サイバー世界に蠢く中国APT集団の影 (1) 成功するまで続くAPT攻撃

江添 佳代子

November 17, 2016 10:00
by 江添 佳代子

2016年11月3日、ネットワークセキュリティベンダーのPalo Alto Networksが主催する「CYBERSECURITY SUMMIT」がインドネシアのジャカルタで開催された。近年、国外からのサイバー攻撃が急増しているインドネシアでは、その問題に対処する新たな国家機関「National Cyber Agency(NCA)」を設立するべきか否かの議論が行われており、当局者の発言も二転三転している。例えば、今年6月後半には「NCAの設立は一旦キャンセルする」と発表されたのだが(6月21日の『The Jakarta Post』の報道)、それから2週間も経たぬうちに、今度は「NCAの法的整備が今月中にも整う」と説明された(7月2日の同誌の報道)。

そんな状況下のジャカルタで開催された「CYBERSECURITY SUMMIT」は、多くの関係者の関心を集めたことだろう。しかし本稿のテーマは、このイベントではない。ここで取り上げるのは「中国のAPT集団だと考えられているサイバー攻撃グループが、このイベントを利用してスピアフィッシングメールを送付した」という事件だ。

当イベントの主催者であるPalo Alto Networksの説明によると、そのグループはPalo Alto Networksの関係者になりすまし、狙った標的に「CYBERSECURITY SUMMITの招待状」を偽装したマルウェアつきのメールを送りつけたという。

サイバー攻撃グループが利用したカンファレンス「CYBERSECURITY SUMMIT JAKARTA

この大胆なスピアフィッシングを実行したグループは、「以前に話題となったロータスブロッサム作戦(Operation Lotus Blossom)を実行した中国のAPT集団」とまったく同一であるか、あるいは何らかの深い繋がりがあるとPalo Alto Networksは考えている。このインシデント、およびロータスブロッサム作戦について説明する前に、まずは「APT攻撃」について解説しよう。

そもそも「APT」とは何か?

APTとは「アドバンスト・パーシスタント・スレット(Advanced Persistent Threat)」の略語で、セキュリティニュースでは「APT攻撃」「APT軍団」などの言葉が頻繁に用いられる。かなり混乱を招きやすい曖昧な言葉なのだが、簡潔にまとめるなら、APT攻撃とは「特定の標的に対して長期的に仕掛けられる、高度で多角的な侵入型のサイバー攻撃」だ。つまり、とびきりタチの悪い持続型の標的型攻撃である。しかしニュースによっては、普通の標的型攻撃も「APT攻撃」と表現する例があるため、この点は気を付けたい。

「APT攻撃」では、最初から「この標的を、このように攻撃する」という目的が具体的に定められている。攻撃者は、まず自分の標的だけを狙って様々な攻撃を仕掛け、相手の環境に潜入してバックドアを設置する。その後は潜入に気づかれぬよう、長期的に(数ヵ月以上、多くは数年間にわたって)諜報活動を行う。この一連の活動では、フィッシング、マルウェア、キーロガー、ドライブバイダウンロード、ソーシャルエンジニアリング等の様々な攻撃手法が採られる。

つまりAPT攻撃は一度の攻撃ではなく、長期的な一連の攻撃活動である。例えば「ヘルスケアの関連企業から顧客データを奪いたい」などの目的で、業界関係者の端末を感染させるためにマルウェアを添付してメールを送るといった攻撃は、いわゆる「標的型攻撃」だが、それだけではAPT攻撃とは呼べない。

APT攻撃を仕掛ける者には、基本的に「このマルウェアを使って/この脆弱性を悪用して、お金を儲けよう」という発想がない。金銭目的のサイバー攻撃であれば、攻撃先のセキュリティが強固な場合、費用対効果を考慮して標的を変えることは珍しくないが、APT攻撃の場合は狙った標的を必ず落とさなければならない。彼らは「まず任務ありき」で、その遂行のためにはいかなる脆弱性も利用し、新しいマルウェアを生み出す。

「APT=中国人民解放軍」ではないのか?

このように、APT攻撃とは高度な技術と潤沢な資金と時間を惜しみなく注ぎ込むスタイルの長期的なサイバー攻撃であり、それを実行するグループは「APT集団」と呼ばれている。

ここで「ちょっと待ってくれ。APTというのは、『中国が行っているサイバー攻撃作戦』のことを示す言葉ではなかったのか?」「いや、APTというのは中国政府のサイバー攻撃部隊の名前だろう?」と思われた方もいるかもしれない。それは正しいとは言いがたいが、あながち間違ってもいない。この点も非常に微妙でややこしいため、次回で説明しよう。
 
その2に続く




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…