中国のセキュリティ企業が発表した「APT攻撃5つの特徴」

牧野武文

March 19, 2018 08:00
by 牧野武文

360脅威情報センターは、「2017中国高級持続性脅威(APT)研究報告」を発表した。報告書によると、APT攻撃は複数国、複数領域を対象とする多角化が進んでいるという。

中国のAPT攻撃リサーチ

APT攻撃とは、特定の相手を標的として定め、数ヵ月から数年にわたって繰り返す攻撃のことだ。標的となるのは、政府機関、軍事機関、インフラ施設など。報告書では「サイバー空間の中で実行される軍事行為」と定義している。

APT攻撃を受けるのは米国が最も多いが、中国も米国に次いで多い。そのため、APT攻撃を観測、分析する機関も米国と中国に集中している。中国でAPTを観測している機関は、セキュリティ企業「360」、IT企業「テンセント」、セキュリティ企業「安天実験室」、セキュリティ企業「北京微歩在線科技」の4つだ。中国では2017年に18件のAPT攻撃が観測されているが、そのうちの11件を360が報告をしている。

この報告書では、APT攻撃の新たな傾向が指摘されている。それは、複数国、複数領域に同時攻撃をするAPT攻撃が増えているということだ。1ヵ国、1領域のピンポイント攻撃というのはそれぞれ18.5%、31.6%でしかない。7割以上は複数国、複数領域に対して攻撃が行われている。

その理由は定かではないが、APT攻撃の目的は破壊活動ではなく、情報収集活動に軸足が置かれるようになったからではないかと推測されている。特に、政治的な情報収集をする場合、例えば、軍事施設と政府機関、民間シンクタンクといった複数の攻撃目標を定めたり、東南アジア各国、中東各国といった複数国の攻撃目標を定めるのはごく自然なことだ。


各国のAPT研究観測機関の数。米国が圧倒的に多く、中国、イスラエル、英国がそれに続く。中国はAPT攻撃を受けることも多いので、報告数も多い


各国のAPT攻撃の攻撃目標。以前は民間企業、インフラなども対象になっていたが、近年急速に政治関連に集中する傾向が高まっている。日本も昨年、3件の攻撃報告が行われている


APT攻撃の攻撃国数と攻撃領域数。1ヵ国の1領域だけを狙うというAPT攻撃は少なく、多くが複数国、複数領域を攻撃対象にしている。破壊活動ではなく、情報収集活動の比重が高まっているからだと考えられる


2017年、中国に対してAPT攻撃を行った組織は6組織。APT攻撃は長期に及び、最も古いAPT-C-58は2011年から7年間も攻撃が続いている

5つのAPT攻撃の特徴

360脅威情報センターは、世界各国のAPT攻撃、観測機関の活動を収集し、APT攻撃の特徴を5つにまとめている。
 
(1)APT攻撃と国家間の政治摩擦には密接な関連がある

国家間で政治的摩擦が生じると、APT攻撃が活発になる。パキスタンの教育機関と軍事機関の両機関に攻撃を展開したTwo-tailed Scorpion(APT-C-23)、シリアに対して攻撃を展開したGolden hamster(ATP-C-27)、中国と南アジア諸国を攻撃したHangover(APT-C-09)などがそれにあたる。
 
(2)地域政治への介入との関連も強くなっている

地域での政治状況に他国が介入するためにAPT攻撃が利用される例が増えてきている。2016年末の米国での大統領選挙では、民主党全国委員会がサイバー攻撃を受け、メールなどの大量の内部資料がウィキリークスで暴露されるという事件が起きている。これはFancy Bear(APT28)の攻撃によるもので、確証はないが、ロシア軍参謀本部情報総局の指揮下にあるのだという説もある。さらに、プーチンはドナルド・トランプを大統領にするために、対立候補であるヒラリー・クリントンの民主党関連機関にサイバー攻撃を仕掛けたという憶測を表明する識者もいる。

さらに昨年のフランス大統領選でも、マクロン陣営の主要人物に対して、大規模なフィッシングメールが送られた。

360脅威情報センターは、地域政治に介入をしたい勢力がAPT攻撃を利用する傾向が近年強まっていると結論づけている。
 
(3)他国のAPT攻撃を非難することが重要な外交カードになっている

現在、朝鮮半島は政治的な緊張が続いている。昨年5月、ランサムウェアWannaCryが流行した時に、ある研究機関が北朝鮮によるサイバー攻撃の可能性を指摘した。もちろん、北朝鮮は強く否定した。10月になると、英国政府、米国政府も北朝鮮によるサイバー攻撃である可能性を指摘、北朝鮮は強く反発をしている。その真偽がどうであるかはわからない。米国政府は北朝鮮のサイバー攻撃であるという証拠を握っていると言いながら、それを公開しようとしない。中立的な研究機関のなかには、北朝鮮説を否定するところもある。

朝鮮半島情勢を巡って、APT攻撃に対する非難が外交のカードとして使われていることは明白だ。
 
(4)一部の研究機関は意図を持ってAPT攻撃報告の発表時期を選んでいる

昨年11月10日、第25回APECがベトナムで開催された。中国はこの会議で、「一帯一路」政策を大きくアピールした。この時期に合わせて、中国、東南アジア地区で活発に活動するOcean Lotus Group(APT32)によるAPT攻撃の報告が、米国ワシントンの観測機関からなされた。Ocean Lotus GroupのAPT攻撃は以前から続いていて、数々の報告もされていて、この時期に改めて、新情報のない報告をする意味は薄い。

この研究機関は、APECの時期を狙って報告を公開したと思われる。なんらかの政治的意図があったのか、単に注目されたかっただけなのか、その意図はわからない。しかし、一部の研究機関は、意図的に時期を選んでAPT攻撃の発表時期を選ぶようになっている。
 
(5)政策シンクタンクへのAPT攻撃が増加している

政策シンクタンクは、政府に対して政策を提言する仕事をしているため、シンクタンクの内部情報を取得することで、国家政策の予測ができることになる。そのため、主要なシンクタンクへのAPT攻撃が増加している。ロシアのCozy Bear(APT29)は、ワシントンのシンクタンクへの攻撃を続けており、戦略国際問題研究所(CSIS、米国の保守系シンクタンク。トランプ大統領に強い影響力を持つと言われている)への執拗な攻撃を続けている。

犯人たちの目的とは?

報告書は明言を避けているが、通読して誰もが感じるのが、APT攻撃組織と政治の強い結びつきだ。企業を目標にして、経済的利益を得るためのAPT攻撃は影が薄くなっている。各国が自国第一主義を色濃くしていく情勢の中で、APT攻撃はますます規模を拡大していくことになると予測されている。

ニュースで学ぶ中国語


高級持続性威脅(gaoji chixuxing weixie)
:APT攻撃のこと。高級で持続的な攻撃(威脅。中国ごでは脅威の前後が逆になる)。中国では、4つの民間機関がAPT攻撃の観測をしており、定期的に報告書を公開している。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

パスワードに代わる認証!? アリババの新たな試み

April 24, 2018 08:00

by 牧野武文

中国で普及したQRコード方式スマホ決済。普及とともにセキュリティリスクも指摘され、1日の利用限度額などの制限もかけられるようになった。そこで、アリババでは、セキュリティが確保でき、かつ認証操作が簡単な認証方式が追求されている。そのひとつとして、画像による認証方式がアリペイに搭載されたと中国のニュース…

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…