英国国家サイバーセキュリティセンター（NCSC-UK）および国際パートナーは、厳しい警告を発しました。中国の国家支援型ハッカーは、検出を回避し、悪意のある活動を偽装するために、乗っ取られた一般消費者向けデバイスの広大なネットワークをますます使用しています。 米国、オーストラリア、カナダ、ドイツ、日本、オランダ、ニュージーランド、スペイン、スウェーデンの各機関が共同署名したこの共同勧告は、戦術の重要な変化を浮き彫りにしています。中国のハッカーグループの大多数は、個別に調達されたインフラストラクチャから、主に小規模オフィス・ホームオフィス（SOHO）ルーター、インターネット接続カメラ、ビデオレコーダー、ネットワーク接続ストレージ（NAS）機器を標的とした、侵害されたデバイスの広範なボットネットへと移行しました。 ### ボットネットの機能 これらの大規模ボットネットにより、攻撃者は侵害されたデバイスの連鎖を通じてトラフィックをルーティングできます。トラフィックはネットワークの一方の地点に入り、複数の中間ノードを通過し、意図されたターゲットの近くで出口を出るため、攻撃者の真の場所が効果的に隠蔽され、地理的な検出が回避されます。 「NCSCは、中国関連の脅威アクターの大多数がこれらのネットワークを使用していると考えており、複数の秘密裏のネットワークが作成され、常に更新されていること、そして単一の秘密裏のネットワークが複数のアクターによって使用されている可能性があると考えています」と、[共同勧告は述べています](https://www.ncsc.gov.uk/news/executive-summary-defending-against-china-nexus-covert-networks-of-compromised-devices)。 「これらのネットワークは、主に侵害されたSmall Office Home Office（SOHO）ルーター、およびInternet of Things（IoT）およびスマートデバイスで構成されています。」 <div> <figure> <figcaption><em>秘密裏のネットワークの基本的なセットアップ（NCSC-UK）</em></figcaption> </figure> </div> ### 注目すべきボットネットの例 **Raptor Train**として知られるそのような大規模な中国のボットネットの1つは、2024年に世界中で260,000台以上のデバイスに感染しました。**FBI**は、中国の国家支援型**Flax Typhoon**ハッキンググループおよび中国企業**Integrity Technology Group**（2025年1月に制裁）に起因する悪意のある活動に**Raptor Train**を関連付けました。 **FBI**は、米国および台湾の軍事、政府、高等教育、通信、防衛産業基盤（DIB）、およびITセクターの組織を標的としたキャンペーンに**Raptor Train**が関連していることを特定した後、**Black Lotus Labs**の研究者の支援を受けて2024年9月に**Raptor Train**を無力化しました。 別のネットワーク（**KV-Botnet**）は、中国の国家支援型**Volt Typhoon**脅威グループによって使用されており、主に更新が古く、セキュリティパッチが適用されなくなった脆弱な**Cisco**および**Netgear**ルーターで構成されていました。**FBI**は2024年1月に感染したルーターからmalwareを消去することで**KV-Botnet**を無力化しましたが、**Volt Typhoon**は2024年2月の最初の試みが失敗した後、2024年11月にゆっくりとそれを復活させ始めました。 ### 影響と緩和策 「ボットネットの運用は、日常的なインターネット接続デバイスの脆弱性を悪用し、大規模なサイバー攻撃を実行する可能性を秘めているため、英国にとって重大な脅威となっています」と、**NCSC-UK**のオペレーションディレクターであるPaul Chichester氏は述べています。 勧告に署名した西側の情報機関は、これらのボットネットが新しい侵害されたノードを継続的に追加するため、悪意のあるIPアドレスの静的なリストをブロックすることに基づいた従来の防御策は、ますます効果がなくなっていると警告しました。 代わりに、小規模、中規模、大規模組織のネットワーク防御者は、多要素認証の実装、ネットワークエッジデバイスのマッピング、既知の秘密裏のネットワークインジケーターを含む動的な脅威フィードの活用、そして可能であればIP許可リスト、ゼロトラスト制御、およびマシン証明書検証の適用を推奨されています。