脅威アクターインタビュー／「五毒」を標的に／ネットワーク機器も監視対象に ほか [Scan PREMIUM Monthly Executive Summary 2023年9月度]

　大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary」をお届けします。なお、「前月総括」以外の各論は、Scan PREMIUM 会員向けメールマガジンに掲載・配信しています。

＞＞Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

＞＞岩井氏 インタビュー記事「軍隊のない国家ニッポンに立ち上げるサイバー脅威インテリジェンスサービス」

●前月総括

　柳条湖事件が起こってから 92 年となる 2023 年 9 月 18 日は、特に大きなサイバー攻撃事案が発生したとの報道はありませんでした。反日活動も様相が変わり、その多くは中国版 TikTok で知られる抖音などでみられる程度で、2000 年代にみられたホームページ改竄などは殆ど観測されていません。

　9 月は、G20 サミットがインドで開催されましたが、関連してパキスタンやインドネシアのハクティビストが同国のサイトへの DDoS 攻撃等を実施したことが報じられています。なお、インドネシアのハクティビストの活動は動機が不明な点が多く、最近の活動（米国やイスラエルへの攻撃など）からは、ロシアに対してネガティブな行動をした国家を標的としているようにみえます。

　脅威動向に関してですが、Broadcom 社 Symantec はアジア諸国の送電事業者を標的とした中国の Redfly グループの活動を報告しています。同社は、近年の政治的緊張の高まりを受けて、国家インフラ施設への攻撃が増加していると指摘しています。この報告で重要な点の 1 つは、マルウェアが約半年間、国家送電網を運営する事業者のネットワークに潜伏していたことです。特に電力は、その他の社会インフラを支える基盤となるものですので、その関連事業者が侵害され続けていたということは、国家として大きな脅威であったと言わざるを得ません。ウクライナ戦争の勃発から、エネルギー分野への攻撃は増加傾向にありますので、関係事業者は警戒を強めることが望まれます。

　続けての中国の脅威動向となりますが、Volexity 社が EvilBamboo として追跡する脅威アクターが、モバイルデバイスを標的としたマルウェアを悪用し、中国が国内の脅威とする「五毒」を標的としている可能性を指摘しています。五毒とは「（1）台湾独立」「（2）チベット独立」「（3）新疆分離主義者」「（4）法輪功」「（5）中国の民主化運動」を示す中国の用語です。この五毒を対象とした監視活動は、以前より一部の中国の脅威アクターの活動として指摘されているものであり、特にチベット人やウイグル人が標的になることが多かったように記憶しています。しかし、今回の報告では、台湾人が標的となっており、来年 1 月に予定されている台湾での総統選を踏まえての活動の可能性を臭わせます。