米司法省「中国軍ハッカー訴追」の犯行内容を起訴状から読み解く

西方望

July 29, 2014 09:00
by 西方望

5月19日、米国司法省は中国人民解放軍の軍人5人について、米国企業など6団体に対して不正アクセスを行ったとして31に及ぶ罪状で訴追した。「ハッキング」犯が起訴されること自体はもちろん珍しい話ではないが、他国の軍人を、それも部隊名まで明らかにして起訴するというのはきわめて異例と言っていいだろう。その背景などについての考察は別記事に譲るとして、ここでは彼らが何をした(とされている)のかを起訴状から見ていきたい。起訴状は以下で読むことができる。

被害にあったのは、東芝グループの原子力企業ウェスチングハウス・エレクトリック、ドイツの太陽光発電企業ソーラーワールドの米子会社、大手鉄鋼企業USスティール、各種金属を扱うアレゲニー・テクノロジーズ(ATI)、アルミニウム企業アルコア、米国最大の労組である鉄鋼労働者組合(USW)。これらの組織に対してどのような攻撃が行われたのか、2例を紹介する。
 
ウェスチングハウス
ウェスチングハウスは2007年、中国国営企業と中国内での原発の建設・運営に関する契約を交わした。これに付随する技術移転や製品輸出の制限などの交渉や、追加の原発建設の契約交渉を進めていた2010年から2012年にかけて、被告はウェスチングハウスのコンピューターに対して不正アクセスを繰り返し行った。侵入の具体的な手口は起訴状では明らかにされていないが、侵入後「ccapp.exe」などのファイルを社内のコンピューターに送信したという事実が示されている。ccapp.exeはNorton AntiVirusの構成ファイル名であることから、おそらく偽装マルウェアを仕込んだものと推測される。これにより、配管システムなど原発の設計に関する機密情報や、中国進出も含むビジネス戦略情報などを盗んだとされている。盗んだデータは少なくとも1.4ギガバイト、電子メールと添付ファイルは70万ページ相当(換算方法は不明)という。
 
USスティール
2009年ごろから中国の鉄鋼メーカーが製品を不当に安く米国市場で販売しているとして、USスティールなどが米国商務省・国際貿易委員会に調査を請願。商務省の予備的決定の発表を2週間後に控えた2010年2月8日、被告はUSスティールのCEOを装った「スピアフィッシング」(企業内などのターゲットに対して、信頼できる相手を装ってメールを送り悪意あるサイトに誘導したり添付ファイルを実行させたりする手法)メールを従業員約20人に送信。このメールは「Meeting Invitation(会議の案内)」という件名で、マルウェアへのリンクが含まれていた。これをクリックするとコンピューターはマルウェアに感染し、バックドアが仕込まれることとなる。

なお、起訴状の他の部分ではこのメールには「agenda.zip」という添付ファイルが付けられていた、とされている。同名のファイルは先立つアルコアへの攻撃にも用いられ、そちらではこのファイルを開くとマルウェアに感染する、とある。むろんリンクと添付ファイルの両方があっても不思議はないが、起訴状の別の箇所で表現が異なるのには少々違和感を覚える。

ともあれ、どうやら最初の攻撃は失敗した模様で、2月23日から別の社内アカウントを装い「US Steel Industry Outlook(米国鉄鋼産業の展望)」と題する、やはりマルウェアが含まれているメールを送信。今度は成功したらしく2月26日から社内のコンピューターに不正アクセスを開始。ネットワーク監視用サーバーや社内施設への物理アクセスを管理するサーバーを含む1700以上のコンピューターのホスト名などを入手。脆弱なサーバーを探し出して攻撃を行った。

USスティールに対する攻撃でも「ccapp.exe」が登場する。時系列的にはこちらの方が先だが、ウェスチングハウスでは何度も使用されているのに対し、最初に1度出てくるだけ。うまくいかなかったのか、あるいは必要なかったのか。この失敗を踏まえて改良された、という可能性も考えられる。

他の4組織に対する攻撃もおおむね同様のものだ。それら以外に、どの攻撃で具体的にどう使われたかは明記されていないが、ダイナミックDNSを使用して、中継コンピューターやC&C(コマンド&コントロール)サーバー、マルウェアの情報送信先などのサーバーのホスト名とIPアドレスの紐付けを頻繁に変更したことも解説されている。例えば必要のないときはIPアドレスをGmailやYahoo!といったいつ誰がアクセスしてもおかしくないサーバーのものに変更しておけば、マルウェアの発するビーコンが不審に思われる可能性が減る。情報を入手したり、リモートアクセスの場合だけ「オン」にすればいいわけだ。そして、この「オン」の時間が上海のビジネスタイムと一致するという。ただ、それ以外にはどうやって犯人が人民解放軍61398部隊の5人なのかを突き止めたかは記されていない。裁判でその他の証拠が示されるのだろうとは思うが。

総じて、攻撃の内容や手口としては特に目新しいものはない。スピアフィッシングなどは、日本の企業や官公庁に対して行われていた攻撃でもお馴染みだ。だが、ユーザーの意識が低ければ当然今でも通用する。メールのリンクや添付ファイルに気を付けなければならないというのは、2010年でも2014年でも変わらないのだ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…