マンディアント(MANDIANT)という米国のセキュリティ関連企業が米国時間2013年2月19日に公開した報告書が話題になっている。同報告書は、米国企業や団体に対して繰り返し行われているサイバー攻撃やサイバーインテリジェンス(以下サイバー攻撃)は「APT1」や「Comment Crew」と呼ばれるハッカーグループが行っていると報告。さらに、「APT1」が、中国人民解放軍61398部隊の本部が所在する上海のビルを拠点に活動していることを指摘した。
決定打に欠ける、人民解放軍が関与している証拠
中国のハッカーグループが中国人民解放軍の指揮の下で米国や日本に対してサイバー攻撃を行っているとの観測に目新しさはない。米国インテリジェンス機関が過去から指摘していた内容だ。唯一、目を引くのは、中国人民解放軍の諜報組織として総参謀部第3部第2局(第61398部隊)の存在を指摘した点にある。人民解放軍が有するサイバー攻撃の拠点は従来、海南島に拠点を置く陸水信号部隊が単一組織としては最大の組織(1100人規模)とされていた。第61398部隊の規模はこれに匹敵する。
メディアは、マンディアント社のレポートが「APT1=第61398部隊」すなわち中国人民解放軍と断定しているかのように報道している。だが、同レポートはその結論で「残念ながら一つの可能性に過ぎないことを認めざるを得ない」としている。人民解放軍の関与を証明する決定的で客観的な証拠を示していないからだ。かねてから、この種の調査結果には、こうした重大な欠陥がつきまとう。今回の報告書も同様の欠陥を抱えている。この点を、改めて認識しておく必要がある。
第61398部隊の規模を数百人から千人規模としているのも、ビルの大きさから推測した、と示しているだけだ。おそらくグーグルアースの衛星写真を基に推測したのだろう。この域を出ないのではないかと思われる。
同報告書はこのほか、マルウェアに残されたハッシュシ値やIPアドレスを、「APT1=第61398部隊」とする証拠として示している。中でも筆者が興味を覚えたのは、APT1が中国の外に築いた攻撃拠点となるサーバーにアクセスする際に使用したマイクロソフトのリモートデスクトップPCの発信元の98%が中国国内からのものだったとする点だ。これに加えて、リモートデスクトップPCで使用されているキーボードの97%が中国語のキーボードに設定されていたことを、根拠として挙げている。
これらを状況証拠とすれば極めてクロに近いと判断できる。しかし、中国政府の報道官の反論――IPアドレスを根拠とした推測だけの批判は的を射ていない−−に十分対抗できる証拠とは言えないだろう。日本国内でもPCの遠隔操作事件が話題になっている中で攻撃元のPCのIPアドレスを技術的に偽装する手段がある以上、決定的な証拠にはならない。何が確認できれば確実な証拠になるのか、という課題は深刻だ。
中国人民解放軍が、(1)中国のドメインと明らかにわかるIPアドレスを持つ、(2)中国語OSを搭載したパソコンから米国を攻撃する、という構図も単純すぎて疑念がわく。ロシア担当の米国インテリジェンス関係者による次の指摘も想定内に置いておく必要があるだろう――ロシア政府によるサイバー攻撃は中国よりもさらに高度でより深く潜行しており注意が必要。