米国の財務省で発生したデータ侵害：中国 APT が BeyondTrust 経由で侵入？

Chinese State Hackers Breach US Treasury Department

2024/12/31 DarkReading — 2024年12月30日に米国財務省が上院議員たちに警告したのは、中国政府に支援される脅威アクターが、その月の初旬に同省のシステムに侵入し、ワークステーションからデータを盗んだことである。米財務省の開示書簡には、「このハッキングの背後には APT グループがいると疑われ、重大なサイバー・セキュリティ・インシデントはとして扱われている」と記されている。この書簡は、同省を監督する上院委員会の委員長と上級委員に送られている。

同省の書簡は、「この攻撃者は、サードパーティである BeyondTrust を通じて財務省に侵入し、クラウド・ベースのサービスを保護するためにベンダーが使用するリモート・キーへのアクセスを達成した。そのクラウド・サービスは、財務省の Treasury Departmental Offices (DO) のエンド・ユーザーに対して、技術サポートを提供するものである。それらの盗み出されたキーへのアクセスを可能にした脅威アクターは、財務省サービスのセキュリティを無効化し、Treasury Departmental Offices (DO) ユーザーのワークステーションにリモートからアクセスし、それらのユーザーが保持する非機密文書にアクセスした」と説明している。

BeyondTrust の Web サイトによると、同社の特権リモート・アクセス・ツールを使用する顧客は、100 カ国以上の 20,000 社を超えており、Fortune 100 企業の 75% で使用されているとのことだ。

2024年12月8日の時点で BeyondTrust は、この問題について財務省に報告している。その一方で、財務省の書簡によると、同省は CISA／FBI と共同で、この侵害を調査しているとのことだ。

BeyondTrust のアドバイザリによると、12月5日の時点で同社は、侵害された API キーについて警告を受けており、その直後にキーを取り消したという。すでに、影響を受けた顧客に対する通知は行われており、修復にも取り組んでいると、BeyondTrust の広報担当者は述べている。

同社の声明は、「2024年12月初旬に BeyondTrust は、リモート・サポート製品に発生したセキュリティ・インシデントを特定し、そのための対策を講じた。なお、その他の BeyondTrust 製品に対しては、影響は生じていない」というものだ。

米国財務省への中国による壮大なハッキング

連邦政府の資産システムのコアに対する、今回の攻撃が明らかになったのは、米国テレコムに対する広範囲かつ組織的な、中国からのサイバー攻撃に対処している最中だった。

テレコムへの侵入を達成した Salt Typhoon などのハッカー・グループは、数え切れないほどの米国人の通話データやテキスト・メッセージにアクセスした。これまでに、米国における少なくとも９社の通信ネットワーク内で、中国のハッキング・グループによる活動が発見されている。

米国財務省への侵入に関する調査は進行中だが、これらの大胆な中国のサイバー・スパイ行為に関しては、危険を伴う外交的な駆け引きが必要になるだろう。ただし、バイデン政権からトランプ政権への移行期間中に、それをやり遂げるのは困難かもしれない。

Dispersive の VP である Lawrence Pingree は、「常に北京は、サイバー・スパイ事件に関する責任を否定している。それにより生じるのは、こうした侵害に効果的に対処するための外交上の課題だが、米国側には透明性／説明責任／調整の欠如が付き纏う」と、Dark Reading に述べている。

Lawrence Pingree は、「中国のハッカーが、アプリケーションのシークレットや暗号鍵を解読できたかどうかは、現時点では不明である。周知の通り、シークレットと暗号鍵の管理は、API アクセスにおいて不可欠な要素である。したがって、何らかの欠陥が生じた場合や、開発者のエンドポイント経由で侵害が発生した場合に、これらのシークレットと認証鍵が侵害されると、今回のような大規模な侵害にいたる可能性がある」と述べている。

今回の侵害に対する声明を発表した、元 NSA サイバー専門家である Evan Dornbush は、「この侵害が示唆するのは、依然としてサイバー・セキュリティ・ベンダーは、APT にとっ、お気に入りのターゲットであることだ」と述べている。

Evan Dornbush は、「サイバー・セキュリティ業界は、BeyondTrust の顧客を標的とする、注目を集める情報漏洩の再来に動揺している。これまでに、Okta／LastPass／SolarWinds／Snowflake などの、セキュリティ企業に対する攻撃が発生しているが、今回の BeyondTrust のインシデントも、そのリストに加わった」と締め括っている。

注記：Okta の情報漏洩は、その顧客である BeyondTrust に対して、ダイレクトな影響を及ぼしている。

この、米財務省で発生したデータ侵害の前兆として、BeyondTrust の脆弱性 CVE-2024-12356 の悪用が、数多くのメディアから報道されていました。いまのことろ、財務省と BeyondTrust を結びつける記事は沢山ありますが、それが CVE-2024-12356 だと断言するものは見つかっていません。とは言え、時系列で考えると、 CVE-2024-12356 の可能性が極めて高いと思われます。よろしければ、以下のリストも、ご参照ください。

2024/12/18：BeyondTrust PRA／RS の RCE 脆弱性 CVE-2024-12356 が FIX
2024/12/20：CISA KEV 警告：BeyondTrust の脆弱性 CVE-2024-12356 を登録