中国公安部がハッカー集団を摘発し50億件の個人情報を押収

牧野武文

March 21, 2017 08:00
by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中国全土を騒がせたマルウェア「パンダ焼香」(熊猫焼香)の作者もいた。

裏の顔で荒稼ぎするIT会社

捜査の端緒となったのは、蚌埠市のIT企業「安徽暉冠」(あんききかん)社だった。この企業は、オンラインゲームサイトとオンライン将棋サイトを運営し、利用者に向けて、ダイレクト電子メールなどの広告活動を行なっていたが、その中に違法なギャンブルサイトに関する広告が含まれていた。

蚌埠市公安が内偵捜査を開始し、安徽暉冠社は市内の高級オフィスビルに居をかまえ、約20名の社員が働いているだけでなく、郊外に戸建て住宅も所有し、こちらには約40名の社員が働いていたことが判明した。社長の韓某(仮名)は、目立った職歴はないのに、1年余り前に安徽暉冠社を起業すると、続けて複数の起業を企業し、すぐに高級車を購入、不動産も複数購入している。それだけでなく、社員は10代、20代の若者が中心になっていたが、みな高級車を購入している。

単なる違法広告事件ではないと見た公安部は、昨年9月27日に、この事件を9.27案件と呼び、大々的な内偵調査をはじめた。2ヵ月にわたる内偵調査の結果、ゲームサイトを運営する安徽暉冠社は表の顔で、裏では大量に個人情報を窃盗し、販売する犯罪集団であることが明らかになった。

韓某の個人情報窃盗は大掛かりなもので、窃盗、交換、編集、販売までの闇サプライチェーンを構築してた。

個人情報窃盗には、多数のITエンジニアが関わっており、彼らは自分の高い技術を売り物にして、有名サイトの運営会社に就職。3ヵ月間、業務のかたわら、そのサイト利用者の個人情報を盗み続け、韓某に売り渡していた。個人情報を窃盗しつくすと、その運営会社を辞職し、また別の有名サイトの運営会社に就職をして窃盗をするということを繰り返していた。

また、有名サイトのアカウントを乗っ取り、その利用者の個人情報を韓某に売り渡していたハッカーもいた。

パンダ焼香ウイルス作者も在籍

その中で、有名なのが翁某(仮名)だ。彼は、2007年1月に中国全土で猛威を振るった「パンダ焼香」ウイルスの作者の一人だった。パンダ焼香ウイルスは、Windowsの脆弱性や管理者権限の甘さをついて感染するウイルスで、感染するとすべてのexeファイルが実行できなくなり、さらに壁紙や書類内の画像すべてが、お線香をあげようとするパンダの絵に変えられてしまう。

このウイルスは感染力が強いだけでなく、ウイルスそのものが闇ウェブを通じて500元から1000元で販売され、約120人が購入、拡散させたため、中国全土で100万台以上のコンピューターが被害を受けた。「カスペルスキー」がいち早く、パンダ焼香の定義ファイルを配布すると、ハッカー側はすぐに定義ファイルをすり抜けるアップデートを行ない、一時期はカスペルスキーが8時間おきに定義ファイルをアップデートする状況になったことも大きな話題を呼んだ。

盗んだ個人情報は50億件以上

翁某は作者グループ6人のうちの一人として逮捕され、懲役刑を受けたが、出獄後、アンダーグラウンドの世界で韓某と知り合い、技術顧問として迎えられた。ここから安徽暉冠社が設立され、大掛かりな個人情報窃盗サプライチェーンが築かれていった。

入手した個人情報は多岐にわたっている。交通、物流、医療、交友、銀行などの個人情報が収集され、用途ごとに編集された後、一見して個人情報に見えないようにする偽装加工が施される。その件数は50億件以上にのぼり、押収された個人情報データは1.3テラバイトになったという。

編集分類された個人情報は、適切な売り先に分けて販売された。メールアドレス、SNSアカウントなどは、ギャンブルサイト、詐欺集団、フィッシングサイトなどに販売され、銀行カード情報はそのままカード複製をし、偽造カードとして販売をしていた。また、大口の金融企業などに対しては、顧客企業の求めに応じて、個人情報の編集作業もやっていた。

韓某は、ひどいことに、表の顔であるゲームサイトの利用者の個人情報もこのようなサプライチェーンに流していた。公安部の発表によると、韓某の安徽暉冠社は、毎月100万元(約1650万円)以上の利益をあげていたという。

公安部は、今回の14の省・直轄市での統一一斉摘発で、安徽暉冠社を中心とした闇サプライチェーンは壊滅したと発表した。公安部によると、中国最大のハッカー摘発案件だったという。


2007年に中国で猛威を振るったウイルス「パンダ焼香」。すべてのexeファイルが起動できなくなり、壁紙やアイコン、画像ファイル、文書内の画像がすべて、ご焼香をするパンダの絵に変わってしまう。カスペルスキーと数日間にわたってアップデート合戦をしたという。今日では「絵柄が可愛い」とも言われ、Tシャツの図案に使われることもある。
画像は「还记得当年熊猫烧香病毒吗?中病毒也憨厚可爱!」より
 

このニュースで学ぶ中国語

 
黒客 (heike):ハッカーの音をとった言葉で、ダークサイドハッカーを指す。転じて、ホワイトハッカーは白客(baike)、愛国主義に基づいて行動するハッカーは紅客(hongke)と呼ばれる。
黒客網(heikewang):闇ウェブ。と言っても、中国のウェブ開設は免許制であるために、微博(weibo)、QQなどのSNSグループの中で、情報交換されることが多い。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…