Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

CISAの8月アドバイザリー危機発生後の検知が必要な理由

2025年8月28日
Lucie Cardiet
サイバー脅威リサーチマネージャー
CISAの8月アドバイザリー危機発生後の検知が必要な理由

昨年12月、CISAとそのパートナーによる共同ガイダンスの発表により、中国の国家支援グループが電気通信プロバイダーを組織的に標的としていることが明らかになった。Salt Typhoon業界で追跡されているこのキャンペーンは、敵対勢力が世界で最も機密性の高い通信を担うネットワークにいかに深く入り込むことができるかを露呈した。

2025年8月27日、国際的な安全保障機関からなる同連合は、さらに警告を発した。今回の警告は、通信事業者だけにとどまらない。調査結果によると、中国のAPT(Advanced Persistent Threat:高度持続的脅威)アクターは、政府や軍のネットワークから交通機関や宿泊システムに至るまで、幅広い重要インフラを侵害し、政府関係者がグローバル・スパイ・システムと表現するものにデータを送り込んでいる。

これはもはや、ある部門に対する孤立した事件ではない。国際的な通信とサービスのバックボーンを横断する、持続的なステルス・アクセスのことである。防御側にとって、教訓は明確である。ハードニングは必要だが、それだけでは十分ではない。グローバルに展開する持続的な攻撃者は、長期的なスパイ活動やデータ盗難を防ぐために、侵害後の可視化と検知を必要としている。

2025年8月アドバイザリーの新情報

8月27日に 発表されたCISA、NSA、FBI、そして10以上の国際的パートナーからの勧告は 、2024年12月に説明されたものよりも広範で攻撃的なキャンペーンの概要を示している。3つの変化が目立つ:

1.電気通信以外の分野への進出。

一方 Salt Typhoonは主に通信分野に焦点を当てたが、今回の最新報告書では、中国の国家支援組織が世界中の幅広いインフラを侵害していることが示されている。現在では、政府機関、交通システム、宿泊施設ネットワーク、さらには軍事環境までもが標的となっている。その範囲は世界的で、米国、欧州、アジア、そしてそれ以外の地域でも活動が確認されている。

2.グローバルなスパイシステムへの統一された帰属。

業界では、Salt Typhoon、RedMike、GhostEmperor、UNC5807などの名前で、この活動の断片を長い間追跡してきた。勧告は、これらが孤立したグループではなく、持続的かつ長期的なアクセスを確立し、集中スパイ・システムに情報を流し込むことを目的とした 持続的なキャンペーンの 一部であることを明らかにしている。

3.搾取よりも持続性とステルス性を重視。

エッジデバイスの既知のCVEを悪用することは、Cisco IOS XE、Ivanti、Palo Altoの脆弱性を繰り返し悪用するなど、依然として特徴的な手口である。しかし、この勧告では、攻撃者が最初にアクセスした後、どのように身を固めるかに大きな注意が払われている。平たく言えば、攻撃者はいったん侵入すると、隠れてドアを開けっ放しにしようと懸命になるということだ。それがどのようなものか、以下に示す:

  • アクセス制御リスト(ACL)の変更:
    ACLはネットワークの「ゲストリスト」だと考えてほしい。これらのリストに自分のIPアドレスを密かに追加することで、攻撃者は自分自身に永久的な「VIPパス」を与え、他の防御にパッチが当てられていても、いつでも好きなときに戻ってこられるようにする。
  • TACACS+ および RADIUS トラフィックを介した認証情報の採取:
    これらは、管理者が重要なシステムにログインする方法を制御するプロトコルです。攻撃者はパケットキャプチャを設定し、このログイントラフィックを静かに記録します。認証情報が平文で送信されたり、保護が弱い場合、攻撃者はそれを再生または再利用することができます(ドアの前でパスワードを盗み聞きし、後でそれを使用するのと同じです)。
  • GREまたはIPsecを使った暗号化トンネルの確立:
    データの盗難を隠すため、攻撃者はネットワーク内部に秘密のトンネルを設置し、通常のセキュアな接続のように見せかける。トラフィックが通常業務に紛れ込むことで、流出を発見することが難しくなります。
  • Cisco Guest Shellを悪用してツールを演出する:
    Guest Shellは、Ciscoデバイス内の正規のコンテナ化されたLinux環境です。攻撃者はこれを悪用して、スクリプトを実行したり、盗んだデータを保存したり、さらには追加のソフトウェアをインストールしたりします。Guest Shellは常に厳重に監視されているわけではないため、攻撃者はデバイス自体に隠されたワークショップを用意し、そこでアラームを発することなく活動することができます。

これらの方法を組み合わせると、敵はネットワークに紛れ込むことができる防御側が脆弱性にパッチを当てたり、コンフィギュレーションを強化したりしても、攻撃者が再び潜り込んでくることはよくある。

TA0043偵察 TA0042資源開発 TA0001初期アクセス TA0002実行 TA0003持続性 TA0004特権のエスカレーション TA0005防衛回避 TA0006クレデンシャルアクセス TA0007ディスカバリー TA0008横方向の動き TA0009コレクション TA0011Command & Control TA0010浸出
T1590被害者ネットワーク情報の収集 T1583インフラの取得 T1190公開アプリケーションの悪用 T1059コマンド&スクリプト・インタープリタ T1098口座操作 T1068特権エスカレーションの悪用 T1027難読化されたファイルまたは情報 T1003OSクレデンシャルダンプ T1016システム・ネットワーク構成の検出 T1021リモートサービス T1005ローカルシステムからのデータ T1071アプリケーション層プロトコル T1048代替プロトコルによる流出
T1595アクティブスキャン T1584妥協のインフラ T1199信頼関係 T1569システムサービス T1136アカウント作成 T1110ブルート・フォース T1070インジケーター取り外し T1040ネットワーク・スニッフィング T1082システム情報ディスカバリー T1560アーカイブ収集データ T1090プロキシ
T1588能力取得 T1609コンテナ管理コマンド T1543システムプロセスの作成または変更 T1562インペアディフェンス T1110ブルート・フォース T1602構成リポジトリからのデータ T1095非アプリケーション層プロトコル
T1599ネットワーク・バウンダリー・ブリッジング T1556認証プロセスの変更 T1571非標準ポート
T1610コンテナの展開 T1572プロトコル・トンネリング
中国のAPTが使用するTTP

予防だけの限界

この勧告では、既知の脆弱性に対してデバイスにパッチを当てる、管理プロトコルを制限する、強力な認証を強制する、使用されていないサービスを無効にする、といった詳細なハードニングのガイダンスが何ページにもわたって提供されている。これらの手順は非常に重要だが、それだけでは十分ではない。

CVEにパッチを当てることはできるが、盗まれた認証情報にパッチを当てることはできない。

予防だけでは不十分な理由

  1. 攻撃者は既存の弱点を悪用する。
    この勧告では、攻撃者は既知のCVEを利用して「かなりの成功」を収めていると強調している。組織が迅速にパッチを適用しても、敵はしばしば、複雑な環境において、パッチの適用されていないシステムを発見したり、更新の遅れを悪用したりする。
  2. 永続化メカニズムはハードニングをバイパスする。
    いったん攻撃者がトンネルを確立したり、ACLを変更したり、認証情報を取得したりすると、最初のエクスプロイト・パスを閉じるだけでは、攻撃者を排除することはできません。ハードニングされた境界線は、すでに環境内に組み込まれた永続性を元に戻すことはできません。
  3. クレデンシャルの盗難は、セキュアなアクセス制御を弱体化させる。
    TACACS+やRADIUSのトラフィックを収集することで、攻撃者は正当な管理者としてログインすることができる。不正な」ログインだけを監視している防御者にとっては、この活動は正常に見えるため、防御だけで阻止することはほぼ不可能です。
  4. 可視性のギャップは、敵が長居することを可能にする。
    この勧告自体も、最初のアクセス・ベクトルが不明なままであることが多く、攻撃者がどのように侵入したのか組織が気づかない可能性があることを認めている。継続的な監視と活動の相関関係がなければ、敵は何カ月も何年も隠れたままになってしまう。

このメッセージは明確である。「予防」は、攻撃への露出を減らすことはできるが、脅威を排除することはできない。高度なリソースを持つ、国家に支援された行為者に対しては、防御者は侵害を計画し、侵害が すでに起こった後に攻撃者の行動を特定できる能力に投資しなければならない。

妥協後の必須条件

もし8月の勧告が防衛者に何かを教えるとすれば、それはハードニングやパッチ適用が答えの一部に過ぎないということだ。敵がこれほどまでに決意を固めている場合、前提を変えなければならない。課題は、敵の侵入を素早く検知し、滞在時間を制限し、被害が拡大する前に侵入を阻止することである。

侵害後のセキュリティが実際に意味すること:

  1. 継続的な可視化。
    攻撃者はGREやIPsecでトンネリングしたり、正規の管理者アカウントを使用したりして、意図的に通常のトラフィックに紛れ込ませます。侵害後の検知には、境界防御に頼るだけでなく、トラフィック、認証、デバイスのアクティビティを常時監視する必要があります。
  2. シグネチャだけでなく、振る舞いによる検知
    これらの行為者は既知のCVEを悪用し、暗号化されたトンネル内に潜伏するため、ルールベースの防御や静的なシグネチャでは見逃してしまうことが多い。セキュリティ・チームは、既知のエクスプロイト・パターンが現れるのを待つのではなく、持続的な振る舞い(異常な ACL の変更、予期しないトンネル、新しいアカウントなど)を検知 必要があります。
  3. 相関する洞察。
    一つの異常なログインは良性に見えるかもしれない。しかし、異常なルーティング・テーブルの変更や暗号化されたファイル転送と組み合わせると、明確な攻撃シナリオが形成されます。隠されたキャンペーンを発見するためには、ネットワーク、ID、デバイスの遠隔測定を横断的に相関させることが不可欠です。
  4. より迅速な対応。
    いったん攻撃者が粘り強さを増すと、時間が有利に働く。勧告によると、攻撃者は複数のバックドアを保持し、信頼できる接続を跨いで活動する。迅速な検知とトリアージは、機密性の高い通信や認証情報を流出させる前に攻撃者を遮断する唯一の方法です。

要するに、防御は敵の動きを鈍らせるが、侵入後の可視化によってのみ、一旦侵入された敵が発見されずに活動できるようになる。このようなキャンペーンに狙われる企業にとって、この機能は、侵入を早期に発見できるか、知らずにグローバルなスパイ活動に加担してしまうかの分かれ目となる。

Vectra AIでギャップを埋める

8月の勧告で明らかになったのは、中国の国家支援組織は単発の攻撃を仕掛けているわけではないということだ。彼らはグローバル・ネットワーク内部に持続的なスパイ・システムを構築しているのだ。ハードニングの対策は不可欠だが、いったん攻撃者が侵入してしまえば、予防だけでは排除できない。

そこで、Vectra AIプラットフォームが重要なミッシング・レイヤーを提供する:

  • 特権の変更、隠れたトンネル、クレデンシャルの不正使用などの永続化の手口を検出します。
  • ユーザー、ホスト、デバイスのアクティビティを関連付け、ネットワーク、クラウド、アイデンティティにまたがる明確な脅威のシナリオを作成します
  • 暗号化されたトラフィックや信頼されたトラフィックに隠された 攻撃者の行動を浮き彫りにします。
  • Cisco Guest ShellやVPNセッションなど、正当なツールの悪用を特定する
  • 既存のテクノロジー・ スタック(EDRやSOARなど)と統合 し、アラートの充実と対応の迅速化を図る。
  • 勧告に記載されたTTPに直接対応する検出を優先する

検知と対応のギャップを埋めることで、Vectra AIは、敵が予防的防御を突破した後でも、隠れ続けることができないようにします。

国家に支援された攻撃者は長期戦を仕掛けてきます。侵害後の検知により、その時間を劇的に短縮することができます。

Vectra AIプラットフォームのセルフガイド・デモをご覧ください。

よくあるご質問(FAQ)