米国が中国支援のサイバー脅威「Volt Typhoon」を撃退

米国の法執行機関は、中国が支援するサイバー攻撃グループ「Volt Typhoon」のインフラを妨害しました。このグループは、保護が不十分な小規模オフィス/ホームオフィス（SOHO）ルーターを侵害して作成した広範囲にわたるボットネットを管理しており、米国の重要インフラに対する他の攻撃の発射台として使用していました。FBIは、攻撃者のコマンドアンドコントロール（C2）ネットワークを模倣して、「KVボットネット」マルウェアに感染したルーターにリモートキルスイッチを送信し、ボットネットの接続を遮断しました。

このボットネットの大部分は、セキュリティパッチやその他のソフトウェアアップデートを通じてサポートされていない「エンドオブライフ」状態にあるCiscoおよびNetgearのルーターで構成されていました。FBIは、ルーターの所有者がデバイスを再起動することで対策をクリアできると述べていますが、これにより再感染のリスクが生じます。

Volt Typhoonは、台湾や南シナ海の貿易問題に関連する潜在的な軍事衝突が発生した場合、米国の対応能力を損なうことを目的として、公益事業、エネルギー部門の企業、軍事基地、通信会社、工業施設に潜入し、足場マルウェアを植え付けるための広範な中国の取り組みの一部です。米国政府の行動はVolt Typhoonのインフラに大きな妨害を与えた可能性がありますが、攻撃者自体は依然として自由です。

【ニュース解説】

米国の法執行機関が、中国政府の支援を受けるサイバー攻撃グループ「Volt Typhoon」によって構築されたボットネットのインフラを妨害したというニュースが報じられました。このボットネットは、セキュリティの更新が終了し、パッチが適用されない状態の小規模オフィス/ホームオフィス（SOHO）用のCiscoおよびNetgear製ルーターを主に利用して構築されていました。FBIは、攻撃者のコマンドアンドコントロール（C2）ネットワークを模倣し、リモートキルスイッチを送信してマルウェアを削除し、ボットネットとの接続を遮断することに成功しました。

このボットネットは、米国の重要インフラに対する攻撃の発射台として使用されていました。Volt Typhoonは、台湾や南シナ海の貿易問題に関連する潜在的な軍事衝突が発生した場合、米国の対応能力を損なうことを目的としています。このような背景から、このグループの活動は、単なる情報収集を超え、実際の物理的な被害や混乱を引き起こす可能性があるサイバー戦争の一環と見なされています。

この事件は、セキュリティが更新されなくなった古いデバイスが、いかにして大規模なセキュリティリスクとなり得るかを浮き彫りにしています。また、国家が支援するサイバー攻撃が、国際的な緊張関係や紛争において重要な役割を果たすようになっていることを示しています。

この事件のポジティブな側面としては、米国がVolt Typhoonの戦略と戦術を把握し、そのインフラを一時的にでも妨害することに成功した点が挙げられます。しかし、ルーターを再起動することで再感染のリスクがあること、そして攻撃者自体が依然として自由であることから、この問題は完全に解決されたわけではありません。

長期的な視点では、このようなサイバー攻撃に対抗するためには、エンドオブライフに達したデバイスの更新、セキュリティ対策の強化、そして国際的な協力が不可欠であることが強調されます。また、サイバー空間における規制や対策の重要性が高まっており、今後もこの分野での取り組みが進むことが予想されます。

from Feds Confirm Remote Killing of Volt Typhoon's SOHO Botnet.