警察庁と内閣官房内閣サイバーセキュリティセンター、米国の国家安全保障局(NSA)および連邦捜査局(FBI)、国土安全保障省サイバーセキュリティインフラ庁(CISA)は米国時間9月27日、中国の関与が指摘されるサイバー攻撃組織「BlackTech」への警戒を共同で発出した。
BlackTechは、2010年頃から日本を含む東アジアや米国で、電機やハイテクなど複数の産業分野を標的にサイバースパイ活動を繰り返し展開している。
標的への主な侵入手口では、さまざまなメーカーのネットワーク機器のファームウェアなどに存在する脆弱(ぜいじゃく)性を突き、通信回線から侵入を図る。特に、海外子会社などの拠点にあるネットワーク機器から侵入し、組織内のネットワークなどを経由して、日本の本社拠点などに侵入する。そして、ITシステムなどに侵入して、機密情報を窃取しているという。
各機関では、BlackTechが実際にCisco Systems製の機器のファームウェアに存在した脆弱性を突いてファームウェアを改ざんし、BlackTechによる行為のログを隠ぺいしたことを確認している。こうしたことからBlackTechは、標的の組織に繰り返し侵入して、機密情報を継続的に窃取していることが予想される。
各機関は、次の対処方法を示すとともに、組織で不審な痕跡を確認した場合に、所管省庁や管轄の警察、サイバーセキュリティ機関などに情報を提供してほしいと呼び掛けている。
セキュリティパッチ管理の適切な実施
ソフトウェアや機器の脆弱性に対して、迅速にセキュリティパッチを適用する。パッチ適用を可能な限り迅速化し、適用の漏れをなくすため、脆弱性管理やパッチ管理を行うプログラムの導入を検討する。
端末保護(エンドポイントプロテクションなど)
PCやタブレット端末、スマートフォンなどのセキュリティ機能を活用したり、セキュリティ対策ソフトを導入したりする。
ソフトウェアなどの適切な管理・運用とネットワークセグメンテーション
ソフトウェアと機器のリストを管理し、不要と判断するものは排除する。また、役割などに基づいてネットワークを分割する。
本人認証の強化、多要素認証の実装
パスワードスプレー攻撃やブルートフォース攻撃によって認証が破られるリスクを低減するため、パスワードは十分に長く複雑なものを設定する。また、複数の機器やサービスで使い回さない。システム管理者などは、多要素認証を導入して本人認証をより強化する。また、不正アクセスを早期に検知できるようにするために、ログイン試行を監視する。
アカウントなどの権限の適切な管理・運用
アカウントやサービスの権限は、そのアカウントなどを必要とする業務担当者にのみ付与する。特権アカウントなどの管理・運用は特に留意する。
侵害の継続的な監視
ネットワーク内で不審な活動が行われていないか継続的に監視する。業務担当者以外がシステムやネットワークの構成に関する資料へアクセスするといった通常の行動から外れた活動、外部のさまざまな脅威情報と一致するような不審な活動を監視する。
インシデント対応計画、システム復旧計画の作成など
インシデント発生時に迅速な対応ができるようインシデント対応の手順や関係各所との連絡方法等など記した対応計画をあらかじめ作成し、随時見直しや演習を行う。また、包括的な事業継続計画の一部としてシステム復旧計画の作成などを行う。
ゼロトラストモデルに基づく対策
境界防御の効果を期待できない場合を踏まえた認証などの強化を図るとともに、インシデントの予兆を把握した段階で、即時に検知と対処ができるような仕組みや体制を整備する。
