ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10
by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」（Ocean Lotus Group）と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ（Volexity）は、ブログでこのオーシャンロータスが、ベトナム政府と極めて強い結びつきを持っているのではないかと指摘するエントリーを公開した。

危険な蓮の花

ベトナムは中国とフランスの影響を受け、東洋と西洋が見事に融合した場所であり、日本人にもなじみのあるリゾート地になっている。しかし、政治体制は日本とは対極にある。

社会主義国家であり共産党独裁政権、人権運動や民主化運動をする市民は厳しく弾圧される。ブログで意見表明をしたブロガーが投獄される事件も毎日のように起きている。ゆったりとした時間が流れるリゾートホテルの裏手に広がる下町では、北朝鮮並みの弾圧に抵抗する市民が、決死の思いでブログを書いて闘っている。それがベトナムだ。

アジア地域で、活発に活動するハッカー集団がいる。APT32、あるいはオーシャンロータスと呼ばれている組織だ。2015年に中国セキュリティ企業360が初めてまとまったレポートを公開し、その存在が知られるようになった。

APT32は、ベトナムの外資系企業を中心にハッキングを行い情報収集している。面白いことに、ベトナムの国営企業に対しては諜報活動をやっていない。さらに、ベトナム周辺国のセキュリティ企業に対しては、マルウェアなどを利用して攻撃している。このような行動から研究者たちは、APT32はベトナム政府と強い結びつきがある組織だと推測している。

東アジア・東南アジアで暗躍する「APT32」

米セキュリティ企業ボレシティは、2017年５月から継続してAPT32の行動監視をしていた。その結果、このハッカー組織がASEAN諸国の報道機関、人権・民主化組織に所属する個人数百人に対する監視と非合法な情報収集活動を行っていることを確認した。

またASEANサミット開催時期には、監視対象のウェブに対する攻撃も行っていた。ボレシティによるとAPT32の攻撃能力は、ロシアのハッカー組織Turlaとほぼ同等だという。ボレシティは、このハッカー組織をAPT32と命名したが、2015年に中国セキュリティ企業「360」のホワイトハッカー集団「天眼実験室」が捕捉したオーシャンロータスと同一の組織だと考えている。

天眼実験室の報告書によると、APT32（オーシャンロータス）は、2012年4月から活動を開始していたが、2014年２月になって中国に対して、活発なスピアフィッシング攻撃を始めた。その攻撃対象は、海洋研究所、海洋建設機関、漁業資源関係組織など、海洋に関係のある機関が中心だった（南沙諸島の領有権をめぐって、中国、フィリピン、ベトナムが対立をしている）。

天眼実験室によると、APT32が海外にマルウェアを感染させた対象は、中国が92.3%となっており、明らかに中国を標的にしている。しかも、一般的なサイバー攻撃では、セキュリティが緩い広東省の被害が大きくなるものだが、APT32の被害は北京22.7%、天津15.5%と、首都付近が圧倒的に多い。ここからもAPT32の攻撃が、経済的利益ではなく、政治的な意図を持っていることがうかがわれる。

APT32のマルウェア感染量。2014年5月には、ベトナムで大規模な反中デモが起きている。ベトナムの排他的経済水域に中国石油が石油掘削施設を建設したことに抗議するものだった。ベトナムは社会主義国なので、市民が自由にデモ行動をすることはできない。政府の承認が必要だ。これと呼応するかのように、APT32の活動が活発になった。中国360天眼実験室「オーシャンロータスAPT報告」より引用。

オーシャンロータスがマルウェアを感染させた地域。ほとんどが中国であり、北京、天津に集中をしている。一般的な経済目的のマルウェア感染では、セキュリティレベルが低い機器が多い広東省に集中する。意図的に首都を狙っていることがうかがわれる。

APT32の攻撃手法

APT32の攻撃手法も明らかになりつつある。
　
・Google Appsを改ざんし、標的のGmailアカウントをハッキングする。そしてメールの内容を収集している。
・AddThis、Disqus、Akamai、百度、Cloudflare、Facebook、Googleなど著名なネットサービスのドメインを偽装して攻撃を行う。
・SSL/TLS証明書に電子フロンティア財団などが設立した認証局Let’s Encryptを多用する。
・Cobalt Strikeなどの攻撃フレームワークを利用しているが、独自開発の攻撃フレームワークも利用している。

また、攻撃手法も明らかになっている。

（1）攻撃対象のウェブの脆弱性を利用して、Webshellをウェブサーバーに侵入させる。
（2）Webshellを利用して、独自開発のJavaScriptを侵入させる。
（3）このJavaScriptは、APT32の２つの攻撃フレームワークをコールする。
（4）攻撃フレームワークは、攻撃対象のウェブ訪問者を追跡、特定する。
（5）ウェブ訪問者のうち、フラグが立てられた人物には、別のJavaScriptが電子メールを通じて送信される。このJavaScriptが対象者のPCに侵入すると、さまざまな情報がAPT32に送信されるようになる。

中国が非難しない理由

APT32の攻撃対象は、ベトナム国内と国外で大きく違っている。ベトナム国内では、反体制関係の活動グループが主体で、ベトナム国外では政府機関が主体になる。国内では人権活動団体、市民活動団体、報道機関、宗教団体、個人ブロガーなど。国外では、アセアン本部などの他、カンボジア、ラオス、フィリピン、中国の政府関係機関、軍関係機関など。特に中国では海洋資源関係の政府機関も攻撃対象となっている。

現在、APT32とベトナム政府の結びつきを証明する証拠は存在しない。あくまでも攻撃行動から推測されるのみだ。面白いことに、攻撃対象となっている中国政府は、APT32やベトナム政府に対して、強い非難もしていない。その理由として、中国政府も人民解放軍などの組織を使って、同様の情報収集、サボタージュ活動をしているからではないだろうか。

世界情勢は、各国が連合する方向から、自国の利益を最大限に優先する方向に向かいつつある。そこでは、このようなインターネットを利用した情報収集活動はきわめて重要になってくる。中国、ベトナムに限らず、サイバー諜報活動を積極的に行わざるを得なくなっていく。2018年は、より一層セキュリティが注目される年になるかもしれない。

ニュースで学ぶ中国語

　
海蓮花（hailianhua）：オーシャンロータス。中国セキュリティ企業「360」による命名。海外からの攻撃で、政府関係者のハッキングに成功すると、そこから芋づる式に次の攻撃をする様が、ハスの花の地下茎のようであるということから命名された。