サイバー世界に蠢く中国APT集団の影 (4) 狙われた「台湾のフランス外交官」

江添 佳代子

November 22, 2016 10:30
by 江添 佳代子

限りなく黒に近いグレー

2015年の初夏にロータスブロッサム作戦が特定されたとき、Palo Alto Networksのブログや報告書には攻撃者の正体に関する詳細な洞察が掲載されたが、具体的な名指しは行われなかった。とはいえ、以前にお伝えしたような理由、および攻撃者の動機から「最も怪しいのは中国だ」と疑う人々は多かっただろう。

実際のところ、Palo Alto NetworksのインテリジェンスディレクターRyan Olson氏も、セキュリティ業界マガジン『Infosecurity Magazine』の取材に対して、「帰属をするわけではないが」と前置きをしたうえで、「国の地政学的な側面や軍事的関心の側面から考えるに、中国が『容疑者』であることは明らかだ」と述べ、次のように回答している。

このようなタイプの攻撃が起こる頻度は世界中で増加しているようだが、「南シナ海」が特に狙われていることは確実だ。ロータスブロッサム作戦だけではなく、先日に発見された他のスパイ活動のグループも、世界の「この地域」に特別に焦点を当てているようで、それは「彼らのスポンサーが、これらの国々に大きな関心を寄せていること」を示している。
Operation Lotus Blossom Sets Sights on Asian Military/Infosecurity Magazine、2015年6月17日)

さらにOlson氏は同誌の中で、「この地域で活動している西側諸国のあらゆる組織は、我々の報告書に目を通し、自分が標的にされていないかどうかをチェックしたほうが良い」と警告した。それは、まるで予言のように適切な勧告だった。

「台湾のフランス外交官」が狙われた

それから半年ほどが経過した2015年末、今度は「台湾在住のフランス外交官」個人を狙ったスピアフィッシングメールの攻撃が発覚した。この攻撃も発見者はPalo Alto NetworksのUnit 42である。12月18日に掲載された同社のブログは、この攻撃に関して非常に詳しく解説している。

その個人に宛てて2015年11月10日に送られたスピアフィッシングメールは、「台湾の新竹(※)で11月13日に開催される科学技術の支援カンファレンス」の招待状を装ったものだった。このタイムリーな招待状の本文には、同カンファレンスの「正規の登録ページ」へのリンクが含まれていた。

つまり文中のリンクそのものには何も細工されていない(=クリック詐欺ではない)ため、ますます正規の招待メールに見えてしまう。これは、ちょっと疑り深い人間を油断させるのに有効なテクニックだろう。さらに、このカンファレンス自体は「オンラインでも大々的に宣伝されていたイベント」だったが、外交官に届けられたスピアフィッシングメールには、ご丁寧にも「ウェブには掲載されていない詳細な日程表」が含まれていた。もともとこのイベントに興味を持っていた人物であれば、仕事の手を止めてでも読んでしまうほど魅力的なコンテンツである。

このフィッシングメールに添付されていた囮のファイルは2つで、いずれも同カンファレンスに関連した内容の .docファイルだった。そのファイルにはWindowsの深刻な脆弱性「CVE-2014-6332」を狙ってエクスプロイトを仕掛け、バックドア型トロイの木馬「Emissary」のインストールを試みるコードが含まれていた。

    ※このイベントが開催された新竹は「台湾のシリコンバレー」と呼ばれており、国内外のIT関連企業や電気機器メーカーなどが集中している。この町の成長を応援しているフランスは、台湾にとって2番目に大きな「テクノロジーのパートナー国」で、貿易の相手国としても重要な存在となっている。

2つの攻撃の共通点

このマルウェア「Emissary」と、ロータスブロッサム作戦が利用する「Elise」は異なる脆弱性を悪用しているものの、そこには多くの関連性があった。まずEmissaryとEliseの両方のサンプルから見つかった文字列によれば、この2つのマルウェアはいずれも「LStudio」と呼ばれるグループの一部として扱われている。また両方のコードには重複している部分があり、特にデバッグのメッセージをファイルに記録する機能、設定ファイルを解読するためにカスタムのアルゴリズムを使用する機能のコードに多くの重複があるという。これらは両方のマルウェアに共通した機能だ。

さらに、今回の攻撃におけるTTP(Tactics, Techniques, and Proceduresの略語。攻撃の作戦や攻撃者を識別し、特定する際に用いられる特徴のこと)は、Palo Alto Networksが半年前の報告書に記した「ロータスブロッサム作戦の特徴」と共通している。したがって、この2つは同じグループによる攻撃である可能性が非常に高い、と同社は述べている。

結論として、同社は
「攻撃者が『フランス外務省に対する侵害、あるいはフランスと台湾の関係についての見通し』に興味を持っていたということが示されている」
「この標的の選び方と囮から考えるに、彼らが情報収集しようとしている相手は『東南アジアの国々の軍隊や政府機関』だけでなく、『それらの国々と外交や貿易協定で関わりのある国々』も含まれると我々は見なしている」
と語った。

つまりロータスブロッサム作戦の犯行グループは、以前に同社が考えていたよりも大規模な作戦の元に活動していたのか、あるいは守備範囲を徐々に広げているのかのいずれかだろう。このような典型的なAPT作戦は、攻撃の規模が大きくなればなるほど、「ますます中国の仕業である可能性が高そうだ」と見なされがちになるが、このときもPalo Alto Networksは「どの国の作戦なのか」を明確に帰属することはなかった。

(その5に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…