再考・APT～Mandiantレポートを基に～：レポートの「オモテ」と「ウラ」を読み込む（3/4 ページ）

» 2013年05月10日 18時00分公開

[根岸征史（インターネットイニシアティブ），＠IT]

レポートに対する反応

　次に、APT1レポートに対する反応を見てみましょう。

　まず中国の反応ですが、国防部は軍がハッキング活動を支援したことはないと否定し、むしろ中国は米国からサイバー攻撃を頻繁に受けていると反発しています。特に発信元IPアドレスの位置情報（攻撃の大半が上海の4つのネットブロックを起点にしている）を基にしたMandiantの推測について、「根拠が薄い」と批判しています。

　米国内でも同様の批判があります。例えば、Taia GlobalのCEO、Jeffrey Carr氏は、中国による攻撃活動があることは事実だろうが、今回のレポートに関しては結論ありきで仮説の検証が十分行われていないことや、中国以外の国家の関与について考慮していないことなどを批判しています。また他のセキュリティ研究者なども61398部隊の関与を否定する証拠も複数あることを指摘しています。

　同様の批判は多数あり、米国の防衛産業によるロビー活動の一環ではないかとの声もあります（この点については後で詳しく述べます）。

　筆者自身も、今回公開した情報だけで61398部隊の仕業と断定するにはやや無理があると思います。結論は正しいのかもしれませんが、不十分な情報に基づいている（あるいは公開されていない情報がある）と言わざるを得ません。

　さらに、レポートの公開が及ぼす影響（メリット／デメリット）についても考えてみましょう。

　MandiantはAPT1レポート本編に加えて、使用されたマルウェアの詳細情報や攻撃を中継するインフラの情報（ドメイン名やIPアドレス）など、多数の関連資料を併せて公開しています。ターゲットになり得る多くの組織がこれらの情報をうまく活用することによって、APT1による攻撃活動を未然に防いだり、被害を最小限に抑えることが期待されます。Mandiantによるレポート公開の目的の1つと言えるでしょう。

　一方で、調査結果を明かしてしまうことにより、APT1が攻撃方法を変更したり、これまでの活動の痕跡を消すなどの対応を取ってしまう、との懸念もあります。

　実際、レポート公開直後から、APT1ハッカーとして特定された人物のSNSアカウントが削除されたり、ドメイン登録情報が変更されたり、といった動きが見られています。しかしこれはある程度予想されていたことで、これによってAPT1の活動が停滞するのであれば「成功」と見ることもできるでしょう。さまざまなデメリットを上回るメリットがあるとMandiantは判断したということです。

レポートの公開が意味するもの

　もう一歩踏み込んで、レポートの内容だけでなく、なぜこのタイミングでこのレポートが公開されたのか、その背景についても考えてみたいと思います。

　APT1レポートの公開と前後して、米国ではサイバーセキュリティに関わるさまざまな動きが見られました。以下に主なものを列挙します。


日付	動き
2月10日	最新の国家情報評価（NIE: National Intelligence Estimate）において、「米国は外国からのサイバースパイ活動によって深刻なダメージを受けており、中国が最も活発に活動している」との報告（WP報道）
2月12日	オバマ大統領がサイバーセキュリティ強化のための大統領令に署名
2月13日	サイバーセキュリティ法案（CISPA: Cyber Intelligence Sharing and Protection Act）が議会に再提出
2月19日	MandiantがAPT1レポートを公開
2月20日	オバマ政権が米国における企業秘密保護を推進する新たな戦略を発表
3月1日	オバマ大統領が米政府の歳出を強制的に削減する大統領令に署名
3月5日	国防総省の諮問機関である国防科学評議委員会（DSB：Defense Science Board）が、米軍のサイバー空間における防衛体制が不十分であると報告
3月11日	国家安全保障問題担当大統領補佐官が中国からのサイバー攻撃に言及し、問題解決のための直接的な対話を中国政府に要求
3月12日	上院情報特別委員会で国家情報長官（DNI：Director of National Intelligence）が、米国の安全保障にとってサイバー攻撃が最も重大な脅威であると報告
3月12日	サイバー軍（USCYBERCOM）の司令官が、米国がサイバー攻撃を受けた場合に反撃するミッションを持つ13のチームを2015年までに整備すると発言
3月14日	オバマ大統領が習近平国家主席と電話で会談し、サイバーセキュリティの問題について継続して議論することを確認
米国におけるサイバーセキュリティを巡る動き

　この中に、2つの重要な流れが見えます。

　1つは、米政府関連機関が米国におけるサイバーセキュリティの現状について警鐘を鳴らし、対策を強化すべき、との報告を相次いで行っていることです。そして中国政府に対しては、米国へのサイバー攻撃に対応するよう強く求めるメッセージを送っています。長年にわたって行われてきたとされる中国から米国へのサイバースパイ活動に対して、いよいよ米国が本腰をいれて対応に乗り出してきたとも言えるでしょう。

　そしてもう1つは、3月1日から発動した歳出の強制削減（Sequestration）です。この影響を最も受けるのが国防総省で、歳出削減によってサイバー空間における米国の防衛力も弱体化するのではないかとの懸念もあります。一方で、サイバーセキュリティは米国政府が今後重点的に取り組む分野であり、関連する産業はロビー活動を繰り広げています。

　Mandiantは前述の通り、軍の情報機関ともつながりがあり、また政府の歳出削減の影響も受ける立場にいます。しかもレポートの公開はわずか1カ月前に決定したとMandiantは述べており、あらかじめ予定していたものではなかったようです。

　従って今回のレポートは、米政府による中国への牽制を補強しつつ、歳出削減の影響をできるだけ緩和するための1つの手段として利用されたのかもしれません。サイバーセキュリティに関して数多く行われているロビー活動の1つにすぎない、と批判される理由はこの辺りにあります。いずれにせよ、何らかの政治的な意図を含むものであることは考慮に入れておくべきだと思います。

日本に与える影響と今後の課題

　最後に、日本国内への影響や課題について考えてみたいと思います。

　APT1レポートでは141の組織が被害に遭ったと紹介されていますが、そのうち日本の組織は1つだけでした。しかし、これまでに報告されているAPTの攻撃キャンペーンの中には、日本をターゲットに含んでいるものが少なからず存在しています。米国ほどではないかもしれませんが、同様の攻撃を受けている可能性は非常に高いと言えます。

　また、61398部隊の所属する総参謀部第三部には全部で12の作戦局があり、このうち青島に拠点をおく第四局（61419部隊）は、日本および韓国をターゲットに活動していると言われています。対岸の火事と安心しているわけにはいきません。

　ここでは、APTへの対策を考える際に参考になる海外の事例を紹介しましょう。

　オーストラリアの情報セキュリティ政策の中心的な役割を担う国防省国防信号局（DSD：The Defense Signals Directorate）では、35項目におよぶAPT対策のリストを策定しています。これは政府機関に対して行われた標的型攻撃の事例や、脆弱性診断の結果などを基に、最も効果的な対策をリストアップしたものです。DSDによると、このうち上位4つの対策を行うことで、こうした攻撃の大半を防ぐことができると説明しています。