日本の組織狙う環境寄生型サイバー攻撃、JPCERT/CCが警戒呼びかけ

○Webサーバおよびネットワーク機器の調査

Webサーバおよびネットワーク機器にWebシェルなどのバックドアが設置されていないかどうかを調査する。調査にはセキュリティソリューションの活用が望まれる。
○リバースプロキシの調査

Volt Typhoonは過去の活動においてリバースプロキシを使用したことが確認されている。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)が公開しているセキュリティ侵害インジケーター(IoC: Indicator of Compromise)などを活用し、悪用可能なツールが存在しないか調査する(参考：「MAR-10448362-1.v1 Volt Typhoon | CISA」)。
○SSL-VPN機器のログおよび管理者アカウントの調査

仮想プライベートネットワーク(VPN: Virtual Private Network)関連機器のログに不審な点がないかどうかを調査する。また、管理者アカウントの不正アクセスを調査する。
○中長期的な対策

JPCERT/CCは将来の攻撃への備えとして、次のような対策の実施を推奨している。
○インターネットに接続されたアプライアンスの点検

攻撃対象領域を特定し、影響を受ける可能性のあるアプライアンスを点検する。ソフトウェアを最新の状態に維持し、ログが適切に取得できているか調査する(参考：「「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました （METI/経済産業省）」)。
○Active Directoryの各種ログ設定の見直し、侵害アラートの導入

Active Directoryの各種ログ設定を見直す(参考：「Active Directory のセキュリティ保護に関するベスト プラクティス | Microsoft Learn」)。さらに、ログから侵害の兆候を検出してアラートを通知する仕組みを導入する。
○最小権限の原則

攻撃対象領域のアプライアンスなどに最小権限の原則を適用する。また、不要な管理者アカウントやユーザーが残っていないかどうかを確認して、見つけた場合は削除する。

JPCERT/CCはOperation Blotlessキャンペーンの攻撃対象に日本の組織が含まれているとして注意を呼びかけている。サイバー攻撃は組織の大小にかかわらず実行される可能性があり、すべての企業および組織には最新のセキュリティ対策を実施することが推奨されている。特にインフラ関連の組織には本件のようなサイバー攻撃の可能性があることから、上記の対策の実施が望まれている。
（後藤大地）