【ITニュース解説】中国支援の攻撃グループ、世界規模で通信など重要インフラを攻撃
ITニュース概要
中国政府の支援を受ける攻撃グループが、世界中の通信や政府機関など重要インフラにサイバー攻撃を展開していると、米国など各国の当局が警告した。攻撃対象には日本も含まれている。
ITニュース解説
近年、サイバー攻撃はますます巧妙化、大規模化しており、特に国家が背後で支援する攻撃グループによる活動が深刻な脅威となっている。最近、アメリカや日本を含む13カ国のセキュリティ当局が共同で発表した警告は、こうした脅威の現実を浮き彫りにした。この警告は、「Volt Typhoon(ボルテージタイフーン)」と呼ばれる、中国政府の支援を受ける攻撃グループが、世界中の重要インフラを標的にしているという内容である。システムエンジニアを目指す上で、このような高度なサイバー攻撃の手法とその対策を理解することは、将来のキャリアにおいて極めて重要となる。 まず、この攻撃の目的と標的について理解する必要がある。Volt Typhoonの攻撃は、クレジットカード情報や個人情報を盗み出すといった金銭目的の犯罪とは一線を画す。彼らの主な目的は、標的とした組織のシステム内に長期間潜伏し、機密情報を継続的に収集すること、そして将来的には、社会の根幹を支える重要インフラの機能を停止させる能力を確保することにあると見られている。標的とされているのは、通信事業者、政府機関、軍事関連施設、交通システムなど、国民の生活や国家の安全保障に直結する分野である。もしこれらのインフラが攻撃によって機能不全に陥れば、その影響は計り知れない。これは、サイバー空間における諜報活動や、有事の際の攻撃準備活動と見なされており、非常に深刻な事態である。 この攻撃グループが用いる最大の特徴的な手法は、「Living Off The Land(リビング・オフ・ザ・ランド、LOTL)」と呼ばれるものである。これは日本語で「環境寄生型攻撃」や「現地調達型攻撃」などと訳され、攻撃対象のシステムに元々備わっている正規のツールや機能を悪用する攻撃手法を指す。通常、サイバー攻撃と聞くと、攻撃者がウイルスなどの悪意のあるプログラム(マルウェア)を送り込むイメージが強い。しかし、LOTL攻撃では、攻撃者は新たなマルウェアを持ち込むことを極力避ける。代わりに、Windowsに標準で搭載されている「PowerShell」や「netsh」、「wmic」といった、本来はシステム管理者がネットワーク設定の確認やシステムのメンテナンスに用いるための正当なコマンドやツールを不正に実行する。 このLOTL攻撃がなぜ厄介なのかというと、従来のセキュリティ対策では検知が非常に困難であるからだ。多くのウイルス対策ソフトは、既知のマルウェアが持つ特徴的なパターン(シグネチャ)を検知したり、明らかに不審なプログラムの動作をブロックしたりすることでシステムを保護する。しかし、LOTL攻撃で使われるのはOS標準の正規ツールであるため、ウイルス対策ソフトはそれらの動作を「正常な管理作業」と誤認してしまい、警告を発しないことが多い。つまり、攻撃者はシステム管理者になりすまし、セキュリティシステムの監視の目をかいくぐって活動できるのである。 Volt Typhoonの具体的な攻撃手順はこうだ。まず、初期侵入の足がかりとして、セキュリティ対策が手薄になりがちな中小企業や家庭用のインターネットルーター(SOHO/SMBルーター)の脆弱性を悪用する。これらの機器を乗っ取ると、それを踏み台にして本来の標的である重要インフラのネットワークへ侵入を試みる。侵入に成功した後は、LOTLの手法を駆使して内部での活動範囲を広げていく。例えば、ネットワーク内部の情報を収集し、管理者アカウントの認証情報(IDとパスワード)を窃取する。そして、その盗んだ正規の管理者アカウントを使って、あたかも正当な権限を持つユーザーであるかのようにシステム内を自由に移動し、さらなる情報収集や不正な設定変更を行う。 さらに、彼らは自らの活動の痕跡を消すことにも長けている。外部の指令サーバー(C2サーバー)との通信を行う際も、先に述べた乗っ取った多数のルーターを経由させることで通信経路を複雑化し、攻撃元を特定することを困難にしている。これにより、防御側は攻撃を受けていること自体に気づきにくく、たとえ気づいたとしても、攻撃者の正体を突き止めるのは極めて難しい。 このような高度な攻撃に対して、システムエンジニアには何が求められるのだろうか。まず、侵入を完全に防ぐことは困難であるという前提に立った「侵入後対策」の視点が不可欠である。従来の入り口対策に加えて、万が一侵入された場合に、いかに早くその活動を検知し、被害を最小限に食い止めるかが重要となる。具体的には、システム内のあらゆる操作ログを詳細に監視し、正規ツールの使用状況の中から「いつもの管理者とは違う不審な挙動」を見つけ出す仕組みが必要だ。これには、膨大なログを相関分析して脅威を検知するSIEM(Security Information and Event Management)や、個々のコンピューターの動作を監視して不審な活動をあぶり出すEDR(Endpoint Detection and Response)といったソリューションの活用が有効となる。また、IDとパスワードだけに頼らない多要素認証(MFA)を導入し、アカウントの乗っ取りを防ぐことも基本的ながら極めて重要な対策である。 このニュースは、現代のサイバー攻撃が単なる技術的な問題ではなく、国家間の対立を背景とした複雑な様相を呈していることを示している。システムエンジニアを目指す者は、サーバーやネットワークの構築・運用スキルだけでなく、こうした最新の脅威動向を常に把握し、セキュリティを考慮したシステム設計と運用を行う能力を身につけなければならない。正規と異常の見極めが困難な攻撃が増加する中、システムの正常な状態を深く理解し、わずかな異変も見逃さない鋭い観察眼が、これからのエンジニアにとって不可欠なスキルとなるだろう。