米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は8月27日(米国時間)、「CISA and Partners Release Joint Advisory on Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage Systems|CISA」において、重要インフラ組織を標的とする中国の国家支援を受けているとみられる持続的標的型攻撃(APT: Advanced Persistent Threat)グループに関する共同サイバーセキュリティアドバイザリーを発表した。

ネットワークセキュリティの担当者に対し、このアドバイザリーを閲覧して中国が支援するサイバー攻撃やその他の脅威を軽減するように強く推奨している。なお、このアドバイザリーは日本の国家サイバー統括室(NCO: National Cyber Office)および警察庁(NPA: National Police Agency)を含む世界中の組織が協力または承認したとされる。

  • CISA and Partners Release Joint Advisory on Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage Systems|CISA

    CISA and Partners Release Joint Advisory on Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage Systems|CISA

中国のサイバー攻撃活動に関する報告と対策

このアドバイザリーの調査対象となった脅威グループは「Salt Typhoon」、「OPERATOR PANDA」、「RedMike」、「UNC5807」、「GhostEmperor」などとされる。これら脅威グループは少なくとも2021年以降、世界中でサイバー攻撃を繰り広げており、その背後には四川聚信和网络科技有限公司(Sichuan Juxinhe Network Technology)、北京寰宇天穹信息技术有限公司(Beijing Huanyu Tianqiong Information Technology)、四川智信锐捷网络科技有限公司(Sichuan Zhixin Ruijie Network Technology)など、中国を拠点とする複数の組織が存在するとされる。

これら企業は中国の諜報機関にサイバー関連の製品やサービスを提供し、加えて外国の通信会社やインターネットサービスプロバイダー(ISP: Internet Service Provider)に関するデータ、宿泊施設および交通機関の情報を世界規模で特定/追跡する能力を中国政府に提供している可能性があるという。

標的として狙われた可能性がある製品と脆弱性

初期の侵害経路としては、既知の脆弱性の悪用、侵害されたインフラ内の回避可能な弱点の悪用などが指摘されている。標的として狙われた可能性のあるデバイス(一部)は次のとおり。

  • Fortinetファイアウォール
  • Juniperファイアウォール
  • Microsoft Exchange
  • Nokiaルーターおよびスイッチ
  • Sierraワイヤレスデバイス
  • Sonicwallファイアウォール

また、次の既知の脆弱性が悪用されたとし、優先的に対策することを推奨している。

脅威グループはデバイスを侵害すると設定を変更して永続性を確保、GRE(Generic Routing Encapsulation)トンネルを追加するなどの攻撃を実行し、デバイスを踏み台として利用するとされる。

アドバイザリーではこの他にもさまざまな戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を公開している。また、それら手法に対する脅威ハンティングやセキュリティ侵害インジケーター(IoC: Indicator of Compromise)、Yaraルールなども公開し、組織のネットワークセキュリティ担当者に閲覧と対策の実施を推奨している。