サイバー世界に蠢く中国APT集団の影 (8) APT攻撃の犯人は本当に中国なのか

江添 佳代子

December 1, 2016 08:00
by 江添 佳代子

最終回は「セキュリティイベントの招待状を装ったスピアフィッシング攻撃の実行犯」の正体について改めて考えてみよう。Palo Alto Networksがブログの中でやんわりと示唆したように、これほど多くの証拠が揃っていれば、その攻撃が中国発であったことはほぼ間違いないように思われる。

相手を騙すには簡単な世界

しかし、それでもまだ断言はできない。サイバー攻撃では、追跡者を騙すトリックを利用し他者に罪をなすりつけることが珍しくない。日本で大きな話題となった「パソコン遠隔操作事件」でも、犯人が身元を偽るために使ったトリックが、複数の誤認逮捕を生んだ。

実行犯も追跡者も「パソコン遠隔操作事件」より高度な技術を用いているAPI攻撃の場合はどうだろうか? 連載2回目「APT攻撃と中国の密接な関係」で紹介したAPT1の事件を例に挙げてみよう。この事件については、多くのセキュリティ関係者がMandiantのレポートを信頼しており、その攻撃活動を「中国政府が支援しているAPT集団の犯行だった」と考えている。

もちろん中国当局は、そのレポートを真っ向から否定しており、「また米国が根拠のない無責任な中国バッシングを始めたのか」「我々のほうこそ米国発のサイバー攻撃に悩まされているのに」と主張した(当時の新華社のEnglish Newsが報じた外務省のコメント。これは米国と中国が互いのサイバー攻撃を非難しあう際によく見られる、お決まりのパターンだ。

「APT1=中国説」に異を唱えているのは中国の当局者だけではない。ごく少数派ではあるものの、Mandiantの報告を全面的に支持できないと語った関係者もいる。たとえば米国のセキュリティ研究者Jeffrey Carrはブログの中で、「Mandiantのレポートは『中国以外の複数の国も、このようなハッキング活動に関与している』という点について熟慮しておらず、また『ハッカーが身元を偽っている』という可能性について考察していない」と指摘し、その分析には欠陥があると語った。つまり、そのレポートは「攻撃者のなりすまし」について検証していない、という意見だ。

Palo Alto Networksのイベントの招待状を装った今回のスピアフィッシング事件でも、中国以外の国が身元を偽ったという可能性は否定しきれない。その犯行グループは「中国のAPT集団の攻撃」を装うために、「中国発」であることを示唆するようなスクリーンショットをPalo Alto Networksにわざと入手させた……という可能性もゼロではないだろう。しかし、やはり最も怪しいのは中国ではないかと筆者は考えている。

なぜなら「東南アジアの動向に特別な興味を持っている中国が、その諜報活動のために莫大な費用と時間と人的リソースを割いてサイバー諜報活動を行っている」という説はすでに、ほとんど周知の事実という扱いになっているからだ。ここまで中国が疑われている中で、あえてわざわざ「中国の犯行に見せかける」ための大掛かりな芝居をうち、定期的にマルウェアを更新しながら、アジア諸国に手の込んだAPT攻撃を仕掛けたいと望む犯行グループがいるだろうか? その点を考えると、やはり今回の事件は「中国政府に支援されたグループが実行した、猪突猛進型のAPT攻撃の一環だった」と考える方が自然だ。

「一般ユーザーには無関係の話」か?

犯行グループの正体に関係なく、APTの攻撃者は「セキュリティ企業から届いたように見えるメール」や「真面目なイベントの招待状にしか見えないファイル」など、よもや詐欺だとは思われないような媒介を通して、標的の知らぬ間にバックドアを設置し、端末が感染していることには気づかせないまま何年も潜伏して情報を盗み続ける。

この恐ろしい手口については「国家レベルの攻撃の標的となりそうな職場に勤めている人々」だけでなく、個人ユーザーも含めたすべての人々が認識しておくべきだろう。スピアフィッシングは、政府に支援された選り抜きのハッカー部隊がスパイ活動を行う際だけに用いるものではない。それほど技術レベルが高いわけではない犯罪者も、ごく一般的な標的型攻撃を仕掛ける際に利用している。

また、セキュリティのニュースで取り上げられるようなサイバー犯罪の手口は模倣犯を生みやすい、という点も指摘するべきだろう。まずは「もうすぐ地元で開催されるイベントの無料招待メール」や「このうえなく信頼できそうな組織から届いた直々の案内メール」などに騙されることがないよう心がけることを、すべての方にお勧めしたい。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…