マイクロソフト社は水曜日、中国が支援する攻撃者ボルト・タイフーンが米国のインフラを攻撃したと警告したが、これはサイバー空間における世界的な戦争が独裁政権と民主主義国家を対立させているというサイバーセキュリティおよび国際問題の専門家の発表を強く印象づけた。
ジャンプ先:
- 中国のサイバー戦争への取り組み
- サイバー犯罪の専門化により参入障壁が低下
- ボルト台風を軽減する方法
中国のサイバー戦争への取り組み
マイクロソフトの通知によると、IT、通信、製造、公益事業、運輸、建設、海運、政府機関、教育など、多岐にわたる分野の組織を襲ったVolt Typhoonは、2021年以降、データ窃取を主眼とした「living off the land(土地寄生)」戦略を展開している。この戦術は通常、フィッシングなどのソーシャルエンジニアリングのエクスプロイトを用いて、正規のソフトウェアに乗じて目に見えない形でネットワークにアクセスする。アクセスにはFortinetのエクスプロイトを使用し、有効なアカウントを利用して攻撃を継続する(図A)。
図A
セキュリティ企業Armisの最高技術責任者(CTO)兼共同創業者であるナディール・イズラエル氏は、中国の防衛予算が長年にわたって増加しており、2020年には推定1780億ドルに達したと指摘した。「この投資増加により、中国は5万人以上のサイバー兵士と高度なサイバー戦部隊を擁するサイバー能力を強化することができました」とイズラエル氏は述べた。
同氏はさらに、中国による攻撃的なサイバー能力への投資は、「通信から海上まで、ほぼあらゆる分野の重要インフラを揺るがし、米国民の生活を妨害する世界的な武器を中国の武器庫に加えた」と付け加えた。「サイバー戦争は、中国にとって世界秩序を混乱させるための、非常に影響力があり、費用対効果の高い手段だ」
アーミス氏によると、世界の組織の33%がサイバー戦争の脅威を真剣に受け止めていないという調査結果を受けて、1月からこれらの脅威を予測してきたという。彼は、政府や企業に対し、あらゆるセクターに対し、これらの脅威に対抗するための手順を整備するよう強く求めてきた。
「世界がますますデジタル化していく中で、サイバー戦争は現代の戦争と言えるでしょう」とアーミス氏は述べた。「これは米国と西側諸国にとって警鐘となるはずです。」
フィンランドのヘルシンキで開催された「WithSecure Sphere23」カンファレンスにおいて、このセキュリティニュースが報道される前に、ドイツを拠点とする外交政策アナリストでコンサルティング会社CoStructの創設者でもあるジェシカ・ベルリン氏は、米国、欧州連合(EU)、その他の民主主義国家は、ロシア、中国、北朝鮮によるサイバー戦争の影響にまだ気づいていないと述べた。ベルリン氏によると、これらの国々はサイバー世界戦争に巻き込まれており、独裁国家が優位に立っているのは、独裁国家がサイバー戦争を完全に認識し、受け入れ、そして独裁国家として戦うことを決意しているからだ。
彼女はTechRepublicに対し、テクノロジー企業やセキュリティ企業は、攻撃に関する透明性を高めることで、国民や政府にこの事実を認識させる上で重要な役割を果たすことができると語った。また、5年前から施行されている欧州連合(EU)の一般データ保護規則(GDPR)は、デジタル情報、データの出所、そしてソーシャルプラットフォーム上の誤情報の監視において強力なツールとなっていると指摘した。
サイバー犯罪の専門化により参入障壁が低下
WithSecureのシニア脅威インテリジェンスアナリスト、スティーブン・ロビンソン氏は、サイバー犯罪のエコシステムが合法的なビジネスを模倣することで、国家機関や比較的経験の浅い組織が、自分たちでは製造できないものを購入することが容易になったと述べています。サイバー犯罪のこうした専門化は、正式なサービス部門を生み出しました。「彼らは業務をアウトソーシングし、フリーランサーを雇用し、下請けをしています。犯罪関連サービス提供業者が急増し、その存在が搾取を産業化しているのです」とロビンソン氏は述べました。
いくつかのダークウェブ サービスの分野を説明したロビンソン氏は、犯罪のサービスとしてのモデルの成功は、Tor 匿名データ転送や暗号通貨などのフレームワークによって促進されていると指摘しました。
- 初期アクセスブローカー:サービス指向モデルで成功し、支援者として重要な役割を担うブローカーです。彼らはあらゆる手段を駆使してアクセスを獲得し、その後、そのアクセスを提供します。
- サービスとしてのCrypter: Crypterはマルウェアのペイロードを隠すツールです。ロビンソン氏によると、これがマルウェアとアンチマルウェアの軍拡競争を引き起こしているとのこと。
- クリプトジャッカー:これらのアクターはネットワークに侵入し、ソフトウェアをドロップします。また、サーバーの脆弱性を悪用する最初のアクターとなることも少なくありません。ロビンソン氏によると、脅威度は低いものの、何かが起こった、あるいは起こるであろうという非常に強い兆候となります。
- マルウェア・アズ・ア・サービス:高度な技術を備え、サポートや契約、プレミアム製品へのアクセスなどの高度なサービスを備えています。
- 国家レベルの攻撃者:国家レベルの攻撃者は上記のツールを使用することで、身元が明らかにされることなく攻撃活動を展開し、新たな被害者にアクセスすることができます。
WithSecure は、暗号化を含む複数の恐喝戦略を採用して被害者に支払いを迫る、多点恐喝ランサムウェア グループに関する最新のレポートを発表しました。
同社がこれらのグループによる3,000件以上のデータ漏洩を分析したところ、最も標的となった被害者は米国の組織であり、次いでカナダ、英国、ドイツ、フランス、オーストラリアとなっていることが判明した。
さらに、同社の調査によれば、データ漏洩の19%は建設業界によるもので、自動車業界は攻撃のわずか6%を占めている。
「ランサムウェア業界の莫大な収益のより大きな分け前を狙うランサムウェアグループは、正規の企業が利益を増やすために機能をアウトソーシングするのとほぼ同じ方法で、専門の電子犯罪業者から能力を購入しています」とロビンソンは述べています。「こうした能力と情報の容易な供給は、スキルの低い単独の攻撃者から国家主導のAPT攻撃に至るまで、ますます多くのサイバー脅威アクターに利用されています。ランサムウェアはサイバー犯罪業界を生み出したわけではありませんが、火に油を注いだと言えるでしょう。」
同社は、百貨店のドアが半開きになった後に発生した大規模な略奪に似た事例を挙げた。ある組織が、それぞれ異なる目的と種類のサイバー犯罪サービスを持つ5つの脅威アクターの被害を受けた。5つの脅威アクターとは、ランサムウェア集団「Monti」、マルウェア・アズ・ア・サービス「Qakbot」、クリプトジャッキング集団「8220」、匿名の初期アクセスブローカー、そして北朝鮮と関連のあるLazarusグループのサブグループである。
これらのインシデントでは、WithSecure の脅威インテリジェンスにより、観察されたキル チェーンで使用されている「サービスとしての」モデルの 6 つの異なる例に遭遇したと報告されています (図 B )。
図B
レポートによると、この専門化の傾向により、組織を攻撃するための専門知識とリソースが、スキルの低い、あるいはリソースの乏しい脅威アクターにも利用可能になっているという。レポートは、今後数年間で攻撃者の数とサイバー犯罪業界の規模が拡大する可能性が高いと予測している。
ボルト台風を軽減する方法
Volt Typhoonに関するMicrosoftのレポートでは、通常のサインインチャネルとシステムバイナリを使用するアクティビティを検出するには行動監視が必要であり、修復には侵害されたアカウントの認証情報の閉鎖または変更が必要であると述べられています。このようなケースでは、セキュリティ運用チームに対し、侵害されたアカウントのアクティビティを調査し、悪意のあるアクションや漏洩したデータがないか確認することを推奨しています。
こうしたさまざまな攻撃を防ぐために、Microsoft は次のヒントを提案しました。
- ハードウェア セキュリティ キー、パスワードなしのサインイン、パスワードの有効期限ルール、未使用のアカウントの非アクティブ化を使用して、強力な多要素認証ポリシーを適用します。
- 攻撃対象領域の縮小ルールをオンにして、この脅威に関連するアクティビティをブロックまたは監査します。
- Windows 11 デバイスで LSASS の Protective Process Light を有効にします。企業向けに新たに導入された Windows 11 (22H2 アップデート) では、この機能はデフォルトで有効になっています(企業による)。
- Windows Defender Credential Guard を有効にします。これは、Windows 11 の Enterprise エディションを使用している組織では既定で有効になっています。
- Microsoft Defender ウイルス対策でクラウド配信の保護をオンにします。
- エンドポイントの検出と応答をブロック モードで実行して、Microsoft Defender for Endpoint が悪意のあるアーティファクトをブロックできるようにします。
