カナダ サイバーセキュリティセンター (CCCS) 中華人民共和国のサイバー脅威活動に対する認識と防御を促す(2024.06.03最終更新)
こんにちは、丸山満彦です。
カナダのサイバーセキュリティセンター(Canadian Centre for Cyber Security; CCCS) が、中華人民共和国 (People's Repabilic of CHina; PRC) によるサイバー脅威活動について、認識をもち、防御をしなさいよ...と警告しています...
● Canadian Centre for Cyber Security; CCCS
| Cyber threat bulletin: Cyber Centre urges Canadians to be aware of and protect against PRC cyber threat activity | サイバー脅威速報:サイバーセンターはカナダ国民に対し、PRCのサイバー脅威活動に対する認識と防御を促す。 |
| Introduction | はじめに |
| The Canadian Centre for Cyber Security (Cyber Centre) is warning that the People’s Republic of China (PRC) is increasingly targeting Canadians and Canadian organizations through the scale and scope of its cyber operations. This cyber bulletin aims to raise awareness among both individuals and organizations and urges all Canadians to be vigilant of this threat. | カナダ・サイバーセキュリティセンター(サイバーセンター)は、中華人民共和国(PRC)がそのサイバー活動の規模と範囲を通じて、カナダ人およびカナダの組織を標的とする傾向を強めていることを警告する。このサイバー速報は、個人と組織の両方の意識を高めることを目的とし、すべてのカナダ人にこの脅威に対する警戒を促すものである。 |
| PRC cyber threat activity outpaces other nation state cyber threats in volume, sophistication and the breadth of targeting. The Cyber Centre has observed widespread targeting by the PRC and this activity poses a serious threat to Canadian entities across a range of sectors. The activity has targeted: | PRCのサイバー脅威活動は、その量、巧妙さ、標的の広さにおいて、他の国家によるサイバー脅威を凌駕している。サイバーセンターは、PRCによる広範な標的を観察しており、この活動は、さまざまな分野のカナダの事業体に深刻な脅威をもたらしている。その標的は以下の通りである: |
| ・all levels of government | ・すべての政府機関 |
| ・critical infrastructure | ・重要インフラ |
| ・industry, including the Canadian research and development sector | ・カナダの研究開発部門を含む産業 |
| It’s important to note that if the Cyber Centre is aware of cyber threat activity targeting an entity, we alert the target to that threat. | 重要なことは、サイバーセンターがある企業をターゲットとしたサイバー脅威活動を認識した場合、そのターゲットにその脅威を警告することである。 |
| “The threat from China [to Canadian organizations] is very likely the most significant by volume, capability, and assessed intent.” | (カナダの組織に対する)中国からの脅威は、量、能力、そして評価された意図において、最も重大である可能性が非常に高い。 |
| National Cyber Threat Assessment 2023-2024 | 国家サイバー脅威評価 2023-2024 |
| Cyberespionage | スパイ活動 |
| PRC cyber threat actors often serve direct or indirect requirements of the PRC intelligence services. Their targets frequently reflect the national policy objectives of the PRC. These cyber threat actors routinely seek information that will provide an economic and diplomatic advantage in the PRC-Canada bilateral relationship, as well as information related to technologies prioritized in the PRC’s central planning. | 中国のサイバー脅威勢力は、多くの場合、中国情報機関の直接的または間接的な要求に対応している。彼らの標的は、しばしば中国の国策目的を反映している。これらのサイバー脅威者は、中国とカナダの二国間関係において経済的・外交的な優位性をもたらす情報や、中国の中央計画において優先される技術に関連する情報を日常的に求めている。 |
| Networks of Government of Canada agencies and departments have been compromised by PRC cyber threat actors multiple times over the past few years. All known compromises have been addressed. The Cyber Centre observes near constant reconnaissance activity by the PRC against Government of Canada systems. However, federal government networks are not the only networks that are used to store and communicate information that could provide valuable intelligence to the PRC. In particular, all levels of government in Canada should be aware of the espionage threat posed by PRC cyber threat actors. | カナダ政府機関や部局のネットワークは、過去数年間に何度もPRCのサイバー脅威行為者によって侵害されてきた。既知の侵害はすべて対処済みである。サイバー・センターは、カナダ政府のシステムに対するPRCの偵察活動をほぼ常時観測している。しかし、PRCに貴重な情報を提供する可能性のある情報の保存や通信に使用されているネットワークは、連邦政府のネットワークだけではない。特に、カナダのすべてのレベルの政府は、PRCのサイバー脅威者がもたらすスパイの脅威を認識すべきである。 |
| PRC cyber threat actors also frequently aim to collect large datasets containing personal information, likely for the purposes of bulk data analysis and target profiling. | PRCのサイバー脅威関係者は、個人情報を含む大規模なデータセットの収集も頻繁に狙っており、その目的は、データの一括分析や標的のプロファイリングにあると思われる。 |
| Example targets of concern | 懸念対象の例 |
| ・Federal, provincial, territorial, municipal and Indigenous government entities; | ・連邦政府、州政府、準州政府、地方自治体、先住民族政府機関; |
| ・Any organization or individual in close partnership with government entities; | ・政府機関と緊密な協力関係にある組織または個人; |
| ・Universities, labs and science and technology companies engaged in research and development of technologies prioritized in PRC central planning; and | ・中国の中央計画で優先された技術の研究開発に従事する大学、研究所、科学技術企業。 |
| ・Individuals or organizations that the PRC deems a threat – particularly those individuals advocating for Taiwan and Hong Kong independence and Chinese democracy. | ・中華人民共和国が脅威とみなす個人または組織、特に台湾や香港の独立、中国の民主化を主張する個人。 |
| Computer network attack | コンピュータ・ネットワーク攻撃 |
| We echo the concerns made by U.S. partners about PRC cyber threat groups prepositioning network access for potential computer network attack against North American critical infrastructure in the event of conflict in the Indo-Pacific. Computer network attacks designed to damage, disrupt or destroy critical infrastructure networks and IT systems during heightened geopolitical tensions, military conflicts or both would cause societal panic and delay the deployment of the U.S. military. | 我々は、中国のサイバー脅威グループが、インド太平洋で紛争が発生した場合、北米の重要インフラに対する潜在的なコンピューターネットワーク攻撃のために、ネットワークアクセスを準備していることについて、米国のパートナーから出された懸念を支持する。地政学的緊張の高まりや軍事衝突、あるいはその両方において、重要インフラ・ネットワークやITシステムに損害を与え、混乱させ、あるいは破壊することを目的としたコンピューター・ネットワーク攻撃は、社会的パニックを引き起こし、米軍の展開を遅らせるだろう。 |
| Energy, telecommunications and transportation are the sectors of greatest concern. However, critical infrastructure owners and operators should be aware of the potential for computer network attacks against their organizations in the event of potential geopolitical tensions or military conflicts. | エネルギー、電気通信、輸送が最も懸念される分野である。しかし、重要インフラの所有者や運営者は、地政学的な緊張や軍事衝突の可能性がある場合、組織に対するコンピュータ・ネットワーク攻撃の可能性を認識しておく必要がある。 |
| This is not just a concern for American owners and operators. The Cyber Centre assesses that the direct threat to Canada’s critical infrastructure from PRC state-sponsored actors is likely lower than that to U.S. infrastructure, but should U.S. infrastructure be disrupted, Canada would likely be affected as well due to interoperability and interdependence in the sectors of greatest concern. | これは米国の所有者やオペレーターだけの懸念ではない。サイバーセンターは、カナダの重要インフラに対するPRCの国家支援者による直接的な脅威は、米国のインフラに対するそれよりも低い可能性が高いが、米国のインフラが中断された場合、最も懸念される分野における相互運用性と相互依存性により、カナダも影響を受ける可能性が高いと評価している。 |
| Concerning trends in PRC cyber threat activity | 中国のサイバー脅威活動の動向について |
| It is difficult to generalize our technical concerns due to the scale and diversity of PRC cyber threat actors. That said, the following observations drawn from prior advisories and statements reflect some of our most serious concerns. These should be taken into consideration when defending against and mitigating PRC cyber threat activity: | 中国のサイバー脅威行為者の規模と多様性のため、我々の技術的懸念を一般化することは困難である。とはいえ、過去の勧告や声明から導き出された以下の見解は、我々の最も深刻な懸念のいくつかを反映している。これらは、PRCのサイバー脅威活動に対する防御と軽減の際に考慮されるべきである: |
| ・PRC cyber threat actors frequently co-opt compromised small office and home office (SOHO) routers to conduct cyber threat activity and avoid detection. | ・中国のサイバー脅威者は、侵害された小規模オフィスやホームオフィス(SOHO)のルーターを共用してサイバー脅威活動を行い、検知を回避することが多い。 |
| ・PRC cyber threat actors frequently “live off the land” using the built-in network administration tools of a system rather than specialized malware to conduct malicious activity. This technique helps cyber threat actors blend into normal system traffic and avoid detection by network defenders. This activity demonstrates a degree of sophistication and agility and shows that PRC cyber threat actors are not limited to a particular technique. | ・中国のサイバー脅威者は、悪意のある活動を行うために特殊なマルウェアを使用するのではなく、システムに内蔵されているネットワーク管理ツールを使用して「陸の上で生活する」ことがよくあります。この手法は、サイバー脅威行為者が通常のシステムトラフィックに紛れ込み、ネットワーク防御者による検知を回避するのに役立ちます。この活動は、高度で機敏であることを示し、中国のサイバー脅威者が特定の手法に限定されていないことを示しています。 |
| ・PRC cyber threat actors frequently attempt to compromise trusted service providers (such as telecommunications, managed service providers and cloud service providers) to access client information or networks. | ・中国のサイバー脅威者は、信頼できるサービスプロバイダー(電気通信、マネージドサービスプロバイダー、クラウドサービスプロバイダーなど)を侵害し、顧客の情報やネットワークにアクセスしようとすることが多い。 |
| ・PRC cyber threat actors rapidly weaponize and proliferate exploits for newly revealed vulnerabilities. This suggests an ongoing risk of indiscriminate exploitation of vulnerable systems. It is therefore essential that system owners apply all critical security updates as quickly as possible. | ・中国のサイバー脅威勢力は、新たに明らかになった脆弱性の悪用を迅速に武器化し、拡散させている。このことは、脆弱なシステムを無差別に悪用するリスクが継続的に存在することを示唆している。したがって、システム所有者は、重要なセキュリティ・アップデートを可能な限り迅速に適用することが不可欠である。 |
| Mitigation guidance | 緩和ガイダンス |
| The Cyber Centre encourages the Canadian cyber security community, especially provincial, territorial and municipal governments, to bolster their awareness of and protection against PRC state-sponsored cyber threats. We join our partners in the U.S. and the UK in recommending proactive network monitoring and mitigations. | サイバーセンターは、カナダのサイバーセキュリティ・コミュニティ、特に州政府、準州政府、市町村政府に対し、中国国家によるサイバー脅威に対する認識と防御を強化するよう奨励している。我々は、米国と英国のパートナーとともに、積極的なネットワーク監視と緩和策を推奨する。 |
| The Cyber Centre urges provincial, territorial and municipal governments as well as critical infrastructure network defenders to adopt the following measures: | サイバーセンターは、州政府、準州政府、市町村政府、および重要インフラネットワーク防衛者に対し、以下の対策を講じるよう要請する: |
| ・Be prepared to isolate critical infrastructure components and services from the Internet and corporate or internal networks, should they be considered attractive to a hostile threat actor to disrupt. When using industrial control systems or operational technology, conduct a test of manual controls to ensure that critical functions remain operable if the organization’s network is unavailable or untrusted. | ・敵対的な脅威行為者にとって、重要なインフラストラクチャコンポーネントやサービスが、混乱させる魅力があると考えられる場合には、インターネットや企業内・内部ネットワークから分離する準備をする。産業用制御システムや運用技術を使用する場合は、手動制御のテストを実施し、組織のネットワークが利用できない場合や信頼されていない場合でも、重要な機能が動作可能であることを確認する。 |
| ・Increase organizational vigilance. Monitor your networks with a focus on the tactics, techniques and procedures (TTPs) reported by the Cyber Centre and its partners. Ensure that cyber security and IT personnel are focused on identifying and quickly assessing any unexpected or unusual network behaviour. Enable logging in order to better investigate issues or events. | ・組織の警戒態勢を強化する。サイバーセンターとそのパートナーから報告された戦術、技術、手順(TTP)に重点を置いてネットワークを監視する。サイバーセキュリティ担当者とIT担当者が、予期しない、または異常なネットワーク動作を特定し、迅速に評価することに集中するようにする。問題やイベントをよりよく調査するために、ロギングを有効にする。 |
| ・Restrict intruders’ ability to move freely around your systems and networks. Pay particular attention to potentially vulnerable entry points (such as third-party systems with onward access to your core network). During an incident, disable remote access from third-party systems until you are sure they are clean. Consult the National Cyber Security Centre’s publications on preventing lateral movement and assessing supply chain security to learn more. | ・侵入者がシステムやネットワークを自由に動き回れるように制限する。特に、潜在的に脆弱なエントリー・ポイント(コア・ネットワークへのオンワード・アクセスを持つサードパーティ・システムなど)に注意を払う。インシデント発生時には、サードパーティシステムからのリモートアクセスを、それらがクリーンであることを確認するまで無効にする。詳細については、横方向の移動の防止と サプライチェーンのセキュリティ評価に関するNational Cyber Security Centreの出版物を参照してください。 |
| ・Enhance your security posture. Patch your systems with a focus on the vulnerabilities outlined in the Cybersecurity and Infrastructure Security Agency’s advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical Infrastructure and enable logging around backup. Deploy network and endpoint monitoring (such as anti-virus software), and implement multi-factor authentication where appropriate. Create and test offline backups. | ・セキュリティ体制の強化米国の重要インフラへの持続的なアクセスを侵害し、維持している中国国家支援行為者に関するサイバーセキュリティおよびインフラセキュリティ庁の勧告に概説されている脆弱性に重点を置いてシステムにパッチを適用し、バックアップに関連するロギングを有効にする。ネットワークとエンドポイントの監視(アンチウイルス・ソフトウェアなど)を導入し、必要に応じて多要素認証を導入する。オフライン・バックアップを作成し、テストする。 |
| ・Have a cyber incident response plan, as well as continuity of operations and communications plans. Be prepared to use them. | ・サイバーインシデント対応計画、事業継続計画、通信計画を立てる。それらを使用する準備をすること。 |
| ・Contact the Cyber Centre to inform us of suspicious or malicious cyber activity. | ・疑わしい、または悪質なサイバー活動については、サイバーセンターまでご連絡ください。 |
| Useful resources | 有用なリソース |
| Refer to the following online resources for more information and useful advice and guidance. | より詳細な情報や有用なアドバイス、ガイダンスについては、以下のオンラインリソースを参照してください。 |
| Reports and advisories | レポートと勧告 |
| Canada’s threat assessments | カナダの脅威評価 |
| ・National Cyber Threat Assessment 2023-2024 | ・国家サイバー脅威評価 2023-2024 |
| ・Cyber Threats to the Democratic Process: 2023 update | ・民主的プロセスに対するサイバー脅威2023年更新 |
| ・Cyber Threat Bulletin: The Cyber Threat to Operational Technology | ・サイバー脅威速報運用技術に対するサイバー脅威 |
| ・Cyber Threat Bulletin: The Cyber Threat to Canada's Electricity Sector | ・サイバー脅威速報カナダの電力セクターに対するサイバー脅威 |
| Joint advisories and partner publications | 共同勧告およびパートナーの出版物 |
| ・Joint guidance for executives and leaders of critical infrastructure organizations on protecting against PRC cyber activity | ・重要インフラ組織の幹部およびリーダーを対象とした、中国のサイバー活動からの保護に関する共同ガイダンス |
| ・UK calls out China state-affiliated actors for malicious cyber targeting of UK democratic institutions and parliamentarians | ・英国、英国の民主的機関および国会議員を標的とした悪意あるサイバー行為について中国国家関連行為者を非難 |
| ・Joint cyber security advisory on PRC state-sponsored cyber threat | ・中国国家によるサイバー脅威に関する共同サイバーセキュリティ勧告 |
| ・Joint advisory on PRC state-sponsored actors compromising and maintaining persistent access to U.S. critical infrastructure and joint guidance on identifying and mitigating living off the land | ・米国の重要インフラを侵害し、持続的なアクセスを維持する中国国家支援行為者に関する共同勧告と、土地に依存しない生活の特定と軽減に関する共同ガイダンス |
| ・Technical Approaches to Uncovering and Remediating Malicious Activity | ・悪意のある活動の発見と修復のための技術的アプローチ |
| Advice and guidance | アドバイスとガイダンス |
| ・Secure your accounts and devices with multi-factor authentication (ITSAP.30.030) | ・多要素認証でアカウントとデバイスを保護する (ITSAP.30.030) |
| ・Security considerations for your website (ITSM.60.005) | ・ウェブサイトのセキュリティに関する考慮事項 (ITSM.60.005) |
| ・Security considerations for industrial control systems (ITSAP.00.050) | ・産業用制御システムのセキュリティに関する考慮事項 (ITSAP.00.050) |
| ・Top 10 IT security actions to protect Internet connected networks and information (ITSM.10.089) | ・インターネットに接続されたネットワークと情報を保護するためのITセキュリティ対策トップ10 (ITSM.10.089) |
| ・Top 10 IT security action items: No. 2 patch operating systems and applications (ITSM.10.096) | ・ITセキュリティ対策項目トップ10第2位 OSとアプリケーションにパッチを当てる(ITSM.10.096) |
| Planning | プランニング |
| ・Fundamentals of Cyber Security for Canada's CI Community | ・カナダのCIコミュニティのためのサイバーセキュリティの基礎 |
Comments