一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は6月25日、Operation Blotless攻撃キャンペーンに関する注意喚起を発表した。
重要インフラなどを狙う「Volt Typhoon」の攻撃活動が2023年5月に公表されて以降、Living off the Land戦術を用いて長期間・断続的に攻撃キャンペーンを行うAPTアクターの活動への警戒が高まっており、JPCERT/CCでも2023年から日本の組織も狙う同様の攻撃活動(Operation Blotless)を注視している。JPCERT/CCでは、同攻撃キャンペーンの実行者はマイクロソフト社などが示すVolt Typhoonと多くの共通点があると考えているが、Volt Typhoonによる攻撃活動だけなのか、これ以外に同様の戦術を用いる別のアクターによる活動も含まれているのか、現時点で精査しきれていないという。
Living off the Land戦術は、複数のAPTアクターが使用する戦術で、ランサムウェア攻撃のアクターも多用しており、特定のAPTアクターに限らず、さまざまな脅威への対策にもなることから、攻撃の手法や手順(TTP)について多くの情報が公開されている「Volt Typhoon」のTTP情報をベースに、JPCERT/CCがこれまでに対応した関連事案を含め、サイバーセキュリティ協議会の活動などを通じて把握している同攻撃活動への対応方法について解説している。
Volt Typhoonによる攻撃活動については、現時点で国内外の専門組織が把握しているのは、政府機関や重要インフラ企業への将来の再侵入に備えて「侵入方法を開拓」することが活動目的で、基本的には認証情報の窃取(NTDSファイルの窃取など)が活動の中心となっている。
Volt Typhoonによる過去の攻撃活動に対する侵害有無の調査は、通常のAPT事案対応よりも困難であることが想定されるため、「過去に侵害されたかどうか」を調査することの限界を認識した上で、本攻撃活動の想定される目的を踏まえ、「仮に過去に侵害されていたとしても、将来の破壊的活動における再侵入をされないこと」を目指すことを推奨している。
