日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月25日、「Operation Blotless攻撃キャンペーンに関する注意喚起」において、環境寄生型(LOTL: Living Off The Land)戦術を用いるサイバー攻撃キャンペーン「Operation Blotless」に対し、注意を喚起した。2023年から日本の組織を狙う攻撃活動がみられるという。

JPCERT/CCは中国の国家支援を受けていると見られる脅威グループ「Volt Typhoon」による同種の攻撃を例に、短期および中長期の対策を提示している。

○「Volt Typhoon」の特徴

Volt Typhoonは中国の敵となりうる国家に対し、将来その国のインフラに破壊的なサイバー攻撃を実施するための下準備として環境寄生型戦術を用いたサイバー攻撃を実施するとされる(参考：「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure | CISA」)。

そのため、長期間システムに潜伏することを優先し、認証情報の窃取以外の目立つ活動は原則しないという。Volt Typhoonは発見される可能性のあるマルウェアは用いず、環境に元から存在するソフトウェアを活用して認証情報の窃取を試みる。このような環境寄生型戦術は攻撃の痕跡(ログ)をほとんど残さないことから、検出は非常に難しいとされる。

○短期的な対策

JPCERT/CCは短期的な対策として、次に示すような侵害調査の実施を推奨している。
○ドメインコントローラ(DC)のログ調査

ドメインコントローラ(DC)に次のようなログが存在しないかどうか調査する。

Active Directoryデータベースファイルの持ち出し試行を確認する。具体的には「ntdsutil.exe」、「vssadmin.exe」の実行ログや、イベントID「8222」、「7036」、「216」の存在を確認する
イベントログの削除を試行したかを確認する。具体的にはイベントID「104」の存在を確認する
PowerShellの実行履歴に不審なものがないかを調査する