境を維持し理解するために継続的なリソースを割り当てています。また、有効なアカウントの利用や強固な運用セキュリティに依存し、これにより長期間にわたり検出されない潜伏を可能にしています。このキャンペーンの最終目標は、侵害された環境へのアクセスを維持し、年月をかけて再標的化して不正アクセスを検証および拡大することです。
この発展は、Citizen Labが少なくとも123のウェブサイトがヨーロッパ、アジア、ラテンアメリカの30カ国にわたる地元のニュースアウトレットを偽装し、中国に有利なコンテンツを推進する広範な影響キャンペーンに関与していることを明らかにしたことに続くものです。このキャンペーンは、深セン海麦云翔メディア有限公司という北京の広報会社にリンクされています。
【ニュース解説】
米国政府は、中国の国家支援を受けるハッキンググループ「Volt Typhoon」が、過去5年間にわたり米国内の重要インフラネットワーク内で検出されずに活動していたと発表しました。このグループは、通信、エネルギー、交通、水道・下水システムセクターを含む米国とグアムの重要インフラを標的にしています。
Volt Typhoonは、正規のシステムやネットワーク活動に紛れ込ませる「土地の利用(Living off the land: LotL)」技術を駆使し、その活動を隠蔽してきました。この技術により、攻撃者は既存の合法的なツールやプロセスを悪用して、セキュリティシステムの検出を避けることができます。さらに、多段プロキシを使用して悪意のあるトラフィックの起源を隠蔽することで、追跡を困難にしています。
このグループの活動は、単なる情報収集を超え、米国の重要インフラに対する潜在的な妨害活動の準備と見られています。これは、通信やエネルギー供給などの重要なサービスに対する攻撃を通じて、国家の安全保障や経済に重大な影響を与える可能性があるため、非常に深刻な脅威です。
このようなサイバー攻撃の検出が困難であることは、企業や政府機関が直面する大きな課題の一つです。攻撃者が合法的なツールやプロセスを悪用することで、従来のセキュリティ対策を回避しやすくなっています。このため、セキュリティ対策の強化だけでなく、異常な活動を検出するための高度な監視システムや、疑わしい活動に迅速に対応するためのプロセスの確立が求められます。
また、この事件は国際的なサイバーセキュリティの枠組みや協力の重要性を浮き彫りにしています。サイバー空間は国境を超えるため、一国だけで対処することは困難です。国際的な情報共有や協力体制の構築が、このような国家支援を受けたサイバー攻撃に効果的に対抗する鍵となります。
長期的な視点では、サイバーセキュリティの強化と国際協力の促進により、重要インフラに対するサイバー攻撃のリスクを低減できる可能性があります。しかし、攻撃者の手法が常に進化しているため、セキュリティ対策も継続的に更新し、新たな脅威に対応する柔軟性を持つことが重要です。
from Chinese Hackers Operate Undetected in U.S. Critical Infrastructure for Half a Decade.
