サイバー世界に蠢く中国APT集団の影 (5) Palo Alto Networks主催のイベントを攻撃

江添 佳代子

November 24, 2016 11:30
by 江添 佳代子

台湾のフランス外務省のスタッフがスピアフィッシングの攻撃を受けたあとも、Palo Alto Networksは「ロータスブロッサム作戦の犯行グループと深く繋がりがある実行犯」の足取りを追い、その調査を継続していた。

「Emissary」の進化

そして2016年2月、同社のブログには「Emissary Trojan Changelog: Did Operation Lotus Blossom Cause It to Evolve?」という新たな記事が掲載された。これは、前回に伝えられた攻撃のさらなる研究結果と共に、「彼らの活動は現在も進化を遂げている最中である」ということを伝える記事だった。その主な内容は

  • Emissaryは少なくとも7年以上に渡って活動を継続していると判明
  • その間、実行犯は何度も攻撃のスタイルを改善しながら諜報活動を行ってきた
  • 彼らの主要な標的は軍隊や政府機関だが、高等教育機関やIT企業等も攻撃している
  • Emissaryは、検出を避けるためのアップデートを頻繁に行っている(※)
  • 感染ルートの多様化も確認された(得意のスピアフィッシングだけでなく、侵害したウェブサイトを使ったマルウェアのホスティングも行っている)
  • 同社が収集したEmissaryの囮は全て「主に台湾と香港で使用される」繁体字で記されていた(Eliseを送り込む際に用いられる囮のファイルが、東南アジアの複数の言語を利用していたのとは対照的)
  • 同社が確認した「Emissaryの攻撃の標的」も、その2つの地域に限定されている
  • 彼らが今後もEmissaryを利用し続ける予定だと考えられる理由

などである。これらの詳細については割愛しよう。ここで確認しておきたいのは、Palo Alto Networksというセキュリティ企業が「ロータスブロッサム作戦の実行犯に関する研究の第一人者」であり、彼らは研究を熱心に続けている、という事実だ。

    ※興味深いことに、Palo Alto Networksが初めて「ロータスブロッサム作戦に関する記事」を発表した10日後、Emissaryは新たなバージョンに書き換えられた。その後はほぼ3ヵ月おきに更新されている。この記事が掲載されるまでの間、Emissaryの更新頻度は2年おき程度だったと同社は報告した。つまり攻撃者たちは、同社の記事でEmissaryの存在や攻撃手法が広く知られてしまったおかげで、検出を免れるための努力をするようになったものと考えられる。

「Palo Alto Networks主催のイベント」が攻撃に利用される

その「ロータスブロッサムのエキスパート」であるPalo Alto Networksが2016年10月28日のブログに掲載した記事は、「我が社の主催するイベントが、ロータスブロッサム作戦の実行犯と思わしきグループのスピアフィッシングに利用された」と伝えるものだった。そのイベント「Cyber Security Summit 」は、2016年11月3日に開催されるセキュリティカンファレンスで、開催地のインドネシアは「いままさに、海外からのサイバー攻撃の急増と政府の対応が話題になっている国」である(本連載1回目「成功するまで続くAPT攻撃」を参照)。

同社のブログを読み続けていた読者の多くは、このニュースを目にしたとき、一瞬「どういうことだ?」と混乱したのではないだろうか。ロータスブロッサム作戦の実行犯にとって、彼らの活動をしつこく追い続けているPalo Alto Networksは目障りな存在のはずだ。実際、彼らはPalo Alto Networksの記事のおかげで、頻繁にマルウェアを書き換えなければならなくなってしまった。そんな彼らが、同社の主催するイベントを攻撃に利用するというのは、刺激しなくてもよい敵を刺激し、ますます自分たちへの注目を集めさせる行為に他ならない。

セキュリティファンの裏をかいた攻撃?

この大胆な攻撃手法からは、様々な考察ができる。犯行グループは、じきに犯行がバレてしまうことは承知のうえで、「とにかく侵入を成功させること」を熱望し、受信者の裏をかく目的でPalo Alto Networksに成りすましたのかもしれない。あるいは「この攻撃が発覚しても、Palo Alto Networksはいつものように『犯人の正体』までは断定しないだろうから、別に構わない」と高をくくったのかもしれない。ひねくれた推理をするなら、「中国の犯行に見せかけるための努力をしながらAPT攻撃を実行している『別の国の犯行グループ』が、いつまでたっても中国を名指ししてくれない同社に業を煮やし、より挑発するような行動をとった」という可能性も考えられる……しかし、これら全ては筆者の揣摩臆測だ。

ともあれ、このスピアフィッシングを実行した攻撃者たちが「受信者を感染させること」を最優先していたと仮定するなら、かなり効果的だろう。なにしろ今回の標的は、Palo Alto Networksのイベントに関心を持つ人物である。もうすぐ地元のジャカルタでイベントが開催されることも知っていたかもしれない。そのような人物が、このスピアフィッシングメールを受け取った場合、「ロータスブロッサム作戦を執拗に研究している『あのセキュリティ企業』が開催するセキュリティイベントに、直々に招待された」と感じるだろう。

つまり受信者のセキュリティへの関心が高ければ高いほど、その偽物の招待状はより自然に、より安全なものに見えてしまいかねない。ましてPalo Alto Networksのブログを熱心に読んでいる受信者であったなら、「この招待状にロータスブロッサム作戦の実行犯たちが開発したマルウェアが仕込まれているかもしれない」とは夢にも思わないだろう。

次回以降では、このスピアフィッシングメールによる攻撃と、それに対するPalo Alto Networksが発表した見解などについてお伝えしたい。
 
その6に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…