2023年5月24日、米国家安全保障局(NSA)と米マイクロソフト(MS)は、「国家支援を受けた中国のハッキンググループが通信や輸送拠点といった米国の重要インフラ機関にスパイ活動を行っている」と発表した。戦略的に重要な拠点である米軍基地がある米領グアムも標的にしており、米重要インフラに対するサイバースパイ活動としては最大級だ。NSAのサイバーセキュリティー担当ディレクター、ロブ・ジョイス氏は「中華人民共和国の支援を受けたハッカー集団は、内蔵ネットワークツールを使い痕跡を残さない『環境寄生型(living off the land)』攻撃を行っている」と説明した。このようなスパイ技術は「重要なインフラ環境にすでに組み込まれている機能」を使用するため、検知が困難になるという。マイクロソフトは、中国のサイバーテログループVolt Typhoon(ボルト・タイフーン)が少なくとも2021年から活動しており、通信、製造、公益事業、輸送、建設、海事、政府、情報技術、教育など多くの業界を標的にしてきたと指摘した。(ロイター等)
米国家安全保障局とマイクロソフトが重大な攻撃事例として異例の公開
マイクロソフト(MS)のホームページによると、「グアムをはじめとする米国内の主要核心インフラ施設をターゲットにした隠密で悪質な活動を検出した」とし、「この攻撃は、中国政府が支援する中国内のハッキンググループVolt Typhoonによって行われた」と明らかにした。同組織は「ウェブセル(web shell)」と呼ばれる悪性コードを主要機関のネットワークに感染させ、サーバーに遠隔で接続した。そして、米国で広く使われているサイバーセキュリティプラットフォーム「フォーティガード」(マルウェアの検知と侵入防止システム)のセキュリティ脆弱性を悪用し、ソフトウェアおよび保護機能が更新されていない古いモデルに侵入した。
マイクロソフトは「現在までにVolt Typhoonがハッキングを通じてインフラ施設を攻撃したという証拠はない」としながらも「将来の危機の際に米国とアジア地域間の重要な通信インフラストラクチャを混乱させる機能の開発を目指している」と分析している。NSAも、「重要インフラ全般のネットワークをターゲットとするサイバー行為者を識別したが、この行為者は中国政府の支援を受けている」と発表した。米情報機関が中国によるハッキングの試みを公開したのは異例だ。これまで米政府は中国のハッキング関連情報を少数の関連企業や団体にのみ通知してきたが、今回、NSAとマイクロソフトは、サイバー攻撃の重大性を認識し、潜在的な被害者に加えられるハッキング攻撃を防止して、被害者らがマルウェアを除去できるようにするために関連情報を公開した。
さらにVolt Typhoonのように今後も警戒すべきサイバーテログループとして、
①ロシア
ファンシーベア
サンドワーム
APT29 (コージーベア)
②中国
コメントクルー (APT1)
③イラン
トゥルラ (APT34)
④北朝鮮
ラザルスグループ
――などを挙げている。
サイバースパイ活動で重要な脅威となる中国
ウォールストリートジャーナルによると、2021年にマイクロソフトのメールサーバー向けソフト「エクスチェンジ・サーバー」が標的にされた事件で、中国との関連が指摘され、その影響は広範囲に及んでいた。グーグルのカーマカル氏によると、「この事例を除けば中国の攻撃は正確に狙いを定め、政府や企業のほんの一握りの価値の高い標的を狙うことが多い。気づかれないよう密かに行われるため、欧米諸国の標的への侵入範囲は現在知られているよりもはるかに広い可能性が高い」と強調する。
またカーマカル氏は、「中国が関与しているとされる新たな攻撃の矛先は防衛関連企業や政府機関、テクノロジーおよびテレコミュニケーション企業とみられる。特定された被害件数は数十件と少ないかもしれないが、盗まれたものが重要であるため、その影響は大きい」と述べた。 米国の政府高官は長年、中国をサイバースパイの最重要脅威と見なしており、ハッキンググループが軍事目標や防衛関連業者を危険にさらし、高度な軍事技術を盗むことに成功していると何年も警鐘を鳴らしてきた。米国の情報機関も同様に、中国共産党のために働いていると疑われるハッカーたちの技術力が向上していることを確認している。今月初めに発表された年次世界脅威評価書で米国情報当局は、「中国がおそらく現在、米国政府および民間部門のネットワークに対して最も広範かつ最も活発で持続的なサイバースパイ活動の脅威をもたらしている」と記している。
サイバーテロ対策に有効なファイブアイズに積極的に加盟を
Volt Typhoonが行っている環境寄生型(Living off the Land)攻撃とは、マルウェアや悪性プログラムを利用せず、セキュリティツールやOSに組み込まれた既存の機能などを悪用する攻撃のことだ。Living off the Landは、「食料や物資を現地調達する」という意味で、不正なアクセス先のシステムをそのまま利用する性質があり、非常に探知されにくい。
今回のサイバー攻撃について、米国家安全保障局は、機密情報共有の枠組み「ファイブアイズ」のメンバーである英国、オーストラリア、ニュージーランド、カナダの情報機関とこのハッカー集団に関する詳細な情報を共有して、いち早く対策を講じていた。
一時期、日本においても「ファイブアイズ加盟」について話題となっていたが、日本のセキュリティ対策がなかなか進まないこともあって、立ち消えとなっている。今回のサイバーテロ攻撃においても、ファイブアイズ加盟国は迅速に情報共有化を進めており、こうした技術的に高度で巧妙なサイバーテロに対して、関係国が連携することがいかに有効な対策なのかがうかがわれる。日本もセキュリティクリアランス、スパイ防止法などの対策を早急に進め、ファイブアイズ加盟に積極的に取り組む必要がある。
