中国のハッカーが米国財務省システムに侵入、サイバーセキュリティの脅威

米財務省は、中国のハッカーが省庁のワークステーションと非機密文書にリモートアクセスしたことを確認した。当局はこれを「大規模なサイバーセキュリティ事件」と呼んでいる。この侵害は、特権アクセス管理を専門とする企業、ビヨンドトラストが運営するクラウドベースのサービスがハッカーに侵害された後に発生した。

財務省当局者は事件の重大性を認めているが、重要な詳細は不明のままである。同省は影響を受けたワークステーションの数やアクセスされた文書の性質を明らかにしていない。

中国関連の高度な持続的脅威に関連する侵害

この攻撃は、中国政府支援の高度持続的脅威（APT）グループによるものとされ、ハッカーがビヨンドトラストが使用していた盗まれたAPIキーを悪用した後に発生した。財務省管理担当次官アディティ・ハーディカー氏によると、ビヨンドトラストは12月8日に、クラウドベースの技術サポートサービスに関連する不審な活動について財務省に通知したという。

「盗まれた鍵にアクセスすることで、脅威の攻撃者はサービスのセキュリティを無効にし、財務省事務所（DO）のユーザーワークステーションにリモートアクセスし、それらのユーザーが保管している非機密文書を取得することができました」とハーディカー氏は議員への書簡で説明した。

非機密システムは一般に機密ネットワークよりも機密性が低いですが、侵害されると重大なリスクが生じ、政府の活動が暴露されたり、さらなる攻撃が可能になったりする可能性があります。

協調対応が進行中

財務省は、サイバーセキュリティ・インフラセキュリティ庁（CISA）、FBI、諜報機関、民間の科学捜査官らに協力を仰ぎ、侵害の分析とその影響の評価を行っている。ハーディカー氏によると、これらの機関は、事件の封じ込めを確実にし、将来の脅威に対する防御を強化するために協力しているという。

CISA の迅速な対応と、侵害を受けたサービスを直ちにオフラインにするという財務省の決定により、これまでのところ、ハッカーが依然として省庁のシステムにアクセスしている兆候は見つかっていない。

BeyondTrust の脆弱性が悪用される

この事件の中心となったベンダーである BeyondTrust は最近、特権リモート アクセス (PRA) およびリモート サポート (RS) 製品の重大な脆弱性 (CVE-2024-12356) に対するパッチを発行しました。12 月 5 日、同社はリモート サポート SaaS の API キーが侵害されたことを発見し、影響を受けたインスタンスを直ちにシャットダウンし、影響を受けた顧客に通知しました。

背景: 中国のサイバースパイ活動の拡大

この財務省への攻撃は、「ソルト・タイフーン」というニックネームで呼ばれる中国のより大規模なサイバースパイ活動に対する懸念が高まる中で起きた。報道によると、この活動により北京は、アメリカ国民が関与するテキストメッセージや電話の会話を含む機密通信へのアクセスが可能になったという。

12月下旬の時点で、米国当局は9つの通信会社がソルト・タイフーンによって侵入されたことを確認した。財務省への侵入は一見無関係に思えるが、米国のインフラと政府システムを標的とした中国政府支援のサイバー攻撃の範囲と巧妙さを浮き彫りにしている。

重要なポイント

この事件は、サードパーティのソフトウェアへの依存によってもたらされる重大な脆弱性をはっきりと思い起こさせるものです。クラウドベースのサービスは便利で安全だと思われがちですが、悪用されると攻撃者の侵入口になる可能性があります。

政府機関も民間企業も、常に警戒を怠らず、堅牢なセキュリティ プロトコル、定期的なパッチ適用、包括的なインシデント対応計画を確実に実施する必要があります。米国政府がサイバー セキュリティ機関を迅速に関与させたことは、サイバー脅威に対する協調的な対応の重要性を強調しています。

捜査が進むにつれ、一つのことが明らかになった。それは、地政学的緊張が高まり、サイバー攻撃がますます巧妙化する時代にあって、サイバーセキュリティの重要性はかつてないほど高まっているということだ。