英国の**National Cyber Security Centre (NCSC-UK)**は、国際的なパートナーと共に、中国関連のサイバー攻撃者が採用する戦術、技術、手順（TTPs）の変化を詳述した共同勧告を発表しました。この変化には、「隠蔽ネットワーク」と呼ばれる侵害されたデバイスの大規模ネットワークを活用してサイバー攻撃を実行することが含まれます。 **国際協力:** この勧告は、以下の機関による共同作業です。 * オーストラリア信号局（ASD）のオーストラリアサイバーセキュリティセンター（ACSC） * カナダ通信保安局（CSE）のカナダサイバーセキュリティセンター（Cyber Centre） * ドイツ連邦憲法擁護庁（BfV） * ドイツ連邦情報局（BND） * ドイツ連邦情報セキュリティ庁（BSI） * 日本国家サイバー統括室（NCO） * オランダ総合情報保安局（AIVD） * オランダ国防情報保安局（MIVD） * ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ） * スペイン国家暗号センター（CCN） * スウェーデン国家サイバーセキュリティセンター（NCSC-SE） * 米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（**CISA**） * 米国国防総省サイバー犯罪センター（DC3） * 米国連邦捜査局（**FBI**） * 米国国家安全保障局（**NSA**） この勧告は、ネットワーク防御担当者がこれらの進化する脅威に対抗するために必要な知識とツールを提供することを目的としています。 **隠蔽ネットワークの台頭** 中国関連の脅威アクターは、個別に調達したインフラストラクチャから、外部から提供される侵害されたデバイスの大規模ネットワークへと移行しています。これらの「隠蔽ネットワーク」は、主に侵害されたSOHOルーター、IoTデバイス、スマートデバイスで構成されています。 これらのネットワークは、ボットネットとしても知られており、悪意のあるサイバー活動を促進するために戦略的に大規模に使用されています。 **隠蔽ネットワークの仕組み** 隠蔽ネットワークは、インターネットを介した接続において、低コスト、低リスク、否認可能という方法を提供し、悪意のある活動の発信源と帰属を効果的に隠蔽します。攻撃者は、偵察スキャンからマルウェア配信、マルウェアとの通信、盗難データの流出まで、サイバーキルチェーン全体でこれらのネットワークを利用します。また、エクスプロイト技術や標的に関する調査のための匿名ブラウジングも可能にします。 **Raptor TrainとIntegrity Technology Group** 中国の情報セキュリティ企業がこれらの隠蔽ネットワークの作成と維持に関与している証拠があります。2024年に世界中で20万台以上のデバイスに感染した**Raptor Train**として知られるネットワークは、**Integrity Technology Group**によって制御されていました。**FBI**は、この企業を、Flax Typhoonとして知られる中国ベースのハッカーに帰属するコンピューター侵入活動の責任者と評価しています。 **脆弱なデバイスとKVボットネット** これらの隠蔽ネットワークは、SOHOルーター、IoTデバイス（ウェブカメラやビデオレコーダーなど）、ファイアウォール、ネットワーク接続ストレージ（NAS）デバイスの脆弱性を悪用することがよくあります。Volt Typhoonによって使用されたKVボットネットは、主に「EOL（End of Life）」となり、セキュリティアップデートを受け取らなくなった脆弱な**Cisco**および**NetGear**ルーターを標的としていました。 **侵害指標（IOC）の消滅という課題** **Mandiant Intelligence**は、2024年5月のブログ投稿で、侵害指標（IOC）の消滅の問題を強調しました。潜在的に数百万人ものエンドポイントが複数の脅威アクターによって使用されるこれらのネットワークの動的な性質は、静的な悪意のあるIPブロックリストなどの従来のネットワーク防御戦略を効果が薄くしています。 **一般的なネットワークトポロジー** 各隠蔽ネットワークの具体的な詳細は異なりますが、一般的に類似した構造に従います。 * **オンランプ/エントリーノード:** ネットワークへの最初の接続ポイント。 * **トラバーサルノード:** トラフィックを転送する複数の侵害されたデバイス。 * **エグジットノード:** トラフィックがネットワークを離れるポイント。多くの場合、標的と同じ地理的地域にあります。  **保護措置** 隠蔽ネットワークからの攻撃に対抗するには、多角的なアプローチが必要です。組織は一般的なサイバーセキュリティのベストプラクティスに従い、以下の特定の措置を検討する必要があります。 * 堅牢なネットワーク監視および侵入検知システムを実装する。 * ルーターやIoTデバイスを含むすべてのデバイスを最新のセキュリティパッチで更新する。 * 潜在的な侵害の影響を制限するためにネットワークをセグメント化する。 * 強力な認証およびアクセス制御ポリシーを施行する。 * セキュリティポリシーと手順を定期的に見直し、更新する。 **NCSC**のウェブサイトで、適用される法律および規制の考慮事項とともに、さらなるガイダンスが利用可能です。