サイバー世界に蠢く中国APT集団の影 (4) 狙われた「台湾のフランス外交官」

江添 佳代子

November 22, 2016 10:30
by 江添 佳代子

限りなく黒に近いグレー

2015年の初夏にロータスブロッサム作戦が特定されたとき、Palo Alto Networksのブログや報告書には攻撃者の正体に関する詳細な洞察が掲載されたが、具体的な名指しは行われなかった。とはいえ、以前にお伝えしたような理由、および攻撃者の動機から「最も怪しいのは中国だ」と疑う人々は多かっただろう。

実際のところ、Palo Alto NetworksのインテリジェンスディレクターRyan Olson氏も、セキュリティ業界マガジン『Infosecurity Magazine』の取材に対して、「帰属をするわけではないが」と前置きをしたうえで、「国の地政学的な側面や軍事的関心の側面から考えるに、中国が『容疑者』であることは明らかだ」と述べ、次のように回答している。

このようなタイプの攻撃が起こる頻度は世界中で増加しているようだが、「南シナ海」が特に狙われていることは確実だ。ロータスブロッサム作戦だけではなく、先日に発見された他のスパイ活動のグループも、世界の「この地域」に特別に焦点を当てているようで、それは「彼らのスポンサーが、これらの国々に大きな関心を寄せていること」を示している。
Operation Lotus Blossom Sets Sights on Asian Military/Infosecurity Magazine、2015年6月17日)

さらにOlson氏は同誌の中で、「この地域で活動している西側諸国のあらゆる組織は、我々の報告書に目を通し、自分が標的にされていないかどうかをチェックしたほうが良い」と警告した。それは、まるで予言のように適切な勧告だった。

「台湾のフランス外交官」が狙われた

それから半年ほどが経過した2015年末、今度は「台湾在住のフランス外交官」個人を狙ったスピアフィッシングメールの攻撃が発覚した。この攻撃も発見者はPalo Alto NetworksのUnit 42である。12月18日に掲載された同社のブログは、この攻撃に関して非常に詳しく解説している。

その個人に宛てて2015年11月10日に送られたスピアフィッシングメールは、「台湾の新竹(※)で11月13日に開催される科学技術の支援カンファレンス」の招待状を装ったものだった。このタイムリーな招待状の本文には、同カンファレンスの「正規の登録ページ」へのリンクが含まれていた。

つまり文中のリンクそのものには何も細工されていない(=クリック詐欺ではない)ため、ますます正規の招待メールに見えてしまう。これは、ちょっと疑り深い人間を油断させるのに有効なテクニックだろう。さらに、このカンファレンス自体は「オンラインでも大々的に宣伝されていたイベント」だったが、外交官に届けられたスピアフィッシングメールには、ご丁寧にも「ウェブには掲載されていない詳細な日程表」が含まれていた。もともとこのイベントに興味を持っていた人物であれば、仕事の手を止めてでも読んでしまうほど魅力的なコンテンツである。

このフィッシングメールに添付されていた囮のファイルは2つで、いずれも同カンファレンスに関連した内容の .docファイルだった。そのファイルにはWindowsの深刻な脆弱性「CVE-2014-6332」を狙ってエクスプロイトを仕掛け、バックドア型トロイの木馬「Emissary」のインストールを試みるコードが含まれていた。

    ※このイベントが開催された新竹は「台湾のシリコンバレー」と呼ばれており、国内外のIT関連企業や電気機器メーカーなどが集中している。この町の成長を応援しているフランスは、台湾にとって2番目に大きな「テクノロジーのパートナー国」で、貿易の相手国としても重要な存在となっている。

2つの攻撃の共通点

このマルウェア「Emissary」と、ロータスブロッサム作戦が利用する「Elise」は異なる脆弱性を悪用しているものの、そこには多くの関連性があった。まずEmissaryとEliseの両方のサンプルから見つかった文字列によれば、この2つのマルウェアはいずれも「LStudio」と呼ばれるグループの一部として扱われている。また両方のコードには重複している部分があり、特にデバッグのメッセージをファイルに記録する機能、設定ファイルを解読するためにカスタムのアルゴリズムを使用する機能のコードに多くの重複があるという。これらは両方のマルウェアに共通した機能だ。

さらに、今回の攻撃におけるTTP(Tactics, Techniques, and Proceduresの略語。攻撃の作戦や攻撃者を識別し、特定する際に用いられる特徴のこと)は、Palo Alto Networksが半年前の報告書に記した「ロータスブロッサム作戦の特徴」と共通している。したがって、この2つは同じグループによる攻撃である可能性が非常に高い、と同社は述べている。

結論として、同社は
「攻撃者が『フランス外務省に対する侵害、あるいはフランスと台湾の関係についての見通し』に興味を持っていたということが示されている」
「この標的の選び方と囮から考えるに、彼らが情報収集しようとしている相手は『東南アジアの国々の軍隊や政府機関』だけでなく、『それらの国々と外交や貿易協定で関わりのある国々』も含まれると我々は見なしている」
と語った。

つまりロータスブロッサム作戦の犯行グループは、以前に同社が考えていたよりも大規模な作戦の元に活動していたのか、あるいは守備範囲を徐々に広げているのかのいずれかだろう。このような典型的なAPT作戦は、攻撃の規模が大きくなればなるほど、「ますます中国の仕業である可能性が高そうだ」と見なされがちになるが、このときもPalo Alto Networksは「どの国の作戦なのか」を明確に帰属することはなかった。

(その5に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…