本レポートは、2013年2月に米国のセキュリティ企業Mandiant社が発表した中国のサイバー攻撃に関するレポートの一部を日本語でまとめることを試みたものです。本レポートの内容はオーソライズされておらず、Mandiant社レポートの内容を正確に記述しているものではありません。
Mandiantは世界中のAPT攻撃者たちを追跡し続けています。しかし、このレポートでは中国に起源のある20以上のAPT攻撃者グループの中の1つ、我々がAPT1と呼ぶグループについて取り上げています。APT1は少なくとも2006年から広く海外に向けてサイバースパイ行為を指揮している組織です。長期にわたり大量の情報を得ているサイバースパイ組織の1つです。我々が観察している行為はAPT1が指揮しているサイバースパイ活動のごく一部にしかすぎません。我々はAPT1が過去7年以上にわたり150もの対象者に侵入をしていると分析しています。我々はAPT1のかなりの攻撃インフラ、C&Cやモジュールの手口(ツール、戦術、手順)を発見しました。我々はAPT1に関係している3人について明らかにしています、これらオペレーターは軍人のようであり、単に他からの命令に従っているだけかもしれません。我々は、APT1は中国政府が後援している可能性が高いとの結論に至りました。APT1が長期間にわたり広範囲にサイバースパイ活動を行うことができるのは、政府の直接的な支援を受けているからだと確信しています。この行為の背後にある組織を調査している中で、我々はAPT1と使命や機能そしてリソースが似た人民解放軍61398部を発見しました。人民解放軍61398部はAPT1と同じ地域にあります。
APT1は、一般的にはMilitary unit Cover Designator (MuCD)、61398部として知られている人民解放軍(PLA)の总参三部二局であると思われます。61398部は中国の国家機密を取り扱っていると考えられていますが、我々はコンピューターに危害を加える任務を遂行しているとみています。61398部は高桥镇の大同路に一部があり、また、上海の浦东新区にあります。我々は61398部は数千人規模であると見ています。チャイナテレコムは61398部のために特別な光ファイバー通信インフラを提供しています。61398部はコンピューターセキュリティやネットワークオペレーションの訓練を受け、英語が堪能な人々を必要としています。Mandiantは上海の4つのネットワークを通してAPT1を追跡しました。4つのネットワークのうち、2つは61398部のある浦东新区をserveしています。
APT1は、少なくとも141組織から数百テラバイトのデータを系統的に盗んでいます。APT1には長年にわたって培われた、膨大な知的財産を盗む明確に定義された攻撃方法があります。APT1は一度、対象者にアクセスをするとそのネットワークに何カ月も何年も定期的に訪問し、技術や製造プロセス、テスト結果、ビジネスプラン、価格文書、契約書、メールなどを盗んでいます。
APT1は狙ったネットワークに対して平均356日間、アクセスし続けます。APT1がアクセスしたもっとも長い期間は1764日、4年10カ月でした。2011年の年初、APT1は10の異なる産業分野で少なくとも17の新しいターゲットへの侵入に成功しました。我々は、我々がこのレポートで明らかにしたAPT1の活動は、APT1の経済スパイ活動のほんのひと握りだと考えています。このレポートはAPT1が活動をした141の組織のうちの91のケースに基づいて作成しています。APT1は英語圏で国際的に活動している組織に焦点を当てています。141のターゲットのうち87%は英語をネイティブな言語としている国に本社・本部があります。APT1がターゲットにしている産業の多くは、中国が成長戦略として位置づけている産業がほとんどであり、その中には中国の第12次5カ年計画で規定した成長戦略7分野のうちの4分野を含んでいます。APT1は世界中のコンピューターシステムで活動を継続しています。APT1は何千ものコンピューターシステムに侵入してコントロールしています。我々が把握したものだけでも、APT1は昨年と一昨年に13の国で849のIPアドレスを少なくとも937のC&Cサーバーに開設しました。849のIPアドレスのうち中国に登録されているものは709、アメリカで登録されているものは109です。
2011年1月から2013年1月までに、APT1がリモートデスクトップで832の異なるIPアドレスから攻撃をするために、1905のログインのインスタンスを確認しました。ここ数年で我々は2551のFQDNがAPT1に起因していることを確認しています。1905のうちの97%以上が、上海で登録されたIPアドレスと簡易な中国語が使われているシステムが使われている、攻撃対象に接続する侵入者だとMandiantは見ています。
我々の監視下でAPT1が行ったリモートデスクトップセッション1905回のうちの1849回(97%)は、APT1オペレーターのキーボードが中国語―英語のキーボードでした。マイクロソフトのリモートデスクトップクライアントはクライアントシステム上で選択された言語を自動的に設定します。そのため、APT1の攻撃者のマイクロソフトのオペレーティングシステムは簡易中国語のフォントに設定されていました。リモートデスクトップを使ってAPT1がコントロールしていた832IPアドレスのうち817(98%)は、中国に帰属していました。、HTRANで使われた614のIPアドレスのすべてが中国で登録されていました。また、614のIPアドレスのうちの613(99.8%)は4つある上海のネットブロックのうちの1つに登録されていました。