特集
» 2013年05月10日 18時00分 UPDATE

レポートの「オモテ」と「ウラ」を読み込む:再考・APT〜Mandiantレポートを基に〜 (1/4)

米国のセキュリティ会社、Mandiantが公表した1通のレポートは、世界中のセキュリティ関係者にさまざまな波紋を広げました。この記事ではレポートの内容を簡単に解説するとともに、それが持つ意味や公開につながった背景などをまとめていきます。

[根岸征史(インターネット イニシアティブ),@IT]

世界を駆けめぐった1通のレポート

 2013年2月18日、米国のセキュリティ会社Mandiantが「APT1: Exposing One of China's Cyber Espionage Units」というタイトルのレポート(以下「APT1レポート」)を発表しました。

mandiant_scr01.jpg

 このレポートは、「上海を拠点とする中国人民解放軍所属の部隊が、過去数年間にわたって、主に米国を中心に、世界中の組織に対しサイバースパイ活動を行っていた」ことを指摘するもので、米国内にとどまらず、世界中のメディアなどで取り上げられ、大きな話題となりました。

 そこで本記事では、10年以上にわたって繰り広げられてきた米中間のサイバー空間における争いや、APT1レポートによる影響とその意味、今回のレポート公開へとつながる背景などについてまとめてみたいと思います。

【関連リンク】

APT1: Exposing One of China's Cyber Espionage Units

http://intelreport.mandiant.com/


「APT1レポート」が示した内容〜サイバースパイ活動の実態

 APT1レポートでMandiantは、2006年から観測されている一連のサイバースパイ活動(彼らは、この攻撃に携わるグループのことを「APT1」と呼称しています)の実態を明らかにしました。APT1の攻撃方法、使用したマルウェア、攻撃に利用されたサーバのドメイン名やIPアドレスなどを具体的に示しています。加えて、攻撃を行っていたとされる複数のハッカーの特定まで試みています。

 これらの調査の結果として、

  • APT1が利用するC2サーバの大半が上海の4つのネットブロックに属している
  • インストールされたバックドアによる通信の中継先のアドレスも、多くが同じネットブロックからである
  • 攻撃を中継するサーバへのRDPによるリモートログインの発信元も、多くが同じネットブロックからである
  • 中継サーバへのリモートログインのほとんどで簡体字用のキーボード配列が使われている

などの事実から、APT1が上海を拠点としているとした上で、同じく上海を拠点として米国へのサイバースパイ活動に従事しているとされる人民解放軍の61398部隊こそがAPT1なのではないか、との結論を示しています。

 しかしMandiant自身も認めていますが、上に挙げた事実も含め、指摘された内容はすべて状況証拠ばかりであり、「APT1=61398部隊」と判断する根拠としてはやや弱いと言えます。それぞれ独立して調べた2つの対象が非常に似ているので、おそらく同じだろうと推測しているにすぎません。従って、この2つのグループは全く無関係である、という可能性も捨てきれません。

61398部隊

 ところで、Mandiantが名指ししたこの「61398部隊」とは一体何でしょうか。これは人民解放軍における部隊識別番号(MUCD:Millitary Unit Cover Designator)で、「総参謀部第三部第二局」を表わしています。実は、この総参謀部第三部が中国におけるサイバースパイ活動の中心的な役割を担っていることは、以前からたびたび指摘されていました。

 米議会の諮問機関である米中経済安全保障調査委員会(USCC:U.S.-China Economic and Security Review Comission)は、毎年議会に年次報告書を提出していますが、2009年と2012年には、中国によるサイバー攻撃に関するより詳細な報告書を公開しています。

 これらの報告書では、中国におけるサイバー攻撃の戦略、攻撃手法、組織体制などについて詳細に論じており、総参謀部第三部および第四部と技術偵察局(TRB:Technical Reconnaissance Bureau)などがサイバー攻撃に関する主要な役割を担っているのではないかと推測しています。

 また、米国の民間シンクタンクであるProject 2049 Instituteはアジア地域の安全保障問題を主な調査研究の対象としていますが、2011年2012年に中国のサイバースパイ活動に関する調査報告書を公開しています。

 この報告書では、人民解放軍の総参謀部第三部を活動の主な司令塔としており、12ある作戦局と3つの研究所の役割や場所などについて紹介しています。今回のMandiantの報告書でAPT1として名指しされた61398部隊についても当然言及しており、それによると、この部隊は上海に本部拠点を置き、主に米国やカナダに対する作戦活動に従事しているとされています。

 さらに、WikiLeaksによって公開された2008年11月の米外交公電には、「上海を拠点とする、総参謀部第三部に関係するハッカーグループによって、米国の複数のシステムが侵入された」との記述があります。この公電ではこれらのサイバースパイ活動を「Byzantine Candor」(BC)というコードネームで呼んでおり、BCによる攻撃が2002年から観測されているとあります。このBCは、一般には「Comment Group」または「Comment Crew」と呼ばれており、Mandiantは「APT1と同一だ」とレポートで述べています。

 これらの点から、今回 Mandiantが指摘した部隊の存在およびその活動内容について、米国の関係者の間では周知の事実だったことが分かります。今回のAPT1レポートは、その活動内容についてこれまでのレポートの中で最も詳しく報告しているかもしれませんが、けっしてこの部隊の存在を初めて指摘したわけではありません。

 なお中国は、これらの組織の存在を公式には認めておらず、実態はよく分かっていないのが実状です。

       1|2|3|4 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。