中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃（2023年10月24日情報）

中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃

2023年10月17日、警察庁および内閣サイバーセキュリティセンターは中国を背景とするサイバー攻撃グループ「BlackTech」によるサイバー攻撃に関する注意喚起を発出しているという内容について、X（ツイッター）に投稿がありました。

警察庁および内閣サイバーセキュリティセンターは
中国を背景とするサイバー攻撃グループ
「BlackTech」によるサイバー攻撃に関する
注意喚起を発出しています🚨

被害拡大を防止するためにも
目を通しておきましょう👀https://t.co/j8kpRJvMx1#サイバー攻撃 #セキュリティ情報

— マカフィー・セキュリティ情報局 (@McAfee_JP_Sec) October 17, 2023

内閣サイバーセキュリティセンター（NISC）とは？

2014年（平成26）11月、サイバーセキュリティ基本法が成立し、同法に基づき、2015（平成27）年1月、内閣に「サイバーセキュリティ戦略本部」が設置され、同時に、内閣官房に「内閣サイバーセキュリティセンター（NISC）」が設置されました。

内閣サイバーセキュリティセンター（NISC）の主な所掌事務は、サイバーセキュリティ戦略本部の事務局としての役割のほか、行政各部の情報システムに対する不正な活動の監視・分析やサイバーセキュリティの確保に関し必要な助言、情報の提供その他の援助、監査等を行うとともに、サイバーセキュリティの確保に関する総合調整役を担っているとのことです。

参考）内閣サイバーセキュリティセンターのサイト：https://www.nisc.go.jp/

アメリカ国家安全保障局（NSA）とは？

アメリカ国家安全保障局（英語: National Security Agency：NSA）は、アメリカ国防総省の情報機関で、通信傍受・盗聴・暗号解読などの「信号情報」活動を担当する国防総省傘下の情報機関です。1952年に発足し、職員は3万人以上、予算も中央情報局(CIA)を上回るとされていますが、機密になっているそうです。

アメリカ連邦捜査局（FBI）とは？

アメリカ連邦捜査局（英語: Federal Bureau of Investigation, FBI）は、司法省に属するアメリカ合衆国の警察機関のひとつで、国内の治安維持を一手に担い、テロ・スパイ、政府の汚職、複数の州に渡る広域事件、強盗事件などの捜査を担当していて、さらに、誘拐事件では、未解決のまま通報から24時間を経過すると、広域事件として自治体警察からFBIに捜査主体が移されるそうです。

参考）「連邦捜査局」（2023年10月15日 (日) 02:16　UTCの版）『ウィキペディア日本語版』

アメリカ国土安全保障省サイバーセキュリティ・インフラ庁とは？

アメリカ国土安全保障省サイバーセキュリティ・インフラ庁（英: Cybersecurity and Infrastructure Security Agency、略称: CISA）は、アメリカの行政機関のひとつであり、国土安全保障省の外局として運用されています。

期待される役割は、政府のあらゆるレベルにおけるサイバーセキュリティの改善、サイバーセキュリティプログラムの州間の調整、国家・民間・国民のハッカーに対する政府のコンピュータセキュリティ計画を改善することとのことです。

参考）「アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁」（2023年5月10日 (水) 11:18　UTCの版）『ウィキペディア日本語版』

サイバー攻撃とは？

サイバー攻撃とは、コンピュータ情報システム、コンピュータ ネットワーク、インフラストラクチャ、パーソナル コンピュータ デバイス、またはスマートフォンを標的とするあらゆる攻撃的な手段です。攻撃者とは、潜在的に悪意を持って、許可なくシステムのデータ、機能、またはその他の制限された領域にアクセスしようとする個人またはプロセスで、状況に応じて、サイバー攻撃はサイバー戦争またはサイバーテロの一部となる可能性があり、サイバー攻撃は、主権国家、個人、グループ、社会、組織によって利用される可能性があり、匿名のソースから発生する場合もあります。サイバー攻撃を促進する製品は、サイバー兵器と呼ばれることもあります。

サイバー攻撃について、兵庫県のサイトより動画をご紹介します。

参考）兵庫県のサイト：https://web.pref.hyogo.lg.jp/cybertaisaku/

サイバー攻撃グループ「BlackTech」とは？

「BlackTech」は中国を背景とするサイバー攻撃グループの1つで、2010年ごろから日本を含む東アジアと米国の政府や電気通信などの分野を標的に情報窃取を目的とするサイバー攻撃を行っているとされています。

参考）NHKのサイト：https://www.nhk.or.jp/

警 察 庁と内閣サイバーセキュリティセンターが発出したサイバー攻撃についての注意喚起

2023年9月27日、警察庁及び内閣サイバーセキュリティセンター（NISC）は、米国家安全保障局（NSA）、米連邦捜査局（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、中国を背景とするサイバー攻撃グループ「BlackTech」（ブラックテック）によるサイバー攻撃に関する合同の注意喚起を発出しました。「中国を背景とするサイバー攻撃グループ BlackTech によるサイバー攻撃について（注意喚起）」の内容をご紹介します。

警察庁及び内閣サイバーセキュリティセンターは、米国家安全保障局（NSA）、米連邦捜査局
（FBI）及び米国土安全保障省サイバーセキュリティ・インフラ庁（CISA）とともに、下記の中国を背景
とするサイバー攻撃グループ「BlackTech」（ブラックテック）によるサイバー攻撃に関する合同の注
意喚起を発出しました。
注意喚起：People’s Republic of China-Linked Cyber Actors Hide in Router Firmware
BlackTech は、2010 年頃から日本を含む東アジアと米国の政府、産業、技術、メディア、エレクト
ロニクス及び電気通信分野を標的とし、情報窃取を目的としたサイバー攻撃を行っていることが確
認されています。
この注意喚起は、BlackTech によるサイバー攻撃の手口を公表することで、標的となる組織や事
業者に、直面するサイバー空間の脅威を認識いただくとともに、サイバー攻撃の被害拡大を防止
するための適切なセキュリティ対策を講じていただくことを目的としております。あわせて、ネットワ
ークの不審な通信を検知した際には、速やかに所管省庁、警察、セキュリティ関係機関等に情報
提供いただきますようお願いします。
なお、注意喚起に示した BlackTech の手口及び対処例の主な内容は、以下のとおりとなります。
【初期侵入】
BlackTech は、インターネットに接続されたネットワーク機器に対し、ソフトウェアの脆弱性を狙う
ほか、ネットワークの設定の不十分さ、サポートの切れた機器・ソフトウェアなど、標的ネットワーク
の様々な脆弱な点をサイバー攻撃することにより侵入します。
【海外子会社からの侵入】
BlackTech は、最初の足がかりとなる侵害拠点を構築すると、侵害活動を拡大させるため、海外
子会社の拠点において、本社との接続のために使用される小型のルーターを、攻撃者の通信を中
継するインフラとして利用します。このように BlackTech は、信頼された内部のルーターを通じて、
本社や別の拠点のネットワークへ侵入を拡大することが確認されています。
特に複数の拠点を有するネットワークの管理に携わる事業者においては、サイバー攻撃が常に
インターネット側から行われるとは限らず、既に侵害された組織内部のネットワークから攻撃が行
われ得ることを念頭に置いていただき、自組織だけでなく関連するグループ組織、システムの開
発・保守業者等と連携して対策を講ずることが必要です。
【ルーターの侵害手口】
BlackTech は、様々なメーカーのネットワーク機器を侵害するために脆弱性を調査していると考
えられます。BlackTech は、稼働中のシスコ社製ルーターのファームウェアを、改変されたファーム
ウェアに取替えることが確認されています。改変されたファームウェアに取替えることにより、
BlackTech 自身の悪意あるサイバー活動のログを隠蔽
ぺい
し、より長期にわたり、標的ネットワークへ
のアクセスを維持することが目的と考えられます。
【リスク低減のための対処例】
対処例の主な内容は、次のとおりです。注意喚起本文もあわせて参照の上、サイバー攻撃を検
知し、自組織のネットワークを守るための緩和策を講じていただくようお願いします。
○ セキュリティパッチ管理の適切な実施
ソフトウェアや機器の脆弱性に対して、迅速にセキュリティパッチを適用する。パッチ適用を
可能な限り迅速化し、適用漏れをなくすため、脆弱性管理やパッチ管理を行うプログラムの
導入を検討する。
○ 端末の保護（いわゆるエンドポイント・プロテクション等）
端末（PC、タブレット端末、スマートフォン等）のセキュリティ機能の活用や、セキュリティ対
策ソフトの導入を行う。
○ ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション
ソフトウェア及び機器のリストを管理し、不要と判断するものは排除する。また役割等に基
づいてネットワークを分割する。
○ 本人認証の強化、多要素認証の実装
パスワードスプレー攻撃やブルートフォース攻撃によって認証が破られるリスクを低減する
ために、パスワードは十分に長く複雑なものを設定する。また、複数の機器やサービスで使
い回さない。システム管理者等においては、多要素認証を導入し本人認証をより強化する。
また、不正アクセスを早期に検知できるようにするために、ログイン試行を監視する。
○ アカウント等の権限の適切な管理・運用
アカウントやサービスの権限は、そのアカウント等を必要とする業務担当者にのみ付与す
る。特権アカウント等の管理・運用には特に留意する。
○ 侵害の継続的な監視
ネットワーク内で不審な活動が行われていないか継続的に監視を行う。たとえば、業務担
当者以外がシステムやネットワークの構成に関する資料へアクセスするといった通常の行動
から外れた活動や、外部の様々な脅威情報と一致するような不審な活動の監視を行う。
○ インシデント対応計画、システム復旧計画の作成等
インシデント発生時に迅速な対応をとることができるように、インシデント対応の手順や関
係各所との連絡方法等を記した対応計画を予め作成し、随時見直しや演習を行う。また包括
的な事業継続計画の一部としてシステム復旧計画の作成等を行う。
○ ゼロトラストモデルに基づく対策
境界防御の効果が期待できない場合を踏まえた認証等の強化を図るとともに、インシデン
トの予兆を把握した段階で即時に検知と対処ができるような仕組みや体制を整備する。
【参考資料】
○「People’s Republic of China State-Sponsored Cyber Actors Exploit Network
Providers and Devices」（令和４年６月 10 日公表 NSA, FBI, CISA）
https://media.defense.gov/2022/Jun/07/2003013376/-1/-
1/0/CSA_PRC_SPONSORED_CYBER_ACTORS_EXPLOIT_NETWORK_PROVIDERS_DEVICES_TLPWHITE.PD
F
○「People’s Republic of China State-Sponsored Cyber Actor Living off the Land to
Evade Detection」（令和５年５月 24 日公表 NSA, FBI, CISA 等）
https://media.defense.gov/2023/May/24/2003229517/-1/-
1/0/CSA_PRC_State_Sponsored_Cyber_Living_off_the_Land_v1.1.PDF
○ 「NETWORK INFRASTRUCTURE SECURITY GUIDE」（令和４年６月 22 日公表 NSA）
https://media.defense.gov/2022/Jun/15/2003018261/-1/-
1/0/CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDE_20220615.PDF
○ 「PERFORMING OUT OF BAND NETWORK MANAGEMENT」（令和２年９月 11 日公表 NSA）
https://media.defense.gov/2020/Sep/17/2002499616/-1/-
1/0/PERFORMING_OUT_OF_BAND_NETWORK_MANAGEMENT20200911.PDF
○ 「Attackers Continue to Target Legacy Devices」（令和２年 10 月 19 日公開 Cisco
Systems ブログ）
https://community.cisco.com/t5/security-blogs/attackers-continue-to-targetlegacy-devices/ba-p/4169954
○「家庭用ルーターの不正利用に関する注意喚起について」（令和５年３月 28 日公開 警視
庁）
https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/notes/router.html
○「サイバーセキュリティ経営ガイドラインと支援ツール」（令和５年５月 31 日公開 経済
産業省）
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
出典）警察庁のサイト：https://www.npa.go.jp/bureau/cyber/koho/caution/caution20230927.html

みんなの反応・SNSの反応

中国を背景とするサイバー攻撃についてのSNS（Twitter等）での反応をいくつかご紹介します。中国がサイバー攻撃でアメリカのガスパイプラインの稼働を止める能力があるや世界規模の、サイバー攻撃を、仕掛けようと企んでいるのではなどの声がありました。

中国がサイバー攻撃で米国のガスパイプラインの稼働を止める能力があると指摘した。核弾頭保有数に関し「想定を上回る方向だ」と危機感を示した。

米国防総省「中国にガス管停止能力」サイバー攻撃警戒❗️日本経済新聞https://t.co/9bHxThzBaX

— 中谷良子 (@_ryokonakaya) October 22, 2023

中国が世界規模の、サイバー攻撃を、仕掛けようと企んでいるようです。こっから、世界戦争へ発展！情勢は、かなりひっ迫してます。ヤバい。https://t.co/xddqVvuG5y

— 9000hihi (@h14594652) October 18, 2023

国主導で他国の技術や機密情報抜き出して不当競争してるのまじでやばいな。

"政府は、産業特区を設けてセキュリティー企業の起業を促進するなど、取り組みを強化。そうする中で、国家プロジェクトとして行われるサイバー攻撃にも「民間」が参入している可能性があるという。"https://t.co/69PkkLbNDj

— Suica非公式 (@gmgcw) October 18, 2023

キショいなぁ
中国からサイバー攻撃来てるやん

— 夢空《F.A.K.E.》 (@yurayura_spoon8) October 19, 2023

BlackTechは、2010年頃から活動の確認がされている中国政府が支援するグループ。日本をはじめとした東アジアと米国の経済・産業や政府をターゲットに、情報窃取という狙いのもと攻撃をしているという
—
警察庁ら、サイバー攻撃グループBlackTechについて注意喚起。｜PreBell https://t.co/U1x18QMPft

— Sony | So-net【公式副音声】 (@Sonet_fukuonsei) October 16, 2023

本記事は、2023年11月20日時点調査または公開された情報です。
記事内容の実施は、ご自身の責任のもと、安全性・有用性を考慮の上、ご利用ください。