正義の告発者か買収されたスパイか スノーデンの素顔に迫るドキュメンタリー映画『シチズンフォー スノーデンの暴露』
June 13, 2016 12:00
内部告発や情報流出が、企業や政府などの驚くべき実態を明らかにするというのは珍しい話ではない。例えばタックス・ヘイブンの内幕を覗かせたパナマ・ペーパーズはまだ記憶に新しいことと思う。史上最も名高いのは、マスコミへの内部情報提供に端を発し、アメリカ大統領の辞任にまで至ったウォーターゲート事件だろう。これ…
June 13, 2016 11:00
by 江添 佳代子
セキュリティ企業PaloAlto Networksの研究者チームUnit 42は、複数の国に駐屯しているインド大使館のスタッフに向けられていた攻撃活動を発見し、そこで用いられていた新たなマルウェアファミリーに「TidePool」と名前を付けた。
この「TidePool」の使い手たちは、いまから2年以上前に「Operation Ke3chang」と呼ばれる活動によって存在を確認された中国のハッキンググループKe3changだ、とPaloAlto Networksの研究チームは考えている。今回は、この2つの活動について解説したい。
Operation Ke3changは2013年、セキュリティ企業Fire Eyeが発見して話題となったサイバー攻撃活動だ。当時のロイターは、この活動について「2012年秋にロシアで開催されたG20首脳会議に先駆けて行われた、中国発の攻撃だった」と断言するように報じている。
2012年のG20首脳会議では米国のオバマ大統領とロシアのプーチン大統領による二国間会談が予定外に行われた、というニュースを記憶している方もいるだろう。このときの首脳会議の最も中心的なトピックは「シリア情勢」だった。つまりOperation Ke3changは、この「シリアの問題が話し合われるG20」を餌として、複数の国の関係者たちにフィッシングメールを送りつけるスピアフィッシング作戦だった。
Fire Eyeのレポート(PDF)によれば、このフィッシングメールには「US_military_options_in_Syria.pdf」「US_military_options_in_Syria.zip」などの、関係者が興味を示さずにはいられない名前のファイルが添付されていた。受信者がそれを開くと、「BS2005」と呼ばれる諜報活動用のマルウェアに感染することになる。
この活動により、Operation Ke3changは5つの異なったEU加盟国(名前は明かされていない)の9省庁に侵入したと考えられている。この攻撃のテーマは「シリアへの米国の軍事介入」であり、「その活動が目的としているのは知的財産の窃盗ではなく、それ以上の何かだろう。……それは意図的に、G20に関わる国々を標的としている」と、Fire Eyeの研究者たちは語った。
この犯行グループ「Ke3chang」の活動は数年前から始まっていた可能性が高い、と同社は考えており、2011年秋にフランスのパリで開催されたG20財務大臣・中央銀行総裁会議でも加盟国の関係者を攻撃した可能性があることが疑われている。しかし2013年の報告以降、Ke3changの名前がニュース媒体の見出しを賑わせることはなかった。
そしてPaloAlto Networksは先日、Ke3changによる諜報活動と思われるサイバー攻撃が久々に確認されたことを報告した。同社は次のように述べている。
「その行動(ふるまい)はKe3changとの強い関連を示しており、また現在、世界中のインド大使館職員に対して行われている攻撃活動に利用されている」
「その(攻撃活動の)標的に関する包括的な情報はまだ得られていないが、我々が発見したスピアフィッシングメールは、いくつかの異なる国のインド大使館を標的としていた」
「おとりの一つは、『世界中の30以上のインド大使館が提出した年次報告書』だった」
同社の報告によれば、Ke3changの新しい攻撃は悪質であるようだ。まず、そのフィッシングメールは送信者のアドレスを偽装する。インド大使館と繋がりのある人々から送られたメールのように見えるため、受信者は気軽にファイルを開いてしまう。また、この活動で利用されるマルウェアTidePoolはMicrosoft Wordの脆弱性(CVE-2015-2545)を利用しており、それは2015年の秋に発表されたばかりの、比較的新しい脆弱性である。
PaloAlto Networksは、TidePoolの使い手について、「厳密に決めつけられることではないが」と断りを入れたうえで、それがKe3changと同一のグループだろうという理由を以下のように示している。
Fire Eyeは2013年の時点で、「Ke3changは中国のハッカーグループである可能性が高い」と主張しており、またPaloAlto Networksも、それが中国発の攻撃であると考えられる根拠を示している。そして多くのセキュリティ関係者も、「攻撃の背景には中国政府がいるはずだ」と考えているだろう。
しかしFire EyeもPaloAlto Networksも、いまだ明確な物理的証拠を掴むことはできておらず、「おそらく攻撃者たちは中国語(北京語)の話者である」という以上の根拠を示してはいない。つまり、中国に責任をなすりつけようとする別の国が、あえてそのような言語情報を残した可能性もないとは断言できない。
そして中国政府は相変わらず、「我々は日々、他国からの攻撃に耐えている。我々こそがサイバー攻撃の被害者だ。国同士のサイバー諜報合戦を止められるよう、世界は協力する必要がある」と声高に語るばかりだ。誰がどう考えても言い逃れができないと思われるような、派手なサイバー攻撃の疑惑に関しても、関係性を真っ向から否定している。今回のTidePoolについても、中国政府が何かしらの事実を認めることは今後もないだろう。
1
「中国製スマホ」に潜む危険性
January 9, 2015
2
スパイウェアがプレインストールされた26種類のAndroid Phoneモデルが出荷
September 24, 2015
3
無線LANセキュリティ10の誤解(後編)
February 19, 2015
4
無線LANセキュリティ10の誤解(前編)
February 18, 2015
5
「LINE」に深刻な脆弱性 外部から全トーク履歴を抜き出される危険性あり
March 16, 2015
6
無線LANパスワードを友達に共有? Windows 10の新機能「Wi-Fiセンサー」はセキュリティリスクになり得るのか
August 6, 2015
7
新たなハッカー向け検索エンジン「Censys」登場 ネット接続された機器をリスト化
January 7, 2016
8
連載:ハッカーの系譜②ケビン・ミトニック (1/6) 史上最悪の「ダークサイド・ハッカー」の誕生
July 13, 2015
9
連載:ハッカーの系譜①スティーブ・ウォズニアック (1/6) 世界で最も愛されるハッカー
June 1, 2015
10
米国ドラマ『Mr. Robot』には本物のハッキングツールが登場する?
October 22, 2015