一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月26日、Volt Typhoonの攻撃キャンペーンにどう備えていくべきなのかについての考察記事を発表した。
APT事案のインシデント対応では、情報共有活動等から不正通信先やIoC(Indicator of Compromise)情報を入手し、初期侵入経路での不正アクセス有無、マルウェア感染有無を調査することから始まることがあるが、それに対しVolt Typhoonの攻撃キャンペーンでは、グループ固有のマルウェアをほとんど使わないなどのLoTL戦術の徹底で、被害現場にIoCとなる情報をほとんど残さず、また1回あたりの侵害期間が短く、侵害範囲が限定的であることから、被害現場に残るアーティファクトの量が圧倒的に少なく、従前の「攻撃者によるマルウェアや攻撃インフラの使いまわしを前提としたIoC情報をベースとした対処アプローチ」は有効性が低いという。
Volt Typhoonの攻撃キャンペーン(広義の攻撃キャンペーン)は非常に長期間のもので、JPCERT/CCと合同で注意喚起を発表したアメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの見解では標的組織に将来「再侵入」するためのものであるとしており、これまでに見てきたVolt Typhoonの過去の攻撃キャンペーン(狭義の攻撃キャンペーン)は、より長期的な攻撃活動の「準備段階」と考えることができるとしている。
NTDSファイルの窃取による認証情報収集を目的とするVolt Typhoonによる狭義の攻撃キャンペーンでは、狙われるのはドメインコントローラーで侵害範囲は極めて限定的だが、ドメインコントローラー自体が不正に操作されたことをどのように検知すればいいのかが問題となる。その中で注目されているのが「Threat Hunting」で、米当局のアドバイザリでも「proactive hunting」として同様のアプローチが推奨されている。
Threat Hunting は基本的に、アノマリ(Anomalies)を探しだすことだと考えられ、不審なプロセスの存在といった技術的アノマリや、不審な時間帯でのアカウントの挙動といった文脈的アノマリがある。このようなベースラインから逸脱したアノマリを探しだすことが Threat Hunting の基本的な考え方となる。
Volt Typhoonの攻撃「キャンペーン」について、個別の事案単位で見ると「被害」はすでに発生しているが、長期的な攻撃キャンペーン全体の視点から見ると、攻撃者側は最終目的を達成しておらず、何を「被害」と考えるか、定義するかによって、脅威の捉え方は変わってくるとしている。
従前のAPTキャンペーンへの対処は、攻撃キャンペーン後にパブリックアトリビューションや刑事訴追を行うことが多く、一部のアクターには効果を発揮したと考えられるが、基本的には「後追い」であった。しかし、Volt Typhoonの攻撃キャンペーンでは、現在進行形で追跡されているため、将来の被害防止等の対処を行うことが可能となるかもしれないと言及している。
![北の IT 技術者に懸賞金かかる/産経報道に世界注目/イラン情報安全保障省 イスラエル攻撃 ほか [Scan PREMIUM Monthly Executive Summary 2024年5月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/45107.jpg)
