サイバー世界に蠢く中国APT集団の影 (4) 狙われた「台湾のフランス外交官」

November 22, 2016 10:30
by 江添 佳代子

限りなく黒に近いグレー

2015年の初夏にロータスブロッサム作戦が特定されたとき、Palo Alto Networksのブログや報告書には攻撃者の正体に関する詳細な洞察が掲載されたが、具体的な名指しは行われなかった。とはいえ、以前にお伝えしたような理由、および攻撃者の動機から「最も怪しいのは中国だ」と疑う人々は多かっただろう。

実際のところ、Palo Alto NetworksのインテリジェンスディレクターRyan Olson氏も、セキュリティ業界マガジン『Infosecurity Magazine』の取材に対して、「帰属をするわけではないが」と前置きをしたうえで、「国の地政学的な側面や軍事的関心の側面から考えるに、中国が『容疑者』であることは明らかだ」と述べ、次のように回答している。

このようなタイプの攻撃が起こる頻度は世界中で増加しているようだが、「南シナ海」が特に狙われていることは確実だ。ロータスブロッサム作戦だけではなく、先日に発見された他のスパイ活動のグループも、世界の「この地域」に特別に焦点を当てているようで、それは「彼らのスポンサーが、これらの国々に大きな関心を寄せていること」を示している。
（Operation Lotus Blossom Sets Sights on Asian Military／Infosecurity Magazine、2015年6月17日）

さらにOlson氏は同誌の中で、「この地域で活動している西側諸国のあらゆる組織は、我々の報告書に目を通し、自分が標的にされていないかどうかをチェックしたほうが良い」と警告した。それは、まるで予言のように適切な勧告だった。

「台湾のフランス外交官」が狙われた

それから半年ほどが経過した2015年末、今度は「台湾在住のフランス外交官」個人を狙ったスピアフィッシングメールの攻撃が発覚した。この攻撃も発見者はPalo Alto NetworksのUnit 42である。12月18日に掲載された同社のブログは、この攻撃に関して非常に詳しく解説している。

その個人に宛てて2015年11月10日に送られたスピアフィッシングメールは、「台湾の新竹（※）で11月13日に開催される科学技術の支援カンファレンス」の招待状を装ったものだった。このタイムリーな招待状の本文には、同カンファレンスの「正規の登録ページ」へのリンクが含まれていた。

つまり文中のリンクそのものには何も細工されていない（＝クリック詐欺ではない）ため、ますます正規の招待メールに見えてしまう。これは、ちょっと疑り深い人間を油断させるのに有効なテクニックだろう。さらに、このカンファレンス自体は「オンラインでも大々的に宣伝されていたイベント」だったが、外交官に届けられたスピアフィッシングメールには、ご丁寧にも「ウェブには掲載されていない詳細な日程表」が含まれていた。もともとこのイベントに興味を持っていた人物であれば、仕事の手を止めてでも読んでしまうほど魅力的なコンテンツである。

このフィッシングメールに添付されていた囮のファイルは2つで、いずれも同カンファレンスに関連した内容の .docファイルだった。そのファイルにはWindowsの深刻な脆弱性「CVE-2014-6332」を狙ってエクスプロイトを仕掛け、バックドア型トロイの木馬「Emissary」のインストールを試みるコードが含まれていた。

※このイベントが開催された新竹は「台湾のシリコンバレー」と呼ばれており、国内外のIT関連企業や電気機器メーカーなどが集中している。この町の成長を応援しているフランスは、台湾にとって2番目に大きな「テクノロジーのパートナー国」で、貿易の相手国としても重要な存在となっている。

２つの攻撃の共通点

このマルウェア「Emissary」と、ロータスブロッサム作戦が利用する「Elise」は異なる脆弱性を悪用しているものの、そこには多くの関連性があった。まずEmissaryとEliseの両方のサンプルから見つかった文字列によれば、この2つのマルウェアはいずれも「LStudio」と呼ばれるグループの一部として扱われている。また両方のコードには重複している部分があり、特にデバッグのメッセージをファイルに記録する機能、設定ファイルを解読するためにカスタムのアルゴリズムを使用する機能のコードに多くの重複があるという。これらは両方のマルウェアに共通した機能だ。

さらに、今回の攻撃におけるTTP（Tactics, Techniques, and Proceduresの略語。攻撃の作戦や攻撃者を識別し、特定する際に用いられる特徴のこと）は、Palo Alto Networksが半年前の報告書に記した「ロータスブロッサム作戦の特徴」と共通している。したがって、この2つは同じグループによる攻撃である可能性が非常に高い、と同社は述べている。

結論として、同社は
「攻撃者が『フランス外務省に対する侵害、あるいはフランスと台湾の関係についての見通し』に興味を持っていたということが示されている」
「この標的の選び方と囮から考えるに、彼らが情報収集しようとしている相手は『東南アジアの国々の軍隊や政府機関』だけでなく、『それらの国々と外交や貿易協定で関わりのある国々』も含まれると我々は見なしている」
と語った。

つまりロータスブロッサム作戦の犯行グループは、以前に同社が考えていたよりも大規模な作戦の元に活動していたのか、あるいは守備範囲を徐々に広げているのかのいずれかだろう。このような典型的なAPT作戦は、攻撃の規模が大きくなればなるほど、「ますます中国の仕業である可能性が高そうだ」と見なされがちになるが、このときもPalo Alto Networksは「どの国の作戦なのか」を明確に帰属することはなかった。

(その5に続く)