米財務省は中国政府系ハッカーグループによる同省システムへの侵入を受け、機密性の低い文書が流出する「重大なサイバーセキュリティインシデント」が発生したことを明らかにした。攻撃者は第三者セキュリティベンダーのBeyondTrustを経由して侵入、リモートアクセスの認証キーを窃取し、職員のワークステーションに不正アクセスした。
侵害の詳細と経緯
財務省への侵入は、サイバーセキュリティ企業BeyondTrustが提供するリモートサポートサービスの重大な脆弱性を経由して行われた。同社のクラウドベースサービスを使用していた財務省は、12月8日にBeyondTrustから侵害の通報を受けた。侵入者は特権アクセス管理用のAPIキーを窃取し、これを使用してリモートサポートプラットフォームのセキュリティを迂回、財務省職員のワークステーションに不正アクセスすることに成功した。
調査の過程で、BeyondTrustのリモートサポートSaaSプラットフォームには2つのゼロデイ脆弱性(CVE-2024-12356およびCVE-2024-12686)が存在していたことが判明した。攻撃者はこれらの未知の脆弱性を巧みに組み合わせて悪用し、ローカルアプリケーションアカウントのパスワードリセット機能を不正に操作することで、システムへの特権アクセス権を獲得したという。
財務省は侵害の発覚後、直ちにFBIおよびCISAと連携して包括的な調査を開始した。BeyondTrustも迅速な対応を行い、影響を受けたすべてのインスタンスを停止させるとともに、流出したAPIキーの無効化を実施。同社は「限られた数の顧客にのみ影響が及んだ」としているが、具体的な影響を受けた組織の数は明らかにしていない。
同社は12月8日に最初の調査結果を公開し、その後12月18日まで定期的に情報を更新していた。サイバーセキュリティ企業SentinelOneの脅威研究者Tom Hegel氏は、今回の手口について「信頼された第三者サービスを悪用するという、中国関連グループの典型的な作戦パターンに合致する」と指摘している。
広がる中国発サイバー攻撃の脅威
今回の米財務省への攻撃は、米国の重要機関を標的とした中国発サイバー攻撃の新たな展開として注目を集めている。特に深刻な懸念を引き起こしているのは、「Salt Typhoon」と呼ばれる高度な技術を持つハッカーグループの存在だ。同グループは米国の主要通信事業者9社、具体的にはVerizon、AT&T、Lument、T-Mobileなどの基幹システムへの侵入に成功。さらに、これらの侵害は米国内に留まらず、複数の国々の通信事業者にまで及んでいることが明らかになっている。
Salt Typhoonによる攻撃の特筆すべき点は、その情報収集能力の高さにある。グループはテキストメッセージや音声通話、ボイスメールなど、広範な通信データにアクセスすることに成功。さらに深刻なのは、司法省が監視対象としている人物のリストまでもが流出した可能性があることだ。このリストの流出により、中国政府は米国がどの中国人スパイを特定し、あるいは見逃していたかを把握できる可能性がある。これは米国の防諜活動に深刻な打撃を与えかねない事態として、カウンターインテリジェンス当局者たちの懸念を招いている。
この事態を受け、CISAは上級政府職員に対し、Signal等のエンドツーエンド暗号化メッセージングアプリへの移行を促す異例の勧告を出している。また、米国政府は対抗措置として、China Telecomの米国内での最後の事業拠点の閉鎖を検討しているとされる。
Xenospectrum’s Take
今回の事案で特に懸念されるのは、攻撃者がサプライチェーンの弱点を巧妙に突いている点だ。第三者ベンダー経由での侵入は、直接的な防御が困難な上、発見までに時間を要する。また、財務省という標的の選択は、中国側の関心が単なる技術情報の収集から、経済・金融政策に関する情報収集へとシフトしていることを示唆している。
特に対ロシア制裁の実施や中国経済の分析を所管する財務省へのアクセスは、戦略的に極めて重要な意味を持つ。この種の高度な持続的脅威(APT)に対しては、従来型のペリメータ防御だけでなく、Zero Trustアーキテクチャの導入など、より包括的なセキュリティ態勢の構築が急務となるだろう。
Source
コメント