背景
- ボルト・タイフーンは、中国政府の支援を受けたとされるハッカー集団で、アメリカの重要インフラを標的にしたサイバー攻撃を行ったとMicrosoftが2023年5月に報告しました。
- 2024年2月には、アメリカのCISAやFBIなど複数の機関が共同で、ボルト・タイフーンの活動が少なくとも5年間にわたり潜伏し、アメリカの通信や運輸などのインフラに影響を及ぼしていたと発表しました。
中国側の反論
- 2024年10月14日に、中国の国家コンピューターウイルス緊急対応センター(CVERC)は新たなレポートを発表し、ボルト・タイフーンの存在に関するアメリカ政府とMicrosoftの主張を「自作自演の茶番」と呼んで否定しました。
主張の要点
- アメリカによる情報操作の可能性
- CVERCは、アメリカ政府が中国の脅威を誇張することで政治的・経済的な利益を得ようとしていると主張しました。
- また、ボルト・タイフーンを中国政府と結びつける証拠が不十分であると述べました。
- 「Marble」ツールの使用
- 中国側は、アメリカの情報機関が**「Marble」**というツールを使い、攻撃を中国など他国の仕業に見せかけていると非難しました。このツールは、2017年にWikiLeaksが公開したもので、攻撃の痕跡に中国語やロシア語などを挿入することが可能です。
- 専門家の証言の不明瞭さ
- CVERCは、アメリカや欧州、アジアのサイバー専門家が、「ボルト・タイフーンの活動と中国政府との関係を示す確たる証拠がない」と述べたとしていますが、これらの専門家の詳細は明かされていません。
アメリカ側の主張と影響
- アメリカは、ボルト・タイフーンがFortinetの「FortiGuard」などの脆弱性を悪用し、ユーザーの認証情報を盗んだり、長期的なアクセスを維持するために継続的な偵察を行っていたとしています。
- さらに、Versa Directorのゼロデイ脆弱性も悪用され、アメリカのインフラが標的にされていると報告されています。
ハッカー集団「ボルト・タイフーン(Volt Typhoon)」とは?
1. ボルト・タイフーンとは?
- ボルト・タイフーンは、中国政府が支援するサイバー攻撃集団だと報じられているハッカーグループです。
- Microsoftの調査によると、2021年半ばから活動が確認され、アメリカのさまざまな重要インフラを標的にしてきたとされています。
- 目的は、情報の盗取や長期間にわたる潜伏を通じたスパイ活動で、国家規模の戦略的な偵察と破壊活動を行うと見られています。
2. 人種・国籍
- 「ボルト・タイフーン」のメンバーについては、具体的な個人情報や詳細は公開されていません。しかし、Microsoftとアメリカの諜報機関は、中国政府と密接な関係があるとしており、メンバーは中国国内の人物または中国政府によって支援を受けた人物と推測されています。
ボルト・タイフーンの活動とその手口
1. 攻撃の対象
ボルト・タイフーンは以下のようなアメリカ国内の重要インフラを主な標的にしてきたとされています:
- 通信(インターネット、5Gネットワークなど)
- 運輸(鉄道、空港、港湾施設)
- 政府機関
- 建設・製造業
- エネルギー関連(電力・ガス施設)
これらの分野への攻撃は、アメリカ国内の経済活動や安全保障に直接影響を与えかねないため、大きな懸念を引き起こしています。
2. 侵入手法
- Fortinet社の「FortiGuard」脆弱性の悪用:
ボルト・タイフーンは、Fortinetが提供するネットワークセキュリティ製品「FortiGuard」の脆弱性を突き、対象システムに侵入していました。- FortiGuardは、企業や政府機関のセキュリティを担うファイアウォールなどの製品を提供するため、脆弱性の悪用は重大なリスクを伴います。
- Versa Directorのゼロデイ脆弱性の活用:
2024年8月には、ネットワーク運用プラットフォーム「Versa Director」に存在するゼロデイ脆弱性を悪用したことが報告されました。この脆弱性を用いて、ネットワーク全体への侵入を試み、認証情報を取得しています。 - コマンドラインを使用した潜伏活動:
攻撃が検知されないように、ボルト・タイフーンはコマンドラインでユーザーの認証情報を盗み、他のシステムにも横展開するなどの高度な手法を使っています。 - 事前偵察と持続的侵入:
アメリカの当局は、「ボルト・タイフーンが標的システムの情報を事前に徹底的に収集し、侵入後も長期間潜伏し続けた」と報告しています。具体的には、数年にわたりITシステム内で踏み台を維持し、潜在的な攻撃の準備を進めていました。
目的と影響
1. スパイ活動と戦略的偵察
- ボルト・タイフーンは、国家間の緊張が高まる台湾問題などに関連して、アメリカのインフラに対する事前の偵察を行っていた可能性があります。
- 侵入後に長期間のスパイ活動を維持することで、将来的な紛争や危機の際に、アメリカの通信や運輸などの重要インフラに対して妨害工作を仕掛ける準備をしていると考えられています。
2. 影響の長期化
- アメリカの政府機関(CISA、NSA、FBI)は、2024年2月の報告書で「ボルト・タイフーンは、5年間以上にわたり複数のシステムへの侵入とアクセス権を維持してきた」と述べています。
- この長期間の活動は、単なるデータの盗取だけでなく、潜在的な攻撃の準備と持続性を重視していることを示しています。
中国側の反応
- 中国政府は、「ボルト・タイフーン」に関するアメリカ政府やMicrosoftの主張を全面的に否定し、これを**「自作自演の茶番」**と非難しました。
- 中国のCVERC(国家コンピューターウイルス緊急対応センター)は、アメリカの主張は「政治的・経済的な利益を狙った虚偽のプロパガンダ」だとしています。
- また、アメリカが自国のサイバー攻撃の痕跡を他国の言語に偽装する「Marble」というツールを使用していると非難し、サイバー攻撃を中国に濡れ衣として着せていると主張しました。
結論:米中間のサイバー戦争の懸念
- 「ボルト・タイフーン」の事例は、米中間のサイバー空間での攻防が激化している現状を象徴しています。
- アメリカ側は、重要インフラへの長期間の侵入を重大な安全保障上の脅威とみなし、中国側の行為を非難しています。一方、中国側はアメリカの主張を虚偽だと主張し、サイバー戦争の演出であると批判しています。
- このような状況は、台湾問題などの地政学的リスクを背景に、米中関係のさらなる悪化を招く恐れがあり、サイバー攻撃が国際政治の重要な争点になる可能性があります。
実際の事例:インフラ攻撃の影響
- ウクライナ電力網への攻撃(2015年、2016年)
- ウクライナでは、ロシアのハッカーによるサイバー攻撃が原因で電力網が停止し、何十万世帯が数時間にわたり停電しました。これは、サイバー攻撃が電力インフラを直接破壊する可能性を示した初期の事例です。
- コロニアル・パイプライン攻撃(2021年、アメリカ)
- パイプライン管理システムがランサムウェア(身代金要求型マルウェア)に感染し、アメリカ南東部のガソリン供給が一時停止しました。この攻撃により、パニック買いが発生し、燃料不足が深刻化しました。
- インド・ムンバイの停電(2020年)
- インド最大の経済都市ムンバイが停電し、交通機関や病院の運営が混乱しました。原因は中国からのサイバー攻撃だった可能性が指摘されています。
サイバー攻撃の特徴とリスクの連鎖
- 攻撃が検知されにくい
- ボルト・タイフーンのように、ハッカー集団はシステムに長期間潜伏し、攻撃の準備を進めます。攻撃のタイミングを選んで一斉に実行すれば、広範囲のインフラが同時に停止することも可能です。
- 複数のインフラに影響が波及する可能性
- 例えば、電力網が停止すると、通信や交通、さらには水道や医療施設にも連鎖的な影響が出ます。これを「カスケード障害」と呼びます。
- 復旧の難しさ
- サイバー攻撃の影響は、物理的な復旧だけではなく、システムの再構築やセキュリティパッチの適用も必要となるため、通常よりも長い時間がかかります。
今後の見通し
- この問題は、米中関係の悪化や、台湾侵攻をめぐる地政学的な緊張の中で重要な争点となっています。
- アメリカと中国の間でのサイバー戦争の疑惑が高まる中、こうした報告は互いに対する不信感をさらに強める要因となっています。
結論
- 中国側は、アメリカの指摘を「虚偽」とし、自国へのサイバー攻撃を隠蔽するための偽装工作であると強調。一方、アメリカは、ボルト・タイフーンによる長期的なスパイ活動の危険性を引き続き警告しています。
- こうした対立は、米中間のサイバーセキュリティと国際政治において緊張を高める要因となる可能性があり、さらなる証拠や第三者機関の分析が求められています。
参考
- Volt Typhoon: Chinese Cyber Agency Rejects US Hacking Claims – Bloomberg
- China again claims Volt Typhoon was invented by the US – The Register
まとめ
ハッキングによる電気障害などは現代の社会インフラが直面する大きなリスクです。インフラ施設は、より効率的で便利な運営のためにITシステムやネットワークに依存するようになっており、そのためにサイバー攻撃や電気障害が発生した場合、大規模なシステム障害や社会的混乱を招く可能性があります。
コメント