1．本件アドバイザリーの概要

（1）概要・背景
　・過去数年間で中国関連のサイバーアクターは、戦術、技術、手順（TTPs）を変更している。それまで個別に調達していたインフラの利用から、外部から提供される大規模な侵害デバイスのネットワーク（ボットネット）へ転換した。Volt Typhoon、Flax Typhoonがこうしたネットワークを利用。

　・ネットワークは主に侵害されたSOHOルーター、IoTデバイス（ウェブカメラ、ビデオレコーダー、NAS等）、スマートデバイスで構成されている。中国関連の大半のアクターが匿名ネットワークを戦略的に大規模に利用。複数グループが単一のネットワークを利用している可能性がある。

　・匿名ネットワークは継続的に開発されている。また、防御側の対抗措置やアップデート等により、常に変化している。

（2）匿名ネットワークの特徴
　・低コスト・低リスクで匿名性が高い通信経路を提供。

　・マルウェア配信からデータ流出まで、サイバー攻撃のあらゆる段階で利用。

　・正当なユーザーも使用し、帰属特定が困難。

　・中国の情報セキュリティ企業が創設・管理。多層ボットネット「Raptor Train」は世界中の20万台以上の感染デバイスで構成され、Integrity Technology Groupにより運用されている。

（3）防御策
　・すべての組織向け
　 - エッジデバイスの把握
　 - リモート接続への二要素認証導入　等

　・大規模／高リスク組織向け
　 - IP許可リスト、ゼロトラストポリシーの適用
　 - 地理的・OS・タイムゾーンによる接続制御
　 - 機械学習による異常検知　等

　・最高リスク組織向け
　 - アクティブハンティングで侵害デバイスIPを検出・監視
　 - バナー等を活用した報告済みの匿名ネットワークの追跡・マッピング
　 - 動的ブロックリストや脅威検知・警告ルールの作成
　 - ネットフロー解析による動的ネットワークマッピング　等

2．関連リンク

【原文リンク】

（以上）

◎下の［次の記事］［前の記事］ボタンで、日本の防衛に関するニュース記事を次々にご覧いただけます。