Malwarebytesは2月2日(米国時間)、「FBI removes malware from hundreds of routers across the US|Malwarebytes」において、中国が支援する持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Volt Typhoon」による攻撃を防止するため、米国連邦調査局(FBI: Federal Bureau of Investigation)が米国内の数百台の小規模オフィス・ホームオフィス(SOHO: Small Office/Home Office)ルータに裁判所の許可を得て処置を講じたと伝えた。

  • FBI removes malware from hundreds of routers across the US|Malwarebytes

    FBI removes malware from hundreds of routers across the US|Malwarebytes

FBIの目的

FBIはこの作戦について詳細を「Office of Public Affairs | U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure | United States Department of Justice」にて公開している。

FBIの発表によると、APTグループ「Volt Typhoon」は、「KV Botnet」と呼ばれるボットネットを私有のSOHOルータに感染させ、このルータを経由して米国およびその他の国への活動を実施し、中国の存在を隠蔽していたという。この活動には2023年5月に米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)から発表された勧告「People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection | CISA」のキャンペーンが含まれていたとされる。

FBIはこのような脅威から米国の重要なインフラを守るため、裁判所の許可を得てボットネットを解体し、再感染を防止する措置を講じたという。Malwarebytesによると、FBI長官は公聴会で「中国のために働くサイバー犯罪者が米国に大混乱をもたらす準備をしている。」と述べており、この作戦は侵害したルータを足がかりに米国のインフラを攻撃する中国の企みを阻止する目的があったものとみられる。

影響

この作戦により、ルータに感染した「KV Botnet」は削除され、ボットネットの制御に使われる通信を阻止する追加の処置が実施されたという。対象となったデバイスは、主にシスコシステムズおよびNetGearのメーカーサポートが終了した製品とされる。

FBIはこの作戦を実施するにあたり、ルータに影響が出ないように動作テストを広範囲に実施したとしている。この準備によりルータの正規の機能に影響を与えず、ルータからコンテンツ情報を収集することもなかったという。ただし、この作戦による対策は一時的なもので、裁判所が認めた手順を伴わない再起動によりルータは再び脆弱になるとのことだ。

対策

今回FBIが実施した対策はルータの脆弱性を根本的に解決するものではない。FBIは「今後もVolt Typhoonやその他のサイバー犯罪者による悪用に対して脆弱なまま」と述べており、サポート期限の過ぎたルータは廃棄し、新しい製品へ交換することを強く推奨している。

日本国内においても同様の対策が必要と考えられるため、シスコおよびNetGearのルータを運用している管理者は、製品のサポート期限が過ぎていないかどうかを確認し、サポートが終了している場合は速やかに機器を新しいものに交換することが推奨される。また、サポート期限内の製品についてはファームウェアが最新か確認し、必要に応じて更新することも望まれている。