「サイバー超大国」となった中国、攻撃手法にも変化
では、日々最新のサイバー脅威について情報を得ている立場から、最も危惧しているものは何か。ジョイス氏が真っ先に挙げたのは「中国」だった。
同氏が中国を「最も顕著な脅威」とする理由は、ここ数年で同国の“攻撃スキル”が急速に進化しているからだ。「これまで中国は、攻撃者の管理下にあるインフラ機器を使ったり、簡単に検出できるような“馴染みのある(使い古された)”戦術を利用したりしていた。しかし最近では、30日ごとに利用する機器を変更するなど、巧妙化している」とジョイス氏。サイバー攻撃において利用するインフラをレンタル利用することで、一定期間で廃棄するような戦術が見受けられるようになったという。他にもゼロデイ脆弱性を突いた「LoTL(Living Off the Land:環境寄生型攻撃)」を用いるなど、(マルウェアを利用しないため)検出が困難になっている。これまでならば、「このC2(Command and Control)は特定のAPTグループが使用している」と判別しやすかったが、インフラを定期的にリフレッシュされると検出の難易度は一気に上がるだろう。
「足跡を残すようなカスタマイズされたマルウェアを使わず、汎用マルウェアを使ってアクセスした後、バックドアや悪意あるコードを配置している。まさに中国は『サイバー・スーパーパワー』となった」(ジョイス氏)
中国を後ろ盾とした攻撃グループの主な目的は「スパイ活動」だ。これは国家レベルでサイバー攻撃を行う“4大国”(中国、北朝鮮、イラン、ロシア)においても、際立った特徴のようだ。ジョイス氏によると、残り3ヵ国は“破壊的な攻撃”を行うのに対し、(中国は)米国やその他の国の重要インフラへのアクセス権を得たとしても、スパイ行為のみに集中している。もちろん、米軍施設をはじめとした重要インフラに侵入していた「Volt Typhoon」という例外も挙げられる。それでもデータを消去するようなワイパー攻撃はなく、スパイ活動に特化している同国の特徴がうかがえるという。ジョイス氏は「中国がサイバー攻撃で行っていることは創造的かつ徹底的であり、検出したり追跡したりすることが困難だ」と話す。
またジョイス氏は、前述した4大国から北朝鮮によるによるサイバー脅威も取り上げた。北朝鮮に在住するITスキルのある人が身分をなりすまし、米国などの国外企業のリモート勤務職を得て、重要情報を収集するというものだ。日本でも警視庁が注意喚起をしている。
「小規模な企業から誰もが知っているような有名企業まで、北朝鮮のITワーカーによる被害に遭っている。最初は(北朝鮮の水準では高額になる)報酬を得て、それが核兵器などの資金源となることが懸念されていたが、偵察やスパイ活動の温床にもなっていることが段々とわかってきた。2025年に入ってからは“恐喝”も見られる。不吉な兆候だ」とジョイス氏。攻撃的になると同時に、その被害は欧州やアジアなど、世界中に広がっていると警鐘を鳴らす。
