中国関連の侵害されたデバイスによる秘密裏のネットワークに対す... ノート

中国関連の侵害されたデバイスによる秘密裏のネットワークに対する防御

中国関連のサイバー攻撃者は、悪意のある活動を隠蔽するために、侵害されたデバイスの大規模なネットワーク、いわゆる「隠蔽ネットワーク」をますます利用しています。この戦術、技術、手順(TTP)の変化は、個別に調達されたインフラストラクチャからの移行を示しています。これらの隠蔽ネットワークは、主に侵害されたSOHO(Small Office Home Office)ルーター、IoT(Internet of Things)デバイス、スマートデバイスで構成されています。このようなネットワークにより、攻撃者は低コスト、低リスクで、かつ否認可能性をもってサイバー攻撃を実行でき、特定を困難にしています。これらは、偵察からマルウェア配信、データ漏洩まで、サイバーキルチェーンのすべての段階で利用されています。中国の情報セキュリティ企業がこれらの隠蔽ネットワークを作成・維持しているという証拠があります。例えば、20万台以上のデバイスに感染したRaptor Trainネットワークは、Integrity Technology Groupによって管理されていました。Volt Typhoonによって使用されたKV Botnetは、主に脆弱なEOL(End-of-Life)ルーターで構成されていました。静的なIPブロックリストに依存する従来の防御パラダイムは、これらのボットネットの動的かつ分散的な性質により、効果が低下しています。防御側は、ネットワークエッジデバイスのマッピング、通常の接続のベースライン設定、脅威インテリジェンスの活用によって適応する必要があります。多要素認証の実装と、IPアドレスまたは地理的な許可リストの採用は、重要な保護措置です。より大規模またはリスクの高い組織は、ゼロトラストポリシーを導入し、インターネットに公開されているIT資産を削減することで、セキュリティをさらに強化できます。最も標的とされている組織には、これらの隠蔽ネットワークを個別の脅威として積極的に探し出し、追跡することが推奨されます。包括的なサイバーセキュリティのベストプラクティスは、これらの進化する脅威に対する防御の基本であり続けます。
CdXz5zHNQW_ATHApB8wCS.png