サイバー世界に蠢く中国APT集団の影 (2) APT攻撃と中国の密接な関係

江添 佳代子

November 18, 2016 10:30
by 江添 佳代子

前回はAPT攻撃に関する解説を行った。今回はなぜ「APT」が中国と結びつけられるのか見ていこう

アメリカ企業を標的とした「APT1」の攻撃

2013年『New York Times』や『Wall Street Journal』などの報道機関をはじめとした20業種以上、140社以上の米国企業を標的とした大掛かりなAPT攻撃の活動が確認された。New York Timesに被害の調査を依頼された米国のセキュリティコンサルタント企業Mandiantは、この攻撃の犯行グループに関する非常に詳細な報告を発表し、またNew York Timesは、そのレポートの内容を写真入りのセンセーショナルな紙面にまとめてトップ記事の扱いで報じた。近年「APT」という言葉に最も大きな注目が集まったのは、おそらくこの事件だろう。このAPT攻撃の犯行グループは、通称「APT1」(別名Comment Crew)と名付けられている(※1)。

  • New York Times 2013年2月19日の記事「China’s Army Is Seen as Tied to Hacking Against U.S.。ここに掲載されている写真は上海の浦東新区の高層ビルで、犯行グループの潜伏先のブロック(レストランやパーラーに囲まれている地域)を示したものだと伝えられている。
  • Mandiantによる「 APT1 Report 」 (PDFファイル)

Mandiantは、APT1の黒幕が中国61398部隊(人民解放軍総参謀部第三部第二局)であると結論づけ、「APT1は中国で活動している20のコンピュータースパイグループの一つ、世界中を追跡している数十のグループの一つに過ぎない」と主張した。この事件により、「APTとは中国に多数存在するサイバー部隊や、その活動を示した言葉だ」「APT1は、その中のトップなのだろう」といったイメージを強く持った人々は多いだろう(※2)。

    ※1 APT攻撃は「潜伏」を伴う活動なので、実行グループが犯行声明を発表したり、「我々は○○である」と名乗りを上げたりすることはない。APTの発見者たちは、怪獣に名前をつけるように勝手に攻撃者グループを命名しており、そこに明確なルールは存在していない。つまりAPT1に「APT1」というややこしい名前をつけたのは、米国のセキュリティ研究者である。
    ※2 APT1の実態が報じられたときには「高度な技術を持った、非常に恐ろしいサイバーギャング」という扱いで表現されることが多かった。しかし一説によれば、APT1の用いるツールや技術的のレベルはそれほど高くはなく、「中国のサイバー軍の中では2軍」と説明する研究者もいる。
    参照:APT1, that scary cyber-Cold War gang_ Not even China’s best(The Register)

Googleが中国からの撤退を決めた「オーロラ作戦」

もう一つの例として、2010年に報道された「オーロラ作戦」を挙げよう。2009年、Googleをはじめとした米国の多くの大手IT企業がAPT攻撃の被害を受けた。この攻撃は「Elderwood Crew」「Beijing Group」を含めた3つの中国政府のハッカーグループが関与した作戦だと報告されている。

オーロラ作戦はInternet Explorerの脆弱性を狙って標的の環境に潜り込み、バックドア型のマルウェアに感染させたのち、潜伏先から情報を奪う作戦だった。こちらもセキュリティ業界に「APT攻撃」の概念を根付かせた大きな事件のひとつである(ただし当時は「標的型攻撃」と表現されることが多かったため、「APT」という言葉の知名度にはそれほど貢献しなかったかもしれない)。

このオーロラ作戦は当時、「政府に支援された団体が仕掛けたスピアフィッシング攻撃」としても国際的に有名となり、GoogleやAdobe、McAfeeなど多くの米国のIT企業だけでなく、国務長官時代のヒラリー・クリントンまでもが、この攻撃に関してコメントを発表している。また、この事件によってGoogleは中国からの撤退を決断した。

Photo by Wikipedia

これら2つの事件の他にも、これまでに数多くのAPT攻撃が、中国政府(および中国人民解放軍)と関連づけられて伝えられ、それらの実行犯の多くに「APT××」の名がつけられてきた。

実質的には「中国」の攻撃なのか?

もともと「APT」は米国の空軍が正体不明の敵を表す際に使い始めた言葉だと言われているが、現在は「他国の企業や組織に諜報活動を仕掛ける『中国発の』長期的なサイバー攻撃」を示すケースが多い。

APT攻撃の定義は前回に示したとおりで、その定義の中に「中国」という言葉は含まれていない。しかし一般的に「APT」という言葉は中国と結びつけられる傾向があり、また「APT集団」という言葉も、ほとんど中国人民解放軍のサイバー部隊を示すようなイメージで用いられることが多い。

例えば「イランの核開発計画を遅らせるため、ナタンツの燃料濃縮プラントの業務を妨害せよ」という任務について考えてみよう。2つの国が協力して「4つのゼロデイを悪用するマルウェア」を新たに開発する。それをUSBメモリ経由でターゲットに感染させ、核施設のSCADAシステムに侵入する。そして高速ガス遠心分離機の速度をランダムに上げ下げして故障を発生させる……といった作戦は、「定義通りに考えるなら」立派なAPT攻撃のひとつだ。実際、日本語版のWikipediaの「APT攻撃」の項にも「Stuxnet」の名前が挙げられている。

しかしStuxnetの活動や、米国とイスラエルのオリンピック作戦を、わざわざ「APT攻撃」と呼ぶ人はあまり多くない。その使い手が「APT集団」と呼ばれることもない。なぜなら、それは中国による長期的な諜報作戦ではないからだ。

また「中国以外にもAPT 攻撃を行っている国が複数あること」は間違いないと考えられている一方で、「中国と同じスケールで、これをできる国はない」と多くの研究者が主張している。このような意見を考慮するならば、決して正確ではないものの、「APT=中国」と考えるのは、あながち間違ってもいないと言えるだろう。

次回は「セキュリティ企業Palo Alto Networksを装い、『CYBERSECURITY SUMMIT』を諜報活動に利用しようと企んだ大胆なAPT軍団」の正体について語ろう。もちろん、その犯行は中国発だと考えられている。
 
その3に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

ホワイトハッカーが中国個人情報闇売買市場の裏取引価格を暴露

April 24, 2017 08:00

by 牧野武文

中国IT時報は、騰訊(テンセント)が組織するホワイトハッカー集団「騰訊守護者計画安全団体」の調査により、違法流出した個人情報の闇市場での取引相場価格の詳細が判明したと報じた。 違法流出の個人情報を購入するのは詐欺や資金洗浄を行う犯罪集団だけでなく、興信所や調査会社などの合法企業が購入していることも明…

スマートフォンのセンサーからユーザーのPINコードを盗む方法

April 21, 2017 08:00

by 江添 佳代子

英ニューキャッスル大学の研究チームが、「スマートフォンのモーションセンサーを利用し、ユーザーの入力したPINコードを割り出すことができるJavaScriptの攻撃」を発表した。この攻撃はMaryam Mehrnezhad博士率いる研究チームが示したもので、1度の入力読み取りテストで70%以上、3度の…

ハッカーの系譜(11)スタートアップを養成する「Yコンビネーター」 (1) 世界に衝撃を与えたインターネットワーム

April 19, 2017 08:00

by 牧野武文

「世界を変えるような新しいアイディアはすべてがシリコンバレーで生まれている」と言われる。すべてというのは大げさにしても、新しいアイディアの多くがシリコンバレーから生まれていることは確かだ。なぜなら、新しいことをやりたい若者は、全米中から、そして今では世界中からシリコンバレーに移住をして、スタートアッ…