◆サイバーセキュリティにおける「China-nexus」とは
中国に関連する国家支援型の攻撃者(APTグループ)を指す用語です。これらの攻撃者は、機密情報の窃取や地政学的な目的(特に台湾情勢に関連する情報収集)のために、世界中の組織を標的としています。
最新の動向 (2026年4月時点)
- 侵害されたデバイスのネットワーク: 中国関連の攻撃者は、侵害したルーターなどのエッジデバイスで構築された大規模な匿名ネットワークを悪用し、サイバー攻撃を行っています。
- 国際共同アドバイザリー: 2026年4月23日、英国、日本、豪州、カナダ、ドイツ、オランダ、ニュージーランド、スペインを含む10カ国が、これらの隠蔽性の高いネットワークに対する共同アドバイザリーを公表しました。
- 特徴: 従来の静的な防御(IPブロックなど)が効きにくく、ネットワークのトラフィックマッピングなどの適応的な防御が求められています。
- 具体的な攻撃: 2025年4月頃には、Ivanti Connect Secure VPNの脆弱性を悪用した攻撃が報告されています。
中国関連のサイバー攻撃者が利用する、侵害されたデバイスで構成される匿名ネットワークの防御に関するアドバイザリーに日本も共同署名 (04/24)
『「Raptor Train」と呼ばれる匿名ネットワークは、悪意あるプログラムで乗っ取られた機器で構成された「ボットネット」を利用したもの。主にSOHO向けルーター、ウェブカメラやビデオレコーダーなどのIoTデバイス、ファイアウォール、NASで構成されている。中国の情報セキュリティ企業「Integrity Technology Group」によって構築・維持されているという。
中国政府と関連があるとされる攻撃グループ「Volt Typhoon」「Flax Typhoon」は、Raptor Trainを低コスト・低リスクで匿名性が高い通信経路として、攻撃先のスキャンから、マルウェアの配信、窃取したデータの流出まで、サイバー攻撃のあらゆる段階で悪用しているという。正規のユーザーも利用していることから、悪意のある活動の帰属を特定することが難しくなっている。かつてVolt Typhoonが使用し、2024年のはじめに米国により機能停止させられた「KV Botnet」は、主に脆弱なCiscoおよびNETGEARのルーターで構成されていたという。
防御策として、エッジデバイスの把握やリモート接続への二要素認証導入、IP許可リスト、ゼロトラストポリシーの適用などが推奨されている。』
Defending Against China-Nexus Covert Networks of Compromised Devices (04/23)
『 ・・・
保護アドバイス
・・・略・・・
すべての組織
NCSCは、影響を受けるすべての組織が自ら行動を起こすか、マネージドサービスおよび/またはセキュリティプロバイダーに調査を依頼するための以下の手順を推奨しています。
- ネットワークエッジデバイスを地図化して理解し、組織資産とそれらに接続すべき点について明確な理解を育む。
- ベースラインの通常接続、特に企業の仮想プライベートネットワーク(VPN)やその他の類似サービスへの接続。
- 消費者向けブロードバンド帯からの接続を期待しますか?
- 利用可能な動的脅威フィードを活用し、隠れたネットワークインフラを活用できます。
- リモート接続に対して多要素認証を実装します。
小規模な組織は、無料のNCSCサイバーアクションツールキットの作成と実行を検討すべきである。
リスクの高い組織または大規模組織
組織に対するリスクが十分に高い場合、社内またはセキュリティプロバイダーを通じて実施される場合、より包括的な措置が適している場合があります。
- リモートワーカー向けの企業VPNへの接続リストを拒否するのではなく、IPアドレスの許可リストを適用してください。
- オペレーティングシステム、タイムゾーン、および/または組織固有のシステム構成設定に基づいて、地理的許可リストまたはプロファイル入力接続を使用してください。
- 接続に関するゼロトラストポリシーを実装します。
- セキュアソケット層(SSL)接続用のマシン証明書をエンコードします。
- インターネット向けのIT資産の存在感を低下させる。
- 機械学習技術を調査し、異常な現象を検出・ブロックするために、正常なネットワークエッジ活動を可視化する。
The NCSC's Cyber Essentialsは、あらゆる規模の組織を保護するのに役立ちます。
・・・略・・・
付録:サイバーセキュリティのベストプラクティス
このアドバイザリで示された保護アドバイスに加えて、このアドバイザリーで説明されている活動に対して防御する上で、サイバーセキュリティのベストプラクティスも多数有効となる。
- Protect your devices and networks by keeping them up to date最新の対応バージョンを使用し、セキュリティ更新を迅速に適用し、ウイルス対策ソフトを使用して定期的にスキャンして、既知のマルウェアの脅威から保護します。NCSCガイドライン:https://www.ncsc.gov.uk/collection/device-security-guidance/policies-and-settings/antivirus-and-other-security-software を参照してください。
- Prevent and detect lateral movement in your organization’s networks組織のネットワークにおける横方向の動きを防止し、検出します。NCSCガイドラインをご覧ください:https://www.ncsc.gov.uk/guidance/preventing-lateral-movement
- Implement architectural controls for network segregationネットワーク分離のためのアーキテクチャ制御を実装する。NCSCガイドラインをご覧ください:https://www.ncsc.gov.uk/guidance/10-steps-network-security
- Set up a security monitoringcapabilityセキュリティ監視機能を設定して、ネットワーク侵入を分析するために必要なデータを収集できるようにします。NCSCのガイドラインをご覧ください:https://www.ncsc.gov.uk/guidance/introduction-logging-security-purposes および https://www.ncsc.gov.uk/information/logging-made-easy
- 最新のシステムとソフトウェアを使用してください。これらはより優れたセキュリティ構築を備えています。古くなったプラットフォームやアプリケーションをすぐに手放せない場合は、ポジションを向上させるための短期的な対策が講じられます。NCSCのガイドラインをご覧ください:https://www.ncsc.gov.uk/collection/mobile-device-guidance/managing-the-risks-from-obsolete-products
- Restrict intruders' ability to move freely around your systems and networks侵入者がシステムやネットワークを自由に移動できる能力を制限します。サードパーティ製システムなど、コアネットワークへのアクセスが脆弱な可能性のあるエントリポイントに特に注意してください。インシデント発生時に、サードパーティ製システムからのリモートアクセスを、確実にきれいになるまで停止してください。NCSCガイドライン:https://www.ncsc.gov.uk/guidance/preventing-lateral-movement および https://www.ncsc.gov.uk/guidance/assessing-supply-chain-security をご覧ください。
- Deploy a host-based intrusion detection systemホストベースの侵入検知システムを展開します。さまざまな製品が無料で有料で提供されており、さまざまなニーズや予算に合わせて用意されています。
- Further information詳細情報:さまざまなシナリオにおけるマルウェアベースの攻撃の防止に投資してください。NCSCのガイドラインをご覧ください:https://www.ncsc.gov.uk/guidance/mitiging-malware-and-ransomware-attacks』(カッコ内は機械翻訳)
