starthome-logo 無料ゲーム
starthome-logo

ハンター対スパイ:ソフォス、中国を拠点とする複数の敵対勢力との攻防を詳述したレポート「パシフィックリム」を発表

ソフォス株式会社は、中国を拠点とする国家支援のサイバー攻撃グループに関するレポート「パシフィックリム」を発表しました。レポートによると、これらの攻撃者はSophos Firewallを含む境界デバイスを標的に、新たなエクスプロイトやカスタマイズされたマルウェアを用いた攻撃を展開しています。特にVolt Typhoonなどのグループが注目されています。また、攻撃は主に南アジアや東南アジアの重要インフラや政府機関を狙っています。ソフォスはこれに対応し、脅威インテリジェンスを強化。ゼロデイエクスプロイトの脆弱性を狙うこれらの敵対勢力からの防御の重要性を呼びかけています。

2024年11月5日
<<報道資料>
ソフォス株式会社

ハンター対スパイ:ソフォス、中国を拠点とする複数の敵対勢力との攻防を詳述したレポート 「パシフィックリム」を発表

~ソフォスが最初の攻撃への対応に成功した後、敵対勢力は取り組みをエスカレートさせ、より経験豊富なオペレーターを投入。ソフォスは、広大な敵対的エコシステムを発見~

サイバー攻撃を阻止する革新的なセキュリティソリューションのグローバルリーダーであるSophos(日本法人:ソフォス株式会社 東京都港区 代表取締役 足立 達矢)は本日、Sophos Firewallを含む境界デバイスを標的とした、中国を拠点とする複数の国家間の敵対行為に関する過去5年間の防御・反攻作戦の詳細をまとめたレポート「パシフィックリム(Pacific Rim)」(https://www.sophos.com/pacificrim)を発表しました。攻撃者は、Volt Typhoon、APT31、APT41 などのよく知られた中国の国家グループと類似する戦術、ツール、手順(TTPs)だけでなく、監視、破壊工作、サイバースパイを行うツールを組み込むために、新手のエクスプロイトとカスタマイズされたマルウェアを使用した一連の攻撃活動を実施しました。敵対勢力は、主に南アジアや東南アジアに位置する、原子力エネルギー供給会社、首都空港、軍事病院、国家安全保障機構、中央政府省庁など、大小の重要インフラや政府機関を標的としていました。

「パシフィックリム」では、ソフォスのサイバーセキュリティと脅威インテリジェンス部門であるX-Opsが敵対勢力の動きを無力化し、防御と反撃を継続的に進化させました。ソフォスが最初の攻撃への対応に成功した後、敵対勢力は活動をエスカレートさせ、より経験豊富なオペレーターを投入してきました。その後、ソフォスは膨大な敵対的エコシステムを発見しました。

ソフォスは、「Cloud Snooper」や「Asnarök」など、関連する攻撃活動の詳細を2020年から公表していますが、中国の国家的な敵対勢力の執着性と、しばしば各デバイス向けに作成されたゼロデイエクスプロイトを介して、境界、パッチ未適用、使用済み(EOL)デバイスを侵害することに非常に注力していることに対する認識を高めるために、調査分析全体を共有しています。ソフォスはまた、すべての組織に対し、インターネットに接続するデバイスで発見された脆弱性に対するパッチを緊急に適用し、サポート対象外の古いデバイスを最新モデルに移行するよう呼びかけています。ソフォスは、新たな脅威や IoC (Indicator of Compromise) に基づいて、すべてのサポート対象製品を定期的にアップデートし、お客様を保護しています。Sophos Firewall のお客様は、デフォルトで有効になっている迅速なホットフィックスによって保護されます。

ソフォスのCISOであるRoss McKercharは、次のように述べています。「エッジデバイスは、Volt Typhoonのような中国の国家グループにとって非常に魅力的な標的となっています。これには、スパイ活動のために組織を直接標的にすることや、間接的に弱点を利用して攻撃を仕掛けることが含まれます。標的ではない組織でさえ攻撃を受けています。企業向けに設計されたネットワークデバイスは、強力で、常時接続されており、このような目的の標的になるのは当然です。ORBのグローバルネットワークを構築しようとするグループが当社製デバイスのいくつかを標的にした際に、当社は企業のエンドポイントやネットワークデバイスの防御に使用しているのと同じ検知・対応技術を適用して対応しました。これにより、複数の攻撃活動を駆除し、脅威インテリジェンスの貴重なストリームを活用することができました」

●当レポートのハイライト

・2018年12月4日、ソフォスが2014年に買収したCyberoam社のインド本社でオーバーヘッドディスプレイに接続された低特権のコンピュータが一見単独でソフォスのネットワークをスキャンし始めました。ソフォスは、このコンピュータで、新種のバックドアと複雑なルートキット("Cloud Snooper")を含む特殊なインバウンド・インターネット・トラフィックを密かに傍受しているペイロードを発見しました。

・2020年4月、複数の組織から、名前に「Sophos」が含まれるドメインを指すユーザーインターフェイスが報告されました。ソフォスは欧州の法執行機関と協力し、後にソフォスが「Asnarök」と命名した悪意のあるペイロードを展開するために敵対者が使用したサーバーを突き止め、押収しました。ソフォスは、マルウェアのコマンド・アンド・コントロール(C2)チャネルを乗っ取ることで、Asnarök を無力化しました。また、計画されていたボットネット攻撃も無力化することができました。

・Asnarökの後、ソフォスは顧客環境に展開されたソフォス・デバイスを悪用しようとする敵対者を特定し、妨害することを目的とした新たな脅威アクター追跡プログラムを作成してインテリジェンス業務を強化しました。このプログラムは、オープンソースのインテリジェンス、ウェブ分析、遠隔測定モニタリング、攻撃者の研究用デバイスに導入された標的型カーネルインプラントを組み合わせて構築されました。

・次に、攻撃者はますます執拗さを増し、戦術をレベルアップさせ、ますますステルス性の高いマルウェアを展開するようになりました。しかし、ソフォスは、脅威行為者追跡プログラムと強化された遠隔測定収集機能を使って、いくつかの攻撃を先取りし、UEFI ブートキットとカスタムエクスプロイトが広範囲に展開される前に、そのコピーを入手することができました。

・数カ月後、ソフォスは攻撃の一部を追跡し、中国および同国成都地域にある四川省沈黙情報技術(Silence Information Technology)の二重螺旋研究所(Double Helix Research Institute)とのつながりを示す敵対者を突き止めました。

・2022年3月、匿名のセキュリティ研究者が、ソフォスのバグ報奨金プログラムの一環として、ゼロデイ・リモートコード実行脆弱性(CVE-2022-1040)をソフォスに報告しました。さらに調査を進めたところ、この CVE はすでに複数の運用で悪用されており、ソフォスが顧客への影響を阻止できたことが判明しました。さらに詳しく分析した結果、ソフォスはこのエクスプロイトを報告した人物が敵対勢力と関係がある可能性があると判断しました。ソフォスが、悪意を持って悪用される前に、不審なタイミングでエクスプロイトに関する「情報」を受け取ったのは、これが2度目でした。

「CISAの最近の勧告で、中国の国家グループが国家の重要インフラに対する恒常的な脅威になっていることが明らかになりました。「私達が忘れがちなのは、重要インフラのサプライチェーンの大部分を形成している中小企業が、このサプライチェーンの弱点であることが多いため、標的になっているということです。残念なことに、これらの企業はこのような巧妙な脅威から身を守るためのリソースが少ないことが多いです。さらに問題を複雑にしているのは、こうした敵対勢力が足場を固めて根を張り、立ち退かせるのが難しくなる傾向があることだ。中国を拠点とする敵対者の手口は、長期的な持続性と複雑な難読化攻撃を生み出すことです。彼らは妨害されるまで止めないでしょう」とソフォスのMcKercharは述べています。

■ ソフォスの「パシフィックリム」レポートについての業界コメント

*CISA サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター Jeff Greene氏談
「CISA は JCDC を通じて、中華人民共和国(PRC)によって国家支援されたサイバー脅威アクターが使用する高度な戦術やテクニックなど、私たちが直面しているサイバーセキュリティの課題に関する重要な情報を入手し、共有しています。ソフォスのようなパートナーの専門知識や、「パシフィックリム」のようなレポートは、世界のサイバーコミュニティに、PRCの進化する行動に関するより多くの洞察を提供します。ソフォスが協力することで、サイバーセキュリティ担当者は、エッジネットワーク機器の悪用の規模や広がりについて理解し、緩和策を講じることができます。CISAは、SQLインジェクションやメモリ安全性の脆弱性など、脆弱性のクラスがいかに大量に悪用され続けているかを引き続き強調してまいります。私達は、ソフトウェアメーカーが私達のSecure by Designのリソースを確認し、ソフォスが今回行ったように、その原則を実践することを強く求めます。ソフォスは、他のソフトウェアメーカーにも、この誓約を実行し、一般的な欠陥の種類を排除する方法について、ソフォスのアラートを確認することをお勧めします」

*Omdia サイバーセキュリティ調査グループ マネージングプリンシパルアナリスト Eric Parizo 氏談
「多くのサイバーセキュリティベンダーが敵対的な調査活動を実施していますが、これほど長期間に渡り、これほど困難な国家レベルの敵対勢力との戦いに成功したベンダーはほとんどいません。ソフォスは、非常にユニークな機会を最大限に活用し、現在および将来に渡って顧客の防御を強化するのに役立つ研究と戦術的な知見を提供したことを称賛されるべきです」

*NCSC-NL オペレーション責任者 Hielke Bontius 氏談
「NCSC-NLでは、情報を共有し、組織をつなぐことが仕事のひとつです。国内外の組織間のコミュニケーションと協力を促進することは、サイバー耐性を向上させる上で非常に重要です。ソフォスと共にこの調査に貢献できたことを嬉しく思います」

■ 防御する立場の組織への提言
組織は、インターネットに接続されたすべてのデバイスが、国家的敵対者の格好の標的であり、特に重要なインフラストラクチャにあるデバイスがその標的であることを認識する必要があります。ソフォスでは、セキュリティ体制を強化するために以下の対策を講じることを推奨しています。

・ 可能な限り、インターネットに接続するサービスや機器を最小限にする。
・インターネットに接続された機器に緊急パッチを適用し、これらの機器を監視する。
・ エッジデバイスのホットフィックスを許可し、自動的に適用できるようにする
・法執行機関、官民パートナー、政府と協力して、関連するIoCを共有し、行動する。
・組織が製造中止機器にどのように対処するかの計画を立てる。

「私達は、官民、法執行機関、政府、セキュリティ業界を横断して協力し、こうした敵対的な作戦について私達が知っていることを共有する必要があります。ネットワークを保護するために配備されているエッジデバイスとまったく同じものを標的にすることは、大胆かつ巧妙な戦術です。組織、チャネル・パートナー、マネージド・サービス・プロバイダーは、これらのデバイスが攻撃者にとって最大の標的であることを理解し、適切なハードニングが施され、重要なパッチがリリースされたらすぐに適用されるようにする必要があります。実際、攻撃者は製造中止のデバイスを積極的に探していることが分かっています。ベンダーの役割も大きいです。ベンダーは、信頼性が高く、十分にテストされたホットフィックスをサポートし、製造中止となったプラットフォームからのアップグレードを容易にし、長引く脆弱性を抱え込む可能性のあるレガシーコードを体系的にリファクタリングまたは削除し、顧客のハードニングの負担を軽減するためにセキュア・バイ・デフォルト設計を継続的に改善し、導入されたデバイスの完全性を監視することで、顧客を支援する必要があります」とソフォスのMcKercharは結論付けています。

■ ソフォスの「パシフィックリム」レポートに関する参考資料
・ソフォスと「パシフィックリム」についての詳細は、www.sophos.com/pacificrim をご覧ください。
・“Sophos Ask Me Anything”ウェブキャストへのお申し込みは、 https://events.sophos.com/series/de9923fc-5e85-462f-b650-aaab82a59d57/?cmp=701aJ000006OBWlQAO#Registration にアクセスしてください。

■ ソフォスについて
ソフォスは、組織をサイバー攻撃から守るDetection and Response (MDR) サービスやインシデント・レスポンス・サービスのほか、幅広いエンドポイント、ネットワーク、電子メール、およびクラウドのセキュリティ技術群を含む高度なサイバーセキュリティ・ソリューションを開発・提供する世界的なリーダーです。ソフォスは、サイバーセキュリティに特化した最大級のプロバイダーとして、全世界で60万以上の組織と1億人以上のユーザーを、アクティブアドバーサリー、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、クラウドベースの管理コンソールSophos Centralに接続され、3つのサイバーセキュリティ専門家チームから構成される脅威インテリジェンス組織であるSophos X-Opsの支援を受けています。Sophos X-Opsのインテリジェンスは、ソフォスの適応型サイバーセキュリティエコシステムのあらゆる場所で最適な形で活用できます。このエコシステムには一元的なデータレイクが含まれ、顧客、パートナー、開発者、他のサイバーセキュリティおよび情報テクノロジーベンダーは豊富なオープンAPIセットを活用して、このデータレイクにアクセスできます。ソフォスは、フルマネージドのターンキーセキュリティソリューションを必要としている組織にサービスとしてのサイバーセキュリティを提供しています。企業や組織は、ソフォスのセキュリティオペレーションプラットフォームを使用して直接サイバーセキュリティを管理することも、脅威の検出や修復についてもソフォスのサービスを利用して社内チームの能力を補完するハイブリッドなアプローチを採用することもできます。ソフォスは、世界各国のリセラーパートナーやMSP(マネージドサービスプロバイダー)から製品およびサービスを販売しています。ソフォスの本社は英国オックスフォードにあります。詳細についてはwww.sophos.com(日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。

●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com

以上





配信元企業:ソフォス株式会社
プレスリリース詳細へ

ドリームニューストップへ
    アクセスランキング

    1. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    2. 中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」

    3. 日清食品どん兵衛CM、「アンミカ起用」で不買運動の動き

    4. 元フジ渡邊渚さんが告白、アナウンサー時代に歯がゆかったこと「私は自分のことを…」

    5. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    6. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    7. 水原希子バストトップが透けて見える写真投稿、海外からも「Oooooh」と叫び

    8. 橋下徹氏、中居正広氏が「どれだけ反論したのか」分からないけど「反論するなら反論すればいい」

    9. 和田アキ子、万博ガイドブック持ちあわや… 勝俣州和が瞬時に制止しスタジオ騒然

    10. 岡田結実が結婚発表 自身のインスタグラムで

    1. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. 堀江貴文氏、炎上ストリートピアノ騒動に“たった5文字”で反応しX賛同多数

    4. 中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」

    5. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    6. 「中居正広」Xトレンド入り、第三者委員会の調査報告書にツッコミ殺到「こりゃ酷い」の声

    7. 楽しんご、銭湯での男性へのわいせつ行為で逮捕された中孝介容疑者に“8文字”でずばり私見

    8. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    9. 万引き逮捕の米田哲也容疑者を「ご親族かどなたか助けてあげられないのか」紀藤正樹氏「悲しい」

    10. 【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像

    Tips

    1. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    2. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. Sophos XDR、エンタープライズセキュリティ製品を対象とした「MITRE ATT&CK(R) Evaluation: Enterprise」で優れた成績を獲得

    2. 検出が困難な脅威:最新のソフォスアクティブアドバーサリーレポートが公開され、信頼されているアプリケーションを悪用する攻撃が51%増加したことが明らかに

    3. AIを悪用するサイバー攻撃が日本およびアジア太平洋地域の組織で最も重大な懸念事項となる中で、マネージドサービスパートナーの需要が高まる

    4. Sophos MDR、新たな機能強化により世界で26,000社の顧客を脅威から守る

    5. ソフォス、Secureworksの買収完了を発表

    6. ラック、セキュリティ専門家が発刊する「LAC Security Insight 第10号 2024 秋」を公開

    7. 思わぬ落とし穴!クラウドアプリがマルウェアの温床に…あなたの会社は大丈夫?

    8. ラック、セキュリティ監視センター、JSOCの次世代事業戦略を発表

    9. サイバー攻撃、もう怖くない!日本人が狙われる理由と対策

    10. 株式会社テリロジーが国内で販売するトレンドマイクロ社のTippingPoint-IPSのマネージドセキュリティサービスをアイティーエム株式会社が提供開始

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.