米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月27日(米国時間)、「People's Republic of China-Linked Cyber Actors Hide in Router Firmware|CISA」において、中国の「BlackTech」と呼ばれる脅威グループがルータのファームウェアを変更し、グローバル企業の子会社から日本および米国の本社に侵入したとして、注意を呼び掛けた。この不正アクセスによるリスクについては、「People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices | CISA」にて報告されている。

  • People's Republic of China-Linked Cyber Actors Hide in Router Firmware|CISA

    People's Republic of China-Linked Cyber Actors Hide in Router Firmware|CISA

この報告書は米国家安全保障局(NSA: National Security Agency)、米国連邦調査局(FBI: Federal Bureau of Investigation)、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)、警察庁、内閣サイバーセキュリティセンター(NISC: National center of Incident readiness and Strategy for Cybersecurity)により作成されている(警察庁の注意喚起:「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について|警察庁Webサイト」)。

CISAによると、BlackTech(別名Palmerworm、Temp.Overboard、Circuit Panda、Radio Panda)は日本および米国の軍事を支援する組織、政府、産業、テクノロジー、メディア、エレクトロニクス、通信部門を標的にしているとされる。攻撃にはカスタムマルウェアペイロードと遠隔操作ウイルス(RAT: Remote Administration Tool)を使用し、主に被害者のオペレーティングシステム(Windows、Linux、FreeBSD)を標的とするとされる。

CISAの今回の報告では、BlackTechが日本および米国企業の海外子会社の内部ネットワークへのアクセスを取得後、信頼できる内部ルータのファームウェアを改ざんして企業のほかの子会社および本社ネットワークに移動していることを報告している。報告ではシスコシステムズのルータを主に取り上げているが、ほかのルータも同様に標的となり悪用されていると警告している。

CISAはこのBlackTechの悪意ある攻撃を検出して被害を軽減するために、次の検出および軽減手法の活用を強く推奨している。

  • 仮想テレタイプ(VTY)回線に「transport output none」設定を適用してアウトバウンド接続を無効にする。ただし、ネットワークデバイスに特権レベルでアクセスできる攻撃者はこの設定を元に戻すことができる点に注意
  • ネットワークデバイスから内部システムおよび外部システムへのインバウント、アウトバウンド接続の両方を監視する。可能であればアクセスリストやルールセットを近くのネットワークデバイスに設定して、不正なアウトバウンド接続をブロックする。また、管理システムを別の仮想ローカルエリアネットワーク(VLAN)に配置し、管理外のVLAN宛のネットワークデバイスからのすべての不正なトラフィックをブロックする
  • 仮想テレタイプ(VTY)回線または特定のサービスにアクセスリストを適用し、管理サービスへのアクセスはネットワーク管理者のIPアドレスのみ許可するように制限する。さらに、ログオン失敗のログとログオン成功のログを監視するか、または一元化された認証、許可およびアカウンティングイベントを検証する
  • ルータのブートローダとファームウェアの完全性と真正性をよくチェックし、セキュアブート機能を持つ機器にアップグレードする。特にサポートが終了した機器はできるだけ早く交換する
  • パスワードが1つでも漏えいした可能性がある場合は、すべてのパスワードと鍵を変更する
  • ネットワークデバイスによって生成されたログを検証し、不正な再起動、オペレーティングシステムのバージョン変更、設定変更、ファームウェアの変更の試みを監視する。また、予定されている設定の変更やパッチの適用を計画と照合し、変更が許可されたものであることを確認する
  • 「Network Device Integrity Methodology」ドキュメントに記載されているファイルとメモリの両方を定期的に検証し、ネットワークデバイスに保存され実行されているソフトウェアの不正な変更を検出する
  • 定期的にブートレコードとファームウェアのスナップショットを取り、既知の良好な状態と比較する

CISAではBlackTechの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)について詳しく解説している。また、より詳細な情報を望む企業向けに個々の攻撃のテクニックについて解説した文章へのリンクも公開しており、BlackTechの攻撃から企業全体のシステムを保護するために活用することが望まれている。

警察庁と内閣官房内閣サイバーセキュリティセンターが合同で発表を行っているとおり、「BlackTech」は日本においてサイバー攻撃を行っている。警察庁および内閣官房内閣サイバーセキュリティセンターは日本の組織に対し「BlackTech」の戦術、技術、手順(TTPs)を把握するとともに、こうしたサイバーセキュリティ攻撃に被害者とならないように対策を取ることを呼びかけている。