日米の当局が警告するシスコの脆弱性は何が危険なのか？

Cisco Systemsの製品を使っている企業はすぐにも対応が必要だ。企業内部に攻撃者の長期的な拠点が作り出されている可能性がある。

[David Jones，Cybersecurity Dive]

　米国と日本の当局は、「BlackTech」と呼ばれる脅威グループが、Cisco Systems（以下、Cisco）などのルーターに内蔵されているファームウェアを悪用して、日米の企業にハッキングを仕掛けていると警告した（注1）。

　当局によると、BlackTechは中華人民共和国とつながりがあり、カスタムマルウェアと「living off the land」攻撃を用いて、米国企業や日本企業の海外法人のシステムに侵入し、セキュリティの甘さを利用してそこから本社のシステムにアクセスするという。

日米当局が警戒するCiscoの脆弱性は何が危険？

　Living off the Land攻撃では、侵入者がシステムにもともと備わっていたソフトウェアや機能を使って、悪意のあるアクションを実行する

　米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）や連邦捜査局（FBI）、米国家安全保障局（NSA）は、日本の警察庁や内閣サイバーセキュリティセンター（NISC）と共同で、2023年9月27日に注意喚起を発表した。

　BlackTechは2010年以降、防衛産業を支援する日米の企業を積極的に攻撃している。カスタムマルウェアを使って検出を回避しながらCiscoのルーターに内蔵されているファームウェアを改変することで長期的な攻撃に役立つ足掛かりを築いた。

　サイバーセキュリティ事業を営むMandiantの関係者は、BlackTechが日本のメディア企業やIT企業、電気通信関連の企業などを標的としており、最近では台湾に拠点を置く組織も標的にしていることを確認した。

　Mandiant Intelligenceのジョン・ハルトクイスト氏（Google Cloudの部門を統括する最高アナリスト）は次のように述べた。

　「BlackTechの活動は、中国において複雑化するサイバー攻撃の一例だ。ターゲットに対して派手な直接攻撃をするのではなく、組織間の信頼関係を悪用してターゲットに侵入する『創造的な手法』を採用した」

　Broadcomのグループ企業であるSymantecのディック・オブライエン氏（主席インテリジェンスアナリスト）によると、BlackTechは中国と関連付けられたグループの中で最も高い技術を持つ脅威主体だ。ルーターの悪用はBlackTechにとっても比較的新しいテクニックだという。

　オブライエン氏は「Cybersecurity Dive」に対して次のように語った。

　「過去に見られた攻撃手法は、カスタムマルウェアや以前に使用されたマルウェア、そしてliving off the landの技術の組み合わせだ。ルーターを用いた今回のテクニックは彼らの最新の攻撃手法だと言えるだろう」

急速に技術力を高めてきたBlackTech

　2019年と2020年に日本や台湾などの国々を対象としたスパイ活動をはじめとするBlackTechの活動を、Broadcomは長年にわたって追跡してきた（注2）。

　2022年に発表されたCISAの勧告によると（注3）、BlackTechはリモートアクセスツールと「BendyBear」「Flagpro」「SpiderPig」などのカスタムマルウェアを使用して標的企業のOSにアクセスした。

　この勧告によると、BlackTechは「Cisco IOS」をベースとしたルーターを標的にして、悪意のあるファームウェアを使用して既存のファームウェアを書き換える。

　Ciscoは、2023年9月27日の勧告で次のように述べた（注4）。

　「アクセス権限を得るために、攻撃者は盗み出された認証情報や脆弱（ぜいじゃく）な認証情報を主に使用している。攻撃者が既存の脆弱性を悪用している兆候はない。なお、最新のCiscoのデバイスには、改変されたソフトウェアイメージの実行を防ぐセキュアブート機能が備わっている」

　過去にはCiscoのデバイスにある古いリモートコード実行の脆弱性（CVE-2018-0171）を悪用する中国関連の攻撃者についてCISAが言及済みだ（注5）。

　「今回の攻撃は、企業が自社のネットワークデバイスを更新し、パッチを適用し、安全な設定を実現する緊急の必要性を強調するものだ。これらは、セキュリティの衛生管理を維持し、ネットワーク全体の耐性を確保するための重要なステップでもある」（Ciscoの広報担当者）

　BlackTechは、盗まれた証明書を使用して悪意のあるコードに署名した。つまり、セキュリティソフトウェアが攻撃を検出しにくくなる恐れがある。Ciscoの広報担当者は、「これらの盗まれた証明書と当社のデバイスへの攻撃を結び付ける証拠はない」と述べた。

　Ciscoは最近、ルーターやスイッチなどのネットワーク機器の悪用が頻発していることに対抗するために企業連合を主導した（注6）。

出典：Cisco routers abused by China-linked hackers against US, Japan companies（Cybersecurity Dive）

注1：People's Republic of China-Linked Cyber Actors Hide in Router Firmware（CISA）

注2：Palmerworm: Espionage Gang Targets the Media, Finance, and Other Sectors（Symantec）

注3：People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices（CISA）

注4：Reports about Cyber Actors Hiding in Router Firmware（Cisco Systems）

注5：People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices（CISA）

注6：It Is Time to Harden Our Global Infrastructure（Cisco Systems）