サイバー世界に蠢く中国APT集団の影 (2) APT攻撃と中国の密接な関係

江添 佳代子

November 18, 2016 10:30
by 江添 佳代子

前回はAPT攻撃に関する解説を行った。今回はなぜ「APT」が中国と結びつけられるのか見ていこう

アメリカ企業を標的とした「APT1」の攻撃

2013年『New York Times』や『Wall Street Journal』などの報道機関をはじめとした20業種以上、140社以上の米国企業を標的とした大掛かりなAPT攻撃の活動が確認された。New York Timesに被害の調査を依頼された米国のセキュリティコンサルタント企業Mandiantは、この攻撃の犯行グループに関する非常に詳細な報告を発表し、またNew York Timesは、そのレポートの内容を写真入りのセンセーショナルな紙面にまとめてトップ記事の扱いで報じた。近年「APT」という言葉に最も大きな注目が集まったのは、おそらくこの事件だろう。このAPT攻撃の犯行グループは、通称「APT1」(別名Comment Crew)と名付けられている(※1)。

  • New York Times 2013年2月19日の記事「China’s Army Is Seen as Tied to Hacking Against U.S.。ここに掲載されている写真は上海の浦東新区の高層ビルで、犯行グループの潜伏先のブロック(レストランやパーラーに囲まれている地域)を示したものだと伝えられている。
  • Mandiantによる「 APT1 Report 」 (PDFファイル)

Mandiantは、APT1の黒幕が中国61398部隊(人民解放軍総参謀部第三部第二局)であると結論づけ、「APT1は中国で活動している20のコンピュータースパイグループの一つ、世界中を追跡している数十のグループの一つに過ぎない」と主張した。この事件により、「APTとは中国に多数存在するサイバー部隊や、その活動を示した言葉だ」「APT1は、その中のトップなのだろう」といったイメージを強く持った人々は多いだろう(※2)。

    ※1 APT攻撃は「潜伏」を伴う活動なので、実行グループが犯行声明を発表したり、「我々は○○である」と名乗りを上げたりすることはない。APTの発見者たちは、怪獣に名前をつけるように勝手に攻撃者グループを命名しており、そこに明確なルールは存在していない。つまりAPT1に「APT1」というややこしい名前をつけたのは、米国のセキュリティ研究者である。
    ※2 APT1の実態が報じられたときには「高度な技術を持った、非常に恐ろしいサイバーギャング」という扱いで表現されることが多かった。しかし一説によれば、APT1の用いるツールや技術的のレベルはそれほど高くはなく、「中国のサイバー軍の中では2軍」と説明する研究者もいる。
    参照:APT1, that scary cyber-Cold War gang_ Not even China’s best(The Register)

Googleが中国からの撤退を決めた「オーロラ作戦」

もう一つの例として、2010年に報道された「オーロラ作戦」を挙げよう。2009年、Googleをはじめとした米国の多くの大手IT企業がAPT攻撃の被害を受けた。この攻撃は「Elderwood Crew」「Beijing Group」を含めた3つの中国政府のハッカーグループが関与した作戦だと報告されている。

オーロラ作戦はInternet Explorerの脆弱性を狙って標的の環境に潜り込み、バックドア型のマルウェアに感染させたのち、潜伏先から情報を奪う作戦だった。こちらもセキュリティ業界に「APT攻撃」の概念を根付かせた大きな事件のひとつである(ただし当時は「標的型攻撃」と表現されることが多かったため、「APT」という言葉の知名度にはそれほど貢献しなかったかもしれない)。

このオーロラ作戦は当時、「政府に支援された団体が仕掛けたスピアフィッシング攻撃」としても国際的に有名となり、GoogleやAdobe、McAfeeなど多くの米国のIT企業だけでなく、国務長官時代のヒラリー・クリントンまでもが、この攻撃に関してコメントを発表している。また、この事件によってGoogleは中国からの撤退を決断した。

Photo by Wikipedia

これら2つの事件の他にも、これまでに数多くのAPT攻撃が、中国政府(および中国人民解放軍)と関連づけられて伝えられ、それらの実行犯の多くに「APT××」の名がつけられてきた。

実質的には「中国」の攻撃なのか?

もともと「APT」は米国の空軍が正体不明の敵を表す際に使い始めた言葉だと言われているが、現在は「他国の企業や組織に諜報活動を仕掛ける『中国発の』長期的なサイバー攻撃」を示すケースが多い。

APT攻撃の定義は前回に示したとおりで、その定義の中に「中国」という言葉は含まれていない。しかし一般的に「APT」という言葉は中国と結びつけられる傾向があり、また「APT集団」という言葉も、ほとんど中国人民解放軍のサイバー部隊を示すようなイメージで用いられることが多い。

例えば「イランの核開発計画を遅らせるため、ナタンツの燃料濃縮プラントの業務を妨害せよ」という任務について考えてみよう。2つの国が協力して「4つのゼロデイを悪用するマルウェア」を新たに開発する。それをUSBメモリ経由でターゲットに感染させ、核施設のSCADAシステムに侵入する。そして高速ガス遠心分離機の速度をランダムに上げ下げして故障を発生させる……といった作戦は、「定義通りに考えるなら」立派なAPT攻撃のひとつだ。実際、日本語版のWikipediaの「APT攻撃」の項にも「Stuxnet」の名前が挙げられている。

しかしStuxnetの活動や、米国とイスラエルのオリンピック作戦を、わざわざ「APT攻撃」と呼ぶ人はあまり多くない。その使い手が「APT集団」と呼ばれることもない。なぜなら、それは中国による長期的な諜報作戦ではないからだ。

また「中国以外にもAPT 攻撃を行っている国が複数あること」は間違いないと考えられている一方で、「中国と同じスケールで、これをできる国はない」と多くの研究者が主張している。このような意見を考慮するならば、決して正確ではないものの、「APT=中国」と考えるのは、あながち間違ってもいないと言えるだろう。

次回は「セキュリティ企業Palo Alto Networksを装い、『CYBERSECURITY SUMMIT』を諜報活動に利用しようと企んだ大胆なAPT軍団」の正体について語ろう。もちろん、その犯行は中国発だと考えられている。
 
その3に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…