米セキュリティ企業のマンディアントが2013年2月18日に公開した、米国などに対するサイバー攻撃の調査報告書が注目を集めている。数多くの“証拠”を示し、攻撃の実行部隊が事実上、中国人民解放軍だと指摘したからだ(図)。国家対国家のサイバー攻撃を巡り、米国政府が中国の非難を強めたことも情報公開の背景にありそうだ。
マンディアントが明らかにしたのは、世界に20程度いるとされる攻撃者のうち、最も執拗な手段を使う集団だ。「APT1」と命名し2006年から追跡。今回の報告書は2011年1月~ 13年1月の攻撃を解析し、141機関への攻撃で使われたIPアドレス832個と、その際に遠隔操作された1905台のPCを特定した。
APT1は、その攻撃の手口から「Comment Crew」、活動拠点から「上海グループ」とも呼ばれる。他の専門家らも解析結果の一部を公表して警告していたが、「追跡情報を増やし、範囲を狭めた点は評価できる」(他のセキュリティベンダー)。
マンディアントがこの時期に踏み込んだ報告書を出した事情も憶測を呼んでいる。米国ではフェイスブックやアップルなどIT企業のほか、マンディアントの顧客であるニューヨークタイムズなどメディア企業への攻撃が激化。バラク・オバマ大統領が一般教書演説で、サイバー攻撃対策を強化する政策を表明した。専門家の持つ情報の一部を公表し、攻撃者を揺さぶる意図が見え隠れする。
APT1が主に用いる手法は標的型メール攻撃で、トロイの木馬型のマルウエアをPCに感染させる。遠隔操作の大半は「HTRAN」と呼ぶ通信ツールを使い、「ホップポイント」と呼ぶ米国内で踏み台となるサーバーを利用する。
詳細は不明だが、マンディアントは通信事業者などの協力も得ながら、ホップポイントの通信元をたどり中国からの発信元を突き止めたようだ。使われたアドレスの割り当ては、人民解放軍の拠点がある上海市の浦東新区に集中していた。
マンディアントはよく使われるホップポイントのドメイン名や攻撃者が使ったIPアドレス、マルウエアのハッシュ値、実際に遠隔操作されたPC画面を録画した動画など、企業のサイバー防衛に役立つ情報も公開している。こうした関心の高まりを受け、米シマンテックも上海の攻撃集団についての最新情報を追加するなど、「敵」の情報を共有する動きが広がっている。
