サイバー世界に蠢く中国APT集団の影 (7) 攻撃者のスクリーンショットを入手

江添 佳代子

November 29, 2016 08:00
by 江添 佳代子

今回は「Cyber Security Summit」を利用したAPT集団のスピアフィッシングメールについて解説するとともに、それを研究したPalo Alto Networksの見解を紹介したい。

悪用された企業自身による「囮ファイルの研究」

Palo Alto Networksは、スピアフィッシングの囮として使われたWordファイルを精査することで、犯行グループの正体に繋がる情報を得ようと試みた。その結果、非常に興味深いものを手に入れている。

同社の研究チームは、犯行グループが攻撃に利用していたシステムを調査する中で、「囮のファイルを作成した際のスクリーンショット」を入手することに成功した。その画像を見ると、攻撃者はMicrosoft WordとFoxit Reader(Foxit社のPDFリーダー)を利用しており、「正規のCyber Security Summitの招待状」から画像を切り抜いて、それを囮のファイルに貼り込んでいたことがわかる。

このスクリーンショットが面白いのは囮文書の作成方法ではなく、「彼らのPC環境に関する様々な情報が見てとれる」という点だ。まず、その操作画面で開かれているFoxit Readerのメニュー文字は簡体字で表示されている。簡体字は、中国本土で一般的に使用されている文字だ(一方の繁体字は、台湾や香港で利用されている)。

正規の招待状を切り抜く、攻撃者の画面キャプチャー

またWindowsトレイを見ると、現在利用しているIMEを示す部分に「CH(中国語)」の文字があり、さらにユーザーが「Sogou Pinyin」を利用してピンインの文字入力をしていることを示すアイコンもある。この画面がキャプチャされたのは、PDFリーダーを扱っている最中であるため(=文字入力をしている最中ではないので、あえて他言語の入力設定にする必要はないはず)、ここで示されているPCの言語設定はデフォルトだったと考えられる。つまり、そのPCを操作しているのは「普段から簡体字の中国語を利用している人物」である可能性が高い。

もうひとつ、Palo Alto Networksが注目したのは「Windowsのタスクバーの右端に表示されている時刻」だった。攻撃者が画像を切り取るために、2つのスクリーンショットを撮影した時間は「現地時間で2016年10月19日の午前8時35分(および36分)」。そして囮のWordファイルが作成された時間は、「協定世界時(UTC)午前7時51分」である。画像を切り抜いて取り込んだはずのファイルが、その画像よりも先に作成されるわけがない。つまり犯行グループがどれほど素早く作業をしたとしても、それは「UTC + 1以上」の地域で行われていなければ辻褄が合わない。もっと大雑把に分かりやすく言うなら、囮のファイルはロンドンよりも東側で作成されたということになる。

手がかりとなるIMEの種類と時刻

ついに言及された「中国」

このタイムラグの発見に関して、Palo Alto Networksは次のように記した。「もしも攻撃者の時計が中国標準時間(UTC + 8)に設定されていたとするなら、『スクリーンショットを撮ってから7時間15分後に、囮の文書の完成版が作成された』と推測できる」。

これまでの同社は、ロータスブロッサムに関する詳細な研究を続けつつも、責任の帰属を避け、具体的な国名を挙げようとはしなかった。上記の一文は、同社が公式に「中国の犯行」を示唆した初めての記述だろう(あくまでも「仮定として」ではあるが)。

そしてPalo Alto Networksは、今回の研究結果をまとめる形で記事を締めくくり、最後に「我が社のセキュリティ製品を利用している顧客の皆様の環境においては、脆弱性(CVE-2012-0158)に対するエクスプロイトが有効とならないため、このスピアフィッシングメールの攻撃の影響を受けることはない」と伝えた。

自社の主催するイベントが開催される直前の忙しい時期に、このようなスピアフィッシング騒動の対応に追われることとなったうえ、「正規の招待状メール」を送ることもできなくなったPalo Alto Networksにとって、今回のインシデントは大きな災難だった。しかし同社は、敵の囮ファイルを分析することで「ロータスブロッサム作戦の実行犯と思わしきAPT集団」の実態に大きく迫ることができた。その研究結果は複数のセキュリティニュースで取り上げられている。

また「Palo Alto Networksの顧客は、今回の攻撃をブロックすることができた」という事実のおかげで同社の面目が潰れることもなく、むしろセキュリティベンダーとしての信頼度は上がっただろう。さらに「世界中で開催されているカンファレンスCyberSecurity Summit」の知名度アップという効果も考えるなら、同社にとって今回のインシデントは、むしろ好機といえる幸運な事件だったかもしれない。
  
(その8に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約700本以上担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

違法スパイ装置と見なされたIoT人形「ケイラ」とは?(前編)

February 27, 2017 08:00

by 江添 佳代子

ドイツの連邦ネットワーク規制庁Bundesnetzagenturは2月17日、インターネット接続の人形「マイ・フレンド・ケイラ(My Friend Cayla、以下ケイラ)」を違法な監視デバイスであると判断し、すでに国内市場から排除していることを発表した。 ドイツの連邦ネットワーク規制庁の発表 ドイ…

ハッカーの系譜(10)マービン・ミンスキー (5) 伝説のダートマス会議に参加

February 23, 2017 08:00

by 牧野武文

暇つぶしで共焦点顕微鏡を発明 しかし、なにもしないわけにはいかないので、好きな機械いじり三昧をしている間に、共焦点顕微鏡のアイディアを思いついた。これは顕微鏡にピンホール(小さな穴)を使うというアイディアだった。 レンズを組み合わせて構成されている一般の光学顕微鏡では、試料を観察するときに焦点を合わ…