何が起きたか
CISA、NCSC-UK、および他の12の国家サイバーセキュリティ機関は、2026年4月23日にアドバイザリーAA26-113Aを公開しました。このアドバイザリーは、中国関連の脅威アクターの戦術における大きな転換を説明しており、侵害されたSOHOルーター、IoTデバイス、スマートデバイスの大規模ネットワーク(秘密ネットワーク)がサイバーキルチェーン全体で戦略的に使用されていることを説明しています。偵察からデータ流出まで、このアドバイザリーでは、複数の秘密ネットワークが存在し、常に更新され、Volt TyphoonやFlax Typhoonを含む複数の脅威アクターによって共有される可能性があることを説明しています。
なぜ重要か
これは中国関連アクターによる戦略的ボットネット使用の最初の包括的な多国籍特性化を表しており、個別のAPT開示を超えて体系的なインフラストラクチャ戦術を説明しています。ガイダンスは、ネットワークディフェンダーに技術的なIOC、秘密ネットワーク経由でターゲット化された組織向けの保護対策、および検出推奨事項を提供します。AI セキュリティチームにとって、このアドバイザリーはAIモデルの悪用、API攻撃、またはエージェント駆動の偵察を隠す可能性があるインフラストラクチャレイヤーの脅威を強調しています。
必要な対応
ネットワークディフェンダーは、アドバイザリーのIOCを確認し、SOHOおよびIoTデバイスに対して推奨される保護を実装し、現在のモニタリングが秘密ネットワークソースのトラフィックを検出できるかどうかを検討する必要があります。AIセキュリティチームは、モデル悪用検出システムが大規模な侵害デバイスネットワークから発信されるトラフィックを考慮しているかどうかを評価する必要があります。これは従来のレート制限と地理的フィルタリングを回避する可能性があります。