FBIが中国政府支援のハッキング集団「ボルト・タイフーン」のサイバー攻撃用ボットネットの解体に成功したと発表

アメリカ政府は、中国政府が支援するハッキング集団が利用するインターネットに接続された数千台のルーターやネットワークカメラなどから、マルウェアを削除することに成功したと発表しました。司法省と連邦捜査局(FBI)は中国のハッキング活動の一部を遠隔から無効化するため、裁判所命令を取得しています。

Office of Public Affairs | U.S. Government Disrupts Botnet People’s Republic of China Used to Conceal Hacking of Critical Infrastructure | United States Department of Justice
https://www.justice.gov/opa/pr/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical

Secure by Design Alert: Security Design Improvements for SOHO Device Manufacturers | CISA
https://www.cisa.gov/resources-tools/resources/secure-design-alert-security-design-improvements-soho-device-manufacturers

Exclusive: US disabled Chinese hacking network targeting critical infrastructure | Reuters
https://www.reuters.com/world/us/us-disabled-chinese-hacking-network-targeting-critical-infrastructure-sources-2024-01-29/

FBI disrupts Chinese botnet by wiping malware from infected routers
https://www.bleepingcomputer.com/news/security/fbi-disrupts-chinese-botnet-by-wiping-malware-from-infected-routers/

ジョー・バイデン大統領政権は、2024年のアメリカ大統領選挙を妨害するために中国政府がアメリカのインターネットインフラストラクチャーにハッキングを仕掛けようとしているのではないかという懸念を抱いています。また、2023年はランサムウェアがアメリカ企業に大混乱をもたらしたため、アメリカ政府はハッキング対策にますます注力しています。

近年特に注目を集めているのが、中国政府の支援を受けるハッカー集団の「ボルト・タイフーン」です。ボルト・タイフーンはアメリカの重要インフラストラクチャーを標的としたサイバー攻撃を行っているとして、Microsoftが警告を発したことがあります。また、ボルト・タイフーンは軍港、インターネットサービスプロバイダー、公益事業を含む西側の重要インフラストラクチャーにサイバー攻撃を仕掛けるハッキング集団であるため、情報当局から特に強く警戒されている模様。なお、2023年5月に西側諸国が初めてボルト・タイフーンのサイバー攻撃を警告した際、中国外務省の報道官は「ハッキング疑惑はファイブ・アイズ諸国からの集団的偽情報キャンペーンである」と言及していました。

中国政府系ハッカー集団「ボルト・タイフーン」が重要インフラを標的としたスパイ活動をしているとMicrosoftが警告 - GIGAZINE

アメリカ政府のサイバーセキュリティ事情に詳しい3人の関係者によると、ボルト・タイフーンによるサイバー攻撃は2023年5月に初めて発覚。その後、ボルト・タイフーンは2023年末頃に活動範囲を拡大し、サイバー攻撃の手法の一部を変更しました。

ボルト・タイフーンによるサイバー攻撃があまりに広範囲にわたっていたため、アメリカ政府は通信会社やクラウドコンピューティング企業数社を含む民間テクノロジー業界と共同で会合を開き、サイバー攻撃活動の追跡および追跡の支援を行うようになったそうです。

国家安全保障の専門家は、「ボルト・タイフーンのサイバー攻撃により、中国が何らかの形で『アメリカ軍の作戦を支援しているインド太平洋地域の重要施設』を遠隔地から妨害できるようになる可能性がある」と指摘しています。なお、アメリカの政府関係者は「ハッカーが中国による台湾侵攻に備えたアメリカの準備を損なうために活動している」ことを懸念しているそうです。

台湾を自国の領土として主張している中国は、台湾とアメリカの連携に対抗すべく、近年台湾付近での軍事活動を強化しています。

セキュリティ専門家がロイターに語ったところによると、ボルト・タイフーンはルーターやモデム、セキュリティカメラなどのデジタル通信機器を制御して機密性の高いターゲットに対してサイバー攻撃を仕掛けることで、巧妙にマルウェアの感染源を隠しているそうです。一連の遠隔制御システムはボットネットと呼ばれており、「コンピューターネットワーク内の外国のフットプリントを監視するサイバーセキュリティ当局の可視性を制限する可能性がある」としてセキュリティ当局にとって最大の懸念事項となっていました。

元当局の関係者は、「ボルト・タイフーンのサイバー攻撃の仕組みは、地理的に軍港やインターネットサービスプロバイダーのすぐ隣に設置されたカメラやモデムを制御し、本当の標的への侵入経路を確保するというものです」と説明しています。

具体的には、ボルト・タイフーンはSOHOをハイジャックし、悪意のある活動が検出されるのを回避するために正規のネットワークトラフィックに確実に組み込まれるようにしているそうです。なお、ボットネットとして利用されたネットワークデバイスにはNetgear製の安全システム「ProSAFE」やCisco製のWi-Fiルーター「RV320」、DrayTek製のWi-Fiルーター「Vigor」、Axis製のIPカメラなどが含まれています。SecurityScorecardの調査データによると、ボルト・タイフーンはCisco製のWi-FiルーターであるRV320およびRV325の約30％をハイジャックしていたと推定されています。

FBIはボルト・タイフーンのボットネットを解体するため、ボットネットの指揮統制(C2)サーバーをハッキングし、ボットネットを停止するための権限を与える裁判所命令を取得。そして、侵害されたデバイスにボットネットから離脱するようコマンドを送信し、ボルト・タイフーンがこれらのデバイスを悪意のあるネットワークに再接続することができないようにしています。

さらに、ボットネットVPNコンポーネントをアンインストールすることで、ハッカーがこれらのデバイスを悪用してさらなるサイバー攻撃を行うことも防ぎました。FBIと共同でボルト・タイフーンのボットネットを削除する作戦を実行した司法省は、「ボットネットを構成していたルーターの大部分はCiscoおよびNetGear製のWi-Fiルーターでしたが、これらのルーターがサポート終了ステータスに達していたため脆弱(ぜいじゃく)でした。つまり、製造元のセキュリティパッチやその他のソフトウェアアップデートによるサポートが終了していたためです」と、一部のルーターがサイバー攻撃の標的となった原因を説明しています。

アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)とFBIはSOHOルーターメーカーに対してガイダンスを発行し、ボルト・タイフーンの攻撃から確実にセキュリティを確保するよう求めています。なお、このガイダンスにはセキュリティアップデートの自動化、デフォルトでLANからのみウェブ管理インターフェイスへのアクセスを許可すること、設計および開発段階でセキュリティ上の欠陥を除去しておくことなどが求められています。

政府機関やハッカーがサイバー攻撃の出どころを秘匿するためにいわゆるボットネットと呼ばれるものを使用することは新しい事例ではありません。この種のアプローチは攻撃者が多数の被害者を同時に素早くターゲットにしたい場合、あるいは被害者の起源を隠そうとする場合に使用されるそうです。