インターネット境界に設置された装置に対するサイバー攻撃について～ネットワーク貫通型攻撃に注意しましょう～

最終更新日：2023年8月1日

注釈：追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

　昨今、企業や組織のネットワークとインターネットとの境界に設置されるセキュリティ製品の脆弱性が狙われ、ネットワーク貫通型攻撃としてAPT攻撃に利用されています。

　ネットワーク内部へ不正にアクセスされた場合、保有情報の漏えいや改ざんの可能性がある他、他組織への攻撃の踏み台(中継)になるなど大きな被害が予想されるため、日々の確認および、平時の備えが大切になってきます。

一般的な対策

1.日々の確認

各種ログ監視による不審なアクセス等がないかの確認
製品ベンダやセキュリティベンダ等より発信される情報の収集
自組織で利用するネットワーク機器の外部公開状態の確認

2.平時の備え

製品ベンダから発信された情報を基に対応するための体制整備
ゼロデイの脆弱性情報または、攻撃を確認した際の対応手順整備
整備した体制、対応手順が運用可能なものであるかの確認と随時の改善

最近の動向と具体的な対策

　2023年6月、米MANDIANTからネットワーク貫通型によるAPT攻撃のレポート「ステルス性増す中国のサイバースパイ：検知回避の戦術がさらに進化」脚注1が公開されました。

　具体的には、ルータやVPNなどインターネット境界に設置された装置が標的とされ、ゼロデイや既知のエクスプロイトにより侵害される事例が挙げられており、最近では、攻撃者グループ「Volt Typhoon」による重要インフラを標的とした攻撃キャンペーン脚注2や、「Camaro Dragon」の活動脚注3、公開アプリケーションの脆弱性を悪用する「Storm-0558」の活動脚注4等が報告されています。

　近年、我が国においてもこのようなネットワーク貫通型攻撃がサイバー情報窃取活動における攻撃の初段（イニシャルベクトル）に用いられるケースが増加しており、特に今年に入り、特定のVPN装置脚注5,脚注6やオンラインストレージ構築パッケージソフトウェアを稼働させているサーバ脚注7を悪用した実例を確認しています。

　これらの脆弱性に該当する装置やサービスを使用する各組織におきましては、ベンダやSIer（保守契約の無い場合は販社等）へ相談し、修正プログラムやアップデートといった対策を行うとともに、既に侵害・内部侵攻を受けている可能性を考慮しアクセスログ等に不審点がないかをご確認ください。

　近年のサイバー情報窃取事案においては、侵害されたネットワーク装置やWebサーバ上にChina Chopper（中国菜刀）と呼ばれるwebshellのファイルがバックドアとして設置されるケースがあるため、不審なファイルが増えていないかといった観点でもご注意ください。

　特に、VPN装置を狙う攻撃の中にはアジア地域特有の活動と見られるものもあり、ケースによってはIPA等からご連絡させていただく場合があります。

　加えて、5月に経済産業省より公開した「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」脚注8をご活用いただき、自組織のサイバー状況把握を推進いただくようお願いします。