サイバー世界に蠢く中国APT集団の影 (5) Palo Alto Networks主催のイベントを攻撃

江添 佳代子

November 24, 2016 11:30
by 江添 佳代子

台湾のフランス外務省のスタッフがスピアフィッシングの攻撃を受けたあとも、Palo Alto Networksは「ロータスブロッサム作戦の犯行グループと深く繋がりがある実行犯」の足取りを追い、その調査を継続していた。

「Emissary」の進化

そして2016年2月、同社のブログには「Emissary Trojan Changelog: Did Operation Lotus Blossom Cause It to Evolve?」という新たな記事が掲載された。これは、前回に伝えられた攻撃のさらなる研究結果と共に、「彼らの活動は現在も進化を遂げている最中である」ということを伝える記事だった。その主な内容は

  • Emissaryは少なくとも7年以上に渡って活動を継続していると判明
  • その間、実行犯は何度も攻撃のスタイルを改善しながら諜報活動を行ってきた
  • 彼らの主要な標的は軍隊や政府機関だが、高等教育機関やIT企業等も攻撃している
  • Emissaryは、検出を避けるためのアップデートを頻繁に行っている(※)
  • 感染ルートの多様化も確認された(得意のスピアフィッシングだけでなく、侵害したウェブサイトを使ったマルウェアのホスティングも行っている)
  • 同社が収集したEmissaryの囮は全て「主に台湾と香港で使用される」繁体字で記されていた(Eliseを送り込む際に用いられる囮のファイルが、東南アジアの複数の言語を利用していたのとは対照的)
  • 同社が確認した「Emissaryの攻撃の標的」も、その2つの地域に限定されている
  • 彼らが今後もEmissaryを利用し続ける予定だと考えられる理由

などである。これらの詳細については割愛しよう。ここで確認しておきたいのは、Palo Alto Networksというセキュリティ企業が「ロータスブロッサム作戦の実行犯に関する研究の第一人者」であり、彼らは研究を熱心に続けている、という事実だ。

    ※興味深いことに、Palo Alto Networksが初めて「ロータスブロッサム作戦に関する記事」を発表した10日後、Emissaryは新たなバージョンに書き換えられた。その後はほぼ3ヵ月おきに更新されている。この記事が掲載されるまでの間、Emissaryの更新頻度は2年おき程度だったと同社は報告した。つまり攻撃者たちは、同社の記事でEmissaryの存在や攻撃手法が広く知られてしまったおかげで、検出を免れるための努力をするようになったものと考えられる。

「Palo Alto Networks主催のイベント」が攻撃に利用される

その「ロータスブロッサムのエキスパート」であるPalo Alto Networksが2016年10月28日のブログに掲載した記事は、「我が社の主催するイベントが、ロータスブロッサム作戦の実行犯と思わしきグループのスピアフィッシングに利用された」と伝えるものだった。そのイベント「Cyber Security Summit 」は、2016年11月3日に開催されるセキュリティカンファレンスで、開催地のインドネシアは「いままさに、海外からのサイバー攻撃の急増と政府の対応が話題になっている国」である(本連載1回目「成功するまで続くAPT攻撃」を参照)。

同社のブログを読み続けていた読者の多くは、このニュースを目にしたとき、一瞬「どういうことだ?」と混乱したのではないだろうか。ロータスブロッサム作戦の実行犯にとって、彼らの活動をしつこく追い続けているPalo Alto Networksは目障りな存在のはずだ。実際、彼らはPalo Alto Networksの記事のおかげで、頻繁にマルウェアを書き換えなければならなくなってしまった。そんな彼らが、同社の主催するイベントを攻撃に利用するというのは、刺激しなくてもよい敵を刺激し、ますます自分たちへの注目を集めさせる行為に他ならない。

セキュリティファンの裏をかいた攻撃?

この大胆な攻撃手法からは、様々な考察ができる。犯行グループは、じきに犯行がバレてしまうことは承知のうえで、「とにかく侵入を成功させること」を熱望し、受信者の裏をかく目的でPalo Alto Networksに成りすましたのかもしれない。あるいは「この攻撃が発覚しても、Palo Alto Networksはいつものように『犯人の正体』までは断定しないだろうから、別に構わない」と高をくくったのかもしれない。ひねくれた推理をするなら、「中国の犯行に見せかけるための努力をしながらAPT攻撃を実行している『別の国の犯行グループ』が、いつまでたっても中国を名指ししてくれない同社に業を煮やし、より挑発するような行動をとった」という可能性も考えられる……しかし、これら全ては筆者の揣摩臆測だ。

ともあれ、このスピアフィッシングを実行した攻撃者たちが「受信者を感染させること」を最優先していたと仮定するなら、かなり効果的だろう。なにしろ今回の標的は、Palo Alto Networksのイベントに関心を持つ人物である。もうすぐ地元のジャカルタでイベントが開催されることも知っていたかもしれない。そのような人物が、このスピアフィッシングメールを受け取った場合、「ロータスブロッサム作戦を執拗に研究している『あのセキュリティ企業』が開催するセキュリティイベントに、直々に招待された」と感じるだろう。

つまり受信者のセキュリティへの関心が高ければ高いほど、その偽物の招待状はより自然に、より安全なものに見えてしまいかねない。ましてPalo Alto Networksのブログを熱心に読んでいる受信者であったなら、「この招待状にロータスブロッサム作戦の実行犯たちが開発したマルウェアが仕込まれているかもしれない」とは夢にも思わないだろう。

次回以降では、このスピアフィッシングメールによる攻撃と、それに対するPalo Alto Networksが発表した見解などについてお伝えしたい。
 
その6に続く)




1年に1度 ラスベガスで開催されるハッカー達のお祭りアジア勢が健闘したDEFCON 25 CTF&PHVレポート

September 19, 2017 08:00

by tessy

今年もDEF CONがアメリカ・ラスベガスで行われた。25回目の記念となるDEF CON25は昨年までのバリーズ、パリスと2つのホテルが会場となっていたが、今年はシーザース・パレスに変更され、7月27日から30日までの日程で開催された。 筆者も今回で9回目の参加であり、会場も4つ目となる。初めてDE…

46万5000台のペースメーカーに存在した脆弱性(後編)脆弱性情報は投資会社に伝えるほうが「うまくいく」のか?

September 15, 2017 08:00

by 江添 佳代子

前編記事→死に直結する医療機器のセキュリティホール Abbott Laboratories(旧St Jude Medical)のペースメーカーの脆弱性を最初に報告したのは、米国のスタートアップのセキュリティ企業MedSec Holdings(以下MedSec)だった。その発見は当時、珍しい展開のセキ…