日本政府が非難する中国APT10 昨秋より自動車産業など攻撃の可能性

日本政府は2018年12月21日、「中国を拠点とするAPT10といわれるグループによるサイバー攻撃について」と題した外務報道官談話を発表した。談話は、APT10が日本の企業や学術機関等に長期にわたり広範なサイバー攻撃を行っていることを明らかにし、断固非難すると言明している。このAPT10についてサイバーセキュリティのSymantec は最近のレポートで、2019年10月中旬頃から日本に関連する組織を狙った攻撃キャンペーンを展開していることを明らかにしている。主要なターゲットは自動車産業だという。

201812月に米がメンバー2人を起訴

サイバーセキュリティ企業のFireEyeによると、APT10はFireEyeが 2009年から追跡している中国のサイバーエスピオナージのグループで、これまでにアメリカ、ヨーロッパ、日本の建設やエンジニアリング、航空宇宙、通信業界の企業と官公庁を攻撃しており、中国の国家安全保障上有益な情報や中国企業にとって有益なビジネス上の情報を窃取することを目的に活動しているとみられている。

米司法省は2018年12月20日、Zhu Hua(朱华)と張志龍(张士龙)という2人の中国人を知的財産やビジネス上の機密情報を狙ったコンピューターへの不正侵入などの罪で起訴したことを明らかにした。起訴は同年12月17日にニューヨーク南部地区連邦地方裁判所で行われた。米司法省によると、朱と張はHuaying Haitaiという会社に所属し、APT10のメンバーとして中国国家安全保障省(MSS)の天津国家安全保障局と協力関係にあった。朱と張は少なくとも2006年頃から2018年頃まで知的情報や機密情報を狙ったコンピューター侵害を目的としたグローバルなキャンペーンを展開し、航空、衛星、海事、通信など様々なテクノロジーに関与する企業を標的にした。また、APT10の攻撃キャンペーンでは、マネージドサービスプロバイダー(MSP)への攻撃により、少なくとも12カ国のクライアントのデータが侵害にさらされたほか、アメリカ海軍のコンピューターシステムを侵害して10万人以上の個人情報が窃取された。

2018年12月の日本政府の外務報道官談話は、アメリカがAPT10のメンバーを起訴したことを受けて行われたもので、日本においてもAPT10の攻撃を確認していることを明らかにして非難を表明したものだが、中国を名指しすることは避け、中国を含むG20メンバー国は国際社会の一員として責任ある対応が求められているとの表現にとどまっている。

Symantecが日本企業への新たな攻撃をレポート

BlackBerryCylanceの脅威分析チームによると、2018年後半よりEMEA(ヨーロッパ、中東、アフリカ)地域の企業を対象としたAPT10に関連する攻撃キャンペーンを追跡していたところ、リモートアクセスツールのQuasarRATを利用してネットワークと接続し、ターゲットにあわせた異なるローダーバリアントを特定したという。QuasarRATは多くの標的型攻撃で利用されているようだが、APT10の攻撃においてもバックドアとしてQuasarRATが使用されている実態があるようだ。BlackBerryCylanceの脅威分析チームは観察を続けたが、2018年の後半以降、さらなるQuasarRATは観察されず、これはアメリカでAPT10のメンバー2人が起訴された時期と符合するという。

あるいはアメリカ当局による朱と張の起訴を受けてAPT10は、2018年後半以降、新たな活動を控えていたのかもしれないが、米半導体大手のBroadcomのサイバーセキュリティ部門を担うSymantecの最近のレポートによると、世界の17の地域にある子会社を含む複数の日本企業を標的とした情報収集活動を目的とした大規模な攻撃キャンペーンが展開されており、Symantecはこの攻撃者がAPT10(別名Cicada、StonePanda)に起因する十分な証拠を得ているという。

Symantecによると、2019年10月以降、APT10の攻撃の対象となった日本関連企業は日本、韓国、中国、台湾、フィリピン、香港、ベトナム、タイ、インド、アラブ首長国連邦、ドイツ、フランス、ベルギー、イギリス、アメリカ、メキシコなどにわたっており、Symantecの分析によると、ローダーDLLの難読化の手法やシェルコードが以前見られたAPT10による攻撃と同じだという。また、第3段階のDLLには「FuckYouAnti」という名前のエクスポートがあり、.NETローダーはConfuserExv1.0.0で難読化されているなどこれまでのAPT10の攻撃とさまざまな点で類似点があるという。

この攻撃は2019年10月中旬頃から始まり、エレクトロニクスやエンジニアリング、商社など日本に関連する企業や日本政府なども標的にされているようだが、Symantecは自動車産業がこの攻撃の主要なターゲットになっているように見えると分析していて警戒を呼びかけている。

■出典

https://www.mofa.go.jp/mofaj/press/danwa/page4_004594.html

https://www.fireeye.jp/current-threats/apt-groups.html

https://www.justice.gov/opa/pr/two-chinese-hackers-associated-ministry-state-security-charged-global-computer-intrusion

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

https://blogs.blackberry.com/en/2019/06/threat-spotlight-menupass-quasarrat-backdoor

https://www.pwc.com/jp/ja/japan-service/cyber-security/assets/pdf/operation-cloud-hopper.pdf

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください