2023.10.31 /

中国のサイバー攻撃グループ「BlackTech」とは? その特徴と対策を解説!

企業のセキュリティ担当者として、常に最新のサイバーセキュリティトレンドを学びながら、企業を守る対策が必要です。

 

この記事では、近年話題を集めている台湾を背景とするサイバー攻撃集団「BlackTech」の概要から、具体的なサイバー攻撃手法、攻撃を受けるリスクを減らすための対策にも触れて解説します。

 

「BlackTech」とはどのような組織なのか?

サイバー攻撃者集団「BlackTech(ブラックテック)」は、台湾を中心とした東アジア地域でサイバー諜報活動をする攻撃者集団であり、日本または香港での活動も確認されています。

 

彼らが利用するコマンド&コントロール(C&C)サーバのMutexやドメイン名から、BlackTechの目的は標的者が所有する技術の窃取にあると想定されているのです。

 

BlackTechが行うサイバー攻撃の手法とは

「BlackTech」に関しては、日本の警察庁及び内閣サイバーセキュリティセンターが、対策について情報を公開しています。以下では、BlackTechが行うサイバー攻撃の手法について知識を抑えておきましょう。

 

初期侵入

BlackTechは、インターネットに接続されたネットワーク機器に対して、ソフトウェアの脆弱性を狙う他、ネットワークの設定の不十分さ、サポートの切れた機器・ソフトウェアなど、標的ネットワークのさまざまな脆弱な点を突いて、内部に侵入します。

 

海外子会社からの侵入

最初の足がかりとなる侵害拠点を構築した後は、侵害活動を拡大させるため、海外子会社の拠点において、本社との接続のために使用される小型ルーターを、攻撃者の通信を中継するインフラとして利用します。

 

BlackTechは、信頼されている内部のルーターを通じて、本社や別拠点のネットワークへ侵入を拡大するのです。

 

ルーターの侵害手口

BlckTechでは、様々なメーカーのネットワーク機器を侵害するために脆弱性を調査していると考えられます。

 

具体的には、シスコ社製ルーターのファームウェアを、改変されたファームウェアに取り替えることで、BlackTech自身の悪意あるサイバー攻撃のログを隠蔽して、長期に渡って標的ネットワークへのアクセスを維持することが目的です。

 

攻撃を受けるリスクを低減するための対策とは?

様々な脆弱性を足掛かりに社内ネットワークに侵入して、サイバー攻撃者がいつでも対象ネットワークにアクセスできる環境を構築するのが「BlackTech」の怖さです。

 

このようなサイバー攻撃に対して、攻撃を受ける側の企業セキュリティ担当者はどのような対策を講ずるべきでしょうか。

 

以下で、具体的に紹介します。

 

セキュリティパッチ管理の適切な実施

ソフトウェアや機器の脆弱性に対して、セキュリティパッチの適用が必要です。

 

パッチ適用を可能な限り迅速化して、適用漏れがないように「脆弱性管理」「パッチ管理」を行うプログラムの導入を検討しましょう。

 

端末の保護(エンドポイント・プロテクション)

端末(PC/タブレット端末/スマートフォンなど)のセキュリティ機能の活用や、セキュリティ対策ソフトの導入を行いましょう。

 

ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション

ソフトウェア及び機器リストを管理して、不要と判断するものは排除しましょう。

また役割等に基づいてネットワークを分断することも必要です。

 

本人認証強化、多要素認証の実装

「よく利用されるパスワードを入力してセキュリティを突破する(パスワードスプレー攻撃)」「可能な組み合わせを全て試す(ブルートフォース攻撃)」などで認証が破られるリスクを低減するために、パスワードは十分に長く複雑なものを設定するべきです。

 

その他にも、「複数の機器・サービスでパスワードを使い回さない」「システム管理者は、多要素認証を導入する」などの対策も導入しましょう。

 

また、毎回のログイン履歴を監視することで、不正なログインがないかを管理することもできます。

 

アカウント等の権限の適切な管理・運用

アカウントやサービスの権限は、そのアカウント等を必要とする業務担当者にのみ付与しましょう。

システムの中枢の変更を加えられる特権アカウント等の管理・運用には注意を払う必要があります。

 

侵害の継続的な監視

ネットワーク内で不審な活動が行われていないかを継続的な監視が必要です。

例えば、一般的に行われる業務から外れた活動や、ダウンロードなど外部の様々な脅威情報と一致するような不審な活動については重点的にチェックしましょう。

 

インシデント対応計画、システム復旧計画の作成

インシデント発生時に迅速な対応ができるように、インシデント対応手順や関係各所との連絡方法などを記した対応計画を作成して、見直しと演習を行いましょう。

 

そのほか、包括的な事業継続計画の一部としてシステム復旧計画の作成なども必要です。

 

ゼロトラストモデルに基づいた対策

境界防御の効果が期待できない場合を踏まえた認証等の強化を図ると同時に、インシデントの予兆を把握した段階ですぐに検知・対処ができる仕組みの構築が必要です。

 

海外からのサイバー攻撃から守るために、適切なセキュリティ対策を行おう!

この記事では、話題を集めるサイバー攻撃集団「BlackTech」の概要から具体的な侵入方法、企業のセキュリティ担当者が行うべき予防策について紹介してきました。

 

企業を守るべきセキュリティ担当者は、常に最新のトレンドに目を向けて適切な対策を行う必要があります。

「BlackTech」についてどのような特徴があるのかを理解した上で、セキュリティ対策の見直しを含め、検討することが必要です。

 

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから