中国政府が支援するサイバー攻撃者「Salt Typhoon」に対する国際アドバイザリに日本も共同署名

「Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System」より

　国家サイバー統括室（NOC）と警察庁は8月27日、米国が作成した国際アドバイザリ「Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System」（中国国家の支援を受けた攻撃者による世界規模のネットワーク侵害を通じた国際的諜報活動への対抗）の共同署名に加わったことを発表し、同アドバイザリを公開した。

　同アドバイザリは、一般に「Salt Typhoon」（ソフトタイフーン）と呼ばれるAPT（Advanced Persistent Threat：高度で継続的な脅威）攻撃者の攻撃方法を技術的に説明し、検知手法や緩和策を示したもの。日本と米国のほか、豪州、カナダ、ニュージーランド、英国、チェコ、フィンランド、ドイツ、イタリア、オランダ、ポーランド、スペインの計13カ国が共同署名に加わっている。

　両者が公開したアドバイザリの概要によると、対策の対象は、中国政府が支援する「APT攻撃者」（Salt Typhoonに限られず、OPERATOR PANDA、RedMikeなどと呼ばれる攻撃者との重複も指摘可能であり、一般的な名称として「APT攻撃者」としている）。交通、宿泊、軍事インフラを含む、世界中のネットワークを標的としており、活動の一群は、米国、豪州、カナダ、ニュージーランド、英国等で観測されているという。

　攻撃者の活動は、中国の具体的な複数企業と関連付けられ、それらの企業は、中国人民解放軍（PLA）及び中国国家安全部（MSS）にサイバー関連の製品・サービスを提供している。つまり、活動を通じて取得されたデータは、最終的に、中国の諜報機関に利用され得る。

　APT攻撃者の技術的な特徴として、初期アクセスにおいては、特別なツールやマルウェア、ゼロデイ脆弱性を使用することはほとんどなく、VPS（仮想専用サーバー）や中間ルーターを用いて、公開済みの脆弱性などを突いて悪用するという。

　攻撃対象のネットワークへの永続的なアクセスを維持するため、システムログ内の攻撃者の送信元IPアドレスを隠蔽する手法を使う。そして、プロトコルやインフラを標的にして、パケットキャプチャを行う。特に、侵害されたルーター上で内部資格情報のトラフィックを収集する。そして、ピアリング接続を悪用することでデータ窃取を行うことが、主な懸念となる。データ窃取を隠蔽するために、複数別々のC2（Command and Control）チャンネルを利用する。

　対策として、脅威ハンティングの実施を強く推奨している。具体的な内容例としては、稼働中のネットワーク機器の設定や全てのルーティングテーブルの確認、ファームウェアのハッシュ検証、ディスク上とメモリ上の両方のイメージのハッシュ値比較など。また、緩和策として、公開された脆弱性を対策するパッチの適用をも強く推奨している。

　アドバイザリ本文では、悪用された脆弱性や個別製品における侵害例および緩和策としての推奨事項、APT攻撃者が初期アクセスで使用した手法と活動を検出するための指標、APT攻撃者に関連付けられるIP指標などがまとめられている。