Volt Typhoon

Volt Typhoon - 概要

Volt Typhoon（ボルト タイフーン）、別名VANGUARD PANDA、BRONZE SILHOUETTE、Redflyなどは、中国の持続的標的攻撃（APT）グループとして知られ、特にアメリカ合衆国の重要インフラへのサイバースパイ活動を行っています。本グループは少なくとも2021年半ばから活動しており、データ盗難や認証情報の窃取に注力しています。

名称と呼称

Volt Typhoonは、Microsoftによってその名が付けられたもので、広く使用されていますが、以前はDev-0391やStorm-0391、BRONZE SILHOUETTEなど、複数の呼称で知られてきました。これらの異なる名称は、セキュリティ会社や専門機関によって定義されたもので、各機関が続けて監視し、分析を行っています。

手法

Volt Typhoonの運用方法は、主にLiving Off The Land（LotL）という戦術に基づいています。このアプローチは、既存のネットワーク管理ツールやシステム機能を活用して攻撃を行うもので、これにより、通常のWindowsシステムの活動に紛れ込むことが可能です。この手法により、EDR（エンドポイント検出と応答）プログラムによる警告を回避し、捕捉される活動の量を制限しています。

具体的には、Volt Typhoonは、PowerShellやwmic、netshなどの組み込みツールを使用し、最小限のマルウェアを伴う侵入を試みます。このグループは、管理者の脆弱なパスワードや工場出荷時のデフォルト設定を突いてインターネットに接続されたシステムにアクセスすることが多いです。侵入後は、ネットワーク内から認証情報を収集し、これを用いて持続性を維持します。これにより、追跡を回避しつつ、さらなる攻撃を準備します。

主な活動

Volt Typhoonは、特にアメリカ海軍とその重要インフラに関する情報を探る一連の攻撃を行っています。これにより、将来の攻撃に向けたプランニングや準備を進めているとされます。さらに、2024年には、シンガポールの通信大手シングテルでも同グループによる侵害が報告されています。

各国の反応

各国はこのグループの活動に対してさまざまな対応をしています。2024年1月には、FBIが米国内の侵害を受けたルーターからマルウェアを除去する作戦を実施し、国土安全保障委員会は連邦政府へ文書提出を要請しました。また、シンガポールでは、K・シャンムガム大臣がVolt Typhoonの活動を指摘しました。

中国の反応

それに対して中国政府は、Volt Typhoonとの関与を否定しています。国営メディアや国家コンピュータウイルス緊急対応センター（CVERC）を通じて、米国の偽情報キャンペーンであると述べています。さらに、中国側の発言は、暗黙の承認と受け取られる場面も見受けられました。

結論

Volt Typhoonの活動は、サイバーセキュリティの脅威として無視できない存在であり、国際的な緊張の中で、重要なインフラを狙った攻撃がますます警戒されています。このようなグループに対する対策と情報共有が、今後もますます重要になってくるでしょう。

もう一度検索