天津のNSCC侵害について、誰が犯行声明を出しているのか？

「FlamingChina」というハンドルネームを使用する脅威アクターが犯行声明を出している。彼らは同施設から10ペタバイト以上の機密データを窃取したと主張している。

攻撃者はどのようにしてスーパーコンピューティングセンターへのアクセスを得たとされているのか？

攻撃者は侵害されたVPN接続を通じてアクセスを確立したと主張している。侵害されたVPNにより、攻撃者は正規ユーザーを装うことができ、検知が著しく困難になる。

この侵害で窃取されたとされるデータの種類は何か？

窃取されたデータには、機密の防衛文書やミサイル設計図などの機密情報が含まれているとされている。このデータは売却に出されているとされている。

天津の国家スーパーコンピューティングセンターは何件のクライアントにサービスを提供しているのか？

天津のNSCCは、高度な科学研究機関や防衛関連機関を含む6,000以上のクライアントにサービスを提供している。

攻撃者はどのくらいの期間、ネットワークへの未検知のアクセスを維持したとされているのか？

攻撃者は侵入が発覚する前に、数ヶ月にわたって段階的にデータを抜き取ったと主張している。この種の長期滞留型攻撃は、アラートを発することなく大規模なデータ漏洩を可能にする。

ハッカーが侵害されたVPNを通じて中国のスーパーコンピューターに不正侵入

ハッカーが中国の国家スーパーコンピューティングセンターに不正侵入か

「FlamingChina」というハンドルネームを使用する脅威アクターが、中国・天津にある国家スーパーコンピューティングセンター（NSCC）に侵入し、機密の防衛文書やミサイル設計図を含むとされる10ペタバイト以上の機密データを窃取したと主張している。自称攻撃者によれば、侵害されたVPN接続を通じてアクセスを確立し、数ヶ月にわたって段階的にデータを抜き取った後、売却に出したという。

天津のNSCCは取るに足らないターゲットではない。この施設は、高度な科学研究機関や防衛関連機関を含む6,000以上のクライアントにサービスを提供している。この侵害が確認されれば、近年の中国の国家インフラに対するサイバー攻撃の中で最も重大なものの一つとなるだろう。本稿執筆時点では、NSCCも中国当局もこの件について公式に肯定も否定もしていない。

侵害されたVPNが攻撃経路になるまで

この侵害疑惑で最も注目される点は、侵入口となったVPNだ。仮想プライベートネットワークは、リモートアクセスのための安全な暗号化トンネルを提供するものとして、企業や政府環境で広く導入されている。しかし、VPNが侵害された場合、セキュリティツールから攻撃者への開かれた扉へと一変する可能性がある。

VPNが侵害されるとは、実際にはいくつかのことを意味する。VPNソフトウェア自体にパッチが当たっていない脆弱性が存在する場合もある。VPNへの認証に使用される認証情報がフィッシングや漏洩によって盗まれる場合もある。また、VPNプロバイダーやその基盤インフラが直接標的にされるケースもある。これらのいずれのシナリオも、攻撃者が正規ユーザーを装いながらネットワークへの認証済みアクセスを取得することを可能にし、検知を著しく困難にする。

NSCCのケースが事実であれば、機密システムへのアクセスを守るVPNは、それを取り巻くセキュリティ慣行と同程度の強度しか持たないということを改めて示している。VPNは受動的な盾ではなく、積極的なメンテナンス、パッチ適用、および監視を必要とする。

より広い文脈：高価値ターゲットと長期滞留型攻撃

この侵害疑惑においてより憂慮すべき側面の一つは、そのタイムラインだ。攻撃者は数ヶ月にわたってデータを抜き取ったと主張しており、侵入が長期間にわたって検知されなかったことを示唆している。敵対者がアラートを発することなく持続的なアクセスを維持する長期滞留型攻撃は、大規模なデータ漏洩を可能にするため、特に被害が大きい。

スーパーコンピューティングセンターは、このような忍耐強く計画的な攻撃の格好のターゲットだ。膨大な量の機密研究データを処理・保存しており、その規模の大きさから、異常なデータ転送が正規の大量オペレーションのノイズに埋もれて発見しにくくなる場合がある。窃取データが10ペタバイトという主張は未確認ではあるものの、国家スーパーコンピューティングセンターが持つ環境の性質と一致している。

また、データが売却に出されているとされる点も注目に値する。これは、潜在的な被害が特定の国家利益を大きく超えて広がることを意味する。機密の技術・防衛データが市場に出回ると、潜在的な買い手の範囲、そしてそれに伴うセキュリティへの影響は、はるかに制御しにくくなる。

あなたへの示唆

ほとんどの読者は国家スーパーコンピューティングセンターを運営しているわけではないが、この事件はあらゆるレベルに適用できる実践的な教訓を含んでいる。

VPNのセキュリティは自動的に保証されるものではない。 VPNを導入しても、デフォルトで接続やデータが安全になるわけではない。ソフトウェアを最新の状態に保ち、認証情報を保護し、異常なアクティビティについてアクセスログを監視する必要がある。

認証情報の管理は重要だ。 多くのVPN侵害は、盗まれたパスワードや使い回されたパスワードから始まる。強力でユニークな認証情報を使用し、可能な限り多要素認証を有効にすることで、攻撃者へのハードルを大幅に引き上げることができる。

すべてのVPN実装が同等というわけではない。 企業向けVPNインフラとコンシューマー向けVPNサービスは動作が異なるが、どちらも設定ミスや未パッチの状態になりうる。ITアドミニストレーターであれ個人ユーザーであれ、自分のVPNがどのように機能するか、そして障害モードがどのように現れるかを理解することが不可欠だ。

未確認の主張には懐疑的であるべきだ。 この侵害は独立した機関によって検証されていない点を強調しておきたい。脅威アクターは、販売しているものの perceived な価値を高めるために、窃取データの範囲を誇張したり、侵害を完全に捏造したりすることがある。結論を出す前に、セキュリティ研究者や影響を受けた組織が調査する時間を与えるべきだ。

機密通信の保護にVPNを依存している個人や組織にとって、この事件は現在の慣行を見直す良い機会だ。VPNソフトウェアに完全にパッチが当たっているか確認し、アクセス認証情報が既知のデータ漏洩で露出していないか評価し、ログおよび監視の慣行が長期間にわたる低速・低ボリュームの侵入を実際に検知できるかどうか検討すること。

NSCCの侵害疑惑はいまだ進展中であり、さらなる情報が明らかになるにつれて全体像が変わる可能性もある。すでに明らかなのは、VPNがどれほど重要であっても、一度設定すれば放置できるソリューションではないということだ。VPNは、他のあらゆる重要なセキュリティインフラと同様に、継続的な注意を必要とする。

ハッカーが中国の国家スーパーコンピューティングセンターに不正侵入か

侵害されたVPNが攻撃経路になるまで

より広い文脈：高価値ターゲットと長期滞留型攻撃

あなたへの示唆

// よくある質問

// 関連記事