Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW

Vectra AIが2025年ガートナー社のネットワーク検知・応答(NDR)マジック・クアドラントでリーダーに選出されました。 レポートをダウンロード>

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
攻撃テクニック

CISAの8月勧告:なぜ侵害後検知が必要なのか

2025年8月28日
Lucie Cardiet
サイバー脅威リサーチマネージャー
CISAの8月勧告:なぜ侵害後検知が必要なのか

昨年12月、CISAとそのパートナーによる共同ガイダンスの発表により、中国政府が支援するグループが通信事業者を体系的に標的にしていたことが明らかになりました。このキャンペーン(業界では Salt Typhoon,として追跡)は、世界で最も機密性の高い通信を担うネットワークの中に敵対者がいかに深く入り込めるかを示しました。

そして2025年8月27日、同じ国際的なセキュリティ機関の連合がさらに衝撃的な勧告を発表しました。
今回の警告は通信事業者にとどまりません。中国の高度持続的脅威(APT)アクターが政府・軍事ネットワークから交通・宿泊システムに至るまで広範な重要インフラを侵害し、収集データを「世界的なスパイシステム」に流していることが示されたのです。

これはもはや、ある部門に対する孤立した事件ではない。国際的な通信とサービスのバックボーンを横断する、持続的なステルス・アクセスのことである。防御側にとって、教訓は明確である。ハードニングは必要だが、それだけでは十分ではない。長期的なスパイ活動やデータ窃盗を防ぐには、グローバルに活動する持続的な攻撃者に対し、侵害後の可視化と検知が必要なのだ。

2025年8月アドバイザリーの新情報

CISA、NSA、FBI、その他10以上の国際パートナーによる 8月27日の勧告 は、2024年12月の内容よりもさらに広範かつ攻撃的なキャンペーンを概説しています。特筆すべき3つの変化は以下の通りです。

1. 通信業界を超えた拡大

 Salt Typhoonが通信業界を主に狙っていたのに対し、今回の報告では中国政府支援アクターが世界中のインフラをより広範に侵害していることが示されました。対象には政府機関、交通システム、宿泊ネットワーク、さらには軍事環境も含まれています。活動は米国、欧州、アジアなど世界各地で観測されています。

2. 世界的スパイシステムへの統一的な帰属

これまで業界では Salt Typhoon、RedMike、GhostEmperor、UNC5807 といった名前で個別に追跡されてきました。しかし勧告は、これらが孤立したグループではなく、持続的なアクセスを確立し、情報を中央集約的なスパイシステムへ送る一つのキャンペーンであることを明確にしています。

3. エクスプロイトよりも持続性とステルス性に重点

既知のCVEs(Cisco IOS XE、Ivanti、Palo Alto脆弱性など)悪用は依然として特徴的ですが、勧告は攻撃者が初期アクセス後にいかに環境に根を張るかに重点を置いています。つまり、内部に入った後は「隠れ続け、扉を開けたままにする」ことに注力しているのです。

  • アクセス制御リスト(ACL)の変更:
    ACLはネットワークの「ゲストリスト」だと考えてほしい。これらのリストに自分のIPアドレスを密かに追加することで、攻撃者は自分自身に永久的な「VIPパス」を与え、たとえ他の防御にパッチが適用されていても、いつでも好きなときに侵入できるようにする。
  • TACACS+ および RADIUS トラフィックを介した認証情報の採取:
    これらは、管理者が重要なシステムにログインする方法を制御するプロトコルです。攻撃者はパケットキャプチャを設定し、このログイントラフィックを静かに記録します。認証情報が平文で送信されたり、保護が弱い場合、攻撃者はそれを再生または再利用することができます(ドアの前でパスワードを盗み聞きし、後でそれを使用するのと同じです)。
  • GREまたはIPsecを使った暗号化トンネルの確立:
    データの盗難を隠すため、攻撃者はネットワーク内部に秘密のトンネルを設置し、通常のセキュアな接続のように見せかける。密輸業者が正規の貨物コンテナで貨物を偽装することを想像してみてください。トラフィックは通常業務に紛れ込み、流出を発見するのが難しくなります。
  • Cisco Guest Shellを悪用してツールを演出する:
    Guest Shellは、シスコデバイス内に実装されたコンテナ化された正規のLinux環境です。攻撃者はこれを悪用し、スクリプトの実行、窃取データの保存、さらには追加ソフトウェアのインストールに利用します。ゲストシェルは常に厳重に監視されているわけではないため、攻撃者はデバイス自体に隠れた作業場を設け、警報を鳴らすことなく攻撃を行うことができます。

これらを組み合わせることで、攻撃者はネットワークに溶け込み、防御者が脆弱性を修正しても再侵入の道を残します。

TA0043偵察 TA0042リソース 開発 TA0001初回 アクセス TA0002実行 TA0003持続性 TA0004特権 エスカレーション TA0005防御 回避 TA0006クレデンシャル アクセス TA0007ディスカバリー TA0008横方向 動き TA0009コレクション TA0011コマンド 制御 TA0010浸出
T1590集まる 被害者ネットワーク情報 T1583取得 インフラ T1190悪用 一般向けアプリケーション T1059コマンド スクリプト・インタープリタ T1098アカウント 操作 T1068特権エスカレーションの悪用 T1027難読化されたファイルまたは情報 T1003OS クレデンシャルダンプ T1016システム ネットワーク構成ディスカバリー T1021リモート サービス T1005データ ローカルシステム T1071アプリケーション層プロトコル T1048代替プロトコルによる流出
T1595アクティブ スキャニング T1584妥協のインフラ T1199信頼できる 信頼関係 T1569システム サービス内容 T1136作成 アカウント T1110ブルート フォース T1070インジケータ 取り外し T1040ネットワーク スニッフィング T1082システム インフォメーション・ディスカバリー T1560アーカイブ 収集データ T1090プロキシ
T1588取得 能力 T1609コンテナ 管理コマンド T1543作成または システムプロセスの変更 T1562減損 ディフェンス T1110ブルート フォース T1602データ 構成リポジトリ T1095非アプリケーション層プロトコル
T1599ネットワーク バウンダリー・ブリッジング T1556変更 認証プロセス T1571非標準ポート
T1610デプロイ コンテナ T1572プロトコル トンネリング
中国のAPTが使用するTTP

予防だけでは限界がある

このアドバイザリでは、数ページにわたる詳細なセキュリティ強化ガイダンスが提供されており、既知の脆弱性に対するデバイスのパッチ適用、管理プロトコルの制限、強力な認証の実施、使用されていないサービスの無効化などが挙げられます。これらの対策は重要ですが、それだけでは十分ではありません。

CVEにパッチを当てることはできるが、盗まれた認証情報にパッチを当てることはできない。

予防だけでは不十分な理由

  1. 攻撃者は既存の弱点を悪用する。
    この勧告では、攻撃者は既知のCVEを利用して「かなりの成功」を収めていると強調している。組織が迅速にパッチを適用しても、敵はしばしば、複雑な環境において、パッチの適用されていないシステムを発見したり、更新の遅れを悪用したりする。
  2. 永続化メカニズムはハードニングをバイパスする。
    いったん攻撃者がトンネルを確立したり、ACLを変更したり、認証情報を取得したりすると、最初のエクスプロイト・パスを閉じるだけでは、攻撃者を排除することはできません。ハードニングされた境界線は、すでに環境内に組み込まれた永続性を元に戻すことはできない。
  3. クレデンシャルの盗難は、セキュアなアクセス制御を弱体化させる。
    TACACS+やRADIUSのトラフィックを収集することで、攻撃者は正当な管理者としてログインすることができる。不正な」ログインだけを監視している防御者にとっては、この活動は正常に見えるため、防御だけで阻止することはほぼ不可能です。
  4. 可視性のギャップは、敵が長居することを可能にする。
    この勧告自体も、初期のアクセスベクトルは多くの場合不明のままであり、組織は攻撃者がどのように侵入したかさえ把握できない可能性があることを認めています。継続的な監視と活動の相関関係がなければ、攻撃者は数か月または数年間、身を隠したままでいる可能性があります。

メッセージは明確です。予防はリスクを軽減しますが、脅威を完全に排除するものではありません。豊富なリソースを持つ国家支援型の攻撃者に対しては、防御側は侵害への備えを計画し、侵害発生後に攻撃者の行動を特定できる能力に投資する必要があります。

妥協後の必須条件

もし8月の勧告が防衛者に何かを教えるとすれば、それはハードニングやパッチ適用が答えの一部に過ぎないということです。敵がこれほどまでに決意を固めている場合、前提を変えなければなりません。課題は、敵の侵入を素早く検知し、滞在時間を制限し、被害が拡大する前に侵入を阻止することです。

侵害後のセキュリティが実際に意味すること:

  1. 継続的な可視化。
    攻撃者はGREやIPsecでトンネリングしたり、正規の管理者アカウントを使用したりして、意図的に通常のトラフィックに紛れ込ませます。侵害後の検知には、境界防御に依存するだけでなく、トラフィック、認証、デバイスのアクティビティを常時監視する必要があります。
  2. シグネチャだけでなく、振る舞い検知も
    これらの行為者は既知のCVEを悪用し、暗号化されたトンネル内に潜伏するため、ルールベースの防御や静的シグネチャでは見逃してしまうことが多い。セキュリティ・チームは、既知のエクスプロイト・パターンが現れるのを待つのではなく、持続的な振る舞い(異常な ACL の変更、予期しないトンネル、新しいアカウントなど)を検知 必要があります。
  3. 相関する洞察。
    一つの異常なログインは良性に見えるかもしれない。しかし、異常なルーティング・テーブルの変更や暗号化されたファイル転送と組み合わせると、明確な攻撃シナリオが形成されます。隠されたキャンペーンを発見するためには、ネットワーク、ID、デバイスの遠隔測定にわたる相関が不可欠です。
  4. より迅速な対応
    攻撃者が粘り強さを身につけると、時間は彼らに有利に働きます。アドバイザリによると、攻撃者は複数のバックドアを維持し、信頼できる接続を巧みに利用しています。機密性の高い通信や認証情報を盗み出す前に、迅速な検知とトリアージこそが攻撃を阻止する唯一の方法です。

つまり、予防は攻撃者の活動を遅らせることはできますが、侵入後の可視性によってのみ、侵入後に検知されずに活動を続けることが不可能になります。こうした攻撃の標的となった組織にとって、この能力こそが、侵入を早期に検知できるかどうか、あるいは知らないうちに世界的な諜報活動システムに貢献してしまうかどうかの分かれ目となるのです。

Vectra AIでギャップを埋める

8月の勧告は、中国政府が支援するアクターが単発的な攻撃を仕掛けているのではないことを明確に示した。彼らは世界的なネットワーク内に永続的なスパイ活動システムを構築している。セキュリティ強化策は不可欠だが、攻撃者が一度侵入すると、予防策だけでは排除できない。

ここで、Vectra AI プラットフォームが欠けている重要なレイヤーを提供します。

  • 特権の変更、隠れたトンネル、クレデンシャルの不正使用などの永続化の手口を検出する。
  • ユーザー、ホスト、デバイスのアクティビティを関連付け、ネットワーク、クラウド、アイデンティティにまたがる明確な脅威のシナリオを作成する。
  • 暗号化されたトラフィックや信頼されたトラフィックに隠された 攻撃者の振る舞いを浮き彫りにする。
  • Cisco Guest ShellやVPNセッションなど、正当なツールの悪用を特定する
  • 既存のテクノロジー・ スタック(EDRやSOARなど)と統合 し、アラートの充実と対応の迅速化を図る。
  • 勧告に記載されたTTPに直接対応する検出を優先する

検知と対応のギャップを埋めることで、Vectra AIは、敵が予防的防御を突破した後でも、隠れ続けることができないようにします。

国家に支援された攻撃者は長期戦を仕掛けてきます。侵害後の検知により、その時間を劇的に短縮することができます。

Vectra AIプラットフォームのセルフガイド・デモをご覧ください。

よくあるご質問(FAQ)