米国と同盟国が Microsoft Exchange 攻撃に関して正式に中国を非難

US and allies officially accuse China of Microsoft Exchange attacks

2021/07/19 BleepingComputer — 米国および、欧州連合、英国、NATO などの同盟国は、今年の広範囲にわたるMicrosoft Exchange ハッキング・キャンペーンについて、中国を公式に非難している。2021年の初頭に生じた、このサイバー攻撃は、世界中の数万の組織に展開された 25万台以上の Microsoft Exchange サーバーを標的としていた。

バイデン政権は、「中国の MSS (Ministry of State Security) に属する悪意の脅威アクターが、2021年3月上旬に公開された Microsoft Exchange Server ゼロデイ脆弱性を利用した、サイバースパイ活動を行ったと高い確信を持って言える。いくつかのケースでは、中国政府関連のサイバー・オペレーターが海外の民間企業に対して、数百万ドルの身代金要求を含むランサムウェア運用を行ったと認識している」と述べている。

今日になって英国の NCSC (National Cyber Security Centre) も、「Microsoft Exchange 攻撃は、個人を特定する情報の窃取や、知的財産の不正な取得など、大規模なスパイ活動である可能性が高い。GCHQ の一部である NCSC は、中国国家に関連するとされる HAFNIUM というグループが、この活動に関与している可能性が高いと評価する」と発表した。英国は、APT40 や APT31 として追跡されている、中国の国家支援ハッキング・グループの背後にも、MSS が存在すると付け加えている。

また、NSA / CISA / FBI は、中国の国家支援サイバー・アクターが、米国および同盟国のネットワークを標的とした攻撃で用いた、50以上の TTP (Tactics / Techniques / Procedures) 分析を含む、共同勧告を発表した。さらに、CISA と FBI は、APT40 によるネットワークへの侵入や足場の確立を、検知/修復するための指標と TTP を公開しました。また、米国司法省は、世界各国の政府や重要部門の組織を対象とした、複数年にわたるキャンペーンに関与したとして、MSS のハッカー5名を刑事告発した (起訴状はココ)。

EU と加盟国は、本日発表した別の声明の中で、「Microsoft Exchangeサーバーへの攻撃は、サイバー空間で中国国家の支援を受けた脅威アクターによる、悪質かつ深刻な行為の例である。このような行為は全く容認できず、パートナーと協力しながら、見つけしだい躊躇なく訴えていく」と述べている。

2021年3月の初旬に Microsoft は、オンプレミスの Microsoft Exchange サーバーを標的とした攻撃で、積極的に悪用されている4つのゼロデイ脆弱性を公開した。これらの脆弱性 (総称してProxyLogon と呼ばれる) は、世界中の複数の産業分野の組織を対象とした無差別攻撃で悪用され、機密情報が盗み出されてしまった。ProxyLogon 攻撃の背後には、Web シェルや暗号化マルウェアを用いて、DearCryBlack Kingdom などのランサムウェア・ペイロードを、感染した Exchange サーバー上にディプロイする攻撃者が確認されている。

この攻撃を Microsoft が公開した後に、スロバキアのインターネット・セキュリティ企業 ESET により、脆弱な Exchange サーバーを標的とする、少なくとも 10 の APT グループが発見されている。その当時、Microsoft は、これらの攻撃の背後には、Hafnium と呼ばれる中国の国家支援型ハッキング・グループが存在すると述べていた。Microsoft は、「歴史的に見て、Hafnium は、感染症研究者 / 法律事務所 / 高等教育機関 / 防衛産業 / 政策シンクタンク / NGO などの、数多くの産業分野の情報を流出させる目的で、主として米国内の企業を標的にしている。Hafnium は中国を拠点としているが、主に米国内の仮想プライベート・サーバー (VPS) をリースして活動している」と述べている

ついに、中国に対する公式な抗議が始まりました。Bleeping Computer のサイトには、4人の中国人の実名と3人分の顔写真が公開されています。つまり、それは、サイバー空間における追跡能力が、中国国内にまで及んでいることの証明なのでしょう。ランサム・ギャングたちが、盗み出したデータを一部を公開し、身代金に関する交渉を優位に進めるのは常套手段ですが、それに対抗するための実名と顔写真の公開なのかもしれません。いずれにしても、新たなステージに突入した感があります。

%d bloggers like this: