Zenn
🍣

[セキュリティ]Volt Typhoonって結局なんだったの?

に公開
Security
脅威インテリジェンス
idea

Volt Typhoonってなんだったっけ?

少し前に「Volt Typhoon」って単語、ニュースやSNSで見かけた気がするけど、
正直「結局なんだったっけ?」って思ってませんか?
自分も「なんか中国がアメリカに攻撃してたような、、」ぐらいの理解だったので、ちょっと調査してみたんですが、思ったよりやばそうでした!

ざっくり言うと、
中国系ハッカー集団がアメリカのインフラ(電気とか水とかネットとか)に、こっそ~り入り込んでたという話です。
しかも超本気。Microsoftも「これマジやばい」って大騒ぎしてました。[1]

結構騒がれてたよね?

うん、実際めっちゃ騒がれてました。
なんなら日本でもいろんなとこが「やべぇぞ!」って言ってました。

NISC(内閣サイバーセキュリティセンター)も言及してるし[2]、複数のセキュリティ企業がこぞって解説記事なんかを出したりしてました[3][4]。
Twitter(X)でもちょいバズってました

なんでそんなに騒いでたんだっけ?

上記の記事でもたびたび言及されていましたが、
「LOTL攻撃」ってワードのインパクトが大きかったことが要因かなと思います。

LOTL(Living Off The Land)というのは
要はWindowsに最初から入ってるツール(PowerShellとか)だけ使ってコソコソ悪さする手法のこと。
(例えると、引っ越してきた人が新しい工具を買わず、備え付けのスパナとドライバーだけで家を占拠する感じ)

でも、ぶっちゃけこの手口自体は珍しくもなんともないんですよね。[5]
なので、LOTLを取り上げてやばい!って騒ぐのは本質的ではないんじゃないかと思います。

じゃあVolt Typhoonは何が“ヤバい”の?

以下の2点に集約されると思います。

潜伏ガチ勢だった

2021年から潜伏していたらしいですね、コロナで大変な時期に何してんねんって感じです。
しかも、LOTLの徹底がすごかった。攻撃の一部としてLOTLを使うだけでなくて、 初期侵入から長期潜伏・情報収集・横展開の全過程を、極限まで「正規ツール」「手動操作」だけで遂行していたとのことで、絶対に見つかってなるものかという強い意思を感じますね。

目的が怖い

国家間でのサイバー攻撃でありがちなパターンは機密情報を盗むやつですよね。
(有事の際はサーバ破壊とかもありますが)
まあ、これも迷惑な話なので、やられた側は激おこなんですが、逆に言うと激おこする程度なんですよね。
ところが今回の攻撃の目的は情報を盗むことではなくて、「戦争になったときに重要な通信インフラを破壊すること」 だとされています。

Microsoft assesses with moderate confidence that this Volt Typhoon campaign is pursuing development of capabilities that could disrupt critical communications infrastructure between the United States and Asia region during future crises.

米中対立ってよく聞きますが、もうすでに戦争見据えちゃってるじゃん!というか見据えるだけじゃなくて行動に移しちゃってるじゃん!というのはさすがにやばいですね。
これは米国も激おこするというよりかは震えますよね。

でもアメリカだけの話でしょ?

いやいやいや!
日本も他人事じゃないっす。

  • 日本のインフラや会社も、海外製ネットワーク機器とかバリバリ使ってるし
  • 過去にも日本企業が中国系のハッカーに狙われた事例、わりとゴロゴロある

で、日本でVolt Typhoonみたいなの来たらどうすんの?見つけられる?
今回は、CISAみたいなガチ勢の「脅威ハンティング」でようやく気づいたらしいけど日本も同じこといけそう??

で、結局どうしたらいいの?

とりあえずセキュリティの基本はちゃんとやろ!
2000回ぐらい聞いている話ですが、

  • MFA(多要素認証)、パスワードちゃんと管理
  • パッチ当てる、使ってないアカウント整理する、などなど

でもVolt Typhoonみたいな“潜伏ガチ勢”には、

  • PowerShellとか普通のツールが「いつもと違う使われ方」してないかチェック!
  • 変な挙動に気付く運用ルールや監査仕組みを作る
  • 「ウチは普段どんな感じか」をちゃんと把握(ベースライン大事)

などなど面倒そうですが、追加で対策していくことが必要になりそうです。

おわりに

Volt Typhoon、「なんか聞いたことある」から「普通にやばくね?」という感覚になったでしょうか??
「日本もヤバいかも」って気にするだけでも違うので、セキュリティの話、たまには思い出してみてね。

次回はVolt TyphoonとごっちゃになりがちなSalt Typhoonについて解説していきます!おつかれさまでした!

参考

[1] https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/
[2]https://www.nisc.go.jp/pdf/council/cs/ciip/dai37/37_shiryou4_jousei.pdf
[3]https://www.trendmicro.com/ja_jp/jp-security/23/h/securitytrend-20230825-01.html
[4]https://unit42.paloaltonetworks.com/ja/volt-typhoon-threat-brief/
[5]https://www.jpcert.or.jp/present/2018/20171109codeblue2017_ja.pdf

Discussion