ハンター対スパイ:ソフォス、中国を拠点とする複数の敵対勢力との攻防を詳述したレポート「パシフィックリム」を発表

2024年11月5日
<<報道資料>
ソフォス株式会社

ハンター対スパイ:ソフォス、中国を拠点とする複数の敵対勢力との攻防を詳述したレポート 「パシフィックリム」を発表

~ソフォスが最初の攻撃への対応に成功した後、敵対勢力は取り組みをエスカレートさせ、より経験豊富なオペレーターを投入。ソフォスは、広大な敵対的エコシステムを発見~

サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は本日、Sophos Firewallを含む境界デバイスを標的とした、中国を拠点とする複数の国家間の敵対行為に関する過去5年間の防御・反攻作戦の詳細をまとめたレポート「パシフィックリム(Pacific Rim)」(https://www.sophos.com/pacificrim)を発表しました。攻撃者は、Volt Typhoon、APT31、APT41 などのよく知られた中国の国家グループと類似する戦術、ツール、手順(TTPs)だけでなく、監視、破壊工作、サイバースパイを行うツールを組み込むために、新手のエクスプロイトとカスタマイズされたマルウェアを使用した一連の攻撃活動を実施しました。敵対勢力は、主に南アジアや東南アジアに位置する、原子力エネルギー供給会社、首都空港、軍事病院、国家安全保障機構、中央政府省庁など、大小の重要インフラや政府機関を標的としていました。

「パシフィックリム」では、ソフォスのサイバーセキュリティと脅威インテリジェンス部門であるX-Opsが敵対勢力の動きを無力化し、防御と反撃を継続的に進化させました。ソフォスが最初の攻撃への対応に成功した後、敵対勢力は活動をエスカレートさせ、より経験豊富なオペレーターを投入してきました。その後、ソフォスは膨大な敵対的エコシステムを発見しました。

ソフォスは、「Cloud Snooper」や「Asnarök」など、関連する攻撃活動の詳細を2020年から公表していますが、中国の国家的な敵対勢力の執着性と、しばしば各デバイス向けに作成されたゼロデイエクスプロイトを介して、境界、パッチ未適用、使用済み(EOL)デバイスを侵害することに非常に注力していることに対する認識を高めるために、調査分析全体を共有しています。ソフォスはまた、すべての組織に対し、インターネットに接続するデバイスで発見された脆弱性に対するパッチを緊急に適用し、サポート対象外の古いデバイスを最新モデルに移行するよう呼びかけています。ソフォスは、新たな脅威や IoC (Indicator of Compromise) に基づいて、すべてのサポート対象製品を定期的にアップデートし、お客様を保護しています。Sophos Firewall のお客様は、デフォルトで有効になっている迅速なホットフィックスによって保護されます。

ソフォスのCISOであるRoss McKercharは、次のように述べています。「エッジデバイスは、Volt Typhoonのような中国の国家グループにとって非常に魅力的な標的となっています。これには、スパイ活動のために組織を直接標的にすることや、間接的に弱点を利用して攻撃を仕掛けることが含まれます。標的ではない組織でさえ攻撃を受けています。企業向けに設計されたネットワークデバイスは、強力で、常時接続されており、このような目的の標的になるのは当然です。ORBのグローバルネットワークを構築しようとするグループが当社製デバイスのいくつかを標的にした際に、当社は企業のエンドポイントやネットワークデバイスの防御に使用しているのと同じ検知・対応技術を適用して対応しました。これにより、複数の攻撃活動を駆除し、脅威インテリジェンスの貴重なストリームを活用することができました」

●当レポートのハイライト

・2018年12月4日、ソフォスが2014年に買収したCyberoam社のインド本社でオーバーヘッドディスプレイに接続された低特権のコンピュータが一見単独でソフォスのネットワークをスキャンし始めました。ソフォスは、このコンピュータで、新種のバックドアと複雑なルートキット("Cloud Snooper")を含む特殊なインバウンド・インターネット・トラフィックを密かに傍受しているペイロードを発見しました。

・2020年4月、複数の組織から、名前に「Sophos」が含まれるドメインを指すユーザーインターフェイスが報告されました。ソフォスは欧州の法執行機関と協力し、後にソフォスが「Asnarök」と命名した悪意のあるペイロードを展開するために敵対者が使用したサーバーを突き止め、押収しました。ソフォスは、マルウェアのコマンド・アンド・コントロール(C2)チャネルを乗っ取ることで、Asnarök を無力化しました。また、計画されていたボットネット攻撃も無力化することができました。

・Asnarökの後、ソフォスは顧客環境に展開されたソフォス・デバイスを悪用しようとする敵対者を特定し、妨害することを目的とした新たな脅威アクター追跡プログラムを作成してインテリジェンス業務を強化しました。このプログラムは、オープンソースのインテリジェンス、ウェブ分析、遠隔測定モニタリング、攻撃者の研究用デバイスに導入された標的型カーネルインプラントを組み合わせて構築されました。

・次に、攻撃者はますます執拗さを増し、戦術をレベルアップさせ、ますますステルス性の高いマルウェアを展開するようになりました。しかし、ソフォスは、脅威行為者追跡プログラムと強化された遠隔測定収集機能を使って、いくつかの攻撃を先取りし、UEFI ブートキットとカスタムエクスプロイトが広範囲に展開される前に、そのコピーを入手することができました。

・数カ月後、ソフォスは攻撃の一部を追跡し、中国および同国成都地域にある四川省沈黙情報技術(Silence Information Technology)の二重螺旋研究所(Double Helix Research Institute)とのつながりを示す敵対者を突き止めました。

・2022年3月、匿名のセキュリティ研究者が、ソフォスのバグ報奨金プログラムの一環として、ゼロデイ・リモートコード実行脆弱性(CVE-2022-1040)をソフォスに報告しました。さらに調査を進めたところ、この CVE はすでに複数の運用で悪用されており、ソフォスが顧客への影響を阻止できたことが判明しました。さらに詳しく分析した結果、ソフォスはこのエクスプロイトを報告した人物が敵対勢力と関係がある可能性があると判断しました。ソフォスが、悪意を持って悪用される前に、不審なタイミングでエクスプロイトに関する「情報」を受け取ったのは、これが2度目でした。

「CISAの最近の勧告で、中国の国家グループが国家の重要インフラに対する恒常的な脅威になっていることが明らかになりました。「私達が忘れがちなのは、重要インフラのサプライチェーンの大部分を形成している中小企業が、このサプライチェーンの弱点であることが多いため、標的になっているということです。残念なことに、これらの企業はこのような巧妙な脅威から身を守るためのリソースが少ないことが多いです。さらに問題を複雑にしているのは、こうした敵対勢力が足場を固めて根を張り、立ち退かせるのが難しくなる傾向があることだ。中国を拠点とする敵対者の手口は、長期的な持続性と複雑な難読化攻撃を生み出すことです。彼らは妨害されるまで止めないでしょう」とソフォスのMcKercharは述べています。

■ ソフォスの「パシフィックリム」レポートについての業界コメント

*CISA サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター Jeff Greene氏談
「CISA は JCDC を通じて、中華人民共和国(PRC)によって国家支援されたサイバー脅威アクターが使用する高度な戦術やテクニックなど、私たちが直面しているサイバーセキュリティの課題に関する重要な情報を入手し、共有しています。ソフォスのようなパートナーの専門知識や、「パシフィックリム」のようなレポートは、世界のサイバーコミュニティに、PRCの進化する行動に関するより多くの洞察を提供します。ソフォスが協力することで、サイバーセキュリティ担当者は、エッジネットワーク機器の悪用の規模や広がりについて理解し、緩和策を講じることができます。CISAは、SQLインジェクションやメモリ安全性の脆弱性など、脆弱性のクラスがいかに大量に悪用され続けているかを引き続き強調してまいります。私達は、ソフトウェアメーカーが私達のSecure by Designのリソースを確認し、ソフォスが今回行ったように、その原則を実践することを強く求めます。ソフォスは、他のソフトウェアメーカーにも、この誓約を実行し、一般的な欠陥の種類を排除する方法について、ソフォスのアラートを確認することをお勧めします」

*Omdia サイバーセキュリティ調査グループ マネージングプリンシパルアナリスト Eric Parizo 氏談
「多くのサイバーセキュリティベンダーが敵対的な調査活動を実施していますが、これほど長期間に渡り、これほど困難な国家レベルの敵対勢力との戦いに成功したベンダーはほとんどいません。ソフォスは、非常にユニークな機会を最大限に活用し、現在および将来に渡って顧客の防御を強化するのに役立つ研究と戦術的な知見を提供したことを称賛されるべきです」

*NCSC-NL オペレーション責任者 Hielke Bontius 氏談
「NCSC-NLでは、情報を共有し、組織をつなぐことが仕事のひとつです。国内外の組織間のコミュニケーションと協力を促進することは、サイバー耐性を向上させる上で非常に重要です。ソフォスと共にこの調査に貢献できたことを嬉しく思います」

■ 防御する立場の組織への提言
組織は、インターネットに接続されたすべてのデバイスが、国家的敵対者の格好の標的であり、特に重要なインフラストラクチャにあるデバイスがその標的であることを認識する必要があります。ソフォスでは、セキュリティ体制を強化するために以下の対策を講じることを推奨しています。

・ 可能な限り、インターネットに接続するサービスや機器を最小限にする。
・インターネットに接続された機器に緊急パッチを適用し、これらの機器を監視する。
・ エッジデバイスのホットフィックスを許可し、自動的に適用できるようにする
・法執行機関、官民パートナー、政府と協力して、関連するIoCを共有し、行動する。
・組織が製造中止機器にどのように対処するかの計画を立てる。

「私達は、官民、法執行機関、政府、セキュリティ業界を横断して協力し、こうした敵対的な作戦について私達が知っていることを共有する必要があります。ネットワークを保護するために配備されているエッジデバイスとまったく同じものを標的にすることは、大胆かつ巧妙な戦術です。組織、チャネル・パートナー、マネージド・サービス・プロバイダーは、これらのデバイスが攻撃者にとって最大の標的であることを理解し、適切なハードニングが施され、重要なパッチがリリースされたらすぐに適用されるようにする必要があります。実際、攻撃者は製造中止のデバイスを積極的に探していることが分かっています。ベンダーの役割も大きいです。ベンダーは、信頼性が高く、十分にテストされたホットフィックスをサポートし、製造中止となったプラットフォームからのアップグレードを容易にし、長引く脆弱性を抱え込む可能性のあるレガシーコードを体系的にリファクタリングまたは削除し、顧客のハードニングの負担を軽減するためにセキュア・バイ・デフォルト設計を継続的に改善し、導入されたデバイスの完全性を監視することで、顧客を支援する必要があります」とソフォスのMcKercharは結論付けています。

■ ソフォスの「パシフィックリム」レポートに関する参考資料
・ソフォスと「パシフィックリム」についての詳細は、www.sophos.com/pacificrim をご覧ください。
・“Sophos Ask Me Anything”ウェブキャストへのお申し込みは、 https://events.sophos.com/series/de9923fc-5e85-462f-b650-aaab82a59d57/?cmp=701aJ000006OBWlQAO#Registration にアクセスしてください。

■ ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で60万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上

リリース詳細
提供元: ドリームニュース