Fortinetの脆弱性を悪用 中国が支援するサイバースパイ活動は「思っていたよりも広範囲」：セキュリティニュースアラート

オランダ国立サイバーセキュリティセンターは、中国当局が支援しているとみられる脅威アクターのサイバースパイ活動が、「これまで考えられていたよりも広範囲に影響を与えている」と警告した。具体的にどの程度の影響を及ぼしているのか。

[後藤大地，有限会社オングス]

　オランダ国立サイバーセキュリティセンター（NCSC: Nationaal Cyber Security Centrum）は2024年6月10日（現地時間）、中国当局から支援を受けているとみられる脅威アクターのサイバースパイ活動が、「以前考えられていたよりもはるかに広範囲に影響を及ぼしている」と警告した。

「FortiGate」の脆弱性を悪用　影響を受けている範囲とは？

　NCSCによると、今回の発表はオランダの軍事情報安全保安局（MIVD）と一般情報安全保障局（AIVD）の共同調査報告書に基づいている。MIVDは2024年2月にも「FortiGate」を標的とした脅威キャンペーンについて発表しており、同局は2024年2月以降も中国の脅威アクターによるサイバースパイ活動に関する調査を進めてきた。

　中国の脅威アクターによる活動の影響が及ぶ範囲とは具体的にどのぐらいなのだろうか。

　今回の発表によると、2022〜2023年に実施された活動によって、少なくとも2万台のファイアウォールシステムが影響を受けたとみられる。また、Fortinetが公表する前から、このサイバースパイ活動の背後にいるとみられる中国当局は今回悪用されたFortiGateのセキュリティ脆弱（ぜいじゃく）性（CVE-2022-42475）を把握していた可能性がある。中国の脅威アクターはFortiGateのこの脆弱性を利用して、「COATHANGER」と呼ばれる遠隔操作型トロイの木馬（RAT）を展開していることが確認されている。

　標的には欧米を中心とする民主主義国家の政府機関や国際機関、防衛産業に従事する企業が含まれている。被害拡が大するとともにデータ窃取などが実施される可能性が高いとNCSCは分析する。

　NCSCは、ファイアウォールやルーターなどのエッジデバイスが攻撃者に狙われやすく、特にゼロデイ攻撃に対して脆弱であると警告している。ゼロトラストの原則を採用し、セグメンテーションやインシデント対応計画などの緩和策を実施することが推奨されている。