360 Responseでハイブリッド攻撃の封じ込めを自動化

ハイブリッド攻撃の封じ込めを自動化する 360 Response >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
脅威ブリーフィング

Typhoon APTが痕跡を残さずにインフラに侵入する方法

2025年11月20日
Lucie Cardiet
サイバー脅威リサーチマネージャー
Typhoon APTが痕跡を残さずにインフラに侵入する方法

【以下記事は自動翻訳です】
世界中で、静かだが意図的なサイバー侵入の波が押し寄せている。これらは騒がしいランサムウェア攻撃や無秩序なデータ漏洩ではない。長期的な持続を目的とした計算された工作だ。背後にいる攻撃者は、通信事業者、ルーター、電力網、政府インフラといった日常生活を支えるシステムを戦略的に移動し、ほとんど痕跡を残さない。

これらの脅威グループは総称して「タイフーン」と呼ばれ、Volt Typhoon、フラックス・タイフーン、Salt Typhoonが含まれる。いずれも中国国家が支援する活動と関連している。各グループは異なる目的で活動するが、その手法には共通のDNAが存在する:ステルス性、忍耐力、そして深い運用理解だ。malwareを展開する代わりに、信頼されたツールを流用し、正当なシステム活動に溶け込む

破壊活動のための事前配置から秘密通信諜報活動に至るまで、タイフーンは、気づかれないからこそ成功する攻撃への転換を体現している。

台風名簿

各タイフーングループは、世界的な重要インフラを標的とする広範な戦略において役割を担っている。任務は異なるものの、その手法は一貫して不可視性と持続性を最優先する。

グループ 主要標的領域 重点分野 主要目標 戦術 特徴的な性質
Volt Typhoon アメリカ合衆国(太平洋地域) 公益事業、通信、運輸 将来の混乱に備えた事前配置 土地に依存した生活、ネットワーク機器の悪用、malwareなし 侵害されたルーターをプロキシとして利用し、グアムおよび米国の重要システムを標的とする
Flax Typhoon 台湾(およびアジア太平洋地域) 政府、教育、重要IT 長期的なスパイ活動とアクセス持続性 最小限のmalware、認証情報の窃取、リモートアクセス用SoftEther VPN RDPバックドアを作成し、横方向移動のためにIoTデバイスを乗っ取る
Salt Typhoon グローバル(米国、アジア、ヨーロッパ) 通信事業者、ISPの基幹回線 通信監視、対諜報活動 ルーター侵害、ルートキット、ネットワークツールを用いた横方向の移動 合法的傍受システムにアクセスし、カーネルレベルインプラントを展開した

道具なしの戦術:Living Off the Land

タイフーン作戦の検知 困難な理由は、彼らの技術力だけでなく抑制力検知 。彼らは新たなコードをほとんど展開せず、代わりに環境内に既に存在するものを活用する。

この 「現地資源活用型」 という手法は、PowerShell、WMIC、netsh、リモートデスクトップといった正当な管理ツールを悪用し、通常の操作を装って悪意のある活動を実行する。これらのツールは企業環境で広く使用されているため、異常な動作はノイズの中に埋もれやすく、検知が困難となる。

Volt Typhoon この戦術を多用して密かに情報を収集したり長期的な足場を築いたりしている。Salt Typhoon は、カーネルレベルインプラントなどの高度なステルス技術とネイティブツールを組み合わせて、より深いアクセスを維持する。統一された目標:任務を遂行しつつ、ごく普通の存在であるように見せかけること。

ペイロードに対する持続性

台風グループにとって、侵入は第一段階に過ぎない。真の目的は、可能な限り長く標的内部に潜伏し、発見を避けつつ永続的なアクセス経路を構築することだ。これは従来のペイロードを届けることではない。環境を形作り、決して去らなくて済むようにすることである。

フラックス・タイフーン 正当なVPNクライアント(例:SoftEther)をインストールすることでリモートアクセスを維持し、通常のトラフィックパターンに溶け込ませる。場合によっては、Windowsのアクセシビリティ機能(例:スティッキーキーのショートカット)を乗っ取り、再起動後も存続しエンドポイント監視を回避するログインバックドアを密かに作成する。

亜麻の台風攻撃の解剖学

Volt Typhoon 盗まれた認証情報とネイティブのWindowsユーティリティを利用して、ネットワーク内を検知されずに移動する。netsh portproxyなどのツールを用いて隠密なトンネルを構築することが多く、これによりアラートを発生させずに内部トラフィックをリダイレクトでき、外部コマンドアンドコントロールインフラに依存する必要もない。

Volt Typhoon の解剖学

Salt Typhoon ステルス性と高度な技術的制御を組み合わせる。アクセスを維持するためにルーターやネットワーク機器を悪用するだけでなく、カーネルレベルで動作するルートキットを展開する。休眠状態のサービスを有効化し、アクセス制御を変更し、デバイス設定を操作してネットワークへの複数の永続的な経路を確保する様子が確認されている。

Salt Typhoon 解剖学

これらのアクターはネットワーク内に潜むだけでなく、自らを中心にネットワークを再構築する。その持続的動作モデルにより、防御malware を探すのではなく、時間をかけて行動を監視せざるを得なくなる。

持続こそがペイロードである

どちらか Volt Typhoon は破壊を企てているのか、 フラックス・タイフーン が台湾のインフラをマッピングしているのか、あるいは Salt Typhoon がグローバルバックボーンを横断する通信を傍受している。共通点は明らかだ:malware もはや侵害の指標malware ——行動malware 。これらのグループはいずれも多層的なアクセスを構築し、信頼関係を操作し、従来の検知閾値をはるかに下回るレベルで活動する。彼らは防御側がファイルではなく行動に注目することを依存している。

ここで Vectra が重要な差別化を実現します。クラウド、ネットワーク、アイデンティティを横断した行動を分析することで、Vectra Typhoon攻撃者が依存するコマンド使用、権限昇格、横方向移動の微妙なパターンをVectra 。このプラットフォームはmalwareを探すのではなく、攻撃者が正当に見えても悪意のある意図を特定します

検知戦略が明らかな脅威のみに焦点を当てている場合、攻撃者は成功します。発見を望まない脅威を暴くには、攻撃者の適応に合わせて学習するAI主導 と、継続的な可視性 が必要です。

Vectra プラットフォームが、静かに潜む脅威を最大の問題となる前にいかに明らかにするかをご覧ください。

よくあるご質問(FAQ)