国家支援型APTグループ「Volt Typhoon」による米国重要インフラへの攻撃は、サプライチェーンの脆弱性がもたらすリスクを再認識させました。本記事では、古いルーターやパッチ未適用のエッジデバイスを悪用するVolt Typhoonの手口と、見過ごされがちな信頼の裏に潜む危険について解説。運用環境の可視化やSBOM、セキュア・バイ・デザインといった対策の必要性も紹介します。
はじめに:サプライチェーンに潜む脅威
サプライチェーンには、常に避けられない不安要素が存在します。たとえどれほど厳重な境界壁を築いたとしても、信頼できるパートナー企業が導入したものがサイバー攻撃者によって侵害されると、結果的に自社も侵害される可能性はゼロではありません。Volt Typhoonは、その不安が当たってしまった例です。2023年5月24日にマイクロソフト社1によって公に特定されたVolt Typhoonは、米国の重要インフラを標的としていることが観測されました2。それ以来、FBIによるKVボットネットの摘発3などの反撃にもひるむことなく、将来的な破壊的攻撃のための事前準備を継続してきました。マイクロソフトは2023年までVolt Typhoonに関する勧告を発表しませんでしたが、このAPT(持続的標的型脅威)グループは、何年もの間、周辺に潜伏し続け、適切な機会をうかがう潜在的な脅威となっていました。
中華人民共和国(PRC)が関与する国家支援型攻撃者であるVolt Typhoonは、ランサムウェアや改ざんのような派手な劇場型攻撃には興味がありません。彼らは長期的なゲームを仕掛けています。つまり、ステルス性、持続性を特徴とし、米国の重要インフラを攻撃する事前配備を行っています。スパイ活動そのものが目的ではなく、アクセスそのものが目的です。そして最近では、そのアクセスはブルートフォース(手当たり次第)ではなく、サプライチェーンの間隙を縫って行われています。それは、たとえば、耐用年数を過ぎても使い続けられている古いルーターや、名前すら聞いたことがなくても、自社のインフラが依存しているサードパーティ製ソフトウェアコンポーネントなどが挙げられます。考えてみると恐ろしいですが、何も今始まったことではありません。そこを攻めた方が効率的だとわかったのです。主戦場は移り変わり、それはあなたのファイアウォール内にはありません。それは、(良くないとは思いながらも)便宜上ホワイトリストに登録してしまった、アップデートサーバー内にあります。
Volt Typhoonのサイバー攻撃: 主要な懸念事項と業界への影響を考察
2023年5月24日、米国マイクロソフトとサイバーセキュリティ情報共有組織「ファイブ・アイズ・アライアンス」は、国家支援を受けているとみられる中国に拠点を置いた集団「Volt Typhoon」の活動を詳細に説明しました。この記事では、Volt Tyhpoonの攻撃の目的や、その手法や影響、緩和方法を分析し、適用可能なサイバーセキュリティソリューションについて解説します。
Volt Typhoonの手法:サプライチェーンの悪用
先にも書いたように、Volt Typhoonは衝撃と恐怖を与えるような派手なマルウェアには依存していません。彼らの真の武器は「信頼」、つまりシステム、ベンダー、そして日常的なソフトウェアツールに対する誤った信頼です。彼らを恐るべき存在にしているのは、技術的な巧妙さだけではありません。環境寄生型(LOTL:Living off the Land)技術を使用することでステルス性が高まり、サプライチェーンをほとんど目に見えない形で操っているのです。では、Volt Typhoonがどのように信頼を逆手に取り、サプライチェーンの隙間を突いているか見ていきましょう。
- インターネットに接続されたネットワークから再利用されたルーター:放置された状況や環境によって引き起こされる脆弱性のために、Volt Typhoonはこれらのルーターを巧妙に侵害し、トラフィックをプロキシし、それらを攻撃の起点として設定します4。耐用年数が過ぎた何百ものCisco製およびNetgear製の個人所有のSOHO(小規模事業所/ホームオフィス)にあるルーターを乗っ取ることで、Volt Typhoonはこれらの見落とされたデバイスを、気づかれずにKVボットネットに仕立て上げました。これらの侵害されたルーター(その多くは脆弱で、耐用年数を過ぎたデバイス)は、その企業では存在を忘れ去られており、Volt Typhoonだけが制御する戦場での地雷と化しました。このケースでは、ハードウェアは標的ではなく、中国政府から支援を受ける攻撃者が設置したKVマルウェアを隠蔽する煙幕でした。2024年1月にFBIがKVボットネットの大規模な摘発を実施したにもかかわらず、この攻撃ベクトルは今日まで頻繁に使用されるツールとして残っています。
- サードパーティ製エッジデバイスとパッチ未適用ソフトウェア:これらは、一見すると分かりにくいサプライチェーンの弱点です。Volt Typhoonはドアをたたき割るのではなく、不用心な所有者が親切にもマットの下に置いていった鍵を使って侵入します。彼らのお気に入りの侵入経路は、パッチ未適用のVPNアプライアンスやファイアウォールです。これらは、Citrix ADCやFortinetなどのソフトウェア駆動型システムで、多くの場合、サードパーティベンダーによって構築・保守され、重要なネットワークのエッジに展開されています。これらは意味不明なコンポーネントなどではなく、インフラの基盤となる要素であり、セキュアな状態を維持するには定期的なアップデートとベンダー提供のパッチに依存しています。しかし、レガシーまたはEOL(耐用年数終了)の場合、忘れ去られやすく、対処が困難であるため、最後のセキュリティアップデートから長い間、古いファームウェアが実行されたままになっていることがよくあります。その結果、静かながら強力な脆弱性が生じます。これは、あからさまな過失というよりも、隠れた依存関係と限られた可視性の結果生じたものです。Volt Typhoonはこれを容赦なく悪用し、「既知の脆弱性に対する公開されているエクスプロイトコード」5を使用して、場合によっては独自のゼロデイを開発または入手することもあります。この文脈において、サプライチェーンは単なる抽象的な概念ではなく、ベンダー、インテグレータ、およびアップデートサーバーまで私たちが拡大させた現実世界の信頼のネットワークです。そして、その信頼には有効期限があるということです。
- ネイティブツールをカモフラージュとして利用:PowerShell、WMIC、ntdsutil。これらは「マルウェア」ではありません。これらはWindowsのコアコンポーネントであり、エンタープライズ環境に意図的に組み込まれています。Volt Typhoonがこれらのツールを使用することで、アラームを鳴らすことなくIT運用に完全に溶け込むことができます。つまり、通常通りビジネスが行われているように見えるため、地政学的緊張が高まり続ける中で、Volt Typhoonには内部に深く潜伏し、居座るための十分な時間と空間が与えられることになります。これは脆弱性を悪用しているのではなく、「通常」を悪用しているのです。そして、彼らが溶け込むために使用するツールは、サプライチェーンが触れるすべてのエンドポイント、すべてのイメージ、すべてのソフトウェアスタックに組み込まれています。
- 認証情報チェーンをOTへのバックドアとして利用:一度侵入してしまうと、彼らはドメインコントローラのデータ(NTDS.ditファイル)を抽出し、オフラインでそれをクラックし、どのアカウントがOT環境にピボットできるかをテストします。これは、PLCの隣にあるvCenterサーバーへの直接アクセスである場合もあれば、展開以来変更されていないデフォルトのOTベンダー認証情報である場合もあります。
運用制御技術システムへの影響
一度アクセス権を得たVolt Typhoonは、すぐにスイッチのフリップや、システム停止を実行することはありません。それではあまりにも露骨すぎます。代わりに、彼らは潜伏します。時には1年近くも潜伏することもあります6。あるインシデントでは、ファイルサーバーからOT資産に隣接するvCenterシステムへと静かに移動し、変電所や水処理施設へのログインセッションを含むPuTTYプロファイルを収集しました。
これは利便性による犯行ではなく、綿密に計画されたものでした。サーバールームのHVACコントローラや水処理施設のカメラシステムへのアクセスポイントを想像してみてください。これらはすぐに必要だったからではなく、いつか必要になるかもしれないものなのです。地下室に隠されたヒューズが、誰かが点火する日まで眠っていたようなものです。
DragosとCISAはいずれも、Volt TyphoonがSCADAおよびリレーのドキュメントを外部に持ち出したことを確認しました。そのような情報は、再販や自慢の材料としては役に立ちません。停電の計画を立てたり、攻撃時におよぼす損害を予測したりするのに役立つものです。
サプライチェーンのセキュリティを強化するための一般的な対策
Volt Typhoonはこれまで目立った動きを見せていませんが、サプライチェーンのセキュリティ対策は、もはや絵空事のベストプラクティスでは済まされない段階に来ているのは明白です。手遅れになる前に、しっかりと運用環境の防御策を確立させておかなければなりません。時間的に余裕があるうちに、変更すべき点をいくつかご紹介します。
ベンダー・デュー・デリジェンス
ベンダーが誰であるかだけでなく、ベンダーが誰を信頼しているかについても精査します。どのようなセキュリティプロトコルが導入されているかも把握しておきます。CISAは現在、特に重要システムに接するものについては、外国からの所有、支配、または影響(FOCI)の精査を推奨しています。
ソフトウェア部品表(SBOM)
サードパーティによって組み込まれたオープンソースの依存関係を含め、環境内で何が実行されているかを把握します。サプライヤから、重大な脆弱性や重大なインシデントが明日発生した場合でも、影響を受けているかどうかを確認するために、変更履歴を苦労して探すことに貴重な時間を費やしたくないでしょう。
パッチ適用の規律 — レガシー技術も対象に
SOHOルーターやファイアウォールデバイスは、Volt Typhoonの得意な攻撃対象でした。これらのデバイスは、EOL(耐用年数終了)であるか、OT環境による制限を受けているため、アップグレードできません。アップグレードできない場合、仮想パッチは防御策として機能し、再起動やダウンタイムのリスクなしに、時間稼ぎをし、エクスプロイトを防ぐことができます。最先端のパッチ適用策については、最近公開された当社のセキュリティレポートのパッチ適用に関する章7をご覧ください。
ITとOT間のセグメンテーション
今は2025年です。PLCが、インターネットに接続されたHRポータルからRDP(リモート・デスクトップ・プロトコル)で一足飛びにアクセスできる状態であれば、トラブルのリスクが高まります。ファイアウォール、ジャンプボックス、DMZはオプションではなく、影響範囲を最小限に抑えるための最低限の対策です。
セキュア・バイ・デザイン調達の採用
OTソフトウェアは、購入した時点でセキュアでなければなりません。すべてのベンダーがそれを理解しているわけではありません。製品設計の一部としてセキュリティを推進し、販売後にパッチを適用するだけで済ませないでください。CISAのSecure by Designガイドライン8は良い第一歩となるでしょう。
自分自身用のOT防御プレイブック:可視性・検証・警戒
Volt Typhoonの手口は派手ではなく、ゆっくり、慎重、そして系統立っています。つまり、最良の対抗策も派手ではありません。それは彼らの隠れ場所を取り除き、足がかりを奪い、水しぶきが上がる前に微かな波紋を捉えることです。
- 重要な場所での振る舞い検知:マルウェアを探すのではなく、予期せぬ変化を探すのです。TXOne NetworksのCPSDR(サイバーフィジカルシステム ディテクション&レスポンス)モデルは、デバイスの挙動が逸脱し始めたときに検知するためのエージェントレベルのフィンガープリンティング機能を備えています。ボットがファイアウォールをすり抜けた場合でも、リレーの挙動を調整したり、論理ブロックを再設定しようとした瞬間にもアラームを鳴らさなければなりません。TXOne Stellarは、3週間も遅れて表示されるようなシグネチャや脅威インテリジェンスに依存していません。Volt Typhoonがネイティブツールに溶け込む環境では、Stellarは防御側が比較するためのベースラインと、具体的な行動に移すためのものを提供します。
- OTのための細部までの可視化とセグメンテーション:TXOne Edgeは、すべてのデバイスを接続する前にエアギャップネットワークが提供すべきとされる「目」と「バリア」を提供します。レイヤ2からレイヤ7まで、Edgeはトラフィックをマッピングし、ICSプロトコルを検査して、最小権限を実施します。つまり、侵害されたアップデートサーバーやサードパーティベンダーが、許可された範囲を超えてアクセスしようとした場合、その事実を即座に検知し、侵入を阻止します。
- 信頼せず、検査する:サプライチェーンは、単に上流のコードやファームウェアだけではありません。攻撃者は、時には、大胆に正面玄関から入ってくることもあります。Portable Inspectorは、サードパーティの資産が環境内に導入される前にスクリーニングし、ポリシーに基づく迅速な評価と脅威検知を行います。そこに仮定や盲点はありません。これらのツールは、過度の警戒のためのものではなく、明確さと制御のためのものです。そこに何が存在するべきかをより深く理解すれば、異常を早期に検出できるでしょう。そして、敵の戦略が「溶け込んで待つ」ものである場合、明確さは贅沢品ではなく、救世主となるでしょう。
まとめ:レジリエントな未来のためのプロアクティブな対策
Volt Typhoonへの防御は、急いでも仕方ありません。すでに内部に侵入しているのです。問題は、それが行動を起こすのかではなく、いつ行動を起こすのか、そしてどの程度の破壊力を持っているのかということです。サプライチェーンの侵害はもはや理論上の脅威ではありません。それは、忍耐強く、国家と結びついた攻撃者が選択する足掛かりとなっています。つまり、OTサイバーセキュリティに関心を寄せる企業は、サプライチェーンを単なる調達の問題として考えるのをやめなければならない、ということです。それは運用上の懸念事項なのです。私たちがこれに正しくアプローチすればするほど、侵入者はマットの下から鍵を拾い上げ、堂々と侵入し、我が物顔で振る舞うことが難しくなるでしょう。
[5] https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
[6] https://www.dragos.com/wp-content/uploads/2025/03/Dragos_Littleton_Electric_Water_CaseStudy.pdf
TXOneにまずお気軽にご相談ください。
重要インフラ業界のサイバーセキュリティ課題は常に変化しています。TXOneはお客様のサイバーセキュリティに関する課題について最適なOTセキュリティソリューションが提供できるよう、いつでもお手伝いさせていただきます。お問い合わせ内容を確認後、担当者より迅速にご連絡致しますので、お気軽にお問合わせください。
