Cisco Talos は、市民社会団体が直面しているサイバーセキュリティの脅威に対抗するために、米国サイバーセキュリティ インフラストラクチャ セキュリティ庁(CISA)とパートナーシップを結んでいます。ここでは、その最新情報をお届けします。
Talos は、注目度の高い戦略的な脅威に関するインテリジェンスの共有など、共同サイバー防衛連携(JCDC:Joint Cyber Defense Collaborative)での複数のイニシアチブで CISA と提携しています。
攻撃者は、市民社会におけるリスクの高いコミュニティに狙いを定め、テクノロジーの進歩と世界規模でのネットワークのつながりを利用して民主的な価値観と利益を損なっています。CISA によると、活動家やジャーナリスト、研究者のほか、アドボカシー活動や人道的活動に従事する団体などのコミュニティが標的になっています。これを受け、米国政府は近年取り組みを強化し、組織と個人の民主的自由を危険にさらすサイバー脅威に対抗してきました。
JCDC の High-Risk Community Protection(HRCP)イニシアチブは、そうした対策
の 1 つです。このイニシアチブのもと、政府やテクノロジー企業、市民社会団体が協力し、サイバー脅威の標的となり国境を越えて弾圧を受けるリスクの高い組織のセキュリティを強化しています。
HRCP イニシアチブの成果には、市民社会のための脅威軽減ガイド、運用のベストプラクティス、危険にさらされているコミュニティのためのオンラインリソースがあります。これらは国家支援の APT(Advanced Persistent Threat:高度標的型攻撃)や、増加する PSOA(Private Sector Offensive Actor:民間部門の攻撃主体)による脅威に対抗することを目的としています。
CISA とのパートナーシップを継続し、JCDC の HRCP イニシアチブに貢献することは、データ、システム、ネットワークを保護してすべての人々の人権を擁護し尊重するというシスコのセキュリティミッションと一致しています。
政府や民間の対策にもかかわらず、スパイウェアの脅威は続く
以前のブログに書いたとおり、注目度が高い個人や組織、あるいはリスクの高い個人や組織を狙って商用スパイウェアが使用されていることが世界的な問題となっています。スパイウェアは、標的の正確な位置を追跡したり、メッセージや個人情報を盗んだり、通話を傍受したりするためによく用いられます。一般に「PSOA」や「サイバー傭兵」と呼ばれる民間企業では、攻撃ツールの開発を収益化しており、買い手の使用目的にかかわらず、支払いに応じる政府にスパイウェアを販売しています。
商用スパイウェアツールによって政府が市民をひそかに監視できるようになり、プライバシーの権利と表現の自由が損なわれ、民主的な価値観を脅かす可能性があります。商用スパイウェアの使用に関連する国際的な法律や規範がないため、このような監視は反対意見の弾圧や、民主主義制度への信頼の喪失、独裁政府への権力集中を引き起こす可能性があります。
米国と関係各国は、こうした危険なツールの拡散を抑制するための措置を講じています。具体例を挙げると、米国政府機関による特定のスパイウェアの使用を禁止する大統領令や、スパイウェアの開発と販売に関与する企業や個人に対する輸出規制と制裁措置などです。たとえば最近では、Intellexa Commercial Spyware Consortium のメンバーが制裁措置を受けています。他にも国際的なパートナーや同盟国との外交努力に力を入れ、そうした企業を匿ったり支援したりしている国に圧力をかけています。
民間企業も PSOA とデジタル弾圧に関与する国々の調査結果を公表し、関係性を公にするなど脅威に対抗するために大きな役割を果たしています。対監視技術(Apple 社のロックダウンモードなど)を開発してリスクの高いユーザーを保護するとともに、プライバシー侵害を主張する PSOA に対する訴訟を通じて法的な異議申し立てを開始した企業もあります。2023 年 3 月、シスコはサイバースペースでの攻撃活動を制限する Cybersecurity Tech Accord 原則の主要な共著者となり、複数のテクノロジーパートナーと連携して PSOA に対抗するための業界全体の原則を呼びかけています。
HRCP の市民社会のための脅威軽減ガイドに Talos のインテリジェンスを活用
Talos は商用スパイウェア業界の進化を追い、リスクの高い業界を標的とする APT の追跡を行っており、HRCP の取り組みに資する知識を提供する上で確固たる立場にあります。2 つの主要な攻撃グループ(Intellexa Commercial Spyware Consortium と、中国政府が支援する Mustang Panda)に関する Talos の調査をもとに、リスクの高いコミュニティに対して一般的に用いられる戦術の概要が作成され、HRCP ガイドに記載されています。
Talos が注意深く監視を続けているのが Intellexa Consortium に起因する脅威です。Intellexa Consortium は、独裁政府を含め世界各地の顧客に商用スパイウェアツールを提供している組織と個人を統括しているグループです。2023 年 5 月に Talos は Intellaxa 社の主力スパイウェア PREDATOR(元々の開発元は Cytrox という PSOA)の技術分析を行いました。Intellaxa 社のモバイル スパイウェア スイートのうち、調査で特に注目したのが「ALIEN」と「PREDATOR」という 2 つのコンポーネントでした。いずれも同社のインプラントの根幹を成すものです。
インプラントのさまざまな情報窃取機能や回避手法をはじめ、感染チェーンの詳細を調査結果としてとりまとめています。時間の経過とともに、スパイウェアの開発スケジュールや製品の提供、運営の枠組み、手順など、Intellexa 社の内部の動きも分かってきました。
脅威軽減ガイドには Mustang Panda に関する Talos の調査も反映されており、政府支援の攻撃者がデジタル署名された独自のツールや手法をどのように用いて市民社会団体を狙っているかが示されています。Mustang Panda というこの APT は政治的なスパイ活動に特に重点を置き、世界中の非政府組織(NGO)、宗教団体、シンクタンク、活動家グループを標的としています。通常は、誘い込み用の偽ファイルを添付したスピアフィッシングメールを送信して被害者のネットワークにアクセスし、デバイスの制御やユーザーの監視ができる PlugX などのカスタムインプラントをインストールします。同グループは、長期的に中断なくアクセスできるようにするためにペイロードの展開方法とペイロード自体を継続的に進化させているので、市民社会などに脅威を与えるのは明らかです。
高まる脅威を前にどう対処すべきか
業界レポートによると、ロシア、中国、イランと関係のある攻撃グループがこうした脅威の高まりの主な原因になっています。ただし、脅威は他にも存在します。英国国家サイバーセキュリティ センター(NCSC)の推定によると、昨年、少なくとも 80 か国が商用スパイウェアを購入しており、スパイウェアツールの普及によって攻撃者の数がさらに増えている状況が浮き彫りになっています。
とはいえ、まだこちらのほうが有利です。Talos の研究者は攻撃者の標的設定に関する最新動向を継続的に特定しています。これには、商用スパイウェアの使用だけでなく、スピアフィッシングやトロイの木馬アプリケーションなど HRCP ガイドに記載されているツールと手法も含まれます。Talos のインテリジェンスによってシスコのセキュリティポートフォリオを強化し、お客様の安全を確保しています。
Talos は、商用スパイウェアへの感染が疑われる個人や組織が Talos の調査チームに連絡できるように報告リソース(no-spyware@external.cisco.com)を作成しました。これにより、脅威に関するコミュニティの知識が深まるよう支援しています。
今後も CISA や他の機関、業界をリードする企業とともに取り組みを続け、パートナーシップの力を活用してシスコのお客様を守り、共通の敵に対するコミュニティの回復力を強化していきます。
本稿は 2024 年 05 月 14 日にTalos Group
Authors