米国政府は2024年12月11日、中国人ハッカー・関天峰(Guan Tianfeng)を起訴した。関は2020年に世界中の約81,000台のSophosファイアウォールデバイスに対するサイバー攻撃を実行したとされる。
- 容疑者:関天峰(別名:gbigmao、gxiaomao)
- 所属:四川サイレンステクノロジー社(Sichuan Silence Technology Company Ltd.)
- 現在の所在:中国四川省
- 起訴内容:コンピュータ詐欺共謀および電信詐欺共謀
【技術的詳細】
- 攻撃対象:Sophosファイアウォールデバイス
- 使用された脆弱性:CVE-2020-12271
- 脆弱性の種類:SQLインジェクション
- 危険度:CVSSスコア9.8(最大10.0)
- 影響:リモートコード実行(RCE)が可能
【米国政府の対応】
- 起訴場所:インディアナ州北部地区連邦地方裁判所ハモンド支部
- 報奨金:最大1,000万ドル(約146億円)
- 情報提供窓口:FBI(WhatsApp、Signal、Telegram、tips.fbi.gov)
from:Chinese Hacker Pwns 81K Sophos Devices With Zero-Day Bug
【編集部解説】
今回の事案は、サイバーセキュリティ業界に大きな衝撃を与えた重要な出来事です。特に注目すべきは、中国のサイバーセキュリティ企業が政府機関と連携して行った組織的なサイバー攻撃の実態が明らかになった点です。
技術的な詳細と影響
Sophosのファイアウォールに対する攻撃は、SQLインジェクションの脆弱性を巧妙に利用したものでした。攻撃者は「sophosfirewallupdate.com」といった正規のドメインに見せかけたサイトを使用し、被害者を欺く高度な手法を採用しています。
特筆すべきは、攻撃者が対策を予測し、マルウェアを段階的に進化させていた点です。Sophosがパッチを配布すると、攻撃者はRagnarokランサムウェアを仕掛ける二次攻撃を準備していました。
国際的な影響
81,000台という被害規模は、単なる数字以上の意味を持ちます。その中には36の重要インフラ企業が含まれており、エネルギー企業への攻撃は人命に関わる深刻な事態を引き起こす可能性がありました。
今後の展望と教訓
この事案から学べる重要な教訓があります。ファイアウォールという「守りの要」が攻撃対象となった事実は、セキュリティ製品自体のセキュリティの重要性を示しています。
特に注目すべきは、Sophosの迅速な対応です。わずか2日でパッチを配布し、被害の拡大を防いだことは、セキュリティインシデントへの対応の模範例といえます。
企業への示唆
この事例は、セキュリティ製品の選定だけでなく、継続的なモニタリングとアップデートの重要性を示しています。また、政府機関との情報共有や協力体制の構築が、サイバー攻撃への効果的な対策として不可欠であることも明らかになりました。
今後の課題
国家が関与するサイバー攻撃は、今後も深刻な脅威であり続けるでしょう。特に、重要インフラを狙った攻撃は、国家安全保障上の重大な懸念となっています。
このような状況下で、企業は自社のセキュリティ体制を見直すとともに、国際的な協力体制の構築にも目を向ける必要があります。