サイバー世界に蠢く中国APT集団の影 (2) APT攻撃と中国の密接な関係

江添 佳代子

November 18, 2016 10:30
by 江添 佳代子

前回はAPT攻撃に関する解説を行った。今回はなぜ「APT」が中国と結びつけられるのか見ていこう

アメリカ企業を標的とした「APT1」の攻撃

2013年『New York Times』や『Wall Street Journal』などの報道機関をはじめとした20業種以上、140社以上の米国企業を標的とした大掛かりなAPT攻撃の活動が確認された。New York Timesに被害の調査を依頼された米国のセキュリティコンサルタント企業Mandiantは、この攻撃の犯行グループに関する非常に詳細な報告を発表し、またNew York Timesは、そのレポートの内容を写真入りのセンセーショナルな紙面にまとめてトップ記事の扱いで報じた。近年「APT」という言葉に最も大きな注目が集まったのは、おそらくこの事件だろう。このAPT攻撃の犯行グループは、通称「APT1」(別名Comment Crew)と名付けられている(※1)。

  • New York Times 2013年2月19日の記事「China’s Army Is Seen as Tied to Hacking Against U.S.。ここに掲載されている写真は上海の浦東新区の高層ビルで、犯行グループの潜伏先のブロック(レストランやパーラーに囲まれている地域)を示したものだと伝えられている。
  • Mandiantによる「 APT1 Report 」 (PDFファイル)

Mandiantは、APT1の黒幕が中国61398部隊(人民解放軍総参謀部第三部第二局)であると結論づけ、「APT1は中国で活動している20のコンピュータースパイグループの一つ、世界中を追跡している数十のグループの一つに過ぎない」と主張した。この事件により、「APTとは中国に多数存在するサイバー部隊や、その活動を示した言葉だ」「APT1は、その中のトップなのだろう」といったイメージを強く持った人々は多いだろう(※2)。

    ※1 APT攻撃は「潜伏」を伴う活動なので、実行グループが犯行声明を発表したり、「我々は○○である」と名乗りを上げたりすることはない。APTの発見者たちは、怪獣に名前をつけるように勝手に攻撃者グループを命名しており、そこに明確なルールは存在していない。つまりAPT1に「APT1」というややこしい名前をつけたのは、米国のセキュリティ研究者である。
    ※2 APT1の実態が報じられたときには「高度な技術を持った、非常に恐ろしいサイバーギャング」という扱いで表現されることが多かった。しかし一説によれば、APT1の用いるツールや技術的のレベルはそれほど高くはなく、「中国のサイバー軍の中では2軍」と説明する研究者もいる。
    参照:APT1, that scary cyber-Cold War gang_ Not even China’s best(The Register)

Googleが中国からの撤退を決めた「オーロラ作戦」

もう一つの例として、2010年に報道された「オーロラ作戦」を挙げよう。2009年、Googleをはじめとした米国の多くの大手IT企業がAPT攻撃の被害を受けた。この攻撃は「Elderwood Crew」「Beijing Group」を含めた3つの中国政府のハッカーグループが関与した作戦だと報告されている。

オーロラ作戦はInternet Explorerの脆弱性を狙って標的の環境に潜り込み、バックドア型のマルウェアに感染させたのち、潜伏先から情報を奪う作戦だった。こちらもセキュリティ業界に「APT攻撃」の概念を根付かせた大きな事件のひとつである(ただし当時は「標的型攻撃」と表現されることが多かったため、「APT」という言葉の知名度にはそれほど貢献しなかったかもしれない)。

このオーロラ作戦は当時、「政府に支援された団体が仕掛けたスピアフィッシング攻撃」としても国際的に有名となり、GoogleやAdobe、McAfeeなど多くの米国のIT企業だけでなく、国務長官時代のヒラリー・クリントンまでもが、この攻撃に関してコメントを発表している。また、この事件によってGoogleは中国からの撤退を決断した。

Photo by Wikipedia

これら2つの事件の他にも、これまでに数多くのAPT攻撃が、中国政府(および中国人民解放軍)と関連づけられて伝えられ、それらの実行犯の多くに「APT××」の名がつけられてきた。

実質的には「中国」の攻撃なのか?

もともと「APT」は米国の空軍が正体不明の敵を表す際に使い始めた言葉だと言われているが、現在は「他国の企業や組織に諜報活動を仕掛ける『中国発の』長期的なサイバー攻撃」を示すケースが多い。

APT攻撃の定義は前回に示したとおりで、その定義の中に「中国」という言葉は含まれていない。しかし一般的に「APT」という言葉は中国と結びつけられる傾向があり、また「APT集団」という言葉も、ほとんど中国人民解放軍のサイバー部隊を示すようなイメージで用いられることが多い。

例えば「イランの核開発計画を遅らせるため、ナタンツの燃料濃縮プラントの業務を妨害せよ」という任務について考えてみよう。2つの国が協力して「4つのゼロデイを悪用するマルウェア」を新たに開発する。それをUSBメモリ経由でターゲットに感染させ、核施設のSCADAシステムに侵入する。そして高速ガス遠心分離機の速度をランダムに上げ下げして故障を発生させる……といった作戦は、「定義通りに考えるなら」立派なAPT攻撃のひとつだ。実際、日本語版のWikipediaの「APT攻撃」の項にも「Stuxnet」の名前が挙げられている。

しかしStuxnetの活動や、米国とイスラエルのオリンピック作戦を、わざわざ「APT攻撃」と呼ぶ人はあまり多くない。その使い手が「APT集団」と呼ばれることもない。なぜなら、それは中国による長期的な諜報作戦ではないからだ。

また「中国以外にもAPT 攻撃を行っている国が複数あること」は間違いないと考えられている一方で、「中国と同じスケールで、これをできる国はない」と多くの研究者が主張している。このような意見を考慮するならば、決して正確ではないものの、「APT=中国」と考えるのは、あながち間違ってもいないと言えるだろう。

次回は「セキュリティ企業Palo Alto Networksを装い、『CYBERSECURITY SUMMIT』を諜報活動に利用しようと企んだ大胆なAPT軍団」の正体について語ろう。もちろん、その犯行は中国発だと考えられている。
 
その3に続く)




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…