10か国共同の警告によると、中国関連の脅威行為者の大多数が、世界中の侵害されたルータとIoTデバイスを使用し、このハードウェアをプロキシネットワークに変えて、さらなる侵入を実行したり、機密データを盗んだり、被害者組織の業務を妨害したりしています。
「中国関連のサイバー行為者の標的である者は誰でも、隠蔽されたネットワークの使用から影響を受ける可能性がある」とセキュリティ勧告は警告しています。これは英国国家サイバーセキュリティセンター(NCSC)と、米国、オーストラリア、カナダ、ドイツ、日本、オランダ、ニュージーランド、スペイン、スウェーデンからの他の15の政府機関によって共同で発表されました。
「侵害されたデバイスの隠蔽されたネットワーク(ボットネットとしても知られている)を使用して悪意のあるサイバー活動を促進することは新しくはありませんが、中国関連のサイバー行為者は現在、それらを戦略的に、また大規模に使用しています」とアラートは述べています。
勧告によると、これらの隠蔽されたネットワークの一部は、中国の情報セキュリティ企業によって作成・保守されています。例えば、中国のIntegrity Technology Groupは、いわゆるRaptor Trainネットワークを管理していました。このネットワークは2024年に、小規模オフィス・ホームオフィス(SOHO)ルータ、インターネット接続Webカメラ、ビデオレコーダー、ファイアウォール、ネットワークアタッチトストレージ(NAS)デバイスを含む、世界中の200,000台以上のデバイスに感染しました。
FBIは以前、Integrity Technology Groupを評価して、Flax Typhoonに帰属するコンピュータ侵入活動に対して責任があると判断しました。
聞いたところによると、他のすべてのTyphoonも、インフラストラクチャのためにこれらの隠蔽されたネットワークを使用しています。時には、複数の中国関連グループが単一の隠蔽されたネットワークを使用しています。Volt Typhoonは、連邦当局が重要なUSネットワークに深く侵入して、将来の破壊的な攻撃に備えるために配置したと述べている、中国政府が支援するグループです。主にライフエンド段階のCiscoおよびNetgearルータを使用して、そのKV Botnetを構築しました。
これらの隠蔽されたネットワークの数が非常に多く、新しいボットネットが定期的に開発・展開される一方で既存のものが閉鎖されることもあり、時には法執行機関の破壊活動によってそうなることもあるため、「既知のすべての隠蔽されたネットワークの詳細な説明(それらがどのように構成され、どのようにコミュニケーションするかを含む)は、すぐに時代遅れになってしまい、ほとんどのネットワークディフェンダーにとっては実用的ではないだろう」と機関は述べています。
しかし、ディフェンダーがこの脅威に対抗するために取ることができるステップがあります。
「すべての組織は、特にVPNとリモートアクセス接続を含むエッジデバイストラフィックをマップおよびベースライン化し、既知の隠蔽されたネットワークインジケータを含む動的脅威フィードフィルタリングを採用する必要があります」とNCSCは助言しています。
さらに、可能な限り、リモートアクセス用の多要素認証、ゼロトラスト セキュリティ制御、IP許可リスト、およびマシン証明書検証を実装してください。
政府はまた、大規模で高リスク組織に対して、疑わしいSOHOおよびIoTトラフィックを積極的に狩猟し、地理的プロファイリングおよびマシンラーニングベースの異常検出を使用することを検討するよう示唆しています。
金銭的に動機づけられたサイバークルーも、ルータおよび他の接続されたデバイスを不正に利用して、彼らの犯罪活動を偽装していることに注意する価値があります。
先月、FBIはThe Registerと独占的に、他の8か国の警察と協力して、SocksEscortを破壊するための仕事について話しました。SocksEscortは、世界中の数十万のルータを侵害し、デジタル詐欺を実行するために使用される住宅プロキシサービスです。企業と消費者に数百万ドルの損失をもたらしています。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/23/china_covert_networks/
