何が起きたか
CISA、NCSC-UK、および他の12の国家サイバーセキュリティ機関は、2026年4月23日にアドバイザリーAA26-113Aを公開しました。これは、中国関連の脅威アクターの戦術が大規模な侵害されたSOHOルーター、IoTデバイス、スマートデバイス(秘密ネットワーク)のネットワークへのシフトを説明するもので、これらはサイバーキルチェーン全体(偵察からデータ流出まで)で戦略的に使用されています。アドバイザリーは、複数の秘密ネットワークが存在し、常に更新され、Volt TyphoonおよびFlax Typhoonを含む複数の脅威アクターによって共有可能であることを説明しています。
なぜ重要か
これは中国関連アクターによる戦略的ボットネット使用の最初の包括的で多国籍の特性化を表しており、個別のAPT開示を超えて、システム的なインフラストラクチャ戦術を説明しています。ガイダンスは、ネットワークディフェンダーに技術的IOC、秘密ネットワークを経由してターゲットにされた組織の保護対策、および検出推奨事項を提供しています。AI セキュリティチームの場合、アドバイザリーはAIモデルの悪用、API攻撃、またはエージェント駆動の偵察を隠す可能性があるインフラストラクチャレイヤーの脅威を強調しています。
必要な対応
ネットワークディフェンダーは、アドバイザリーのIOCを確認し、SOHOおよびIoTデバイスに推奨される保護を実装し、現在のモニタリングが秘密ネットワークソース由来のトラフィックを検出できるかどうかを検討する必要があります。AIセキュリティチームは、モデル悪用検出システムが大規模な侵害されたデバイスネットワークから発信されるトラフィックを考慮しているかどうかを評価する必要があります。これは従来のレート制限と地理的フィルタリングを回避する可能性があります。