ニュース

中国のサイバー攻撃集団「APT40」に対する国際アドバイザリーに日本も署名、攻撃事例・対策を共有

 内閣サイバーセキュリティセンター(NISC)と警察庁は7月9日、豪州が主導する、中国の国家的な支援を受けたサイバー攻撃グループ「APT40」に関する国際アドバイザリーの共同署名に加わったと発表した。

 「APT」(Advanced Persistent Threat:高度で継続的な脅威)とは、国会の支援を受けて活動するサイバー攻撃グループのことを指し、「APT」の後に通し番号を付けてグループが識別される。APT40は、中国の国家的な支援を受けて活動するサイバー攻撃グループとされ、日本を対象とした攻撃も確認されている。2021年7月には、NISCと警察庁がAPT40に対する注意喚起(バブリックアトリビューション)を行っている。

 今回の国際アドバイザリーは豪州が主導し、米国、英国、カナダ、ニュージーランド、ドイツ、韓国に、日本を加えた全8カ国が共同署名に加わった。APT40による攻撃事例をケーススタディとして詳細な手法と緩和策を示し、日本でもサイバーセキュリティ強化に資する文書であるとしている。

 同時に公開されたアドバイザリーの概要では、APT40の攻撃活動の内容、事例、および手法の特徴と、緩和策が示されている。

 いわく、APT40は豪州政府・民間部門を繰り返し標的にしており、インターネットに接続されている脆弱なインフラを悪用する。豪州に対する攻撃では、侵害されたウェブサイトをC2サーバー(Command and Controlサーバー:遠隔操作によるサイバー攻撃の起点)として利用していたが、攻撃インフラや踏み台として、小規模オフィスや家庭用の機器を含む侵害された機器を利用するようになっている。これはグローバルな傾向であり、中国が国家的に支援するほかのサイバー攻撃集団も日常的に行っているという。

 2022年7月~9月には、豪州のある組織のネットワークを侵害し、認証情報を含む機微データにアクセスした。また、2022年4月から豪州のある組織のネットワークを侵害し、数百におよぶユーザー名とパスワード、多要素認証コード、遠隔アクセスセッションといった技術情報を窃取した事例もある。

 攻撃の緩和策としては、ログ記録、パッチ管理(更新プログラムの早期適用)、ネットワークの分離などを挙げている。APT40の攻撃によるインシデントで確認されたファイルはWindowsで登録されたすべてのユーザーからアクセスできる場祖に置かれていることから、疑強い場所からのプロセス実行を検知するルール設定により悪意ある振る舞いを検知することも重要だという。