中国系サイバー攻撃集団「BlackTech」に関する注意喚起 手口と対処例を公表
2023年9月27日、警察庁及び内閣サイバーセキュリティセンターは、米国家安全保障局(NSA)、米連邦捜査局(FBI)などとともに、サイバー攻撃グループ「BlackTech」(ブラックテック)によるサイバー攻撃に関する注意喚起文を公表しました。※1
BlackTechは、2010年頃から日本を含む東アジアと米国の政府や電気通信分野などを標的とし、情報窃取を目的としたサイバー攻撃を行っていることが確認されています。2020年に発覚した三菱電機へのサイバー攻撃や、その翌年に起きた富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスなどへの関与が疑われていました。いずれも政府関連の機微情報が流出した可能性があるとされています。※2 ※3 ※4
BlackTechによるサイバー攻撃の手口
今回、警察庁はBlackTechによるサイバー攻撃の手口を公表することで、組織や事業者がサイバー脅威を理解し、被害を防ぐための適切なセキュリティ対策を取ることを支援する目的で注意喚起を行いました。その具体的な手口として下記が挙げられています。
【初期侵入】
ソフトウェアの脆弱性や設定ミス、サポートの切れた機器・ソフトウェアなどを狙って攻撃を仕掛け、標的となる組織のネットワークに侵入する。
【海外子会社からの侵入】
海外子会社が本社との接続に使用しているルーターを攻撃者の通信の中継インフラとして悪用する。つまり、信頼されている内部ルーターを通じて本社や別拠点のネットワークに不正侵入することが行われており、したがって、事業者は内部ネットワークからの攻撃に備え、関連するグループ組織等と連携して対策を講じる必要がある。
【ルーターの侵害手口】
稼働中のシスコ社製ルーターのファームウェアを、改変されたファームウェアに取り替えることが確認されている。これにより攻撃のログを隠蔽し、長期にわたりアクセスし続けることが可能となる。
リスク低減のための対処法
注意喚起では対処法の主な内容として下記が挙げられています。それぞれの詳しい説明は注意喚起文※1 をご確認ください。
- セキュリティパッチ管理の適切な実施
- 端末の保護(いわゆるエンドポイント・プロテクション)
- ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション
- 本人認証の強化、多要素認証の実装
- アカウント等の権限の適切な管理・運用
- 侵害の継続的な監視
- インシデント対応計画、システム復旧計画の作成等
- ゼロトラストモデルに基づく対策
DataClasysで可能なリスク緩和策
弊社の提供するIRMシステム『DataClasys』は、ファイルを個別に暗号化し、利用権限を設定することで、サイバー攻撃による情報窃取からデータを保護するセキュリティソリューションです。ファイルサーバ、クラウドストレージ、PCなど、あらゆる場所に存在するファイルを保護することが可能です。
暗号化ファイルへのアクセスはすべてサーバ側で認証され、正規の権限を持つ利用者のみが定められた利用権限の範囲内でファイルを利用できるようになります。これは、ファイルに対するゼロトラストセキュリティを実現していると言い換えることもできます。
重要なポイントは、ファイルそのものにセキュリティが適用されている点です。BlackTech のように海外子会社などのサプライチェーンを標的にする場合、本社で実施されている強固なセキュリティが適用されていなかったり、あるいはサポートの切れた古い機器が一部残っていたりする可能性があります。このように、本社から海外子会社や業務委託先のセキュリティを管理・コントロールするのは非常に困難ですが、事前にDataClasysでファイルを暗号化し、必要な権限を持つ業務担当者にのみファイルを共有し、本社のセキュリティルールに従ってファイルを利用させることは効果的な手段となります。
サプライチェーンを狙うサイバー攻撃からデータ漏えいを防ぐ方法をお探しでしたら、IRMシステム『DataClasys』を是非ご検討ください。
あわせて読む
参考
※1 中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について(注意喚起) | 警察庁 / 内閣サイバーセキュリティセンター 2023年9月27日
※2 日米被害のサイバー攻撃、「中国背景の集団」と特定 警察庁とFBI | 朝日新聞デジタル 2023年9月27日