一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月25日、Operation Blotless攻撃キャンペーンに関する注意喚起を発表した。
重要インフラなどを狙う「Volt Typhoon」の攻撃活動が2023年5月に公表されて以降、Living off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動への警戒が高まっており、JPCERT/CCでも2023年から日本の組織も狙う同様の攻撃活動(Operation Blotless)を注視している。JPCERT/CCでは、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えているが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点で精査しきれていないという。
Living off the Land戦術は、複数のAPTアクターが使用する戦術で、ランサムウェア攻撃のアクターも多用しており、特定のAPTアクターに限らず、さまざまな脅威への対策にもなることから、攻撃の手法や手順(TTP)について多くの情報が公開されている「Volt Typhoon」のTTP情報をベースに、JPCERT/CCがこれまでに対応した関連事案を含め、サイバーセキュリティ協議会の活動などを通じて把握している同攻撃活動への対応方法について解説している。
Volt Typhoonによる攻撃活動については、現時点で国内外の専門組織が把握しているのは、政府機関や重要インフラ企業への将来の再侵入に備えて「侵入方法を開拓」することが活動目的で、基本的には認証情報の窃取(NTDSファイルの窃取など)が活動の中心となっている。
Volt Typhoonによる過去の攻撃活動に対する侵害有無の調査は、通常のAPT事案対応よりも困難であることが想定されるため、「過去に侵害されたかどうか」を調査することの限界を認識した上で、本攻撃活動の想定される目的を踏まえ、「仮に過去に侵害されていたとしても、将来の破壊的活動における再侵入をされないこと」を目指すことを推奨している。
![北の IT 技術者に懸賞金かかる/産経報道に世界注目/イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/45107.jpg)
![脆弱性診断内製化を達成したら必要になるもの ~「診断マネジメント」エーアイセキュリティラボ [Interop Tokyo 2024 REPORT] 画像](/imgs/std_m/45285.jpg)
![応募〆切 2024年7月3日(水)|東京都中小企業の CSIRT 構築と IT-BCP 策定[無料]支援事業 誌上説明会 画像](/imgs/std_m/45225.jpg)
![人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像](/imgs/std_m/43329.jpg)
