米国の重要インフラストラクチャを標的にして環境寄生型攻撃を仕掛ける Volt Typhoon

この攻撃は、Volt Typhoon という中国の国家支援型アクターによって実行されました。同グループの一般的な活動目的はスパイと情報収集です。確実性 "中程度" として Microsoft が下した評価によれば、この Volt Typhoon キャンペーンは、将来の危機的状況への備えとして、米国とアジア地域を結ぶ重要な通信インフラストラクチャを破壊できる体制の確立を目指して行われたと考えられます。

Volt Typhoon は、グアムや米国各地にある重要インフラストラクチャ組織を標的として、2021 年の中期から活動を続けています。このキャンペーンにおいては、通信、製造、公益事業、運輸、建設、海運、官公庁、情報技術、教育といった多岐にわたる組織が攻撃を受けました。観測された行動から、脅威アクター Volt Typhoon には、できるだけ長期にわたって検知の目を逃れ、アクセスを維持してスパイ活動を続ける意図があると推測されます。

このキャンペーンにおいて、Volt Typhoon は目的を達成するためにステルス性を非常に重視し、ほとんど環境寄生とハンズオンキーボードの手法だけを使って攻撃を実行しています。具体的には、コマンド ラインからコマンドを発行する形で、(1) ローカル システムおよびネットワーク システム上にある認証情報などのデータを収集し、(2) そのデータをアーカイブ ファイルに隠して持ち出した後、(3) 盗み取った正当な認証情報を使って居座り続けます。それに加え、通常のネットワーク アクティビティにまぎれて通信を行うために、侵害したスモール オフィス/ホーム オフィス (SOHO) ネットワーク機器 (ルーター、ファイアウォール、VPN ハードウェアなど) 経由でトラフィックを伝送します。また、いっそう検知を難しくする方策として、カスタマイズを施したオープン ソース ツールによってプロキシ経由のコマンド アンド コントロール (C2) チャネルを確立する手口を使ったことも観測されています。

こちらのブログ記事では、Volt Typhoon の概要と、重要インフラストラクチャ プロバイダーを標的にした同グループのキャンペーン、および、標的ネットワークへの不正アクセスを達成して維持する手口に関する情報をお伝えしています。この事例のような、正当なアカウントと環境内から現地調達したバイナリ (LOLBin) を利用する攻撃は、検出や軽減が難しい場合があります。侵害されたアカウントについては閉鎖または変更せざるを得ません。こちらのブログ記事の最後では、その他の軽減手順やベスト プラクティスの情報と、このようなステルス攻撃から組織を保護するのに役立つ、Microsoft 365 Defender で悪意あるアクティビティや疑わしいアクティビティを検出する機能の詳細情報をお伝えしています。また、米国家安全保障局 (NSA) が発行しているサイバーセキュリティ アドバイザリー [PDF] にも、このブログで取り上げた戦術、技術、手順 (TTP) について説明するハンティング ガイドが含まれています。詳細については、ブログ記事の全文をご覧ください。

国家支援型アクターの活動が観測された場合と同じく、Microsoft は、標的になったお客様や侵害されたお客様に直接通知を送り、運用環境のセキュリティ確保に欠かせない重要な情報を提供しています。脅威アクターの追跡管理に関する Microsoft のアプローチについては、「Microsoft は新しい脅威アクター命名分類法に移行します」をご覧ください。