メディア

英語圏5カ国が共同でマルウェアに対抗 日本も参加

国家に支援されたサイバー攻撃グループに対抗するための取り組みが進んでいる。なぜ今、国レベルの対応が必要なのだろうか。

» 2024年04月18日 07時00分 公開
[Matt KapkoCybersecurity Dive]
Cybersecurity Dive

 英語圏5カ国が加盟する機密情報共有の枠組み「ファイブ・アイズ」は中国が支援するサイバー攻撃グループへの取り組みを進めている。

なぜ今、共同で取り組むのか

 ファイブ・アイズが共同で取り組む理由はなんだろうか。一つは緊急性があるからだ。

 ファイブ・アイズを代表するサイバー関係者は2024年3月19日(現地時間、以下同)に発表したガイダンスの中で、中国に支援された攻撃グループ「Volt Typhoon」がもたらす緊急のリスクについて、電力やガス、鉄道、空港などの重要インフラ業界の組織に警告を発した(注1)。

Volt Typhoonはすでにシステムに侵入済み

 ファイブ・アイズは英語圏5カ国によるUKUSA協定に基づいた機密情報共有の枠組みだ。米英が立ち上げ、その後、オーストラリアやカナダ、ニュージーランドが加盟した。日本の他、インドと韓国、ドイツ、フランスとも情報共有している。

 当局の担当者は次のように述べた。

 「(Volt Typhoonは)全ての組織と同盟国にとって重大なビジネスリスクだ。サイバーリスクを中核的なビジネスリスクとして認識することが優れたガバナンスのために必須であり、国家安全保障の基本でもある」

 この警告は水を完全確保するよう緊急に要請を出した際に同時に発せられた(注2)。ホワイトハウスと環境保護庁は州知事に対して、保健や環境、国土安全保障の担当官を2024年3月14日の仮想会議に派遣するよう要請した。

 2024年3月19日に発表されたガイダンスはファイブ・アイズが同年2月に発表した警告に続くもので(注3)、Volt Typhoonがすでに多くの交通機関やエネルギー、通信、上下水道システムに入り込んでいることを詳しく説明したものだ。

 連邦捜査局(FBI)とサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、国家安全保障局(NSA)、国際的な対応機関によると、重要インフラ業界はVolt Typhoonが使用する技術から身を守るために、包括的かつ多面的なアプローチを必要としている。

マルウェアよりもシステム内蔵機能を使ってくる

 各機関は「Volt Typhoonはネットワークへのアクセスを維持し、活動するためにマルウェアに依存しているわけではない。むしろ、システムに内蔵された機能を利用する」と述べた。

 脅威グループやその他の中国に関連する攻撃者は重要インフラへの持続的なアクセスをすでに得ている。これは緊張が高まったり、米国やその同盟国との軍事衝突が起きたりした場合に、重要なサービスの破壊や強力なサイバー攻撃を実行するための態勢を整えようとするVolt Typhoonの広範な取り組みの一環だと、サイバー当局は警告している。

 2024年3月末で退任するNSAのロブ・ジョイス氏(サイバー局長)は(注4)、「このキャンペーンの全容はまだ不明だ」と述べた。Recorded Future Newsの『The Record』によると、ジョイス氏は2024年3月15日のラウンドテーブルで、「まだ被害者を見つけて侵入を排除する作業の最中だ」と述べた(注5)。

 ファイブ・アイズは重要インフラ業界の組織に対し、CISAのサイバーセキュリティパフォーマンス目標や各業界のリスク管理機関のガイダンスに従うよう促した(注6)。

 政府関係者は組織に対し、ベンダーリスクにも取り組むように助言した(注7)。ベンダーリスクを管理するプロセスを確立して、ベンダーを選定する際にセキュア・バイ・デザインの原則に従って十分な注意を払わなければならない。また、継続的なトレーニングと定期的な机上演習も強く推奨した。

 さらに関係者は「『Living off the land』の技術を検知し、軽減するためにはアクセスとセキュリティに関する一貫したロギングが必要であり、ログは中央システムに保存されるべきだ」と述べた。この重要なベストプラクティスは、現在進行中の活動に関する2024年2月のサイバーセキュリティ勧告で共有されたものを含め(注8)、Volt Typhoonの運営者が使用した特定のコマンドを明らかにするのに役立つ。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。