警察庁が名指しで注意喚起 高い技術力を持つBlackTechにどう対処する？：半径300メートルのIT

中国が支援する脅威グループBlackTechについて、日米政府機関が合同で注意喚起を発表しました。なかなか大事のように思えますが、企業または個人にはどのような影響があるのでしょうか。

[宮田健，ITmedia]

　警察庁は2023年9月27日、「中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について」という注意喚起を発表しました。同庁はこれまで、状況証拠がある場合でも、こうした情報を公開しないケースが多かったのですが、今回は、国名を明記した形での注意喚起となっています。これは無視できるものではありません。

警察庁／内閣サイバーセキュリティセンター（NISC）から発表された注意喚起（出典：警察庁公開のPDF）

　本コラムでは、企業組織だけでなく一般個人、特にテレワークをする家庭において、もう一度しっかりとチェックしなくてはならない要素が含まれているこの注意喚起を読み解いていきましょう。

日米政府機関が合同で警告　BlackTechとはどのような脅威グループなのか？

　今回の注意喚起は警察庁やNISCだけでなく、何と米国連邦調査局（FBI）、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）など、米国政府機関の名前も連なっています。その上で、中国を名指ししたものとなっているのですから穏やかではありません。

　ここで名指しされているサイバー攻撃グループBlackTechはかなり前から日本をターゲットに活動しており、2020年1月に発生した三菱電機への不正アクセスにも関与していたとされています。セキュリティベンダーやリサーチャーのブログなどを参考にすると、高い技術力を持ち、明確な目的を持って不正な活動をしていることがうかがえます。

　注意喚起ではBlackTechの手口として、インターネットに接続されたネットワーク機器の脆弱（ぜいじゃく）性を足掛かりに組織のシステム内部に入り込む手法が紹介されています。

　BlackTechは特に海外子会社の拠点において、本社に接続するために利用される小型のルーターをインフラとして侵入・拡大するため、「攻撃はインターネットからやってくる」とだけ認識している場合、対応が遅れたり、そもそも検知できなかったりする可能性があります。いわゆる「サプライチェーン攻撃」のような形態で攻撃が実行される前提で対策を考える必要があります。

　まずはルーターをはじめ、ソフトウェアやネットワーク機器の脆弱性に対して迅速にセキュリティパッチを適用することが推奨されていますが、問題は適用することよりも「適用すべきルーターがどこにあるかを把握する」ことかもしれません。

　つまり単純な脆弱性対応の話というよりも、資産管理やネットワーク構成の把握といった部分も問われることになります。既に攻撃が実行されていることを考えると、猶予はあまりありません。その他にもエンドポイントを保護する、本人認証の強化、多要素認証の実装、権限の適切な管理など、これまでも指摘されてきた内容をもう一度見直すべし、という内容になっています。ぜひもう一度この注意喚起をよく読み、自らを律してみてください。

この話題は個人にも無関係ではない……

　ではこの攻撃が個人には無関係かというとそうではありません。以前、本コラムで取り上げた「家庭用ルーター設定の定期的な見直し」問題が関係してきます。注意喚起の参考資料には、その時に取り上げた文書が記されています。恐らく今回のBlackTechによる攻撃への注意喚起だったのでしょう。

　ルーター設定を、個人レベルでも定期的に見直す以上の解決策はまだありません。脅威がそこまで迫っていることを考えると、やはり「頑張る」必要があるでしょう。いま一度、自宅のルーターを見直し、古くなって時代に合わないものは最新のものへの買い替えを検討してみてください。

　しかし悩ましいのが、これは単に家庭だけの問題でもなくなっていることです。テレワークが進んだことで、企業が従業員の家庭にあるルーターにも気をつかわねばならない時代がやってきました。その意味では、テレワークを実施している企業は、各家庭のルーター設定を見直すだけでなく、何らかの対処やチェックも企業が考えなくてはならないのかもしれません。

　ちなみにSansanは若手セキュリティエンジニアがその方法を検討し、ブログで公開しています。手法はさまざまかと思いますが、従業員に許可を取った上で、企業が従業員宅のルーターをスキャンするというのも、今後は考える必要があるかもしれません。

脆弱性はふさぐだけでは対策が不十分かもしれない

　もう一つ、ネットワーク機器などのアップデートを実施するとともに「管理インタフェースのアクセス制限」が問題ないか、ぜひ皆さんの組織や家庭でチェックしていただきたいと思います。

　脆弱性に対するセキュリティパッチを適用したとしても、管理インタフェースが解放されていたとしたら、攻撃者は正規の方法で設定を変え放題になってしまいます。自宅のルーターであれば、インターネット側からのアクセスができないこと、そしてルーターの管理画面にパスワード認証が適用されているかどうかを確認する必要があるでしょう。

　組織のルーターなどであれば、正しいアクセス権限が設定されていることや、特定セグメントからのアクセス以外はシャットアウトしていること、さらにはアクセスログや操作ログが残ることなどの確認が必要かもしれません。

　その他、セキュリティパッチを適用する前に、既に侵入されていないかどうかも調査が必要です。相手がBlackTechレベルであれば、ログなどの痕跡はきれいに消されてしまっているかもしれません。これを自社だけでなく、ネットワークがつながる子会社など、全てにチェックをかけなくてはならないのです。気が遠くなるような話ですが、このレベルでの注意喚起が出ているという現状を踏まえ、まずは完璧でなくても第一歩を踏み出すことが重要だと思います。

　今回の注意喚起は、もはやサイバー空間における有事が目の前にあることを気付かせてくれます。CSIRT（Computer Security Incident Response Team）やSOC関係者は警戒レベルを少し上げ、不審な行動に目を光らせること。従業員はほんの少しの違和感があったとしても、CSIRTなどに報告することを心掛けてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。