オランダ国立サイバーセキュリティセンター(NCSC: Nationaal Cyber Security Centrum)は6月10日(現地時間)、「Aanhoudende statelijke cyberspionagecampagne via kwetsbare edge devices|Nieuwsbericht|Nationaal Cyber Security Centrum」において、2024年2月に発表した中国の高度なサイバースパイ活動について続報を公開した。2月の発表については、「中国のサイバー攻撃者、FortiGateの脆弱性を悪用してオランダ軍ネットワークに侵入 | TECH+(テックプラス)」で伝えている。
中国の高度なサイバースパイ活動
これまで、2023年に中国の国家支援を受けたとみられるサイバー攻撃者がFortinetの次世代ファイアウォール「FortiGate」に存在する脆弱性「CVE-2022-42475」を悪用してオランダ軍のネットワークに侵入し、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「COATHANGER」を展開したことまで公開されている。
今回、オランダ軍情報保安局(MIVD: Militaire inlichtingen en veiligheid)と共同で調査を継続していたこと、そして中国のサイバースパイ活動がこれまで知られていたよりはるかに広範囲にわたることが明らかになったと伝えられた。
広範囲にわたる影響
報告によると、中国の国家支援を受けたとみられるサイバー攻撃者は2022年および2023年に活動を実施。FortiGateの脆弱性を通じて数カ月間に世界中の少なくとも20,000台のFortiGateシステムに不正アクセスしたという。また、サイバー攻撃者およびその背後にいる国家は、Fortinetが脆弱性情報を開示する少なくとも2カ月前には脆弱性を把握しており、開示までの期間だけで約14,000台を侵害。標的となった組織には西側政府、国際機関、多数の防衛関連企業が含まれると説明している。
侵害したシステムにはCOATHANGERが展開される。COATHANGERはその執拗な永続性によりシステムのアップデート後もスパイ活動を継続可能とされる。報告では実際の被害者数を不明としつつ、世界中の被害者は今後も情報窃取などの被害に遭う可能性が高いとしている。
対策
NCSCは、ファイアウォール、VPN(Virtual Private Network)サーバ、ルータ、メールサーバなどのエッジデバイスが狙われやすいと指摘し、注意を呼びかけている。サイバー攻撃を回避するため、EDR(Endpoint Detection and Response、エンドポイント検出応答)の導入が推奨されている。
しかしながら、今回の件のようにゼロデイの脆弱性が悪用された場合、不正アクセスを防止することは非常に難しい。そのため、組織にはゼロトラストの原則を適用することが推奨される。ゼロトラストの原則を適切に取り入れた組織は被害を最小限に抑えられるとされており、積極的に実践することが望まれている。