なぜ中国系の攻撃者は重要インフラを狙うのか

中国系の複数の攻撃者が電力や鉄道などの重要インフラを狙っている。なぜ重要インフラを狙うのだろうか。

[David Jones，Cybersecurity Dive]

　国家に関連する攻撃者「Volt Typhoon」が複数の電力やガス、鉄道、空港などの重要インフラを担う企業のIT環境を侵害している。なぜだろうか。

中国に関連する攻撃者の狙い

　米国の連邦捜査局（FBI）とサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によれば攻撃は具体的だ。

　Volt Typhoonや中国に関連する他の攻撃者は、アジア太平洋地域における軍事攻撃の可能性に備えて、混乱と破壊を引き起こす広範なキャンペーンを展開しているという（注1）。

　FBIとCISAは主要な国際パートナーとともに詳細な警告を発表した。脅威グループは既に多数の交通やエネルギー、通信、水、廃水処理などを担う企業のシステムに侵入済みであり、悪質な活動を隠すために設計された環境寄生型の技術を使用している。

　攻撃者は、これらの主要産業に大規模な混乱を引き起こす可能性のある破壊的なサイバー攻撃を実施する可能性がある。中国主導の台湾侵攻などの軍事行動から米国の注意をそらすことを計画しているという。

　CISAのエリック・ゴールドスタイン氏（エグゼクティブ・アシスタントディレクター）は、2024年2月7日のメディア向けブリーフィングにおいて「中国に関連する攻撃者が国家安全保障や経済安全保障、公衆衛生と安全に影響を与える可能性のある、破壊的なサイバー攻撃の準備をしていることを、私たちが保有する証拠が強く示唆している」と述べた。

　米政府機関は、Volt Typhoonなどの攻撃者が過去5年間にわたり、一般的に使用される小規模オフィスやホームオフィスが利用するルーターやその他のネットワーク機器へ侵入し、さらにそれを隠すために、環境寄生型の技術を使用していた証拠を発見した。

　2024年1月29日の週に、米国は裁判所の命令に基づいて、「KV Botnet」マルウェアに感染した数百台の個人所有のSOHOルーターを対象にbotネット破壊作戦を公開した（注2）。KV Botnetは組織に検知されずにスパイ活動を実行するために使用されていた。標的はメーカーのサポートが終了したCisco SystemsとNetgearのルーターだ。

　標的の範囲は米国とグアムを含む準州の重要インフラ組織であり、カナダにも影響を与える恐れがある。オーストラリアとニュージーランドのサイバー当局は、自国の重要部門に対する同様の脅威活動に備えている。

　中国系グループの戦術はこれまで米国企業に対するスパイ活動や知的財産の盗難に重点を置いていた。今回の動きは戦術の大きな転換を意味する。

　FBIのシンシア・カイザー氏（副アシスタントディレクター）によると、他の中国系の攻撃者も重要インフラに対して同様の脅威活動を実行しているという。

米政府が警告を発した

　2024年1月29日の週に行われた臨時公聴会において（注3）、クリス・レイ氏（FBI長官）とジェン・イースタリー氏（CISA長官）、ハリー・コーカー氏（国家サイバー長官）、ポール・ナカソネ氏（元米国司令官）は、これらの脅威について詳細に説明し、警告とガイダンスを発表した。

　イースタリー氏は「このキャンペーンの目的は、アジア太平洋地域における中国による軍事活動に備えて、米国市民の意思を打ち砕くことだ。これはまさに、あらゆることをあらゆる場所で起こすためのシナリオだ。そして中国政府は台湾での大きな紛争に備えて、台湾を守るという米国の意志を打ち砕こうとしている」と警告した。

　サイバーセキュリティ事業を営むMandiantの関係者は「Volt Typhoonによる行動はウクライナ紛争中に見られた脅威活動と類似しており、重要なインフラを攻撃して軍事対応を妨害する可能性がある」と述べた。

　Mandiant IntelligenceとGoogle Cloudのジョン・ホルトキスト氏（チーフアナリスト）は、2024年2月7日の声明において、次のように述べた。

　「重要インフラの核をなし、物理プロセスを実行する高度な運用システムに関する情報をVolt Typhoonが収集し、ときには侵入にも至っている。特定の条件の下において、主要なサービスの大規模な停止を引き起こすために運用システムを操作する可能性があり、危険な状況を作り出す恐れがある」

どのような機器が狙われたのか

　Microsoftは2023年5月に警告を発し（注4）、Volt Typhoonが初期アクセスの後、ネットワーク機器を乱用するために、Fortinetのセキュリティスイート「Fortiguard」の環境を含むSOHOデバイスを悪用していることを明らかにした。

　SecurityScorecardの研究者は2024年1月に報告書を発表し（注5）、Volt Typhoonが「CVE-2019-1653」と「CVE-2019-1652」という2つの古い脆弱（ぜいじゃく）性を悪用して（注6、注7）、2023年12月1日から2024年1月7日までの37日間にわたってCisco SystemsのデュアルギガビットWAN VPNルーター「RV320」「RV325」の一部を侵害したと示した。

　サイバーセキュリティ事業を営むBlack Lotus Labsは2023年12月に、KV Botnetに関連する脅威活動に焦点を当てたレポートを発表した。同レポートで指摘された活動は2022年2月までさかのぼり、Volt Typhoonの活動に関連して中継のためのノードとして使用されたNetgearの「ProSafeファイアウォール」に関する言及もあった（注8）。

　CISAは潜在的な侵害に対する安全性を確認するために、ソフトウェアやその他の製品の開発および設定方法を大幅に変更するよう開発企業に求めている。

　これには、より安全なプログラミング言語の使用、デフォルトパスワードの使用中止、多要素認証の設定などが含まれる。

出典：CISA, FBI confirm critical infrastructure intrusions by China-linked hackers（Cybersecurity Dive）
注1：PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure（CISA）
注2：U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure（Office of Public Affairs）
注3：China-linked hackers primed to attack US critical infrastructure, FBI director says（Cybersecurity Dive）
注4：Broad campaign underway to access US critical infrastructure using small, home office devices（Cybersecurity Dive）
注5：Threat Intelligence Research: Volt Typhoon Compromises 30% of Cisco RV320/325 Devices in 37 Days（SecurityScorecard）
注6：CVE-2019-1653 Detail（NIST）
注7：CVE-2019-1652 Detail（NIST）
注8：Routers Roasting On An Open Firewall: The KV-Botnet Investigation（Lumen Technologies）