最前線から: 中国の脅威アクターの手口とテクニックを読み解く

新型コロナウィルス感染症をきっかけに、多くの変化が生まれました。顧客の世界は変わりました。一夜にして、誰もが家に帰り、仕事を続けようと務めるようになったのです。私たちは、多くの企業がネットワークを一から再構築しなければならなくなり、従業員が働き方を変える様子を目の当たりにしました。もちろん、脅威アクターがそのすべてに対応する様子も目にしました。

例えば、在宅勤務制度が導入された当初、多くの組織が、通常はオフィス外で利用できない非常に機密性の高いシステムやリソースに、さまざまな場所からアクセスできるようにしなければなりませんでした。このような状況の中、混乱に乗じてリモート ワーカーになりすまし、それらのリソースにアクセスしようとする脅威アクターが現れました。

新型コロナウィルス感染症が発生した当初は、企業環境のアクセス ポリシーを迅速に確立する必要があり、ベスト プラクティスを調査および検討する時間がないまま実行されることもありました。組織の多くがこのようなポリシーを導入当初から見直していないため、今日、私たちは、構成ミスや脆弱性を検出して悪用しようとする脅威アクターを目の当たりにしています。

デスクトップをマルウェアに感染させることは、もはやそれほど価値のあることではありません。現在では、リモート ワーカーが行っているのと同じように、機密システムにアクセスするためのパスワードやトークンを入手することが重要な目的となっているのです。

脅威アクターが自宅で仕事をするようになったかどうかは分かりませんが、新型コロナウィルス感染症によるシャットダウンがアクターの住む都市での活動にどのような影響を及ぼしたかについて、インサイトが得られるデータがあります。仕事場を問わず、アクターの生活にも例外なく影響が及びました。

時には、アクターのコンピューターに動きがないことから、都市全体のシャットダウンの影響が見て取れることもありました。地域全体に拡大するシャットダウンの影響をデータで見ることができたのは、非常に興味深いものでした。

私たちが追跡している脅威アクターの一つ、Nylon Typhoon が良い例です。Microsoft は 2021 年 12 月にこのグループに対して行動を起こし、ヨーロッパ、ラテン アメリカ、中央アメリカを標的にするためのインフラストラクチャを破壊しました。

当社の評価では、被害の一部に、中国が世界各地で進めている中国政府主導のインフラ プロジェクト "一帯一路構想 (BRI)" に関与しているパートナーにインサイトを提供することを目的とした情報収集活動が含まれている可能性が高いと見ています。中国の国家支援を受ける脅威アクターが従来のスパイ活動と経済スパイ活動を行っていることがわかっており、今回の活動はその両方に位置する可能性が高いと評価しています。

決定的な証拠がないため、100％ の確信はありません。15 年のキャリアを経た今、決定的な証拠を見つけるのは実に難しいと言えます。しかし、私たちにできることは、情報を分析して背景状況を考慮し、「このような理由から、このような可能性が高いと確信している」と言うことです。

最大のトレンドの一つは、ユーザーのエンドポイントやカスタム マルウェアから、エッジ デバイスの悪用と持続性の維持にリソースを集中させる、まさにエッジに存在するアクターへ焦点を移すことです。このようなデバイスは興味深いもので、誰かがアクセスすると、非常に長い間そこに留まる可能性があります。

このようなデバイスを深く掘り下げて研究しているグループもあります。彼らは、ファームウェアがどのように動作するかを知っています。各デバイスの脆弱性を把握しているとともに、デバイスの多くがウィルス対策や詳細なログ記録をサポートしていないことを知っているのです。

もちろん、アクターは VPN などのデバイスが今や王国の鍵のようなものであることを理解しています。組織がトークン、多要素認証 (MFA)、アクセス ポリシーといったセキュリティ レイヤーを追加するのに伴い、アクターは迂回や防御のすり抜けを行う新たな手口を編み出しています。

私は、VPN などのデバイスを通じて長期的な持続性を確保できれば、マルウェアをどこにも展開する必要がないことに多くのアクターが気づいていると思います。任意のユーザーとしてログインできるアクセス権を得ることができるのです。

こうしたエッジ デバイスを侵害することで、アクターは本質的にネットワーク上で "神モード" を得ることができます。

また、アクターが Shodan、Fofa、またはインターネットをスキャンしてデバイスをカタログ化し、各種パッチ レベルを識別するあらゆる種類のデータベースを使用する傾向も見られます。

また、悪用可能な対象を探すために、時には既存のターゲット リストからインターネット上の広範囲を独自にスキャンする行為も見られます。対象を見つけると、そのデバイスを実際に悪用すべくさらにスキャンを行い、その後ネットワークにアクセスするために戻ってきます。

2 通りあり、アクターによります。特定の国を担当するアクターもいます。これが標的群です。このようなアクターの関心は、その国のデバイスのみにあります。一方で、部門を標的群とし、金融、エネルギー、製造業など特定のセクターに焦点を当てているアクターもいます。これらのアクターは数年にわたり、気になる企業のターゲット リストを作成し、ターゲットがどのようなデバイスやソフトウェアを実行しているかを正確に把握しています。そのため、あらかじめ用意されたターゲット リストをスキャンして、ターゲットが特定の脆弱性に対してパッチを適用しているかどうかを確認するアクターもいます。

アクターは極めて標的を定めた計画的かつ正確な行動を取りますが、時には運も味方します。彼らが人間であることを忘れてはなりません。スキャンを実行したり企業向け製品のデータを取得したりする際に、運良く、作戦を開始するのに役立つ適切な情報を最初から手に入れることもあります。

確かにそうですね。ただ、適切な防御とは、単にパッチを適用することだけではありません。最も効果的なソリューションを実装するのは簡単なようで、実際には非常に難しいのです。組織は、インターネットにさらされているデバイスを把握し、インベントリを作成しなければなりません。ネットワーク境界の状態を把握する必要がありますが、クラウドとオンプレミス両方のデバイスが存在するハイブリッド環境では、それが特に難しいことが分かっています。

デバイス管理は簡単ではありませんし、簡単であるかのように装うつもりもありませんが、ネットワーク上のデバイスとそれぞれのパッチ レベルを把握することが、ユーザーが踏むことのできる最初のステップです。

いったん状況を把握できれば、それらのデバイスのログ機能とテレメトリを拡張することができます。ログの粒度を上げるよう努めましょう。こうしたデバイスを防御するのは難しいものです。デバイスを防御するためのネットワーク ディフェンダーの最善策は、ログを収集して異常を検知することです。

中国政府の計画を覗くことのできる水晶玉があればよいのですが、残念ながらそのようなものはありません。ただ明らかなのは、情報にアクセスすることに対する貪欲さでしょう。

こうした欲求はどの国も持っているものです。

私たちも情報が好きです。データが好きなのです。

Judy は一帯一路構想 (BRI) のエキスパートであり、地政学のエキスパートでもあります。私たちは、トレンド、特にターゲットの動向を探る際に彼女の洞察力を頼りにしています。時には新たなターゲットが現れることもあり、その振る舞いは実に理解できないものです。それまでの行動と辻褄が合わないのです。そこで Judy に相談すると、「この国で重要な経済会議が開かれている」だとか「この場所に工場を新設するための交渉が行われている」などと教えてくれます。

Judy は、脅威アクターがなぜそのような行動をとるのかについて、貴重なコンテキスト、つまり必要不可欠な背景情報を教えてくれます。私たちは皆、Bing 翻訳の使い方も、ニュース記事を調べる方法も知っていますが、理解できないことがあると、Judy が「その翻訳は実際にはこういう意味なんだよ」と教えてくれるので、非常に助かっています。

中国の脅威アクターを追跡するには、中国政府の体制や、中国の企業や機関がどのように運営されているのかという文化的知識が求められます。Judy のおかげで、こうした組織の構造を解きほぐし、組織がどのように機能し、収益を得て、中国政府とやりとりしているのかを把握することができます。

Sarah の言うとおり、重要なのはコミュニケーションです。私たちはいつも Teams チャットでやりとりしています。テレメトリから得られたインサイトを常に共有し、しかるべき結論にたどり着けるよう取り組んでいます。

私にとっての秘訣は、インターネットと読書に浸ることですね。真面目な話、最も価値あることのひとつは、シンプルにさまざまな検索エンジンの使い方を知っていることだと思います。

私は、Bing はもちろん、Baidu や Yandex も使いこなすことができます。

というのも、検索エンジンによって、得られる結果が異なるためです。私は特別なことをしているわけではありませんが、ソースに応じて異なる結果を探す方法を知っているので、そこからデータを分析することができています。

チームは皆知識が豊富で、優れた能力を持っています。そして、誰に質問すればよいか知っているのです。お互いに質問しやすいチームで働けるのは素晴らしいことです。私たちはいつも、あらゆる質問に意味があると話しています。

私たちの環境は、些細な質問によって支えられているのです。

今こそ、IT セキュリティに携わる絶好のチャンスです。私が始めた当初は、授業やリソース、探求する方法があまりありませんでした。今は学部や修士課程で学べますよね。この職に就く方法がたくさんあります。お金がかかる道もありますが、低コストで就く方法やお金をかけずに就く方法もあります。

ある無料のセキュリティ トレーニング リソースが、Microsoft 脅威インテリジェンスの仕事仲間である Simeon Kakpovi と Greg Schloemer によって開発されました。  KC7 と呼ばれるこのツールを活用することで、誰もが IT セキュリティの知識を身につけ、ネットワークおよびホスト イベントを理解し、アクターをハンティングできるようになります。 

今では、あらゆる種類のトピックに触れることもできます。私が仕事を始めたばかりの頃は、数百万ドルの予算がある企業で働かないと、このようなツールを購入することはできませんでした。多くの人にとって、この点が参入障壁でした。しかし今では、誰もがマルウェア サンプルを分析できるようになりました。以前は、マルウェア サンプルやパケット キャプチャを見つけることは困難でしたが、そのような障壁がなくなりつつあります。現在は、無料やオンラインのツール、リソースがたくさんあり、自分のペースで学ぶことができます。

私からのアドバイスは、興味をかきたてられる専門分野を見つけることです。マルウェアの研究でしょうか。デジタル フォレンジクスでしょうか。それとも、脅威インテリジェンス? 好きなトピックに絞り、一般公開されているリソースを活用して、できるだけ多くのことを学びましょう。

一番大切なのは、好奇心を持つことでしょう。好奇心を持つと同時に、他の人たちとうまくやっていかなければなりません。サイバーセキュリティはチーム スポーツです。1 人ではできないのです。

チームで仕事を進められることが重要です。好奇心旺盛で、学ぶことに前向きであることも大切です。臆せず質問し、チームメイトと連携する方法を見つけなければなりません。

本当にその通りですね。Microsoft 脅威インテリジェンスは、Microsoft の多くのパートナー チームと連携していることを強調しておきたいと思います。私たちは、アクターの行動やその理由を理解するために、仕事仲間の専門知識に大きく依存しています。仲間がいなければ、私たちの仕事は成り立ちません。