原文のブログはこちらからご覧いただけます。
あなたのネットワークを狙う脅威アクターが、あなたのセキュリティチームの次の行動を把握し、あなたよりも常に一手先にいるとしたら、どうでしょう。
それは今まさに起きていることなのです。
この背景について、複数の米国政府機関が発表した最近の共同勧告では次のように説明しています。
「NSA、CISA、FBI は、国家の支援を受けたサイバー攻撃者が、ネットワークセキュリティ担当者のアカウントや行動を監視し、実行中のキャンペーンに必要に応じた変更を加えることで、検知されない状態を維持していることを確認しています」
この電子メールスパイ戦術は、中国の支援を受けた脅威アクターが継続的に展開しているグローバルサイバー攻撃キャンペーンに関して述べた、より広範囲な勧告の中で明らかにされました。この記事では、その主な内容とリスク削減策について解説します。
中国の支援を受けた脅威アクターによる現在の戦術
標的は中小企業と在宅勤務用デバイス
CISA、FBI、NSA は、中国の支援を受けた脅威アクターが、不正侵入したネットワークと通信してデータを窃取するための攻撃用インフラストラクチャを構築していると述べています。これらの攻撃者が標的にしているのは、セキュリティチームの防御やパッチ適用が行き届きにくい、小規模オフィスやホームオフィスのルーターやネットワーク接続ストレージ(NAS)デバイスなどです。報告では、攻撃者によりコマンドアンドコントロール(C2)トラフィックが送信されることによって、これらのデバイスが攻撃の中間点として機能していると述べています。
最も狙われているデバイスと脆弱性
米当局者の発表によると、脅威アクターはパッチ未適用の既知の脆弱性を悪用し、以下のネットワークデバイスを最も狙っているとされています。
最終ターゲットは通信事業者とネットワークサービスプロバイダー
これらの国家が支援するキャンペーンの最終的なターゲットは、通信事業者とネットワークプロバイダーだと見られています。脅威アクターはオープンソースツール(RouterSploit や RouterScan など)を使って偵察や脆弱性スキャンを実施し、こうした企業内でパッチが適用されていないルーターを見つけ出します。
アクセスを奪取できる箇所を見つけた脅威アクターは、そこを起点にさらにネットワーク深部へと侵入していく、と勧告は述べています。
「中国の支援を受けたサイバー攻撃者は、通信事業者もしくはネットワークサービスプロバイダーへの侵入の最初の足がかりをつかんだ上で、極めて重要なユーザーおよびインフラストラクチャを特定していました。このインフラストラクチャには、認証、承認、会計のセキュリティを維持する最重要システムが含まれます」
脅威アクターは、このアクセスを用いてより多くの認証情報を漁り、権限を昇格させます。組織内のより広い範囲のネットワークトラフィックの悪用を自動実行する場合もあります。脅威アクターの典型的な手口では、組織のネットワークからトラフィックを抽出し、それを彼らが持つC2 インフラストラクチャに送信します。
検知回避に舵を切る脅威アクター
国家支援による攻撃者は、日々更新されるニュースやセキュリティリサーチにも常に目を光らせており、さまざまな手法とツールを活用して以下のような対策を行い、攻撃の検知と攻撃主体の特定を難しくしています。
- 継続中のキャンペーンが発覚した直後にインフラストラクチャとツールセットを改変する
- カスタムのツールと、特に対象のネットワーク環境にネイティブな一般提供されているツールを組み合わせる
- ネットワークセキュリティ担当者の電子メールを監視し、検知と対処に関する最新の取り組みを把握する
これらの手法は、民間企業と公的組織の両方に対して行われています。
国家支援の執拗な脅威アクターから狙われるリスクを削減する
CISA、NSA、FBI は、国家の支援を受けた攻撃に狙われるリスクを軽減するためのさまざまな対策を紹介しています。
その中から 3 つを紹介します。
- 不正アクセスが疑われるデバイスをネットワークから直ちに切断あるいは隔離する
- ネットワークをセグメント化し、横方向の移動を制限またはブロックする
- パッチがリリースされたらすぐに適用し、システムと製品を最新の状態に保つ。このプロセスの自動化と時間短縮のために、統合パッチ管理システムを活用することも推奨される
こうした一般常識的な最適解に加えて、実際のインシデントへの対処や既存の攻撃に関する調査でチームがやり取りする電子メールの記述にも、細心の注意を払ってください。まさにその瞬間に、攻撃者がその内容を読んでいる可能性があります。
BlackBerry によるサポート
BlackBerry の インシデント対応チームは、世界的に活躍するコンサルタントから構成され、ランサムウェアや持続的標的型攻撃(APT)など、さまざまなインシデントへの対応と封じ込めのサービスを専門としています。
弊社はグローバルコンサルティングチームを常に待機させており、ご希望があれば、24 時間サポートと現地支援を提供できます。弊社製品をご使用いただいていなくても構いません。次の URL からご相談ください。 https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
- サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- FaceBook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- Youtube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos
