0002474-001

インドを狙う謎のハッキンググループ「Ke3chang」

江添 佳代子

June 13, 2016 11:00
by 江添 佳代子

セキュリティ企業PaloAlto Networksの研究者チームUnit 42は、複数の国に駐屯しているインド大使館のスタッフに向けられていた攻撃活動を発見し、そこで用いられていた新たなマルウェアファミリーに「TidePool」と名前を付けた。

この「TidePool」の使い手たちは、いまから2年以上前に「Operation Ke3chang」と呼ばれる活動によって存在を確認された中国のハッキンググループKe3changだ、とPaloAlto Networksの研究チームは考えている。今回は、この2つの活動について解説したい。

「Operation Ke3chang」とは?

Operation Ke3changは2013年、セキュリティ企業Fire Eyeが発見して話題となったサイバー攻撃活動だ。当時のロイターは、この活動について「2012年秋にロシアで開催されたG20首脳会議に先駆けて行われた、中国発の攻撃だった」と断言するように報じている

2012年のG20首脳会議では米国のオバマ大統領とロシアのプーチン大統領による二国間会談が予定外に行われた、というニュースを記憶している方もいるだろう。このときの首脳会議の最も中心的なトピックは「シリア情勢」だった。つまりOperation Ke3changは、この「シリアの問題が話し合われるG20」を餌として、複数の国の関係者たちにフィッシングメールを送りつけるスピアフィッシング作戦だった。

Fire Eyeのレポート(PDF)によれば、このフィッシングメールには「US_military_options_in_Syria.pdf」「US_military_options_in_Syria.zip」などの、関係者が興味を示さずにはいられない名前のファイルが添付されていた。受信者がそれを開くと、「BS2005」と呼ばれる諜報活動用のマルウェアに感染することになる。

この活動により、Operation Ke3changは5つの異なったEU加盟国(名前は明かされていない)の9省庁に侵入したと考えられている。この攻撃のテーマは「シリアへの米国の軍事介入」であり、「その活動が目的としているのは知的財産の窃盗ではなく、それ以上の何かだろう。……それは意図的に、G20に関わる国々を標的としている」と、Fire Eyeの研究者たちは語った

この犯行グループ「Ke3chang」の活動は数年前から始まっていた可能性が高い、と同社は考えており、2011年秋にフランスのパリで開催されたG20財務大臣・中央銀行総裁会議でも加盟国の関係者を攻撃した可能性があることが疑われている。しかし2013年の報告以降、Ke3changの名前がニュース媒体の見出しを賑わせることはなかった。

「TidePool」と、以前の攻撃の共通点

そしてPaloAlto Networksは先日、Ke3changによる諜報活動と思われるサイバー攻撃が久々に確認されたことを報告した。同社は次のように述べている。
「その行動(ふるまい)はKe3changとの強い関連を示しており、また現在、世界中のインド大使館職員に対して行われている攻撃活動に利用されている」
「その(攻撃活動の)標的に関する包括的な情報はまだ得られていないが、我々が発見したスピアフィッシングメールは、いくつかの異なる国のインド大使館を標的としていた」
「おとりの一つは、『世界中の30以上のインド大使館が提出した年次報告書』だった」

同社の報告によれば、Ke3changの新しい攻撃は悪質であるようだ。まず、そのフィッシングメールは送信者のアドレスを偽装する。インド大使館と繋がりのある人々から送られたメールのように見えるため、受信者は気軽にファイルを開いてしまう。また、この活動で利用されるマルウェアTidePoolはMicrosoft Wordの脆弱性(CVE-2015-2545)を利用しており、それは2015年の秋に発表されたばかりの、比較的新しい脆弱性である。

PaloAlto Networksは、TidePoolの使い手について、「厳密に決めつけられることではないが」と断りを入れたうえで、それがKe3changと同一のグループだろうという理由を以下のように示している。

  • Operation Ke3changが利用していたマルウェアBS2005と、マルウェアファミリーTide Poolの振る舞いには、かなり重複した部分がある。
  • BS2005からTide Poolへと枝分かれし、進化したことが、コードの重複や再利用の多さに示されている。
  • ターゲティングや攻撃手法が、過去のKe3changの標的型攻撃と一致している。
  • そのマルウェアの使い手たちのOSやソフトウェアのデフォルト言語が中国語である可能性が高いということが、そのエンコードに示されている。

Ke3changの正体

Fire Eyeは2013年の時点で、「Ke3changは中国のハッカーグループである可能性が高い」と主張しており、またPaloAlto Networksも、それが中国発の攻撃であると考えられる根拠を示している。そして多くのセキュリティ関係者も、「攻撃の背景には中国政府がいるはずだ」と考えているだろう。

しかしFire EyeもPaloAlto Networksも、いまだ明確な物理的証拠を掴むことはできておらず、「おそらく攻撃者たちは中国語(北京語)の話者である」という以上の根拠を示してはいない。つまり、中国に責任をなすりつけようとする別の国が、あえてそのような言語情報を残した可能性もないとは断言できない。

そして中国政府は相変わらず、「我々は日々、他国からの攻撃に耐えている。我々こそがサイバー攻撃の被害者だ。国同士のサイバー諜報合戦を止められるよう、世界は協力する必要がある」と声高に語るばかりだ。誰がどう考えても言い逃れができないと思われるような、派手なサイバー攻撃の疑惑に関しても、関係性を真っ向から否定している。今回のTidePoolについても、中国政府が何かしらの事実を認めることは今後もないだろう。

0002479-001

正義の告発者か買収されたスパイか スノーデンの素顔に迫るドキュメンタリー映画『シチズンフォー スノーデンの暴露』

June 13, 2016 12:00

by 西方望

内部告発や情報流出が、企業や政府などの驚くべき実態を明らかにするというのは珍しい話ではない。例えばタックス・ヘイブンの内幕を覗かせたパナマ・ペーパーズはまだ記憶に新しいことと思う。史上最も名高いのは、マスコミへの内部情報提供に端を発し、アメリカ大統領の辞任にまで至ったウォーターゲート事件だろう。これ…

0002468-001

エクスプロイトキット:ユーザフレンドリなマルウェアの増加

June 10, 2016 10:00

by Malcolm Murphy

ここ数年、エクスプロイトキットの使用が大幅に増加しているのを目にします。オンラインメールサービスはマルバタイジング(悪意ある仕掛けが組み込まれているオンライン広告)キャンペーンの餌食となり、何百万もの読者をランサムウェアCryptowallに脅かされることとなり、多数の強力なキットに耐えられるような…

0002935-001

ハッカーの系譜⑥ジュリアン・アサンジ (4/6) 少年ハッカーから国家と戦うハクティビストに

June 9, 2016 12:00

by 牧野武文

アサンジも、サイファーパンクスの活動の影響を受けて、さまざまなツールを開発していく。コンピューターの中からパスワードだけを抽出する「シコファント」。また、ハードディスクを暗号化する「ラバーホース」も開発した。 ラバーホースは、ハードディスクなどのストレージの中に、暗号化された情報を隠すためのツールだ…

0002454-001

銀行アプリに250億ドルの穴 ホワイトハッカーが未然に防ぐ

June 8, 2016 12:00

by 『The Hacker News』

銀行の脆弱なモバイルアプリのため、セキュリティ研究者はインドの大手銀行の一つから250億ドル程度を盗み出すことも可能だったようだ。 昨年末、セキュリティ研究者のSathya Prakashが、銀行(名は伏せられている)のモバイル取引アプリに重大な脆弱性を多数見つけた。この脆弱性によって、ほんの数行の…