極めて秘密主義的な情報同盟が、米国のインフラを標的とした陰謀を阻止し、それを公開した。
Dennis B Desmond
Asia Times
May 27, 2023
今週、ファイブ・アイズ(オーストラリア、英国、カナダ、ニュージーランド、米国からなる情報同盟)は、米国のインフラを標的とした中国の脅威に関する調査結果を発表した。
ステルス技術を使って、攻撃者(「ヴォルト・タイフーン」と呼ばれる)は、「living off the land」と呼ばれる手法で、侵害されたネットワーク内の既存のリソースを利用した。
マイクロソフトは、攻撃者がグアムを標的にしたことは、将来的に米国とアジア地域間の重要な通信インフラを混乱させる可能性がある中国の計画を物語っていると同時に発表した。
この事件は、4月に北朝鮮によるアジア太平洋地域の通信事業者3CXへのサプライチェーン攻撃のニュースに続くものである。この事件では、ハッカーはウインドウズ用の危険なデスクトップアプリケーションと危険な署名入りソフトウェアインストールパッケージを使用して従業員のコンピュータにアクセスした。
ヴォルト・タイフーンの発表により、米国家安全保障局は、オーストラリアと他のファイブ・アイズ・パートナーが、中国の秘密サイバー活動を摘発するための標的型検索・検知スキームに従事していることを珍しく認めることになった。
ファイブ・アイズ同盟がこのように公に認めることは、ほとんどないに等しい。しかし、その裏では、このネットワークは、外国の敵対者を倒すことに執拗に取り組んでいる。しかも、それは簡単なことではない。
ここでは、ヴォルト・タイフーンに至る経緯と、この秘密主義的な多国籍同盟の活動を見ていこう。
ヴォルト・タイフーンの正体
ヴォルト・タイフーンは、少なくとも2021年半ばから活動している「高度持続的脅威集団」である。中国政府がスポンサーとなり、米国内の重要インフラ組織を標的にしていると考えられている。
同グループは、その活動の多くをグアムに集中させている。西太平洋に位置するこの米国の島しょ部には、米空軍、海兵隊の部隊、米海軍の原子力潜水艦など、重要かつ増大する軍事プレゼンスが存在する。
ヴォルト・タイフーンの攻撃者は、米国の重要インフラに接続されたネットワークにアクセスし、通信、コマンド、制御システムを混乱させ、ネットワーク上で永続的な存在を維持することを意図していたと思われる。後者の場合、中国が南シナ海で紛争を起こす可能性があるときに、作戦に影響を与えることができる。
公式発表によると、オーストラリアはヴォルト・タイフーンの影響を直接受けていない。しかし、紛争が発生した場合には、同様の作戦の主要な標的となるであろう。
ヴォルト・タイフーンがどのように捕らえられたかについては、公表されていない。しかし、マイクロソフトの文書によると、脅威となる人物が被害組織から認証情報や盗まれたデータを捨てようとしたことが、以前から指摘されている。これが、侵害されたネットワークやデバイスの発見につながったのだろう。
土地を離れて活動
ハッカーはまず、ルーターなどのインターネットに面したFortinet FortiGuardデバイスを通じてネットワークにアクセスした。侵入後、彼らは「living off the land」と呼ばれるテクニックを使用した。
この手法を採用する攻撃者は、外部ツールを持ち込むのではなく、悪用されたシステム内にすでにあるリソースを利用することに重点を置いている。例えば、PowerShell(マイクロソフトの管理プログラム)やWindows Management Instrumentationなどのアプリケーションを使用して、データやネットワーク機能にアクセスするのが一般的である。
内部リソースを使用することで、攻撃者は、ネットワークへの不正アクセスを組織に警告するセーフガードを回避することができる。悪意のあるソフトウェアを使用しないため、攻撃者は正規のユーザーとして表示される。このように、土地を離れて活動することで、ネットワーク内での横の動きが可能になり、持続的で長期的な攻撃の機会を提供することができる。
ファイブ・アイズ・パートナーからの同時発表は、ヴォルト・タイフーンの侵害の深刻さを示している。この事件は、アジア太平洋地域の他の国々への警告となることだろう。
ファイブ・アイズとは?
1955年に結成されたファイブ・アイズは、オーストラリア、カナダ、ニュージーランド、英国、米国からなる情報共有パートナーシップである。
第二次世界大戦後、ソ連の潜在的な影響力に対抗するために結成された同盟である。この同盟は、特にシグナルインテリジェンスに重点を置いています。これは、無線、衛星、インターネット通信などの信号を傍受し、分析することだ。
加盟国は、それぞれの信号情報機関の情報とアクセス権を共有し、協力して膨大な量のグローバル通信データを収集・分析する。ファイブ・アイズの活動には、非加盟国や民間から提供される情報も含まれる場合がある。
最近、加盟国は、中国による南シナ海での事実上の軍事支配、香港での民主化弾圧、台湾への脅威的な動きなどに懸念を表明した。中国のサイバー作戦に関する今回の公表は、西側諸国が重要インフラに厳しい注意を払っており、中国のデジタル侵略に対応できるという警告になるのは間違いない。
2019年、オーストラリアは、国会議事堂のコンピュータネットワークに不正アクセスした中国国家を後ろ盾とする脅威行為者に狙われた。実際、中国がオーストラリアの公共・民間ネットワークを標的とした協調的な取り組みを行っていることを示す証拠がある。
ファイブ・アイズ同盟は、重要インフラに対する長期的かつ持続的な攻撃に対する唯一の抑止力かもしれない。ファイブ・アイズ同盟は、私たちが持つ唯一の抑止力である。
