7月9日に発表されたオーストラリア主導の報告書で、米国、英国、日本、カナダ、ニュージーランド、ドイツ、韓国のセキュリティー機関は、中国政府が背景にいるハッカー集団APT40が、各国政府を繰り返し標的にしていると指摘した。このグループは、別名で「クリプトナイトパンダ」や「ギンガムタイフーン」「リヴァイアサン」「ブロンズモホーク」とも呼ばれ、英国の機関によって中国国家安全部の一員であると指摘されていた。
APT40とその関連組織は、新たな脆弱性をいち早く察知し、それを攻撃対象にする。また、潜在的なターゲットを定期的に偵察し、サポートが終了した、または保守されていないデバイスをネットワーク上で特定する。
これまでに標的となったソフトウェアには、Log4JやAtlassian Confluence、Microsoft Exchangeなどが含まれており、オーストラリアの通信電子局(ASD)によると、これらのソフトウェアには、2017年までさかのぼる脆弱性があるという。
「APT40は、フィッシングなどのユーザーの操作を必要とする手法よりも、脆弱な公開インフラを狙うことを好んでいる。また、さまざまな侵入後の活動を行うために有効な認証情報を入手することを最優先事項としている」とASDは述べている。
ASDは、成功した攻撃の例を2つ挙げている。そのうちの1つは、優先認証情報を含むデータを盗み出すことに成功しただけでなく、元のアクセス方法がブロックされた場合でも、不正アクセスを再開できるネットワーク情報を盗み出すことに成功した事例だ。もう1つは、少なくとも2022年4月までさかのぼるリモートアクセスのログインポータルを介したある組織への侵入で、複数の攻撃者が関与している可能性がある。
英政府通信本部(GCHQ)の高官は5月に、中国からのサイバーリスクが「真に増大している」と警告し、同機関が、中国に対して他のどの単一ミッションよりも多くのリソースを割いていると述べていた。今回のASDの警告は、それに続くものだ。
APT40とその関連グループは特に、エッジデバイスを好んで標的にしているという。セキュリティ企業のWithSecure(ウィズセキュア)に所属するリサーチャーは、「ハッカー集団は、追跡や特定がより困難な、より隠密性の高い活動を追求するために、最新の手法を用いている。また、既存のセキュリティメカニズムや監視にも挑戦している」と指摘した。
(forbes.com 原文)
