米国の重要インフラストラクチャを標的にして環境寄生型攻撃を仕掛ける Volt Typhoon
この攻撃は、Volt Typhoon という中国の国家支援型アクターによって実行されました。同グループの一般的な活動目的はスパイと情報収集です。確実性 "中程度" として Microsoft が下した評価によれば、この Volt Typhoon キャンペーンは、将来の危機的状況への備えとして、米国とアジア地域を結ぶ重要な通信インフラストラクチャを破壊できる体制の確立を目指して行われたと考えられます。
Volt Typhoon は、グアムや米国各地にある重要インフラストラクチャ組織を標的として、2021 年の中期から活動を続けています。このキャンペーンにおいては、通信、製造、公益事業、運輸、建設、海運、官公庁、情報技術、教育といった多岐にわたる組織が攻撃を受けました。観測された行動から、脅威アクター Volt Typhoon には、できるだけ長期にわたって検知の目を逃れ、アクセスを維持してスパイ活動を続ける意図があると推測されます。
このキャンペーンにおいて、Volt Typhoon は目的を達成するためにステルス性を非常に重視し、ほとんど環境寄生とハンズオンキーボードの手法だけを使って攻撃を実行しています。具体的には、コマンド ラインからコマンドを発行する形で、(1) ローカル システムおよびネットワーク システム上にある認証情報などのデータを収集し、(2) そのデータをアーカイブ ファイルに隠して持ち出した後、(3) 盗み取った正当な認証情報を使って居座り続けます。それに加え、通常のネットワーク アクティビティにまぎれて通信を行うために、侵害したスモール オフィス/ホーム オフィス (SOHO) ネットワーク機器 (ルーター、ファイアウォール、VPN ハードウェアなど) 経由でトラフィックを伝送します。また、いっそう検知を難しくする方策として、カスタマイズを施したオープン ソース ツールによってプロキシ経由のコマンド アンド コントロール (C2) チャネルを確立する手口を使ったことも観測されています。
国家支援型アクターの活動が観測された場合と同じく、Microsoft は、標的になったお客様や侵害されたお客様に直接通知を送り、運用環境のセキュリティ確保に欠かせない重要な情報を提供しています。脅威アクターの追跡管理に関する Microsoft のアプローチについては、「Microsoft は新しい脅威アクター命名分類法に移行します」をご覧ください。
Microsoft Security をフォロー