日米政府、中国に関連するBlackTechのサイバー攻撃への注意喚起を発表：セキュリティニュースアラート

NISCは中国関連のサイバー攻撃グループ「BlackTech」に関して注意を喚起するリリースを発表した。このグループは東アジアと米国を標的に情報窃取攻撃を実行しており、対策の提案も含めて詳細が公表された。

[後藤大地，有限会社オングス]

　内閣官房内閣サイバーセキュリティセンター（以下、NISC）は2023年9月27日、中国関連のサイバー攻撃グループ「BlackTech」に関して注意を喚起するリリースを発表した。

　この注意喚起は、NISCや警察庁、米国家安全保障局（NSA）、米国連邦調査局（FBI）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と合同で発表されている。

NISCはサイバー攻撃グループBlackTechの活動に関して注意喚起を発表した（出典：NISCのWebサイト）

日米政府機関が合同で警告するBlackTechの攻撃手法とは？

　BlackTechは2010年ごろから日本を含む東アジアおよび米国の政府や産業、技術、メディア、エレクトロニクス、電気通信分野を標的として情報窃取を目的としたサイバー攻撃を実行している脅威グループだ。

　今回の注意喚起はBlackTechに関する戦術や技術、手順（TTPs）を公表することで標的となる組織や企業に脅威認識を持つよう促すとともに、サイバー攻撃による被害の拡大を防止するための対策を講じることを促す目的がある。

　発表された主な注意喚起内容は以下の通りだ。

• 初期侵入：　インターネットに接続されたネットワーク機器の脆弱（ぜいじゃく）性や不適切な設定、サポートが終了した機器やソフトウェアなどを標的としてサイバー攻撃を仕掛けてシステム内部に侵入する
• 海外子会社からの侵入：　システム内部の侵入に成功すると、海外子会社の拠点において本社との接続に使われる小型のルーターを掌握するなどして侵害活動拡大の足掛かりとする。信頼されている内部のルーターを利用することで本社や別の拠点のネットワークへの侵害を拡大する
• ルーター侵害の手口：　さまざまなメーカーのネットワーク機器の脆弱性が悪用されている。BlackTechは、Cisco製ルーターのファームウェアを改変されたファームウェアに差し替えることでサイバー攻撃活動を隠蔽（いんぺい）し、より長期にわたって侵害を継続させる

　NISCはリスク低減のための対処例として、セキュリティパッチ管理の適切な実施やエンドポイントプロテクションの導入、ソフトウェアなどの適切な管理運用、ネットワークセグメント化の実施、本人認証の強化、多要素認証の実施、アカウントなどの権限の適切な管理運用、侵害の継続的な監視、インシデント対応計画の実施、システム復旧計画の策定、ゼロトラストモデルに基づく対策の実施などを挙げている。

　その他、NISCと警察庁は、不審なネットワーク通信を検知した際には迅速に所管省庁や警察、セキュリティ関係機関などに情報を提供するように呼びかけている。