警察庁とNISC、中国のサイバー攻撃グループ「BlackTech」に、米関係機関と共同で注意喚起

　警察庁と内閣サイバーセキュリティセンター（NISC）は9月27日、中国を背景とするサイバー攻撃グループ「BlackTech」（ブラックテック）に関する注意喚起を発表した。

　米国家安全保障局（NSA）、米連邦捜査局（FBI）、米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）との共同で行われており、BlackTechによるサイバー攻撃の手口を公表することで、標的となる組織や事業者に、直面する脅威を認識してもらうとともに、適切なセキュリティ対策を講じてもらうことが目的だとしている。

組織内ネットワーク中に侵入拠点を構築し、活動を拡大

　BlackTechは、2010年頃から日本を含む東アジアと米国の政府、産業、技術、メディア、エレクトロニクスおよび電気通信分野を標的に、情報窃取を目的とするサイバー攻撃を行っていることが確認されている。

　初期侵入の手口は、インターネットに接続されたネットワーク機器に対し、ソフトウェアの脆弱性を狙うほか、ネットワークの設定の不十分さ、サポートの切れた機器やソフトウェアなど、さまざまな脆弱な点を攻撃するというものだ。初期侵入に成功して侵害拠点を構築すると、侵害活動を拡大させるため、海外子会社と本社との接続のために使用される小型のルーターを、攻撃者の通信を中継するインフラとして利用する。

　このようにして、信頼された内部のルーターを通じて、本社や別の拠点のネットワークへ侵入を拡大するケースが確認されている。サイバー攻撃が常にインターネット側から行われるとは限らず、組織内部のネットワークから攻撃が行われ得ることを念頭に置いて対策することが必要だと、同注意喚起では指摘している。

　BlackTechでは、さまざまなネットワーク機器を侵害するために脆弱性を調査していると考えられ、稼働中のシスコ製ルーターのファームウェアを、改変されたものに取り替えた事例が確認されているという。改変されたファームウェアにより、BlackTechは自身の活動のログを隠ぺいし、長期にわたって標的のネットワークへのアクセスを維持することが目的と考えられるという。

セキュリティパッチ適用や、ゼロトラストモデルに基づく対策を

　同注意喚起では、リスク低減の対処例として、次のことを挙げている。

• セキュリティパッチ管理の適切な実施
• 端末の保護（エンドポイント・プロテクションなど）
• ソフトウェアなどの適切な管理・運用、ネットワーク・セグメンテーション
• 本人認証の強化、多要素認証の実装
• アカウントなどの権限の適切な管理・運用
• 侵害の継続的な監視
• インシデント対応計画、システム復旧計画の作成
• ゼロトラストモデルに基づく対策

　あわせて、ネットワークの不審な通信を検知した際は、すみやかに所管省庁、警察、セキュリティ関係機関などに情報提供してほしいとしている。