WeChatの投稿によると、攻撃は重要インフラプロバイダーのための時刻を設定する機関に対して行われたという。攻撃の公的な証拠はないが、CISOが懸念すべき新たな標的が浮き彫りになった。
米国家安全保障局(NSA)が中国の時刻管理センターに対してサイバー攻撃を仕掛けたという中国の主張は事実である可能性がある、と専門家は述べている。
「技術的な観点から見ると、中国のNSAによる国家時刻管理センターへのハッキングの主張はもっともらしく、米国の既知のサイバー能力と一致しています」と、米国Treadstone 71のチーフインテリジェンスオフィサーであるジェフ・バーディン氏は月曜日にCSOに語った。
しかし彼は、「公的な証拠がなければ、決定的に確認するのは難しい」と付け加えた。
彼は、中国国家安全省が先週WeChatに投稿した投稿についてコメントしていた。その投稿には「国家安全当局は米国で重大なサイバー攻撃事件を発見し、国家安全保障局がサイバー攻撃を仕掛け、中国国家時刻サービスセンターに侵入したという動かぬ証拠を得た」と記されている。
中国ワシントンD.C.大使館の広報部はCSOに対し、この投稿が「中国の安全当局によるものである」と確認した。この主張は中国大使館のXアカウントでも繰り返されている。
投稿によると、時刻管理センターは「国内の通信、金融、電力、交通、測量・地図作成、防衛などの分野に高精度の時刻サービスを提供し、国際標準時の計算に不可欠なデータサポートを提供している」とされている。
サイバー攻撃は「『北京時間』の安全かつ安定した運用に影響を与える」と投稿は述べており、これは中国の単一のタイムゾーンを指している。
投稿によれば、攻撃があれば「ネットワーク通信障害、金融システムの混乱、停電、交通の混乱、宇宙打ち上げの失敗など、深刻な結果を招く。さらには国際時刻の混乱を引き起こし、計り知れない損害と損失をもたらす可能性がある」としている。
SMSの脆弱性を悪用したとされる
WeChatの投稿は、2022年3月25日から「NSAが海外の携帯電話ブランドのSMSサービスの脆弱性を悪用し、複数のNSC職員の携帯電話を密かに攻撃・制御し、内部に保存された機密データを盗み出した」と主張している。
コメントを求められたNSAの広報担当者はメールで次のように回答した:「NSAは自らの作戦に関するメディアの主張について肯定も否定もしません。我々の主な焦点は、米国の利益を持続的に標的とする外国の悪意ある活動への対抗であり、我々を脅かそうとする敵対者からの防衛を今後も続けていきます。」
中国側の投稿は、同国が「米国の機密窃取・浸透・破壊というサイバー攻撃の企みを粉砕し、『北京時間』の安全を守るためにあらゆる努力をした」と述べている。
「深刻なエスカレーション」の可能性
もし最近の中国のNSAに対する主張が事実であれば、米国が単なるスパイ活動だけでなく、通信、金融、エネルギー、防衛を支える中国の基幹インフラである時刻システムを混乱させる戦略的意図があることを示唆している、とバーディン氏は述べた。
それは「深刻なエスカレーションとなるだろう」と彼は述べた。
「また、北京がこの主張を公表したことも注目に値します。中国は通常、自国の重要システムの侵害を認めることを避けます。中国の公的な非難は、米国を世界的な『ハッカー帝国』として描き、国家主導のサイバー侵入を抑制するよう他国に呼びかけ、国際世論を動かそうとする試みです。北京はサイバー防御を強化し、さらなる侵入を抑止するために米国の時刻管理ネットワークへの報復を示唆する可能性もあります。」
経済的には、「この事件は中国の技術自立推進を後押しし、サプライチェーンの強化や国産代替(主権的時刻システムなど)の迅速な導入につながっています。これは、すでに高まっている貿易・技術摩擦の中で米国技術への依存度を減らそうとする動きです」とも付け加えた。
また、中国の主張は北京の行動パターンにも合致していると、米国外交問題評議会の国家安全保障担当国際問題フェローであるマシュー・フェレン氏は述べている。「彼らは悪意あるサイバー活動とみなすものについて公に帰属を主張する傾向があり、その帰属が必ずしも正確とは限らないことが多い。」実際、彼は攻撃や侵入があったかどうかは分からないと述べた。
「これが現実世界で実際に何が起きたかについては何も教えてくれませんが、中国が米国をサイバー領域で無責任な行為者として描くために物語を形成しようとする行動パターンには合致しています」と彼は述べた。
CISOへのアドバイス
時刻サービスは興味深く、しばしば見落とされがちな標的であると、SANS Instituteの研究部長ヨハネス・ウルリッヒ氏は述べている。多くの認証プロトコルが正確な時刻サービスに依存しているためだ。過去の認証情報のリプレイを防ぐため、これらのシステムは時刻の同期を必要とする。時刻が同期していなければ、認証サーバーからのメッセージは破棄される。
時刻サービスが侵害された場合の最も単純な結果はサービス拒否攻撃である。また、認証やアクセス制御のチェックを回避したり、過去の認証メッセージをリプレイしてシステムへのアクセスを得ることも可能になると彼は付け加えた。
「CISOはこれらの時刻サービスを軽視すべきではありません」と彼はメールで述べた。「デフォルト設定のままにしておくのは非常に簡単ですが、多くの場合、未定義のオープンクラウドベースの時刻サーバープールが使われています。代わりに、内部時刻サーバーを定義して内部標準として機能させ、これらの内部時刻標準はGPSや信頼できる組織が運用する時刻サーバーなど、慎重に選ばれたソースと同期させる必要があります。」
Treadstone 71のバーディン氏は、どの国のCSOも高度な国家レベルの攻撃者から自らを守りたいのであれば、自分たちのサーバーと連携する時刻インフラを国家レベルの依存性として扱うべきだと述べている。
NTP(ネットワークタイムプロトコル)やGPSソースに依存するすべてのシステムを分割・隔離し、時計の整合性を複数の独立した参照で検証し、時刻信号に暗号学的証明を導入することを彼は勧めている。
また、特権アクセスのためのSMSベースのログイン認証を無効にし、バンド外多要素認証を徹底し、時刻のずれや証明書の使用に関する異常を継続的に監視することも推奨している。
信頼できる時刻の喪失をシミュレートするレッドチーム演習を実施し、IT運用のレジリエンスを検証することも有益だと付け加えた。
防御側を支援するため、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、国家主導の攻撃から身を守るためのアドバイスを組織向けに提供している。
