サイバー世界に蠢く中国APT集団の影 (3) 恐怖の「ロータスブロッサム作戦」

江添 佳代子

November 21, 2016 11:00
by 江添 佳代子

Palo Alto Networksが主催するイベントを悪用し、スピアフィッシングメールを送りつけた犯行グループについて、Palo Alto Networksは「ロータスブロッサム作戦の犯行グループと強く関連している」と示唆した。ここまでは第1回の冒頭でも触れたとおりだ。今回は、この「ロータスブロッサム作戦」について解説したい。

狙いは「東南アジアの政府と軍事の諜報」

「ロータスブロッサム作戦」とは、2015年の初夏に存在が報告されたAPT攻撃で「東南アジアの政府機関と軍事機関に対する諜報活動を目的とした作戦」だと考えられている。その活動を最初に発見し、彼らの攻撃手法を世界に報じたのは、他でもないPalo Alto Networksの研究チーム「Unit 42」だった。この作戦に「ロータスブロッサム(蓮の花)」という名前をつけたのも彼らである。

2015年6月16日、同社のブログに掲載された記事「Operation Lotus Blossom: A New Nation-State Cyberthreat?」の説明によれば、ロータスブロッサム作戦の実行グループは高度に組織化されており、「東南アジアに関心のある国家に支援された存在」であるようだという。Unit 42は、この作戦を2012年の攻撃まで遡って追跡し(※1)、3年間で発生した50以上の別個の攻撃を特定し、それらについて次のように説明した。

香港や台湾、ベトナム、フィリピン、インドネシアで実施されてきた50以上の個別の攻撃が、このロータスブロッサム作戦のグループと繋がりがあることを我々は見出してきた。これらの攻撃には数多くの共通した特性が見られる。
「軍事や政府を標的としていること」
「最初の攻撃ベクトルにスピアフィッシングが用いられること」
「(攻撃の)足がかりには、『Elise』と呼ばれるカスタマイズされたバックドア型トロイの木馬が用いられること」
「Eliseによる第一段階の侵害時には、ユーザーに『問題のないファイルを開いているのだ』と思いこませる囮のファイルが表示されること」
などである。

  • ※1 このときPalo Alto Networksは、ロータスブロッサム作戦が「遅くとも2012年から」始まったものと説明したが、彼らの利用するマルウェアEliseは「遅くとも2007年から」活動していたと主張する研究者もいる。(報告例:Black Hat USA 2013で行われたプレゼンテーション「Hunting the Shadows」に用いられたスライドのPDFファイル

最大の武器は「高度なスピアフィッシングメール」

Palo Alto Networksの説明によれば、ロータスブロッサムはスピアフィッシング攻撃に大きく依存した作戦で、その際に用いられる囮のファイルの多くは、特定の軍事機関や官公庁の人員名簿であったという(例:フィリピン海軍の高官たちの氏名、生年月日、携帯電話番号をリスト化した文書など)。

同社が発表した詳細なレポート「Operation Lotus Blossom( PDFファイル)」には、ベトナムの機関に送りつけられた3つの添付ファイルも掲載されている。それらは全てベトナム語で記された文書で、たとえば「ベトナムの製品とITサービスの開発促進を目的としたワークショップ(2014年開催)のアジェンダ」など、いずれも標的にとっての本来の業務と深く関連していた。

囮のファイルで相手の警戒心を解くのはスピアフィッシングメールの典型的な手口だが、ロータスブロッサム作戦の囮はとりわけ巧妙だ。現場のスタッフが、「この高官名簿を開くとトロイの木馬に感染し、数年単位の長期的な攻撃に晒されるかもしれない」と疑うことは非常に難しく、また開封したあとも「ひょっとして今のファイルは…?」と気づく可能性が低いため、端末は何年も感染したままとなるだろう。

これらの囮の多くは、Microsoft Officeの脆弱性「CVE-2012-0158」を利用して標的をトロイの木馬に感染させようと試みるものだった。この脆弱性はゼロデイではなく2012年に発見されたもので、これまで多くの標的型攻撃で利用されてきたため(※2)、知名度も高かった。ただしロータスブロッサム作戦の実行グループが「数年越しで」活動することを考慮すれば、最初に攻撃されたときには対応が間に合っていなかった職場も多かったことが想像できる。また多くの端末を扱う官庁や公共事業では、とんでもなく古いバージョンのOSで作業をしているケースも多い。

カスタムメイドのトロイの木馬

この攻撃が感染を試みるマルウェア「Elise」についても説明しておこう。このトロイの木馬は、Palo Alto Networksが同作戦を認識するよりも前に、Trend MicroやFireEyeを含めた複数の企業の研究チームが特定していたものだった。そして今回、このマルウェアに関してPalo Alto Networksは次のように説明している。

我々は、Lotus Blossomの実行グループが、攻撃活動のニーズに合わせてマルウェア「Elise」を開発したものと考えている。3年間の攻撃で見られた50のサンプルからは、(Eliseの)3つの亜種が確認されている。

Palo Alto Networksは、これらの3つの亜種について非常に詳細なレポートを記している。このElise、およびEliseが通信していたC&Cサーバーに興味のある方は、先述のPDFファイルの12ページから23ページをご覧いただきたい。

さらに同社は、「この報告書を作成している最中にも、ロータスブロッサム作戦の最新の攻撃が発生したこと」や、「標的となった組織が、『Elise』を送りつける20の個別のメールを8週間にわたって受信していたケースもあること」などを説明したうえで、次のように結論づけている。

我々は、これらの攻撃を「特定の国家の攻撃」の仕業として帰属することができないが、その(攻撃の)パターンは『カスタムツールを開発し、C&Cのインフラを長期にわたってメンテナンスする能力を持った、非常に執拗な敵』を示している。この証拠は、『東南アジア諸国の軍隊に強い関心を持った、国家による敵』と矛盾していない」

その4に続く




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…