JPCERTがVolt Typhoonの攻撃キャンペーン「Operation Blotless」に関して注意喚起
2024年6月25日 JPCERTがVolt Typhoon(ボルトタイフーン)の攻撃キャンペーン「Operation Blotless(オペレーション ブロットレス)」に関して注意喚起しました。
この記事ではVolt Typhoon(ボルトタイフーン)やOperation Blotless(オペレーション ブロットレス)解説、特徴などを解説していきます。
目次
Operation Blotless(オペレーション ブロットレス)とは
Operation Blotless(オペレーション ブロットレス)はLiving off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動の事を意味します。
JPCERT/CCは2023年から日本の組織も狙う同様の攻撃活動を注視しており、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えていますが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点では精査しきれていない としています。
Volt Typhoon(ボルトタイフーン)とは
Volt Typhoon(ボルトタイフーン)は中国系の組織的なハッカー集団で、
アメリカやアメリカの同盟国、米軍周辺の重要インフラを狙ったサイバー攻撃を行う集団です。
2019年頃から活動が確認され、2023年5月、MicrosoftがVolt Typhoon(ボルトタイフーン)の活動を指摘した事から大きな注目を浴びた組織です。
Volt Typhoon(ボルトタイフーン)の目的
JPCERTによると、Volt Typhoon(ボルトタイフーン)の主な活動目的は、
政府機関や重要インフラ企業への将来の再侵入に備えて、「侵入方法を開拓」することであり、具体的にはNTDSファイルの窃取などが活動の中心となっています。
ただ、最終的には紛争時へ対象へ大きな打撃を与えるために、重要インフラを破壊する事にあります。
NTDSファイルとは
NTDSファイル(NT Directory Services file)は、Active Directoryのドメインコントローラ上に格納されているデータベースファイルです。
このファイルにはActive Directoryのユーザーアカウント、グループ、パスワードハッシュ、セキュリティポリシー、その他の設定情報などを含んでおり、
適切に管理しないと、Active Directory全体に深刻な問題を引き起こす可能性があります。
Volt Typhoon(ボルトタイフーン)の 活動 事例
2023年5月、マイクロソフトはKV Botnetと呼ばれるボットネットを利用し、グアム、ハワイ、および米軍基地周辺のその他の地域にある米国の重要インフラを標的としたVolt Typhoonキャンペーンを初めて報告しました。
KV Botnetはサポート期間を過ぎたSoho向けのCisco製およびNetgear製ルーターへ感染させるボットネットで、中国からのアクセスの偽装と将来の紛争発生の際のインフラ停止を目的として利用されました。
なお、2024年にアメリカ政府主導で全米から除去されました。
またCISA、NSA、FBI、およびパートナーのファイブアイズ機関による共同勧告によると、Volt Typhoon(ボルトタイフーン)が米国の重要インフラネットワークに侵入し、発見されるまで少なくとも5年間は検知されずにいたとしています。
Volt Typhoon(ボルトタイフーン)の特徴
Volt Typhoon(ボルトタイフーン)の特徴は固有のマルウェアやエクスプロイトキットを利用しない、Living Off The Land(環境寄生型、現地調達型)の攻撃を行う、侵害箇所が限定的 となります。
固有のマルウェアやエクスプロイトキットを利用しない
活動目的に記載の通り、認証情報を窃取することを目的としている為、APTグループで利用される固有のマルウェアやエクスプロイトキットを利用しません。
その為、侵害された際の検知が難しくログも削除されるので、侵入された際に検知する事が難しくなります。
Living Off The Land(環境寄生型、現地調達型)の攻撃を行う
Living Off The Land(環境寄生型、現地調達型)の攻撃は侵害した対象の、正規ツールやソフトを悪用して攻撃を行う手法です。
一般的にサイバー攻撃の対象へのネットワークや端末への侵入もしくは侵入後の活動には、マルウェアやエクスプロイトキットを利用します。
マルウェアやエクスプロイトキットは便利である一方、悪意ある活動として攻撃対象へ検知される可能性が高くなります。
この検知を回避するのが
Living Off The Land(環境寄生型、現地調達型)攻撃です。
Living Off The Land(環境寄生型、現地調達型)とは
Living Off The Land(環境寄生型、現地調達型)攻撃は、侵害対象で利用されている「正規のツール」、やソフトを悪用して侵害対象の中を潜入していきます。よく利用されるツールはPowerShellやCobalt Strikeが上げられます。
米国はVolt Typhoon(ボルトタイフーン)がLiving Off The Landを駆使して攻撃を行っていた事を指摘しています。
侵害箇所が限定的である
侵害活動にはインターネットに面したアプライアンス経由で侵入し、NTDSファイルを窃取する活動が確認されています。
このほか横展開の動きなどとしては、Webサーバーを侵害してWebshellを設置しているケースが確認されており、他の標的型サイバー攻撃の事例のように、多数の端末/サーバーへの横展開やADサーバーそのものへの侵害などがなく、「痕跡が残る箇所が少ない」ために調査できる箇所が少ないという特徴があります。
Volt Typhoon(ボルトタイフーン)の侵害検知が難しい理由
Volt Typhoon(ボルトタイフーン)の初期侵入経路としてSSL-VPN製品の脆弱性を悪用した攻撃を多用しています。
こうした製品の運用では各種ログを機器内以外の別システムに保存していないことが多いため、仮に侵害されていたとしても侵害当時の操作ログが残っていないケースが大半です。
また、Active Directoryの各種ログは組織に属する人数が多ければ多いほど、ログを長期間保存できない為、侵害された時点のログが残っていないケースが大半であるとされています。
引用:Operation Blotless攻撃キャンペーンに関する注意喚起
中長期的な推奨対策
JPCERTが記載している中長期的な推奨対策を記載します。
攻撃の侵入経路になり得るインターネットに接続されたアプライアンス(SSL-VPN等)の設定や運用の点検
UTMやVPN機器からの侵入が多く検知されているので、
・機器のサポート期間の確認と保守企業の確認
・ログ出力設定と期間の確認
などまずは自社の機器の状態を把握する事が必要になります。
ログ保存と確認の運用点検
ログ期間が3か月しか保存できないなどの場合
定期的なログチェックを3カ月に一度行うことで、保存期間の不足を補うことができます。また、年間を通じて、可能な限りログチェックの頻度を高くすることで、確認漏れを防ぐこともできます。
脆弱性の対策と確認
危険度の高い脆弱性について早期に検知し、いつパッチを適用するかの体制確立も必要になってきます。
実際、つるぎ町立半田病院や岡山県精神科医療センターへのサイバー攻撃とランサムウェア攻撃被害は、保守期間を過ぎたVPN機器の脆弱性を突いて攻撃されています。