Volt Typhoon と他の APT 攻撃キャンペーンとの違いは ~ JPCERT/CC 考察 | ScanNetSecurity
2024.07.07(日)

Volt Typhoon と他の APT 攻撃キャンペーンとの違いは ~ JPCERT/CC 考察

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月26日、Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのかについての考察記事を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
Volt Typhoonと他のAPTの攻撃キャンペーンの違い
Volt Typhoonと他のAPTの攻撃キャンペーンの違い 全 1 枚 拡大写真

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月26日、Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのかについての考察記事を発表した。

 APT事案のインシデント対応では、情報共有活動等から不正通信先やIoC(Indicator of Compromise)情報を入手し、初期侵入経路での不正アクセス有無、マルウェア感染有無を調査することから始まることがあるが、それに対しVolt Typhoonの攻撃キャンペーンでは、グループ固有のマルウェアをほとんど使わないなどのLoTL戦術の徹底で、被害現場にIoCとなる情報をほとんど残さず、また1回あたりの侵害期間が短く、侵害範囲が限定的であることから、被害現場に残るアーティファクトの量が圧倒的に少なく、従前の「攻撃者によるマルウェアや攻撃インフラの使いまわしを前提としたIoC情報をベースとした対処アプローチ」は有効性が低いという。

 Volt Typhoonの攻撃キャンペーン(広義の攻撃キャンペーン)は非常に長期間のもので、JPCERT/CCと合同で注意喚起を発表したアメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの見解では標的組織に将来「再侵入」するためのものであるとしており、これまでに見てきたVolt Typhoonの過去の攻撃キャンペーン(狭義の攻撃キャンペーン)は、より長期的な攻撃活動の「準備段階」と考えることができるとしている。

 NTDSファイルの窃取による認証情報収集を目的とするVolt Typhoonによる狭義の攻撃キャンペーンでは、狙われるのはドメインコントローラーで侵害範囲は極めて限定的だが、ドメインコントローラー自体が不正に操作されたことをどのように検知すればいいのかが問題となる。その中で注目されているのが「Threat Hunting」で、米当局のアドバイザリでも「proactive hunting」として同様のアプローチが推奨されている。

 Threat Hunting は基本的に、アノマリ(Anomalies)を探しだすことだと考えられ、不審なプロセスの存在といった技術的アノマリや、不審な時間帯でのアカウントの挙動といった文脈的アノマリがある。このようなベースラインから逸脱したアノマリを探しだすことが Threat Hunting の基本的な考え方となる。

 Volt Typhoonの攻撃「キャンペーン」について、個別の事案単位で見ると「被害」はすでに発生しているが、長期的な攻撃キャンペーン全体の視点から見ると、攻撃者側は最終目的を達成しておらず、何を「被害」と考えるか、定義するかによって、脅威の捉え方は変わってくるとしている。

 従前のAPTキャンペーンへの対処は、攻撃キャンペーン後にパブリックアトリビューションや刑事訴追を行うことが多く、一部のアクターには効果を発揮したと考えられるが、基本的には「後追い」であった。しかし、Volt Typhoonの攻撃キャンペーンでは、現在進行形で追跡されているため、将来の被害防止等の対処を行うことが可能となるかもしれないと言及している。

《ScanNetSecurity》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

    スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

  2. 16 桁ランダム文字列パスワード突破か 広島県のメールアドレスアカウントでスパム配信

    16 桁ランダム文字列パスワード突破か 広島県のメールアドレスアカウントでスパム配信

  3. 大阪府警 三人のサイバー犯罪捜査官

    大阪府警 三人のサイバー犯罪捜査官

  4. KADOKAWA グループへのランサムウェア攻撃「犯罪行為には厳正に対処」

    KADOKAWA グループへのランサムウェア攻撃「犯罪行為には厳正に対処」

  5. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

ランキングをもっと見る
PageTop