再考・APT〜Mandiantレポートを基に〜レポートの「オモテ」と「ウラ」を読み込む(2/4 ページ)

» 2013年05月10日 18時00分 公開
[根岸征史(インターネット イニシアティブ),@IT]

そもそも「APT」とは?

 今回のレポートでMandiantは調査対象の攻撃グループを「APT1」と呼称していますが、これはMandiant独自の名称です。ではそもそも、このAPTとは何でしょうか?

 APT(Advanced Persistent Threat)とは、もともとは2005〜2006年頃から米空軍の情報機関の関係者らが使っていたコードネームだと言われています。よく誤解されますが、高度な標的型攻撃の手法を表わす一般的な用語ではありません

 APTとは、特定の複数の攻撃主体を示すための用語で、つまり主に中国の攻撃グループのことを示していたのです。その後、2010年にGoogleが明らかにした、いわゆる「Operation Aurora攻撃」以降、APTという用語が広く一般に使われるようになりました。その過程において、用語の意味合いが変わっていったのだと思います。

 Mandiantは、CEOのKevin Mandia氏自身がAir Force Office of Special Investigations(AFOSI)の出身ですし、他にも軍の情報機関出身者が要職を占めています。そのため、同社はAPTという用語をかなり厳密な意味で用いている点に注意が必要です。

 Mandiantは2010年以降毎年、APTに関する詳細なレポート「M-trends」を公開しています。そしてAPT1レポートによると、Mandiantは20以上のAPTグループについて継続して調査を行っており、APT1はその中の1つで、最も活発に活動しているグループだということです。

【関連記事】

Advanced Persistent Threat (APT)とは何か

http://d.hatena.ne.jp/ukky3/20110405/1302052574


APTの主なグループ

 この意味の違いを踏まえた上で、APTによる活動としてこれまで知られているものをいくつか紹介しましょう(=つまり、中国の関与が疑われているサイバースパイ活動の事例です)。これらのうちいくつかは、現在も活動が継続しています。

時期 活動名称 内容
2005年 Titan Rain 2003年以降、米国の防衛企業などに侵入した攻撃
2009年 GhostNet 2008〜2009年にかけて行われたチベット政府を標的とした攻撃
2010年 Operation Aurora 2009年末に起きた Googleなど複数の米国企業を標的とした攻撃
2010年 Shadow Network 2009年に起きたインド、チベットなどを標的とした攻撃
2011年 Night Dragon 2009年以降、世界のエネルギー産業などを標的とした攻撃
2011年 RSA, Lockheed Martinへの攻撃 2011年、RSAに侵入して不正に取得した製品情報を利用し、その後 Lockheed Martinへの侵入を試みた一連の攻撃
2011年 Operation Shady RAT 2006年以降、米国を中心に世界中の組織に対して行われた攻撃
2011年 Nitro Attacks 2011年に起きた化学産業など複数の組織を標的とした攻撃
2011年 Sykipot 2011年以降、米英の軍需産業などを標的とした攻撃
2012年 LuckyCat 2011年以降、インドや日本などアジアを標的とした攻撃
2012年 Elderwood 2009年以降、防衛企業を中心に世界中の組織に対して行われた攻撃
2013年 APT1 2006年以降、米国を中心に世界中の組織に対して行われた攻撃
主なAPTによる活動

 こうして見ると世界中の企業、政府機関、NGOなど、幅広い組織がAPTの攻撃対象となっていますが、その多くは米国をターゲットにしたものです。

 また近年、APTに関する情報の共有が進んだという側面はあるにせよ、過去に比べ報告数が多くなってきています。サイバー空間における各国間の攻防が激化している様子が伺えます。

 多数の事例がありますが、この中のいくつかは同じ攻撃グループが関与していると推測されています。そして活動の規模や頻度などから、APTの中には2つの大きなグループが存在していると考えられています。それは「Elderwood Group」と「Comment Group」の2つです。

Elderwood Group

 Elderwood Groupのほかに、Elderwood Crew、Elderwood Gang、Beijing Groupなどといった呼び名もあります。

 2012年にSymantecがこのグループの活動に関する詳細なレポートを公開して話題となりましたが、その活動自体は以前から知られていました。また、さまざまな活動の特徴から、2009年の「Operation Aurora」にも、このグループが関与していると考えられています。

 短期間に多数のゼロデイ脆弱性を利用しており、高度な技術者を擁しているのか、潤沢な資金を持っているのか、あるいは両方なのか、いろいろと推測されています。このグループについても人民解放軍の部隊による直接的ないしは間接的な関与が疑われています。

Comment Group

 Comment Groupのほかに、Comment Crew、Shanghai Group、Byzantine Candorなどといった呼び名もあります。MandiantがAPT1と呼んでいるグループと同じです。また、2011年に発表された大規模なサイバー攻撃、「Operation Shady RAT」も同じグループによる活動と見られています。

 このグループは長期間にわたって非常に多くの組織に対する攻撃活動を維持しており、かなりのリソースを持ち、組織的な活動をしていると推測されています。過去にはCoca-cola(2009年)、欧州理事会(2011年)、Telvent(2012年)、そして米国の天然ガスパイプライン事業者への攻撃(2012年)などに関わったとされています。

 中には複数のグループが連携して活動していると思われる事例もあり、APTグループの間に何らかの関連があるのかもしれません。ただしこれらのAPTグループの活動については、いずれも推測の域を出ないものであり、本当に人民解放軍が行っているのか、他の国家の関与もあるのか、実態はよく分かっていません。

【関連記事】

Comment Groupのこれまでの活動

http://negi.hatenablog.com/entry/2013/02/20/125231


APT1の技術レベルは高いのか? それとも低いのか?

 さて、今回Mandiantが報告したAPT1(Comment Group)は、数あるAPTのグループの中でどのくらいのレベルに位置付けられるのでしょうか。

 この点について、Mandiant社CSOのRichard Bejtlich氏が、Forbes誌のインタビューに答えています。それによると、「攻撃者のレベルを3段階に分けたとき、今回のAPT1は一番下。高度なハッカーではないけれども、継続的に非常に多くのサイトに侵入するなど、最も活動的で生産的なグループである」と述べています。

 同氏によると、「軍の部隊かもしれないが、いわゆる特殊部隊のエリートではない」とのこと。これだけ多くの活動の証拠を残していることなどを考えると、まあ納得できる評価ではないかと思います。

 しかし、なぜAPT1はこれほど活動の痕跡を残しているのでしょうか。それにはいくつか理由が考えられると思います。

  1. 単純に攻撃者のレベルが低い(痕跡を消す能力がない)。
  2. 痕跡を消す必要性を感じていない。攻撃元として非難されてもしらをきればいいので、コストをかけて高度な攻撃を行う必要がないと考えている。
  3. 非常に高度な技術を持つ他国の攻撃者が、中国からの攻撃を装っている。

 筆者自身は(1)+(2)の説が有力なのではないかと考えています。つまり、あえて痕跡を消す必要がないので、比較的レベルの低い攻撃者に担当させているのではないでしょうか。

APT1で活動するハッカーの姿とは

 APT1レポートでは、APT1の中で活動している3人のハッカーを具体的に特定しています。またレポート公開後に、他のセキュリティ研究者も追加調査を行っています。さらにLos Angeles Timesは、このハッカーのうちの1人が2006年から2009年まで書いていたと見られるブログを見つけ、その内容について報告しています。彼は軍への不満や自分の将来への不安なども書き綴りながら、マルウェアの開発の様子などについて述べているようです。

 またChina Digital Timesは、2004年に61398部隊が学生をリクルートしていたことを示す告知を、中国のある大学のWebサイト内に見つけています。こうしたことから、61398部隊は情報系の大学や大学院を卒業した若者を積極的に雇用して、作戦に従事させていたのではないかと考えられています。

 面白いことに、APT1ハッカーの特定にはAnonymousが重要な役割を演じています。詳細は割愛しますが、Anonymousは2011年にrootkit.comというサイトのアカウント情報を不正に入手し、これをネット上に公開しました。このサイトでは世界中のハッカーやセキュリティ研究者達が情報交換を行っており、複数のAPT1ハッカーもアカウントを登録していたのです。今回のレポートではこのアカウント情報が調査の鍵になっています。

【関連記事】

HBGary事件の顛末

http://d.hatena.ne.jp/ukky3/20110216/1297897765

いまさら聞けないAnonymous(1/3)

http://www.atmarkit.co.jp/fsecurity/special/172anon/01.html


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。