サイバー世界に蠢く中国APT集団の影 (1) 成功するまで続くAPT攻撃

江添 佳代子

November 17, 2016 10:00
by 江添 佳代子

2016年11月3日、ネットワークセキュリティベンダーのPalo Alto Networksが主催する「CYBERSECURITY SUMMIT」がインドネシアのジャカルタで開催された。近年、国外からのサイバー攻撃が急増しているインドネシアでは、その問題に対処する新たな国家機関「National Cyber Agency(NCA)」を設立するべきか否かの議論が行われており、当局者の発言も二転三転している。例えば、今年6月後半には「NCAの設立は一旦キャンセルする」と発表されたのだが(6月21日の『The Jakarta Post』の報道)、それから2週間も経たぬうちに、今度は「NCAの法的整備が今月中にも整う」と説明された(7月2日の同誌の報道)。

そんな状況下のジャカルタで開催された「CYBERSECURITY SUMMIT」は、多くの関係者の関心を集めたことだろう。しかし本稿のテーマは、このイベントではない。ここで取り上げるのは「中国のAPT集団だと考えられているサイバー攻撃グループが、このイベントを利用してスピアフィッシングメールを送付した」という事件だ。

当イベントの主催者であるPalo Alto Networksの説明によると、そのグループはPalo Alto Networksの関係者になりすまし、狙った標的に「CYBERSECURITY SUMMITの招待状」を偽装したマルウェアつきのメールを送りつけたという。

サイバー攻撃グループが利用したカンファレンス「CYBERSECURITY SUMMIT JAKARTA

この大胆なスピアフィッシングを実行したグループは、「以前に話題となったロータスブロッサム作戦(Operation Lotus Blossom)を実行した中国のAPT集団」とまったく同一であるか、あるいは何らかの深い繋がりがあるとPalo Alto Networksは考えている。このインシデント、およびロータスブロッサム作戦について説明する前に、まずは「APT攻撃」について解説しよう。

そもそも「APT」とは何か?

APTとは「アドバンスト・パーシスタント・スレット(Advanced Persistent Threat)」の略語で、セキュリティニュースでは「APT攻撃」「APT軍団」などの言葉が頻繁に用いられる。かなり混乱を招きやすい曖昧な言葉なのだが、簡潔にまとめるなら、APT攻撃とは「特定の標的に対して長期的に仕掛けられる、高度で多角的な侵入型のサイバー攻撃」だ。つまり、とびきりタチの悪い持続型の標的型攻撃である。しかしニュースによっては、普通の標的型攻撃も「APT攻撃」と表現する例があるため、この点は気を付けたい。

「APT攻撃」では、最初から「この標的を、このように攻撃する」という目的が具体的に定められている。攻撃者は、まず自分の標的だけを狙って様々な攻撃を仕掛け、相手の環境に潜入してバックドアを設置する。その後は潜入に気づかれぬよう、長期的に(数ヵ月以上、多くは数年間にわたって)諜報活動を行う。この一連の活動では、フィッシング、マルウェア、キーロガー、ドライブバイダウンロード、ソーシャルエンジニアリング等の様々な攻撃手法が採られる。

つまりAPT攻撃は一度の攻撃ではなく、長期的な一連の攻撃活動である。例えば「ヘルスケアの関連企業から顧客データを奪いたい」などの目的で、業界関係者の端末を感染させるためにマルウェアを添付してメールを送るといった攻撃は、いわゆる「標的型攻撃」だが、それだけではAPT攻撃とは呼べない。

APT攻撃を仕掛ける者には、基本的に「このマルウェアを使って/この脆弱性を悪用して、お金を儲けよう」という発想がない。金銭目的のサイバー攻撃であれば、攻撃先のセキュリティが強固な場合、費用対効果を考慮して標的を変えることは珍しくないが、APT攻撃の場合は狙った標的を必ず落とさなければならない。彼らは「まず任務ありき」で、その遂行のためにはいかなる脆弱性も利用し、新しいマルウェアを生み出す。

「APT=中国人民解放軍」ではないのか?

このように、APT攻撃とは高度な技術と潤沢な資金と時間を惜しみなく注ぎ込むスタイルの長期的なサイバー攻撃であり、それを実行するグループは「APT集団」と呼ばれている。

ここで「ちょっと待ってくれ。APTというのは、『中国が行っているサイバー攻撃作戦』のことを示す言葉ではなかったのか?」「いや、APTというのは中国政府のサイバー攻撃部隊の名前だろう?」と思われた方もいるかもしれない。それは正しいとは言いがたいが、あながち間違ってもいない。この点も非常に微妙でややこしいため、次回で説明しよう。
 
その2に続く




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…