サイバー世界に蠢く中国APT集団の影 (5) Palo Alto Networks主催のイベントを攻撃

江添 佳代子

November 24, 2016 11:30
by 江添 佳代子

台湾のフランス外務省のスタッフがスピアフィッシングの攻撃を受けたあとも、Palo Alto Networksは「ロータスブロッサム作戦の犯行グループと深く繋がりがある実行犯」の足取りを追い、その調査を継続していた。

「Emissary」の進化

そして2016年2月、同社のブログには「Emissary Trojan Changelog: Did Operation Lotus Blossom Cause It to Evolve?」という新たな記事が掲載された。これは、前回に伝えられた攻撃のさらなる研究結果と共に、「彼らの活動は現在も進化を遂げている最中である」ということを伝える記事だった。その主な内容は

  • Emissaryは少なくとも7年以上に渡って活動を継続していると判明
  • その間、実行犯は何度も攻撃のスタイルを改善しながら諜報活動を行ってきた
  • 彼らの主要な標的は軍隊や政府機関だが、高等教育機関やIT企業等も攻撃している
  • Emissaryは、検出を避けるためのアップデートを頻繁に行っている(※)
  • 感染ルートの多様化も確認された(得意のスピアフィッシングだけでなく、侵害したウェブサイトを使ったマルウェアのホスティングも行っている)
  • 同社が収集したEmissaryの囮は全て「主に台湾と香港で使用される」繁体字で記されていた(Eliseを送り込む際に用いられる囮のファイルが、東南アジアの複数の言語を利用していたのとは対照的)
  • 同社が確認した「Emissaryの攻撃の標的」も、その2つの地域に限定されている
  • 彼らが今後もEmissaryを利用し続ける予定だと考えられる理由

などである。これらの詳細については割愛しよう。ここで確認しておきたいのは、Palo Alto Networksというセキュリティ企業が「ロータスブロッサム作戦の実行犯に関する研究の第一人者」であり、彼らは研究を熱心に続けている、という事実だ。

    ※興味深いことに、Palo Alto Networksが初めて「ロータスブロッサム作戦に関する記事」を発表した10日後、Emissaryは新たなバージョンに書き換えられた。その後はほぼ3ヵ月おきに更新されている。この記事が掲載されるまでの間、Emissaryの更新頻度は2年おき程度だったと同社は報告した。つまり攻撃者たちは、同社の記事でEmissaryの存在や攻撃手法が広く知られてしまったおかげで、検出を免れるための努力をするようになったものと考えられる。

「Palo Alto Networks主催のイベント」が攻撃に利用される

その「ロータスブロッサムのエキスパート」であるPalo Alto Networksが2016年10月28日のブログに掲載した記事は、「我が社の主催するイベントが、ロータスブロッサム作戦の実行犯と思わしきグループのスピアフィッシングに利用された」と伝えるものだった。そのイベント「Cyber Security Summit 」は、2016年11月3日に開催されるセキュリティカンファレンスで、開催地のインドネシアは「いままさに、海外からのサイバー攻撃の急増と政府の対応が話題になっている国」である(本連載1回目「成功するまで続くAPT攻撃」を参照)。

同社のブログを読み続けていた読者の多くは、このニュースを目にしたとき、一瞬「どういうことだ?」と混乱したのではないだろうか。ロータスブロッサム作戦の実行犯にとって、彼らの活動をしつこく追い続けているPalo Alto Networksは目障りな存在のはずだ。実際、彼らはPalo Alto Networksの記事のおかげで、頻繁にマルウェアを書き換えなければならなくなってしまった。そんな彼らが、同社の主催するイベントを攻撃に利用するというのは、刺激しなくてもよい敵を刺激し、ますます自分たちへの注目を集めさせる行為に他ならない。

セキュリティファンの裏をかいた攻撃?

この大胆な攻撃手法からは、様々な考察ができる。犯行グループは、じきに犯行がバレてしまうことは承知のうえで、「とにかく侵入を成功させること」を熱望し、受信者の裏をかく目的でPalo Alto Networksに成りすましたのかもしれない。あるいは「この攻撃が発覚しても、Palo Alto Networksはいつものように『犯人の正体』までは断定しないだろうから、別に構わない」と高をくくったのかもしれない。ひねくれた推理をするなら、「中国の犯行に見せかけるための努力をしながらAPT攻撃を実行している『別の国の犯行グループ』が、いつまでたっても中国を名指ししてくれない同社に業を煮やし、より挑発するような行動をとった」という可能性も考えられる……しかし、これら全ては筆者の揣摩臆測だ。

ともあれ、このスピアフィッシングを実行した攻撃者たちが「受信者を感染させること」を最優先していたと仮定するなら、かなり効果的だろう。なにしろ今回の標的は、Palo Alto Networksのイベントに関心を持つ人物である。もうすぐ地元のジャカルタでイベントが開催されることも知っていたかもしれない。そのような人物が、このスピアフィッシングメールを受け取った場合、「ロータスブロッサム作戦を執拗に研究している『あのセキュリティ企業』が開催するセキュリティイベントに、直々に招待された」と感じるだろう。

つまり受信者のセキュリティへの関心が高ければ高いほど、その偽物の招待状はより自然に、より安全なものに見えてしまいかねない。ましてPalo Alto Networksのブログを熱心に読んでいる受信者であったなら、「この招待状にロータスブロッサム作戦の実行犯たちが開発したマルウェアが仕込まれているかもしれない」とは夢にも思わないだろう。

次回以降では、このスピアフィッシングメールによる攻撃と、それに対するPalo Alto Networksが発表した見解などについてお伝えしたい。
 
その6に続く)




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…