今回のレポートでMandiantは調査対象の攻撃グループを「APT1」と呼称していますが、これはMandiant独自の名称です。ではそもそも、このAPTとは何でしょうか?
APT(Advanced Persistent Threat)とは、もともとは2005〜2006年頃から米空軍の情報機関の関係者らが使っていたコードネームだと言われています。よく誤解されますが、高度な標的型攻撃の手法を表わす一般的な用語ではありません。
APTとは、特定の複数の攻撃主体を示すための用語で、つまり主に中国の攻撃グループのことを示していたのです。その後、2010年にGoogleが明らかにした、いわゆる「Operation Aurora攻撃」以降、APTという用語が広く一般に使われるようになりました。その過程において、用語の意味合いが変わっていったのだと思います。
Mandiantは、CEOのKevin Mandia氏自身がAir Force Office of Special Investigations(AFOSI)の出身ですし、他にも軍の情報機関出身者が要職を占めています。そのため、同社はAPTという用語をかなり厳密な意味で用いている点に注意が必要です。
Mandiantは2010年以降毎年、APTに関する詳細なレポート「M-trends」を公開しています。そしてAPT1レポートによると、Mandiantは20以上のAPTグループについて継続して調査を行っており、APT1はその中の1つで、最も活発に活動しているグループだということです。
この意味の違いを踏まえた上で、APTによる活動としてこれまで知られているものをいくつか紹介しましょう(=つまり、中国の関与が疑われているサイバースパイ活動の事例です)。これらのうちいくつかは、現在も活動が継続しています。
時期 | 活動名称 | 内容 |
---|---|---|
2005年 | Titan Rain | 2003年以降、米国の防衛企業などに侵入した攻撃 |
2009年 | GhostNet | 2008〜2009年にかけて行われたチベット政府を標的とした攻撃 |
2010年 | Operation Aurora | 2009年末に起きた Googleなど複数の米国企業を標的とした攻撃 |
2010年 | Shadow Network | 2009年に起きたインド、チベットなどを標的とした攻撃 |
2011年 | Night Dragon | 2009年以降、世界のエネルギー産業などを標的とした攻撃 |
2011年 | RSA, Lockheed Martinへの攻撃 | 2011年、RSAに侵入して不正に取得した製品情報を利用し、その後 Lockheed Martinへの侵入を試みた一連の攻撃 |
2011年 | Operation Shady RAT | 2006年以降、米国を中心に世界中の組織に対して行われた攻撃 |
2011年 | Nitro Attacks | 2011年に起きた化学産業など複数の組織を標的とした攻撃 |
2011年 | Sykipot | 2011年以降、米英の軍需産業などを標的とした攻撃 |
2012年 | LuckyCat | 2011年以降、インドや日本などアジアを標的とした攻撃 |
2012年 | Elderwood | 2009年以降、防衛企業を中心に世界中の組織に対して行われた攻撃 |
2013年 | APT1 | 2006年以降、米国を中心に世界中の組織に対して行われた攻撃 |
主なAPTによる活動 |
こうして見ると世界中の企業、政府機関、NGOなど、幅広い組織がAPTの攻撃対象となっていますが、その多くは米国をターゲットにしたものです。
また近年、APTに関する情報の共有が進んだという側面はあるにせよ、過去に比べ報告数が多くなってきています。サイバー空間における各国間の攻防が激化している様子が伺えます。
多数の事例がありますが、この中のいくつかは同じ攻撃グループが関与していると推測されています。そして活動の規模や頻度などから、APTの中には2つの大きなグループが存在していると考えられています。それは「Elderwood Group」と「Comment Group」の2つです。
Elderwood Groupのほかに、Elderwood Crew、Elderwood Gang、Beijing Groupなどといった呼び名もあります。
2012年にSymantecがこのグループの活動に関する詳細なレポートを公開して話題となりましたが、その活動自体は以前から知られていました。また、さまざまな活動の特徴から、2009年の「Operation Aurora」にも、このグループが関与していると考えられています。
短期間に多数のゼロデイ脆弱性を利用しており、高度な技術者を擁しているのか、潤沢な資金を持っているのか、あるいは両方なのか、いろいろと推測されています。このグループについても人民解放軍の部隊による直接的ないしは間接的な関与が疑われています。
Comment Groupのほかに、Comment Crew、Shanghai Group、Byzantine Candorなどといった呼び名もあります。MandiantがAPT1と呼んでいるグループと同じです。また、2011年に発表された大規模なサイバー攻撃、「Operation Shady RAT」も同じグループによる活動と見られています。
このグループは長期間にわたって非常に多くの組織に対する攻撃活動を維持しており、かなりのリソースを持ち、組織的な活動をしていると推測されています。過去にはCoca-cola(2009年)、欧州理事会(2011年)、Telvent(2012年)、そして米国の天然ガスパイプライン事業者への攻撃(2012年)などに関わったとされています。
中には複数のグループが連携して活動していると思われる事例もあり、APTグループの間に何らかの関連があるのかもしれません。ただしこれらのAPTグループの活動については、いずれも推測の域を出ないものであり、本当に人民解放軍が行っているのか、他の国家の関与もあるのか、実態はよく分かっていません。
さて、今回Mandiantが報告したAPT1(Comment Group)は、数あるAPTのグループの中でどのくらいのレベルに位置付けられるのでしょうか。
この点について、Mandiant社CSOのRichard Bejtlich氏が、Forbes誌のインタビューに答えています。それによると、「攻撃者のレベルを3段階に分けたとき、今回のAPT1は一番下。高度なハッカーではないけれども、継続的に非常に多くのサイトに侵入するなど、最も活動的で生産的なグループである」と述べています。
同氏によると、「軍の部隊かもしれないが、いわゆる特殊部隊のエリートではない」とのこと。これだけ多くの活動の証拠を残していることなどを考えると、まあ納得できる評価ではないかと思います。
しかし、なぜAPT1はこれほど活動の痕跡を残しているのでしょうか。それにはいくつか理由が考えられると思います。
筆者自身は(1)+(2)の説が有力なのではないかと考えています。つまり、あえて痕跡を消す必要がないので、比較的レベルの低い攻撃者に担当させているのではないでしょうか。
APT1レポートでは、APT1の中で活動している3人のハッカーを具体的に特定しています。またレポート公開後に、他のセキュリティ研究者も追加調査を行っています。さらにLos Angeles Timesは、このハッカーのうちの1人が2006年から2009年まで書いていたと見られるブログを見つけ、その内容について報告しています。彼は軍への不満や自分の将来への不安なども書き綴りながら、マルウェアの開発の様子などについて述べているようです。
またChina Digital Timesは、2004年に61398部隊が学生をリクルートしていたことを示す告知を、中国のある大学のWebサイト内に見つけています。こうしたことから、61398部隊は情報系の大学や大学院を卒業した若者を積極的に雇用して、作戦に従事させていたのではないかと考えられています。
面白いことに、APT1ハッカーの特定にはAnonymousが重要な役割を演じています。詳細は割愛しますが、Anonymousは2011年にrootkit.comというサイトのアカウント情報を不正に入手し、これをネット上に公開しました。このサイトでは世界中のハッカーやセキュリティ研究者達が情報交換を行っており、複数のAPT1ハッカーもアカウントを登録していたのです。今回のレポートではこのアカウント情報が調査の鍵になっています。
HBGary事件の顛末
http://d.hatena.ne.jp/ukky3/20110216/1297897765
いまさら聞けないAnonymous(1/3)
http://www.atmarkit.co.jp/fsecurity/special/172anon/01.html
Copyright © ITmedia, Inc. All Rights Reserved.