サイバー世界に蠢く中国APT集団の影 (1) 成功するまで続くAPT攻撃

江添 佳代子

November 17, 2016 10:00
by 江添 佳代子

2016年11月3日、ネットワークセキュリティベンダーのPalo Alto Networksが主催する「CYBERSECURITY SUMMIT」がインドネシアのジャカルタで開催された。近年、国外からのサイバー攻撃が急増しているインドネシアでは、その問題に対処する新たな国家機関「National Cyber Agency(NCA)」を設立するべきか否かの議論が行われており、当局者の発言も二転三転している。例えば、今年6月後半には「NCAの設立は一旦キャンセルする」と発表されたのだが(6月21日の『The Jakarta Post』の報道)、それから2週間も経たぬうちに、今度は「NCAの法的整備が今月中にも整う」と説明された(7月2日の同誌の報道)。

そんな状況下のジャカルタで開催された「CYBERSECURITY SUMMIT」は、多くの関係者の関心を集めたことだろう。しかし本稿のテーマは、このイベントではない。ここで取り上げるのは「中国のAPT集団だと考えられているサイバー攻撃グループが、このイベントを利用してスピアフィッシングメールを送付した」という事件だ。

当イベントの主催者であるPalo Alto Networksの説明によると、そのグループはPalo Alto Networksの関係者になりすまし、狙った標的に「CYBERSECURITY SUMMITの招待状」を偽装したマルウェアつきのメールを送りつけたという。

サイバー攻撃グループが利用したカンファレンス「CYBERSECURITY SUMMIT JAKARTA

この大胆なスピアフィッシングを実行したグループは、「以前に話題となったロータスブロッサム作戦(Operation Lotus Blossom)を実行した中国のAPT集団」とまったく同一であるか、あるいは何らかの深い繋がりがあるとPalo Alto Networksは考えている。このインシデント、およびロータスブロッサム作戦について説明する前に、まずは「APT攻撃」について解説しよう。

そもそも「APT」とは何か?

APTとは「アドバンスト・パーシスタント・スレット(Advanced Persistent Threat)」の略語で、セキュリティニュースでは「APT攻撃」「APT軍団」などの言葉が頻繁に用いられる。かなり混乱を招きやすい曖昧な言葉なのだが、簡潔にまとめるなら、APT攻撃とは「特定の標的に対して長期的に仕掛けられる、高度で多角的な侵入型のサイバー攻撃」だ。つまり、とびきりタチの悪い持続型の標的型攻撃である。しかしニュースによっては、普通の標的型攻撃も「APT攻撃」と表現する例があるため、この点は気を付けたい。

「APT攻撃」では、最初から「この標的を、このように攻撃する」という目的が具体的に定められている。攻撃者は、まず自分の標的だけを狙って様々な攻撃を仕掛け、相手の環境に潜入してバックドアを設置する。その後は潜入に気づかれぬよう、長期的に(数ヵ月以上、多くは数年間にわたって)諜報活動を行う。この一連の活動では、フィッシング、マルウェア、キーロガー、ドライブバイダウンロード、ソーシャルエンジニアリング等の様々な攻撃手法が採られる。

つまりAPT攻撃は一度の攻撃ではなく、長期的な一連の攻撃活動である。例えば「ヘルスケアの関連企業から顧客データを奪いたい」などの目的で、業界関係者の端末を感染させるためにマルウェアを添付してメールを送るといった攻撃は、いわゆる「標的型攻撃」だが、それだけではAPT攻撃とは呼べない。

APT攻撃を仕掛ける者には、基本的に「このマルウェアを使って/この脆弱性を悪用して、お金を儲けよう」という発想がない。金銭目的のサイバー攻撃であれば、攻撃先のセキュリティが強固な場合、費用対効果を考慮して標的を変えることは珍しくないが、APT攻撃の場合は狙った標的を必ず落とさなければならない。彼らは「まず任務ありき」で、その遂行のためにはいかなる脆弱性も利用し、新しいマルウェアを生み出す。

「APT=中国人民解放軍」ではないのか?

このように、APT攻撃とは高度な技術と潤沢な資金と時間を惜しみなく注ぎ込むスタイルの長期的なサイバー攻撃であり、それを実行するグループは「APT集団」と呼ばれている。

ここで「ちょっと待ってくれ。APTというのは、『中国が行っているサイバー攻撃作戦』のことを示す言葉ではなかったのか?」「いや、APTというのは中国政府のサイバー攻撃部隊の名前だろう?」と思われた方もいるかもしれない。それは正しいとは言いがたいが、あながち間違ってもいない。この点も非常に微妙でややこしいため、次回で説明しよう。
 
その2に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…