警視庁からの注意喚起「中国を背景とするサイバー攻撃」
2023年9月27日付けで警視庁のホームページ上で「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について (注意喚起)外部リンク」 と題した注意喚起が公表され、一部マスコミでも取り上げられました。
この注意喚起は、米国家安全保障局(NSA)、米連邦捜査局(FBI)、米国土安全保障省サイバーセキュリティインフラ庁(CISA)と共に警視庁と内閣サイバーセキュリティセンターが、中国を背景とするサイバー攻撃グループ「Black Teck(ブラックテック)」のサイバー攻撃に関する合同で発表した注意喚起となっています。
注意喚起の内容
緊急性の高い注意喚起となっていますので、本ホームページでも補足を含めてまとめておきます。
初期侵入
「Black Teck(ブラックテック)」のサイバー攻撃の初期侵入の手口として、ネットワーク機器の脆弱性を付いた侵入経路の確保を初期侵入の手口のひとつとして挙げています。これは昔からある手口のひとつではありますが、某国産のネットワーク機器が増えたことによる意図的な脆弱性の混入の恐れもありますので、社内のオンプレミス環境などでは、ネットワーク機器のメーカー、OSの最新バージョンへのアップデート状況の確認の他、セキュリティ機器の設置及び見直しなどの対策を至急考えるべきでしょう。
また、ネットワークの設定の不十分さ、サポートの切れた古い機器・ソフトウエアなどを標的にされるとも記載されていますので、ネットワーク機器のconfigなどは一度見直しておくべきでしょう。多くのネットワーク機器が設置されているオフィスなどで、すべてのネットワーク機器の見直しを行うには相当な時間がかかるという場合は、インターネットの入り口から見てポイントとなるネットワーク機器を優先的に確認するなど優先順位をつけながら作業を行うのが宜しいでしょう。
海外子会社からの侵入
「Black Teck(ブラックテック)」は、最初の侵入拠点を確保すると、活動を拡大させる為に海外の子会社で使用されている小型ルーターなどを乗っ取り、中継ポイントして利用すると記載されています。
海外の子会社を拠点とする場合、ネットワーク機器やサーバなどの機械類は、現地で調達することが一般的となっています。この為、某国産のネットワーク機器(小型ルーターなど)が使用される可能性が高く、侵入経路の確保を容易にさせている原因となっている可能性があります。
海外子会社のネットワーク機器のチェック、見直しの他、海外子会社からのアクセスについて高度なセキュリティ対策を実施する必要があります。
ファームウエアを書き換える荒業も
本注意喚起の中で、「Black Teck(ブラックテック)」が様々なメーカーのネットワーク機器の脆弱性を調査していて、過去にCisco製ルーターのファームウエアを書き換えた(侵入経路を確保した事例が)確認されていると述べています。
ファームウエア(IOS)のアップデートを行う為の”権限”を奪取する攻撃が某攻撃の前段となりますので、コンソールや特権モードにおけるパスワード、管理についても見直しておく必要があります。
リスク低減のための対処例
リスク低減のための対処例として、8つの対策例が上げらえていましたので、まとめておきます。
- セキュリティパッチ管理の適切な実施
- 端末の保護(エンドポイントプロテクション)
- ソフトウエア等の適切な管理・運用、ネットワークセグメンテーション
- 本人認証の強化、多要素認証の実装
- アカウント等の権限の適切な管理・運用
- 侵害の継続的な監視
- インシデント対応計画、システム復旧計画の作成等
- ゼロトラストモデルに基づく対策
以上が本注意喚起で挙げられていた対策例です。当然、専門的な知識が必要なものが多いことは多いのですが、システム部門の中でも実施できる項目もありますので、できるだけ早くセキュリティ対策の見直し、実施を行うことを推奨します。
関連サービス
APPSWINGBYでは、セキュリティ対策の他、ITに関連するアドバイス、サポートを行っています。セキュリティ対策等についてのご相談は以下のふぉーむよりお問合せください。
