サイバー世界に蠢く中国APT集団の影 (7) 攻撃者のスクリーンショットを入手

江添 佳代子

November 29, 2016 08:00
by 江添 佳代子

今回は「Cyber Security Summit」を利用したAPT集団のスピアフィッシングメールについて解説するとともに、それを研究したPalo Alto Networksの見解を紹介したい。

悪用された企業自身による「囮ファイルの研究」

Palo Alto Networksは、スピアフィッシングの囮として使われたWordファイルを精査することで、犯行グループの正体に繋がる情報を得ようと試みた。その結果、非常に興味深いものを手に入れている。

同社の研究チームは、犯行グループが攻撃に利用していたシステムを調査する中で、「囮のファイルを作成した際のスクリーンショット」を入手することに成功した。その画像を見ると、攻撃者はMicrosoft WordとFoxit Reader(Foxit社のPDFリーダー)を利用しており、「正規のCyber Security Summitの招待状」から画像を切り抜いて、それを囮のファイルに貼り込んでいたことがわかる。

このスクリーンショットが面白いのは囮文書の作成方法ではなく、「彼らのPC環境に関する様々な情報が見てとれる」という点だ。まず、その操作画面で開かれているFoxit Readerのメニュー文字は簡体字で表示されている。簡体字は、中国本土で一般的に使用されている文字だ(一方の繁体字は、台湾や香港で利用されている)。

正規の招待状を切り抜く、攻撃者の画面キャプチャー

またWindowsトレイを見ると、現在利用しているIMEを示す部分に「CH(中国語)」の文字があり、さらにユーザーが「Sogou Pinyin」を利用してピンインの文字入力をしていることを示すアイコンもある。この画面がキャプチャされたのは、PDFリーダーを扱っている最中であるため(=文字入力をしている最中ではないので、あえて他言語の入力設定にする必要はないはず)、ここで示されているPCの言語設定はデフォルトだったと考えられる。つまり、そのPCを操作しているのは「普段から簡体字の中国語を利用している人物」である可能性が高い。

もうひとつ、Palo Alto Networksが注目したのは「Windowsのタスクバーの右端に表示されている時刻」だった。攻撃者が画像を切り取るために、2つのスクリーンショットを撮影した時間は「現地時間で2016年10月19日の午前8時35分(および36分)」。そして囮のWordファイルが作成された時間は、「協定世界時(UTC)午前7時51分」である。画像を切り抜いて取り込んだはずのファイルが、その画像よりも先に作成されるわけがない。つまり犯行グループがどれほど素早く作業をしたとしても、それは「UTC + 1以上」の地域で行われていなければ辻褄が合わない。もっと大雑把に分かりやすく言うなら、囮のファイルはロンドンよりも東側で作成されたということになる。

手がかりとなるIMEの種類と時刻

ついに言及された「中国」

このタイムラグの発見に関して、Palo Alto Networksは次のように記した。「もしも攻撃者の時計が中国標準時間(UTC + 8)に設定されていたとするなら、『スクリーンショットを撮ってから7時間15分後に、囮の文書の完成版が作成された』と推測できる」。

これまでの同社は、ロータスブロッサムに関する詳細な研究を続けつつも、責任の帰属を避け、具体的な国名を挙げようとはしなかった。上記の一文は、同社が公式に「中国の犯行」を示唆した初めての記述だろう(あくまでも「仮定として」ではあるが)。

そしてPalo Alto Networksは、今回の研究結果をまとめる形で記事を締めくくり、最後に「我が社のセキュリティ製品を利用している顧客の皆様の環境においては、脆弱性(CVE-2012-0158)に対するエクスプロイトが有効とならないため、このスピアフィッシングメールの攻撃の影響を受けることはない」と伝えた。

自社の主催するイベントが開催される直前の忙しい時期に、このようなスピアフィッシング騒動の対応に追われることとなったうえ、「正規の招待状メール」を送ることもできなくなったPalo Alto Networksにとって、今回のインシデントは大きな災難だった。しかし同社は、敵の囮ファイルを分析することで「ロータスブロッサム作戦の実行犯と思わしきAPT集団」の実態に大きく迫ることができた。その研究結果は複数のセキュリティニュースで取り上げられている。

また「Palo Alto Networksの顧客は、今回の攻撃をブロックすることができた」という事実のおかげで同社の面目が潰れることもなく、むしろセキュリティベンダーとしての信頼度は上がっただろう。さらに「世界中で開催されているカンファレンスCyberSecurity Summit」の知名度アップという効果も考えるなら、同社にとって今回のインシデントは、むしろ好機といえる幸運な事件だったかもしれない。
  
(その8に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(前編)

January 11, 2018 08:00

by 江添 佳代子

ベトナム人民軍は2017年12月25日、1万人規模の新たな軍事サイバーユニット「Force 47」(47部隊)の存在を公にした。このForce47は、インターネット上の「誤った見解」と戦うための部隊で、すでに一部で活動を開始したと伝えられている。 共産党による一党独裁の社会主義国ベトナムでは、インタ…