VPN装置の脆弱性を悪用
2023年6月、米マンディアント社からネットワーク貫通型によるAPT攻撃(高度標的型攻撃)のレポート「ステルス性増す中国のサイバースパイ:検知回避の戦術がさらに進化」が公開された。ルーターやVPN(仮想専用線)などインターネット境界に設置された装置が標的とされ、ゼロデイ(修正プログラムが提供される前の脆弱(ぜいじゃく)性)や既知の脆弱性を悪用した攻撃により侵害される事例が挙げられている。
最近では、攻撃者グループ「Volt Typhoon」による重要インフラを標的とした攻撃キャンペーンや、攻撃グループ「Camaro Dragon」の活動、公開アプリケーションの脆弱性を悪用する「Storm‐0558」の活動などが報告されている。
近年、わが国においてもこのようなネットワーク貫通型攻撃がサイバー情報窃取活動における攻撃の初段(イニシャルベクトル)に用いられるケースが増加している。特に、今年に入り、特定のVPN装置やオンラインストレージ構築パッケージソフトウエアを稼働させているサーバーを悪用した実例を確認している。
これらの脆弱性に該当する装置やサービスを使用する各組織においては、ベンダーやシステムインテグレーターへ相談し、修正プログラムやアップデートといった対策を行うとともに、既に侵害・内部侵攻を受けている可能性を考慮し、アクセスログなどに不審点がないかをご確認いただきたい。
近年のサイバー情報窃取事案においては、侵害されたネットワーク装置やWebサーバー上にChina Chopper(中国菜刀)と呼ばれるWebシェル(攻撃者がシステムへの接続を行うツール)のファイルがバックドア(裏口)として設置されるケースがあるため、不審なファイルが増えていないかといった観点でもご注意いただきたい。特に、VPN装置を狙う攻撃の中にはアジア地域特有の活動と見られるものもありケースによっては独立行政法人情報処理推進機構(IPA)などから連絡させていただく場合がある。
外部サービスの活用も検討を
ネットワーク貫通型攻撃によるインシデントの発生を防ぐために、次に示す一般的な対策に取り組んでいただきたい。
1.日々の確認
・各種ログ監視による不審なアクセスなどがないかの確認
・製品ベンダーやセキュリティベンダーなどより発信される情報の収集
・自組織で利用するネットワーク機器の外部公開状態の確認
2.平時の備え
・製品ベンダーから発信された情報を基に対応するための体制整備
・ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
・整備した体制、対応手順が運用可能なものであるかの確認と随時の改善
これらの対策の重要性は理解するが、自組織にセキュリティ人材がいないため、対策が難しいという中小企業は少なくないと考える。その場合は、「サイバーセキュリティお助け隊サービス」などの外部セキュリティサービスの活用を検討してほしい。
加えて、5月に経済産業省より公開された「ASM(Attack Surface Management:インターネットからアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」をご活用いただき、自組織のサイバー状況把握を推進いただきたい。
(独立行政法人情報処理推進機構・江島将和)
ネットワーク貫通型攻撃についてはこちらを参照
