Last Updated on 2024-11-27 07:46 by admin
中国の高度な持続的標的型攻撃(APT)グループ「Salt Typhoon」が、新たなバックドアマルウェア「GhostSpider」を開発・使用していることが、2024年11月27日、セキュリティ企業Trend Microの調査で判明した。
Salt Typhoonの主な活動:
- 2023年以降、20以上の組織を侵害
- T-Mobile USAなど北米の通信事業者やISPを標的に攻撃
- 一部の侵害は数年間発見されないまま継続
使用しているマルウェア:
- Masol RAT:東南アジア政府のLinuxサーバーを標的
- SnappyBee(別名:Deed RAT):モジュール型マルウェア
- GhostSpider:新型モジュール型バックドア
- Demodex:ルートキット
攻撃手法の変化:
- 2022年半ば以前:従業員へのフィッシング攻撃が中心(全体の80%以上)
- 2022年半ば以降:以下の脆弱性を狙った攻撃にシフト
- Fortinet EMSのCVE-2024-48788
- Sophos FirewallsのCVE-2022-3236
- Ivanti Connect Secure VPNのCVE-2023-46805とCVE-2024-21887
- Microsoft ExchangeのProxyLogon関連脆弱性
被害地域(2023年以降):
- アフガニスタン
- インド
- エスワティニ
- 米国
- 東南アジア諸国(特に集中)
標的となった業種:
- 通信
- 技術
- コンサルティング
- 化学
- 運輸
- 非営利組織
- 政府機関
from:Salt Typhoon Builds Out Malware Arsenal With GhostSpider
【編集部解説】
事実関係の確認と解説
中国のAPTグループ「Salt Typhoon」による一連の攻撃について、重要な点をご説明させていただきます。
まず注目すべきは、この攻撃の規模と持続性です。米国上院情報委員会のMark Warner議員は、これを「米国の通信業界史上最悪のハッキング」と評価しています。実際、Verizon、AT&T、Lumen Technologies、T-Mobileなど、米国の主要通信事業者が被害を受けており、現在も攻撃者の存在が確認されている状況です。
特に深刻なのは、政府関係者の通信傍受に関する情報も窃取されていた点です。米国政府は首都ワシントンDC周辺の約150人に対して、通信のプライバシーが侵害された可能性があると通知を行っています。
技術的特徴
新たに発見された「GhostSpider」マルウェアの特徴的な点は、その高度なモジュール性にあります。攻撃者は必要な機能だけを選択的に展開できるため、従来の対策では検知が困難になっています。
さらに注目すべきは、攻撃グループの組織構造です。専門チームごとに異なるインフラを管理する体制を取っており、これにより複数の作戦を同時に展開可能としています。
今後の影響と対策
この事案が示唆する最も重要な点は、通信インフラへの攻撃が国家安全保障に直結する問題となっていることです。特に、政府の通信傍受要請に関する情報が漏洩したことは、法執行活動にも影響を及ぼす可能性があります。
企業のセキュリティ担当者にとって重要なのは、このグループが2022年半ば以降、フィッシング攻撃から脆弱性を狙った攻撃へと戦術を変更している点です。特にIvanti、Fortinet、Sophos、Microsoft製品の脆弱性が狙われており、これらの製品を使用している組織は早急なパッチ適用が推奨されます。
また、このグループの特徴として、直接の標的組織だけでなく、その取引先や関連組織を経由した「踏み台攻撃」を行うことが確認されています。このことから、サプライチェーン全体でのセキュリティ対策の重要性が改めて浮き彫りとなっています。
長期的な展望
このような高度な攻撃の出現は、サイバーセキュリティが単なる技術的な問題ではなく、国家間の戦略的な課題となっていることを示しています。特に通信インフラを標的とした攻撃は、経済活動や国家安全保障に直接的な影響を及ぼすため、今後さらなる対策の強化が求められるでしょう。