サイバー世界に蠢く中国APT集団の影 (7) 攻撃者のスクリーンショットを入手

江添 佳代子

November 29, 2016 08:00
by 江添 佳代子

今回は「Cyber Security Summit」を利用したAPT集団のスピアフィッシングメールについて解説するとともに、それを研究したPalo Alto Networksの見解を紹介したい。

悪用された企業自身による「囮ファイルの研究」

Palo Alto Networksは、スピアフィッシングの囮として使われたWordファイルを精査することで、犯行グループの正体に繋がる情報を得ようと試みた。その結果、非常に興味深いものを手に入れている。

同社の研究チームは、犯行グループが攻撃に利用していたシステムを調査する中で、「囮のファイルを作成した際のスクリーンショット」を入手することに成功した。その画像を見ると、攻撃者はMicrosoft WordとFoxit Reader(Foxit社のPDFリーダー)を利用しており、「正規のCyber Security Summitの招待状」から画像を切り抜いて、それを囮のファイルに貼り込んでいたことがわかる。

このスクリーンショットが面白いのは囮文書の作成方法ではなく、「彼らのPC環境に関する様々な情報が見てとれる」という点だ。まず、その操作画面で開かれているFoxit Readerのメニュー文字は簡体字で表示されている。簡体字は、中国本土で一般的に使用されている文字だ(一方の繁体字は、台湾や香港で利用されている)。

正規の招待状を切り抜く、攻撃者の画面キャプチャー

またWindowsトレイを見ると、現在利用しているIMEを示す部分に「CH(中国語)」の文字があり、さらにユーザーが「Sogou Pinyin」を利用してピンインの文字入力をしていることを示すアイコンもある。この画面がキャプチャされたのは、PDFリーダーを扱っている最中であるため(=文字入力をしている最中ではないので、あえて他言語の入力設定にする必要はないはず)、ここで示されているPCの言語設定はデフォルトだったと考えられる。つまり、そのPCを操作しているのは「普段から簡体字の中国語を利用している人物」である可能性が高い。

もうひとつ、Palo Alto Networksが注目したのは「Windowsのタスクバーの右端に表示されている時刻」だった。攻撃者が画像を切り取るために、2つのスクリーンショットを撮影した時間は「現地時間で2016年10月19日の午前8時35分(および36分)」。そして囮のWordファイルが作成された時間は、「協定世界時(UTC)午前7時51分」である。画像を切り抜いて取り込んだはずのファイルが、その画像よりも先に作成されるわけがない。つまり犯行グループがどれほど素早く作業をしたとしても、それは「UTC + 1以上」の地域で行われていなければ辻褄が合わない。もっと大雑把に分かりやすく言うなら、囮のファイルはロンドンよりも東側で作成されたということになる。

手がかりとなるIMEの種類と時刻

ついに言及された「中国」

このタイムラグの発見に関して、Palo Alto Networksは次のように記した。「もしも攻撃者の時計が中国標準時間(UTC + 8)に設定されていたとするなら、『スクリーンショットを撮ってから7時間15分後に、囮の文書の完成版が作成された』と推測できる」。

これまでの同社は、ロータスブロッサムに関する詳細な研究を続けつつも、責任の帰属を避け、具体的な国名を挙げようとはしなかった。上記の一文は、同社が公式に「中国の犯行」を示唆した初めての記述だろう(あくまでも「仮定として」ではあるが)。

そしてPalo Alto Networksは、今回の研究結果をまとめる形で記事を締めくくり、最後に「我が社のセキュリティ製品を利用している顧客の皆様の環境においては、脆弱性(CVE-2012-0158)に対するエクスプロイトが有効とならないため、このスピアフィッシングメールの攻撃の影響を受けることはない」と伝えた。

自社の主催するイベントが開催される直前の忙しい時期に、このようなスピアフィッシング騒動の対応に追われることとなったうえ、「正規の招待状メール」を送ることもできなくなったPalo Alto Networksにとって、今回のインシデントは大きな災難だった。しかし同社は、敵の囮ファイルを分析することで「ロータスブロッサム作戦の実行犯と思わしきAPT集団」の実態に大きく迫ることができた。その研究結果は複数のセキュリティニュースで取り上げられている。

また「Palo Alto Networksの顧客は、今回の攻撃をブロックすることができた」という事実のおかげで同社の面目が潰れることもなく、むしろセキュリティベンダーとしての信頼度は上がっただろう。さらに「世界中で開催されているカンファレンスCyberSecurity Summit」の知名度アップという効果も考えるなら、同社にとって今回のインシデントは、むしろ好機といえる幸運な事件だったかもしれない。
  
(その8に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。

THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。


ビール祭りにやってきた犯罪者を「顔認識」で一網打尽

November 13, 2017 08:00

by 牧野武文

中国山東省青島市で開催された国際ビール祭りで、青島市開発区警察は、会場に顔認識システムを設置。公安部保有のデータベースと照合することで、犯罪者を抽出し、逮捕するという作戦を実行した。49名の逃亡犯、麻薬犯罪者、スリなどを逮捕する成果をあげたと『新浪科技』が伝えた。 10万人以上がやってくるイベント …

PacSec 2017レポートソフトバンクPepperが危険な理由

November 10, 2017 08:30

by 『THE ZERO/ONE』編集部

米国のセキュリティ企業「IOActive」に所属するセキュリティエンジニア、ルーカス・アパ氏が「スカイネットが来る前にロボットをハックする」と題してロボット、特に家庭向けの製品に関するセキュリティ・リスクについて「PacSec2017」で講演を行った。 家庭用のロボットはリスクだらけ ルーカス氏はネ…