オーストラリアのスコット・モリソン首相は緊急記者会見を開き、国家を拠点とする攻撃者によるサイバー攻撃を受けていることを明らかにしたが、同国の情報セキュリティ諮問機関は、攻撃者は一部のシステムにアクセスしたものの、「被害者の環境内でいかなる混乱や破壊活動も」行っていないと述べている。
モリソン首相は、今回の攻撃は政府、主要インフラ、そして民間部門を標的としており、その深刻さから、危機に際しては礼儀正しく、義務ではないものの、野党党首に事件について報告する措置を取ったと述べた。また、この急遽の記者会見の主目的は、オーストラリア国民に事件について情報を提供し、理解を深めることだと述べた。
しかしモリソン首相は、オーストラリアの防衛当局が攻撃元を特定したかどうかについては明言を避け、これまでに集められた証拠は攻撃者の名前を公表するための政府の確実性の基準を満たしていないと述べた。
また、攻撃の影響についても詳細には触れず、重大な個人情報漏洩が発生したという報告は受けていないとだけ述べた。また、今回の攻撃は全く新しいものではなく、同様の攻撃は継続中で、今後も発生することが予想されると述べた。しかし、本日の発表を急務とするほどの活動のピークやインシデントについては、詳細には触れなかった。
オーストラリアは、議会ハッキングが貿易関係に悪影響を及ぼす可能性があるため、中国を非難しなかったと報道
続きを読む
オーストラリアのサイバー防衛アドバイス機関であるオーストラリアサイバーセキュリティセンター(ACSC)は、「コピー&ペーストによる侵害 - 複数のオーストラリアのネットワークを標的とするために使用される戦術、技術、手順」と題する勧告を公開し、さらに詳しい情報を提供している。
その文書の所見の中には、「ACSC は調査中に、攻撃者が被害者の環境内で混乱や破壊行為を行う意図を持っていなかったことを確認した」とあります。
また、攻撃は「…多数の初期アクセスベクトルから始まり、最も多かったのは公開インフラストラクチャの悪用であり、主にTelerik UIのパッチ未適用バージョンに存在するリモートコード実行の脆弱性を悪用したものだった」ことも明らかになった。
「攻撃者が悪用した公開インフラストラクチャの他の脆弱性には、Microsoftインターネットインフォメーションサービス(IIS)のデシリアライゼーションの脆弱性、2019年のSharePointの脆弱性、および2019年のCitrixの脆弱性の悪用が含まれます。」
ACSCは、一般向けのインフラへの攻撃は成功しなかったため、攻撃者はスピアフィッシングに移行し、いくつかのシステムへのアクセスを獲得したと述べた。
「被害者ネットワークとのやり取りにおいて、攻撃者は侵害を受けたオーストラリアの正規ウェブサイトをコマンド&コントロールサーバーとして利用していたことが判明した」と勧告は述べている。「コマンド&コントロールは主に、ウェブシェルとHTTP/HTTPSトラフィックを用いて実行された。この手法により、ジオブロッキングは無効化され、調査中に悪意のあるネットワークトラフィックの正当性が高められた。」
ACSC は調査を受けて、インターネットに接続するすべてのものにパッチを適用し、電子メール、リモート デスクトップ、VPN、コラボレーション プラットフォームに MFA を導入し、オーストラリア政府の以前のセキュリティ アドバイスに従い、将来の攻撃のトリアージに役立つように詳細なログ記録を有効にするようアドバイスしています。
首相の記者会見に出席した記者たちは、中国が容疑者ではないかと即座に質問した。中国は最近、オーストラリアがCOVID-19パンデミックの発生源に関する国際調査を求めたことに憤慨し、新たな貿易摩擦を提起し、自国民が観光客や学生としてオーストラリアを訪問しないよう勧告するなどして報復しているようだ。モリソン首相は、これらの攻撃の背後に中国がいるのかとの質問に対し、答えを避けた。®
