米国土安全保障省サイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は2月7日(米国時間)、「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure|CISA」において、中国が支援しているとみられるサイバー攻撃グループ「Volt Typhoon」が米国の通信、エネルギー、輸送システム、上下水道システムなど複数のインフラ組織の情報技術(IT: Information Technology)環境を侵害したことを確認したと発表し、アドバイザリー「(PDF) PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure - JOINT CYBERSECURITY ADVISORY」を公開した。

これは米国家安全保障局(NSA: National Security Agency)、米国連邦調査局(FBI: Federal Bureau of Investigation)と共同で発表されたもの。今回の発表の対象となったVolt Typhoonによる重要インフラへの攻撃は、中国が米国と重大な危機や紛争の発生時に重要インフラに破壊的なサイバー攻撃を仕掛けることを目的として、ネットワーク上に態勢を整えようとしたものと評価されている。

  • PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure|CISA

    PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure|CISA

米国の重要インフラ侵害の概要

発表によると、Volt Typhoonの標的の選択と行動パターンは従来のサイバースパイ活動や情報収集活動とは一致せず、運用・制御技術(OT: Operational Technology)資産への横移動を可能にし、機能を妨害する目的があったと評価されている。また、この脅威は国境を超えたインテグレーションによりカナダにも影響を与える可能性が高いと見られている。

CISAはVolt Typhoonが重要インフラを標的とする場合、環境寄生型(LOTL: Living Off The Land)の技術を使用する特徴があると指摘。有効なアカウントに依存し、運用上のセキュリティを活用して長期間潜伏することを可能にするとしている。Volt Typhoonの攻撃を受けた米国の被害組織は、少なくとも5年間にわたり不正アクセスや足場を維持された兆候があるという。

侵害に対する緩和策

CISAは速やかに実施すべきこととして、次の3点を挙げて強く推奨している。

  • インターネットに接続するシステムに修正パッチを適用する。Volt Typhoonに頻繁に悪用されることが知られているアプライアンスの重大な脆弱性に優先的にパッチを適用する
  • フィッシングに強い多要素認証(MFA: Multi-Factor Authentication)を導入する
  • アプリケーションログ、アクセスログ、セキュリティログを確実に記録し、中央システムに保存する

CISAは重要インフラ組織に対し、アドバイザリーに記載されている緩和策の適用を求めている。また、「Identifying and Mitigating Living Off the Land Techniques | CISA」に記載されている推奨事項とアドバイザリーのガイダンスに従い、悪意ある活動を調査することも求めている。CISAはこのアドバイザリーの緩和策により、Volt Typhoonによる不正アクセスを妨害し、脅威を軽減できると説明している。