こんにちは、サニーリスクマネジメントです。

2024年も1ヶ月が経ち、2月に入りました。今年は元日に発生した令和6年能登半島地震をはじめとして様々な災害や事件・事故が国内に大きな影響を起こし、息つく間もない日々を過ごされているかたも多いかと存じます。能登半島地震は各地で復旧作業が進められている状況であり、完全復旧と復興に向かってさらなる対応が望まれるところです。

サニーリスクマネジメントでは、災害や事件・事故等についての情報収集や分析を実施していると同時に、世界各国の報道や各機関からの情報をもとに安全保障の情勢もフォローしています。1月29日、米国が公共インフラを標的にしたハッキング活動を阻止したとFBIが公表したことが報じられました。今回はこのハッキング活動に着目してサイバーセキュリティと安全保障について考えてみます。

重要インフラを狙う組織、その意図は

FBIの発表によれば、今回アメリカが攻撃を阻止したハッキング活動は、「Volt Typhoon（ボルト・タイフーン）」が試みていたことが明らかになっています。Volt Typhoonは中国政府の支援を受けている可能性のある攻撃者集団で、少なくとも昨年から米国などの公共インフラなどに対するサイバー攻撃を行っているとされる組織です。

レイFBI長官は、今回の事案について、Volt Typhonは何百台もの古いルーターをハッキングし米国の公的資産に関するデータにアクセスしたと説明。同氏は以前開催された米国議会委員会において、中国は、米国と同国との間で敵対的な紛争が発生した場合に米国の主要インフラシステムを機能不全に陥らせるための基礎を意図的に構築していると述べていました。

米国において、Volt Typhoonの活動は2023年5月に初めて認知され、マイクロソフト社は、同グループが米国政府のメールアカウントへのハッキングなどの複数の公的資産を標的にしていることを警告していました。

ネットワーク貫通型攻撃と防御の難しさ

Volt Typhoonは、「ネットワーク貫通型攻撃」を主な手口として使用する傾向にあり、検知と防御が難しいとされています。ネットワーク貫通型攻撃はVPN機器の脆弱性を悪用しネットワークに不正に侵入する攻撃で、2019年頃から確認されています。ネットワーク貫通型攻撃の中でも、Volt Typhoonは特に発見された脆弱性の解消方法がベンダーから提供される前に行われる「ゼロデイ攻撃」を得意としています。脆弱性の対策が見つかっていない状態でネットワークに侵入するため、知らぬ間にネットワークに侵入され、それが発覚してもすぐに対応できるとは限らないという性質から認知や防御が難しいとされています。

しかし、今回FBIが公表した事案では、Volt Typhoonが多く使用している手段とは異なった手法を使用していることから、この事案がイレギュラーであり、またVolt Typhoonなどが新たな攻撃スキームを構想している可能性があると捉えることもできます。今回の事案では、Volt Typhoonはこれまでのゼロデイ攻撃と異なり、古いルーターを経由してネットワークに侵入したことが明らかになっています。このことを鑑みると、使用中の機器に関する最新の脆弱性情報を確認し対策するだけでなく、長く使用している古い機器についても重点的な対策が必要であるといえるでしょう。

ネットワーク貫通型攻撃に対する継続的な警戒を

IPAは、2023年8月にネットワーク貫通型攻撃に関する注意喚起を発表しています。IPAによれば、サイバー攻撃による情報窃取事案のうち、侵入されたネットワークやサーバ上に「China Chopper（中国菜刀）」と呼ばれるバックドアが設置されたり、VPN機器を狙った攻撃においてアジア特有の活動とみられるものが確認されていたりしていることが公表されており、日本もその脅威に晒されている可能性は十分にあります。

中国にとって米国は第二の仮想敵国、またその米国と同盟関係にある日本は第三の仮想敵国であると考えることができます。これを考慮すると、米国だけでなく日本を対象とすることも米国との関係や東アジア情勢に影響を与える手段として予想できるでしょう。

1月に台湾総統選挙があり、またひとつ緩やかに情勢が変化している東アジア。今後台湾と米国の結びつきがより強くなることで中国の反発はより大きなものとなる可能性が高く、水面下でのサイバー攻撃やサイバースパイのリスクも十分に把握しておかなければなりません。