オランダ政府は、昨年オランダの防衛ネットワークに侵入した中国共産党(中共)が支持するサイバー攻撃は、これまで考えられていたよりもはるかに大規模なものだと発表した。西側諸国の数万の政府および防衛システムに侵入したという。
「COATHANGER 」と名付けられた攻撃は中国(中共)と関連しているとされている。攻撃者は、オランダや他国の多くの政府ネットワークで使用されているFortiGateファイアウォールシステムの中でも、その存在が公表される前や修正用プログラムがリリースされる前のもの、いわゆる「ゼロデイ脆弱性」を利用している。この脆弱性は、ソフトウェアが初めて更新された際に存在していたものである。
オランダ情報機関が2月に発表した初期報告書によれば、当初は「ネットワーク分離」により被害は限定的だった。影響を受けたシステムは国家全体の防衛ネットワークから隔離されているとされた。
しかし、オランダ国家サイバーセキュリティセンター(NCSC)は6月10日に、中国のネット攻撃活動の規模が予想を大きく上回るものであると発表した。
NCSCによると、COATHANGER 攻撃は数十の西側政府、国際機関、および防衛産業内の多数の企業に影響を及ぼし、合計2万以上のシステムが破壊された。
声明では、中共が支持する攻撃者らが一部の感染したシステムにマルウェア(悪意のあるソフトウェア)をインストールし、これによりシステムへの継続的なアクセスを確保していることも明かされた。このマルウェアは依然として完全には排除されていない。
声明には「これにより、中共に支援された攻撃者はシステムへの永続的なアクセスを保持している。被害者がFortiGateのセキュリティ更新をインストールしても、攻撃者は依然としてアクセス権を持っている」と記されている。
現時点で、どのくらいの被害者がマルウェアをインストールされたのかは不明である。オランダの情報機関とNCSCは、攻撃者が世界中の数百の被害者に対してその影響範囲を拡大し、データの窃取などの活動を行っている可能性があると考えている。
また、オランダの声明は「中共支援の攻撃者は現在も多くの被害者のシステムにアクセスできる可能性がある」としており、その影響を軽減するための対策を講じるべきだとしている。
オランダ軍情報保安局(MIVD)と総合情報保安局(AIVD)が共同発表したオランダの初期報告書では、ハッカーがどの情報を取得しようとしたのかは明示されていない。最新の発見によれば、この活動は西側諸国の防衛産業への継続的な浸透を目的としていることが示唆されている。しかし、すべての被害者がNATO加盟国であるか、あるいは他のつながりがあったのかは不明である。
オランダの声明は、多くのハッカーと同様、COATHANGERのキャンペーンは、ファイアウォール、VPNサーバー、ルーター、電子メールサーバーなど、システムをより広いネットワークに接続する「エッジデバイス」を標的にしていたと指摘した。
声明によれば、ゼロデイ脆弱性は予測が難しいため、政府は「違反を前提にする」原則を採用するよう促している。この原則に基づけば、初期の違反がすでに発生したものと仮定し、その損害を最小限に抑えるための努力が必要である。
多くの報告書は、世界最大のネット攻撃活動の背後に、中国の情報機関および執行機関と関連する、中共が支持する攻撃者がいると指摘している。
今年初め、米国の情報機関は「Volt Typhoon」と呼ばれる中国製マルウェアを排除したと発表した。このマルウェアは数百台のデバイスにインストールされており、水道、電力、石油、航空交通管制システムなど、米国の重要なインフラを脅かしていた。