ニュース

中国のサイバー攻撃グループの活動が2019年に入り活発化、諜報活動とサイバー犯罪を手掛ける「APT41」

ファイア・アイ株式会社の千田展也氏(シニアインテリジェンスオプティマイゼーションアナリスト)

 米中の「サイバー合意(2015年)」および中国人民解放軍の組織再編に合わせて、2016年から“休眠状態”にあった中国の複数のサイバー攻撃グループが2018年から活動を再開していることを、ファイア・アイ株式会社の千田展也氏が13日に行われた記者発表会で明らかにした。

 千田氏によると、米中のサイバー合意後は米国の企業・団体を狙った中国からのサイバー攻撃は激減したが、2019年に入ってから攻撃活動が活発になり、サプライチェーン攻撃や、モジュラー型のマルウェア、ハッキングツールを使用した攻撃が多く見られるようになったという。

 こうした攻撃を仕掛けるサイバー攻撃グループには国家的な支援を受けたものが存在するが、中国の「APT41」については、サイバー攻撃と諜報活動の両方を手掛けている特徴が見られた。金銭目的の攻撃活動については、もともと同グループが独自に行ってきた活動を継続して行っているものとファイア・アイでは推測する。

「APT41」をはじめ、中国を攻撃元としたサイバー攻撃が多く観測されているが、これは毛沢東の「人民戦争論」に基づき、“人的リソースを最大限に生かす”という中国特有の特徴が表れていると千田氏は指摘する

 このほか、ファイア・アイでは、北朝鮮やイラン、ロシアのサイバー攻撃グループの活動を観測しているが、これらのグループで共通しているのは、「一定レベル以上の独裁国家で体制維持に対して興味を持っていること」だという。例えば、北朝鮮のケースでは脱北者の情報収集を目的としたフィッシングなどが確認されている。

 そのほかのグループについては、ベトナムの「APT32」が2018年11月から2019年3月にかけて、アジア太平洋地域の自動車関連企業に対して継続的に大規模な攻撃を仕掛けていた。また、サイバー攻撃の能力を身に付けた攻撃者の存在がインドやカザフスタンでも確認されるようになった。

 サイバー攻撃グループによる攻撃は「誰もが他人でいられない状態」だと千田氏は注意を促す。

 近年、サプライチェーン攻撃による被害が増加しているが、攻撃者側にとって一度の侵害で多くの成果が期待できることと、検知されにくい利点がある。

 特に金銭目的の犯罪でサプライチェーン攻撃が増えており、「これまでは国家レベルの攻撃者が使っていた攻撃手法が、リソースの投入レベルが一回り下と思われるような犯罪者も使うようになった」そうだ。

まずは“攻撃者”を知ってから対処することが重要に

 サイバー攻撃のトレンドは日々変化し続けていくが、その中でも「変わらないもの」として千田氏は、1)人間の隙やミスを突いた攻撃、2)新しい攻撃手法の発見(ゼロデイ、etc.)、3)信頼や前提に対する攻撃(サプライチェーン攻撃など)を挙げた。

 千田氏によると、標的型攻撃の初期攻撃の9割はフィッシングメールによるもので、これは人間をだます方が攻撃者としては手間が省けるため広く使われ続けているという。こうした攻撃者側の考えを認識し、その次にサプライチェーン攻撃などのレベルの高い攻撃について目を向けていくことが重要になるとしている。

 しかし、セキュリティ対策を行っている企業でもその防御を突破されることもあると説明する。これまでファイア・アイが携わってきた700件程の調査についても、「隙があったからやられたとは言えないケースもあった」そうだ。

 そこで千田氏は“防御に関する心得”として、攻撃そのものではなく攻撃者に対処すること、攻撃の裏側にいる者が何を目的にどのような手法で攻撃を仕掛けてくるのか把握したうえで対処することが「先進的な防御者だ」とした。