【コジーの今週気になるdxニュースvol20240710-01】 豪州主導の APT40(中国の国家的な支援を受けたサイバーグループ)に関する国際アドバイザリーへの共同署名について:内閣サイバーセキュリティセンター、警察庁

内閣サイバーセキュリティセンター及び警察庁は、豪州通信電子局(ASD)豪州サイバーセキュリティセンター(ACSC)が作成した国際アドバイザリー“APT40 Advisory PRC MSS Tradecraft in action”の共同署名に加わり、本件文書を公表しました。

1.概要
令和6年7月9日、内閣サイバーセキュリティセンター及び警察庁は、豪州通信電子局
(ASD)豪州サイバーセキュリティセンター(ACSC)が作成した国際アドバイザリ
ー“APT40 Advisory PRC MSS tradecraft in action”(以下「本件アドバイザリ
ー」という。)の共同署名に加わり、本件アドバイザリーを公表しました。仮訳は
追って公表予定です。
本件アドバイザリーに共同署名し協力機関として組織名を列記した国は、豪州の
他、米国、英国、カナダ、ニュージーランド、ドイツ、韓国、日本の8か国です。
これまで、我が国でも、APT40 といわれるサイバー攻撃グループからの攻撃につ
いて、我が国企業が対象になっていたこともあると確認しています。
本件アドバイザリーは、APT40 による過去の攻撃事例をケーススタディとして攻
撃手法を詳述した上で、攻撃の検知や緩和策を示しており、我が国のサイバーセキ
ュリティ強化に資する文書であることから共同署名に加わることとしました。
今後も、サイバーセキュリティ分野での国際連携の強化に努めてまいります。

2.本件アドバイザリーの概要
(1)中国の国家的な支援を受けたサイバーグループと、同グループが与える豪州の
ネットワークに対する脅威について概説。サイバーアクターは、中国国家安全
部(MSS)と関連付けられると理解されている。その活動や手法は、APT40 と
呼ばれるグループと重複している。海南省海口市を拠点に活動し、国家安全部
海南支部から業務を請け負っているとされている。
(2)APT40 は、豪州政府・民間部門を繰り返し標的にしており、豪州のネットワー
クに対する脅威は継続している。特筆すべきは、APT40 は、新たな脆弱性の概
念実証エクスプロイトを迅速に変換・適応させ、標的ネットワークに対して即
座に利用する能力を有している。
(3)APT40 は、インターネットに接続されている脆弱なインフラを悪用することを
指向し、有効な認証情報を獲得することを優先する。APT40 は定期的にウェブ
シェルを利用しつつ、アクセス維持に注力するが、こうした永続化は侵入の初
期段階で行われるため、あらゆる侵入で確認される。
(4)APT40 は、豪州に対する攻撃において、これまで侵害されたウェブサイトを C2
サーバとして使用してきたが、攻撃インフラや踏み台として小規模オフィス・
家庭用機器(SOHO 機器)を含む侵害された機器を利用するとのグローバルな
傾向を採用するようになっている。この手法は、世界中で、中国が国家的に支
援する他のアクターも日常的に利用している。
(5)APT40 の攻撃による2件のインシデント(ケーススタディ):
(ア)ケーススタディ1:攻撃者が 2022 年7月~9月に豪州のある組織のネッ
トワークを侵害し、ウェブシェルを展開。その後、ネットワーク内で横展
2
開を行い、認証情報を含む機微データにアクセス。
(イ)ケーススタディ2:攻撃者が 2022 年4月から豪州のある組織のネットワ
ークを侵害し、数百に及ぶユーザ名とパスワード、多要素認証コード、遠
隔アクセスセッションの技術情報を窃取。
(6)豪州のセキュリティ措置を定めた「エッセンシャルエイト(Essential Eight)」
を強く推奨し、検知と緩和のために特に下記の諸点が重要。
(ア)APT40 の攻撃によるインシデントで確認されたファイルは、Windows に登
録された全てのユーザアカウントからアクセスでき、データ書き込みが
容易になるような場所に蔵置されていることから、疑わしい場所からの
プロセス実行を検知するルール設定により、悪意ある振る舞いを検知す
る。
(イ)緩和策
(i)ログ記録:ウェブサーバのリクエストログや Windows イベントログ、
プロキシログの保存を適切に行う。
(ⅱ)パッチ管理:ウェブサーバやリモートアクセスゲートウェイなどイン
ターネットに接続している全ての機器には、セキュリティパッチや緩
和策を 48 時間以内に適用し、可能であれば、ソフトウェアや OS は最
新バージョンを使用する。
(ⅲ)ネットワークの分離:ネットワークを分離することで、攻撃者の横展
開を困難にできる。Active Directory や認証サーバなど重要なサーバ
は、限定されたサーバからのみアクセスを可能とし、これらのサーバ
を監視し、ユーザや機器からの接続を限定する。
(ⅳ)その他
・ 不要なネットワークサービス・ポート・プロトコルを無効にする。
・ ウェブアプリケーションファイアーウォール(WAF)を利用する。
・ 管理者権限を必要最小限にする。
・ 多要素認証及びマネージドサービスアカウントの使用により、認証
情報の解読と再利用を困難にする。
・ サポート切れの機器を交換する。
(了)

豪州主導のAPT40グループに関する国際アドバイザリーへの共同署名について
https://www.npa.go.jp/bureau/cyber/pdf/20240709press.pdf

APT40 Advisory PRC MSS Tradecraft in action
https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/apt40-advisory-prc-mss-tradecraft-in-action

ITS 編集部

当社の編集部は、IT業界に豊富な知識と経験を持つエキスパートから構成されています。オフショア開発やITに関連するトピックについて深い理解を持ち、最新のトレンドや技術の動向をご提供いたします。ぜひご参考になってください。