ニュース

進化を続ける中国拠点のサイバー攻撃、グループ間で連携、発覚後は迅速に対応

FireEye Labsシニア・スタッフ・リサーチ・アナリストの本城信輔氏

 ファイア・アイ株式会社は19日、中国を拠点としたサイバー攻撃に関する調査結果についての説明会を開催した。FireEye Labsシニア・スタッフ・リサーチ・アナリストの本城信輔氏は、中国の2つの攻撃グループが連携して攻撃活動を展開している事例と、中国人民解放軍とのつながりがあるとみられている攻撃グループの事例について説明した。

 ファイア・アイが確認している攻撃グループ「Moafee」は、中国の広東省を拠点とし、南シナ海における国益に関する各国の政府と軍事組織を攻撃対象にしている。また、別の攻撃グループ「DragonOK」は、江蘇省を拠点として、日本および台湾のハイテクや製造企業を攻撃対象にしている。

 この2つの攻撃グループは、地理的に離れた地域を拠点とし、攻撃対象も異なっているが、攻撃に用いるツールや手法などが共通しており、攻撃の効果と効率性を高めるために連携体制を築いているとみられるとして、ファイア・アイでは一連の活動を「オペレーションQutantam Entanglement(量子のもつれ)」と命名している。

2つの攻撃グループの拠点
両グループの共通の手口

 両グループの共通点としては、攻撃に利用しているマルウェアが共通のツールを用いて構築されていることや、マルウェアの検知回避が似ていること、活動拠点を偽装するためのプロキシツールを使用していることが挙げられるという。

 攻撃に用いられているのはメールに添付されるOffice文書で、Wordの脆弱性を用いてバックドアをインストールしようとする。脆弱性は2012年に発見・修正されたものだが、現在でも多くのマルウェアで悪用されている。日本に送付されたメールには、履歴書としてWordファイルが添付されており、Wordファイルの文面には日本語として不自然な点があったものの、メールの文面は自然な日本語になっていたという。

DragonOKが利用していた文書
中国からの攻撃である証拠

 両グループのマルウェアは、共通のバックドアやリモートアクセス型トロイの木馬を使用しており、汎用的なツールだけでなく、独自に開発されたと思われるツールも共通して含まれていた。

 さらに、サンドボックスなどの仮想実行環境による検出を回避するため、コアプロセッサ数を確認して1つのコアだけだった場合には攻撃を終了するといった手法や、わざとファイルサイズを大きくしてセキュリティソフトによるスキャンを回避しようとする手法、ファイルをパスワードで保護することでスキャンを回避しようとする手法なども共通していたという。

DragonOKとMoafeeの関連性
APT12の動向

 また、別の事例としては、ファイア・アイが「APT12」と呼んでいる攻撃グループの事例を紹介。APT12は、2012年にNew York Timesへの攻撃を行ったグループで、ファイア・アイでは中国人民解放軍とのつながりがあるグループだと分析している。

 このAPT12が、最近になって日本と台湾の組織を標的とする新たな攻撃キャンペーンを開始したことを確認。攻撃の狙いは、日本と台湾のテクノロジー企業の技術情報である可能性が高いという。

 この攻撃でも、Wordの脆弱性を悪用したファイルが添付されたメールが用いられていたが、米Arbor Networksが公式ブログでこの攻撃について言及したところ、即座に“改良版”のマルウェアに変更する動きが見られた。こうしたことから、APT12は自らのツールと攻撃に関して、オンラインメディアを注意深く監視するとともに、発覚した場合には迅速に対応する能力があると分析している。

 本城氏はこれらの事例から、中国には最新の兵器であるマルウェアを持ち、高度に訓練された、組織化されたサイバー攻撃グループが存在すると指摘。日本企業も標的となっており、技術情報や内部情報が狙われているとして、注意を呼び掛けた。

攻撃が発覚するとマルウェアが即座に変化
高度に組織化されたグループ、日本も標的に

(三柳 英樹)