JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月25日、「Operation Blotless攻撃キャンペーンに関する注意喚起」において、環境寄生型(LOTL: Living Off The Land)戦術を用いるサイバー攻撃キャンペーン「Operation Blotless」に対し、注意を喚起した。2023年から日本の組織を狙う攻撃活動がみられるという。
JPCERT/CCは中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」による同種の攻撃を例に、短期および中長期の対策を提示している。
「Volt Typhoon」の特徴
Volt Typhoonは中国の敵となりうる国家に対し、将来その国のインフラに破壊的なサイバー攻撃を実施するための下準備として環境寄生型戦術を用いたサイバー攻撃を実施するとされる(参考:「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA」)。
そのため、長期間システムに潜伏することを優先し、認証情報の窃取以外の目立つ活動は原則しないという。Volt Typhoonは発見される可能性のあるマルウェアは用いず、環境に元から存在するソフトウェアを活用して認証情報の窃取を試みる。このような環境寄生型戦術は攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しいとされる。
短期的な対策
JPCERT/CCは短期的な対策として、次に示すような侵害調査の実施を推奨している。
ドメインコントローラ(DC)のログ調査
ドメインコントローラ(DC)に次のようなログが存在しないかどうか調査する。
- Active Directoryデータベースファイルの持ち出し試行を確認する。具体的には「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認する
- イベントログの削除を試行したかを確認する。具体的にはイベントID「104」の存在を確認する
- PowerShellの実行履歴に不審なものがないかを調査する
Webサーバおよびネットワーク機器の調査
Webサーバおよびネットワーク機器にWebシェルなどのバックドアが設置されていないかどうかを調査する。調査にはセキュリティソリューションの活用が望まれる。
リバースプロキシの調査
Volt Typhoonは過去の活動においてリバースプロキシを使用したことが確認されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が公開しているセキュリティ侵害インジケーター(IoC: Indicator of Compromise)などを活用し、悪用可能なツールが存在しないか調査する(参考:「MAR-10448362-1.v1 Volt Typhoon | CISA」)。
SSL-VPN機器のログおよび管理者アカウントの調査
仮想プライベートネットワーク(VPN: Virtual Private Network)関連機器のログに不審な点がないかどうかを調査する。また、管理者アカウントの不正アクセスを調査する。
中長期的な対策
JPCERT/CCは将来の攻撃への備えとして、次のような対策の実施を推奨している。
インターネットに接続されたアプライアンスの点検
攻撃対象領域を特定し、影響を受ける可能性のあるアプライアンスを点検する。ソフトウェアを最新の状態に維持し、ログが適切に取得できているか調査する(参考:「「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました (METI/経済産業省)」)。
Active Directoryの各種ログ設定の見直し、侵害アラートの導入
Active Directoryの各種ログ設定を見直す(参考:「Active Directory のセキュリティ保護に関するベスト プラクティス | Microsoft Learn」)。さらに、ログから侵害の兆候を検出してアラートを通知する仕組みを導入する。
最小権限の原則
攻撃対象領域のアプライアンスなどに最小権限の原則を適用する。また、不要な管理者アカウントやユーザーが残っていないかどうかを確認して、見つけた場合は削除する。
JPCERT/CCはOperation Blotlessキャンペーンの攻撃対象に日本の組織が含まれているとして注意を呼びかけている。サイバー攻撃は組織の大小にかかわらず実行される可能性があり、すべての企業および組織には最新のセキュリティ対策を実施することが推奨されている。特にインフラ関連の組織には本件のようなサイバー攻撃の可能性があることから、上記の対策の実施が望まれている。