Recorded Futureは11月7日(米国時間)、「Charting China’s Climb as a Leading Global Cyber Power|Recorded Future」において、中国国家主導のサイバー作戦は過去5年でより成熟した組織的な脅威に進化しているとして、これまでに収集した情報を分析したレポートを公開した。
Recorded Futureによると、中国国家主導のサイバー作戦は公共のセキュリテイやネットワークアプライアンスの既知の脆弱性とゼロデイの脆弱性の両方を悪用することに重点を置いているという。また、運用上のセキュリテイと匿名性も重視しており、活動の検出が困難になっているとされる。このため、各国の組織、政府、サイバーセキュリティコミュニティにとって、これら脅威の防御がより困難になっているという。
これまで中国のサイバー空間を利用したスパイ活動では、広範囲の知的財産の窃取が行われてきていたが、近年は一帯一路構想や重要技術に関連したものなど、特定の戦略的、経済的、地政学的な目標に的を絞ったアプローチに移行しているという。
中国のサイバー攻撃は公共の場にあるデバイスのゼロデイの脆弱性に重点が置かれているため、既知の脆弱性中心の防御アプローチでは不十分となっている。このような攻撃からデバイスを保護するために、侵入後の活動を検出できるより優秀で徹底した防御手段が必要とされている。
また、台湾、インド、南シナ海などで勢力拡大を狙う中国は、この地域の米国の同盟強化の情報収集と戦略的偵察活動を強化する可能性が高いとみられている。これら活動は紛争の差し迫った兆候を示唆するものではなく、ネットワークの破壊的な攻撃を可能とする高度な能力の開発と緊急事態に備えての活動とされる。
中国のサイバー攻撃を検出して被害を軽減するための緩和策として、以下が提示されている。
- リスクの高い脆弱性や悪用されている脆弱性のパッチを優先して適用する。特に外部に接するアプライアンスにおけるリモートコード実行(RCE: Remote Code Execution)の脆弱性に注意する
- セキュリティの監視と検出機能を提供するセキュリティソリューションをすべての外部サービスとデバイスに導入する。特にWebシェルなど侵入後に展開される後続の活動を監視する
- すべての仮想プライベートネットワーク(VPN: Virtual Private Network)接続を多要素認証(MFA: Multi-Factor Authentication)で保護する。また、仮想プライベートネットワークの異常検出の実装を検討する
- リアルタイムのログを監視してサプライチェーン内の主要ベンダーやパートナが関与している疑いのある標的型侵入アクティビティを検出できるセキュリティソリューションを導入する
- 中国が国家支援しているとみられるサイバーグループが使用する戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を緩和するための公的ガイダンスを見直す
中国政府は攻撃的なサイバー作戦のために人員と資源を投入しており、そこに過去10年間の技術と能力の向上が加わることで情報戦における支配的な地位を固めようとしている可能性が高いとみられている。Recorded Futureは中国国家主導のサイバー作戦に関連して収集した情報を分析した詳しいレポート「(PDF) Charting China’s Climb as a Leading Global Cyber Power - Recorded Future」を公開している。