底知れぬ「Shadow Brokers」 (3) 最も狙われた国家「中国」

江添 佳代子

December 12, 2016 08:00
by 江添 佳代子

2016年10月30日、Shadow Brokersが2度目のリークで公開した情報は、「イクエーショングループが諜報作戦の下に侵害した世界中のサーバーに関するデータ」だと主張されるものだった。これは、他者への諜報活動を目的とした攻撃の足がかりとして、イクエーショングループが利用したホストだったと彼らは説明している。今回は、そのデータの統計についてお伝えしたい。

ドメイン統計で日本が第2位の被害と判明

この漏洩データ(合計で352のIPアドレス、306のドメイン名が含まれている)の分析には、複数の企業や個人が携わった。特に分かりやすい分析結果は、英国のセキュリティ専門家チームによる企業「My Hacker House」の記事「Hacker Halloween_ Inside a Shadow Brokers leak」だろう。

このページに掲載されている最初の表は、侵害されたホストの分布を国別のランキング形式にしたものだ。1位は中国、続いて日本と韓国が2位。さらにスペイン、ドイツ、インドや台湾の名が並び、「Shadow Brokersの本拠地」ではないかと疑われているロシアも10位に入っている。他の調査者による統計では「2位が日本、3位が韓国」と記されているものもあるが、いずれにせよ首位は中国、そこから少し離されて日本と韓国が並ぶ「上位3国」が、全体の大きな割合を占めているという状況は同じだ。

攻撃されたホスト数の国別のランキング(My Hacker Houseより)

攻撃されたホスト数の国別割合(My Hacker Houseより)

この攻撃は49ヵ国のホストに影響を及ぼしていたようだ、とMy Hacker Houseは説明している。地理的な分布の様子については、Verint(米国のセキュリティインテリジェンス企業)のセキュリティリサーチマネージャーdalmoz(@dalmoz_)氏が作成した「IPアドレスベースの標的マップ(バージョン1)」で確認するのがわかりやすいだろう。

この地図を見れば、主な標的となっていたのは東側、特にアジア太平洋地域だったことが見て取れる。そしてFive Eyes(※)の加盟国、米国・英国・カナダ・オーストラリア・ニュージーランドがスカスカであることも明白だ。

※ Five Eyesについては、過去に掲載した記事『カナダが「Five Eyes」間データ共有を一部中止(前編後編)』をご参照いただきたい)

狙われた「アジアの大学」

My Hacker Houseは、この漏洩データに32個の.eduドメインと9個の.gov関連ドメインが含まれていたことを指摘している。それらの具体的な名前やIPアドレスは同社のページに掲載されていない。しかし前回に紹介したスプレッドシートを確認してみると、侵害された日本のサーバーの多くは有名大学(ほとんどが国立大学)のものだ。その他には「go.jp」や「or.jp」などのドメインもあるが、教育委員会、公立科学館などの名前も見つかるため、やはり「教育」の分野が目立つ。

この点に注意しながら全体のデータに目を通していくと、「教育機関、特に『大学』が狙われやすい」という傾向は、多くの国で共通しているようにみえる。

たとえば上記のランキングで1位となった中国でも、清華大学(北京大と共にトップ2と呼ばれる超名門)や西安電子科技大学(電子工学を学ぶ留学生が国外からも集まる)、国防科学技術大学(ソフトウェア工学で知られる)、第二軍医大学(三つの附属病院を持つ国内トップクラスの医大)など有名大学のホスト名が次々と確認できた。韓国も、多くのドメインが「ac.kr」である。しかし日本や中国とは対照的に、なぜか「トップクラスの国立大」ではなく「充分に知られている私立大」が多かった。上位3国以外に目を向けてみると、たった4つのIPアドレスしかリストに挙がっていないサウジアラビアでも、4つのうち3つのホストが大学のものだった。

狙われた理由としては、「大学のサーバーはアタックサーフェス(攻撃される領域)が大きくなりやすい」「企業に比べるとセキュリティを重視していないケースが多い」「規模の大きい大学になれば、ますます一元的な管理や適切なアップデートが困難になる」などが想像できる。つまり「単に侵入しやすかった」というのは大きな理由の一つだろう。しかし標的となった大学のそれぞれを調べていくと、電子技術や情報工学や医療技術などを専門とする大学、あるいはそれらの分野に強い大学の割合が大きいことにも気づく。さらに世界中の「教育機関ではない組織や企業」を見ると、ITや通信事業に携わる組織(たとえば日本なら「ad.jp」ドメインを利用しているプロバイダなど)が数多く含まれている。

踏み台攻撃で諜報活動を行いたい攻撃グループにとっては、電子工学に強い大学や、ISP事業者などの利用しているサーバーのほうが好都合なのだろうか。あるいは「サーバーを感染させた際、ついでにデータを物色してオマケの宝物を手に入れる」という目的も、ひょっとするとあったのかもしれない。彼らが標的を決めた意図は分からないが、いずれにせよ、これらの条件にあてはまる組織はより慎重になったほうがよさそうだ。

「中国が第1位」の衝撃

国別ドメインリストの2位となってしまった日本の我々にとって気になるのは、「米国と安全保障条約を結んでいるはずの日本が、米国の諜報機関からこれほどのサイバー攻撃を受けたうえ、攻撃の踏み台にされたのか?」という点だ。しかしNSAは過去にも第1次安倍内閣、三菱商事の天然ガス部門、三井物産の石油部門、日銀などに盗聴を仕掛けていたことがWikiLeaksによって暴露されており、2015年にはオバマ大統領も正式に謝罪している。この事実を鑑みれば、それほど驚くべき話題でもない。

一方、日本国外のセキュリティ研究者たちが、この「侵害された国別ランキング」に関して興味を示したのは、おそらく「中国が1位だった」という点だろう。NSAが悪用するサーバーの最大の標的は中国だったということに対しては、「まさか」と言うべきか、「やはり」と言うべきかが難しいところだ。それについては次回で詳しく説明したい。
 
(その4に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…