2013年2月、米国へのサイバー攻撃に中国人民解放軍が関与しているとする詳細な報告書「APT1:Exposing One of China's Cyber Espionage Units」が公表され、世界中に衝撃が走った(関連記事1:大規模サイバー攻撃は中国人民解放軍61398部隊が関与、関連記事2:サイバー攻撃は中国軍から)。米司法省は2014年5月、この報告書で言及されていた中国人民解放軍61398部隊の5人を刑事訴追している。この報告書を公表した米マンディアント(現在は米ファイア・アイに買収)の創業者兼元CEO(最高経営責任者)であり、現在はファイア・アイのCOO(最高執行責任者)を務めるケビン・マンディア氏に話を聞いた。
米国へのサイバー攻撃に中国人民解放軍が関与していることをどのようにして特定したのか
マンディアントでは、企業や組織がサイバー攻撃を受けた際に、その被害を最小限に食い止め、復旧作業や事後対策などを支援する、インシデント対応のサービスを提供していた。
そのサービス提供を通じて、7年ほど前から、同一の攻撃元からと思われるサイバー攻撃が増えていることを知った。マンディアントが対応しただけでも141の企業・組織に上ったので、実際にはもっと多くの企業・組織が攻撃を受けていたはずだ。
この攻撃元に関する調査を続けたが、6年間は特定できなかった。そのため、攻撃元を「APT1」と仮に呼んでいた。そして、さらなる調査の結果、APT1は中国人民解放軍61398部隊であることが分かった。
具体的には、攻撃を受けた企業や組織のコンピュータに残された痕跡や、インターネットで公開されている情報など、さまざまな情報を組み合わせることで突き止めた。マンディアントでは、インシデント対応の際に攻撃を受けたコンピュータを詳細に調べる。いわゆるフォレンジックを実施する。これにより、インターネットを流れるデータを監視するだけでは得られない、詳細な情報を入手できた。
