出典:jhonny marcell oportus / Shutterstock
米国と中国がラテンアメリカ地域においてより積極的な地政学的役割を担うなか、国家支援を受けた脅威グループがラテンアメリカ・カリブ海地域の国々と政府機関を標的としたサイバー作戦を強化しています。
米軍のベネズエラに対する軍事作戦を受け、中国系グループ「FamousSparrow」が海事問題を担うベネズエラ政府機関を標的にしたと、サイバーセキュリティ企業ESETが5月28日に公開したAPT(持続的標的型攻撃)グループに関するレポートで明らかにしました。FamousSparrowと、同じく中国系のサイバースパイグループ「NegativeGlimmer」は、いずれもパナマの政府機関も標的にしていました。
この2か国は、過去1年間で中国に狙われたラテンアメリカ諸国の中でも最新の事例にすぎません。ESETのサイバー脅威アナリスト、アレクシス・ラパン氏によると、ESETは2025年初頭以降、同地域で約12か国が標的になっていることを追跡しています。全体的な戦略は中国(PRC)の国家方針に基づいているかもしれませんが、中国系グループの多くはスポンサー組織の意向に沿って活動していると同氏は述べています。
「中国の情報機関は非常に分散化されており、多くの情報部門が最初に地方当局に報告します」とラパン氏は話します。「このような状況では、2つの異なるAPTグループが互いに調整することなく、それぞれの地域や部門にとって戦略的に重要と判断して同じ組織を標的とする任務を与えられることは、十分に考えられます」
地政学的な緊張が、主要な国家の関心をラテンアメリカ・カリブ海地域に集中させています。米軍によるベネズエラ大統領とその妻の拘束作戦、そしてトランプ政権によるパナマ運河の「奪還」宣言は、追加のサイバー活動を誘発しかねない米中間の緊張要因の一つだと専門家は指摘しています。中国はベネズエラが産出する石油の約半分に対する権益を持っています。また、パナマ運河の両岸にある港湾の運営契約を保有していた中国系企業——香港を拠点とする複合企業CKハチソンの子会社、パナマ・ポーツ・カンパニー——は、パナマ最高裁が同契約はパナマ憲法に違反するとの判決を下したことで、契約を失いました。
石油と海運が駆動する中国の関心
ESETのラパン氏によると、トランプ政権による「地域における米国の利益の積極的な再確認」を受け、中国は水面下で何が議論されているか、そして自国の経済的・地政学的利益が脅かされているかどうかについて情報収集を図っているといいます。
「石油が中国のベネズエラにおける主要な関心事の一つであることは明らかです。したがって、それがベネズエラでの中国系APT活動の主要な動機の一つになっていると考えるのは妥当と言えるでしょう」と同氏は述べています。
国家支援型攻撃は南北アメリカの政府機関に圧倒的に集中。出典:ESET
同地域ではさまざまなAPTグループが活動しています。たとえば中国系のEarth Krahangは2024年にメキシコ、ブラジル、パラグアイを標的にしました。また、Vixen Panda、Aquatic Panda、Liminal Pandaなどのグループは2024年から2025年にかけてアルゼンチン、ボリビア、ブラジル、チリ、コロンビア、エクアドル、ペルー、スリナム、ウルグアイを標的にしています。
セキュリティベンダーStrike.shのCEO兼創業者、サンティアゴ・ローゼンブラット氏によると、これらのグループは通常ゼロデイエクスプロイトを使用せず、一般的な戦術のツールボックスを活用しているといいます。「フィッシング耐性を持つ多要素認証(MFA)のギャップ、条件付きアクセスのバイパス、MFA後のトークン窃取といった『アイデンティティ主導の侵入経路』は、特にメキシコ、ブラジル、アルゼンチンの金融サービスおよび政府隣接のフィンテック企業において、最も一般的なスコープアップ領域となっています」と同氏は述べています。「次いで、エッジデバイスとAPIサーフェスのテスト需要が急増しています」
ロシアのサイバースパイグループはほとんど姿を見せていません。ただし、ロシアのサイバー作戦は主にウクライナとその同盟国を標的としてきましたが、キューバはロシアにとって常に関心の対象であり続けています。トランプ政権が最近この島国に注目していることは、追加のサイバー活動を促す可能性があります。
サーバーへのパッチ適用を最優先に
ESETによると、最も頻繁に使われた初期アクセス手法は、未パッチのサーバー——多くの場合、Microsoft SQLデータベースまたはExchangeメールサーバー——の侵害だったといいます。ESETのシニアマルウェアリサーチャー、マシュー・タルタール氏は、国家レベルの攻撃者がゼロデイエクスプロイトを展開することもありますが、脅威アクターは通常、絶対に必要な場合を除いて、より高度なインプラントや手法の使用を避けようとすると述べています。
「既製のインプラントの展開が失敗した後に、カスタムインプラントが展開されるケースを複数回検出しました」と同氏は述べ、「これらのサーバーに適切なパッチを適用することが最優先事項となるべきです」と付け加えています。
NegativeGlimmerの攻撃が示すように、アクセス手法の第2位はスピアフィッシングだと同氏は述べています。
Strike.shのローゼンブラット氏もこれに同意しています。組織はすべての特権アカウントにフィッシング耐性のあるMFAを導入してアイデンティティ管理に注力すること、そして特にCISAの既知の悪用済み脆弱性リストに掲載されているインターネット接続型エッジデバイスについては14日以内にパッチを適用すべきだと同氏は述べています。
「マンディアントの2024年の調査結果——最も悪用された脆弱性クラスの上位4つがすべてエッジデバイスにあったという事実——は、各種レポートの中で最も実務的に重要なデータポイントです」と同氏は言います。「これが、PRC系のアクターがラテンアメリカの政府機関に侵入する際に、他のどの手法よりも頻繁に使ってきた入り口なのです」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/nation-state-cyber-activity-latin-america
