米国Mandiant社が中国の61398部隊をサイバー攻撃の中核と暴露

１．はじめに　

各報道でご存じのことと思いますが、アメリカのコンピューターセキュリティー会社マンディアントの発表によりますと、上海の浦東新区にある「６１３９８部隊」と呼ばれる中国人民解放軍の部隊が２００６年以降、全世界で少なくとも１４１の機関や企業を標的に数百テラバイトのデータを組織的に盗み出したということです。

「サイバー攻撃 米会社「中国軍関与の疑い」（2013年2月20日 19時32分 NHK)

　このＮＨＫの報道では「サイバー攻撃を行ったのは、「ＡＰＴ１」と呼ばれるグループです。」としていますが、「ＡＰＴ１」はマンディアント社が名付けた名前であり、“Advanced Persistent Threat”の略称であり、日本語にしますと先進持続性脅威とでも言うべきでしょうか。

そしてこれがマンディアント社のこの問題に関するレポートです。

“APT1 Exposing One of China’s Cyber Espionage Units” (　「APT1 中国のサイバー工作部隊を暴露」 PDF 全76頁)

２．APT1の概要

　このレポートにはAPT1に関しまして詳述されていますので、その一部を下記に抜粋し翻訳します。

-------------------------------------------------------------------
We refer to this group as “APT1” and it is one of more than 20 APT groups with origins in China.

このグループをAPT1と呼称し、中国発祥の20以上のAPTグループの一つである。

Our analysis has led us to conclude that APT1 is likely government-sponsored and one of the most persistent of China’s cyber threat actors. We believe that APT1 is able to wage such a long-running and extensive cyber espionage campaign in large part because it receives direct government support. In seeking to identify the organization behind this activity, our research found that People’s Liberation Army (PLA’s) Unit 61398 is similar to APT1 in its mission, capabilities, and resources. PLA Unit 61398 is also located in precisely the same area from which APT1 activity appears to originate.
我々の分析はAPT1が国家運営であり、中国のサイバー脅威行為者の中で最も持続性のある模様であると我々に結論付けさせた。直接的な政府支援を主な要因としてAPT1は長期間で広範囲のサイバー工作作戦を実施することを可能としていると我々は確信する。この活動の裏にある組織の正体を追及する過程で、我々の研究は人民解放軍の61398部隊はAPT1に任務、能力、資源が類似していることを発見した。人民解放軍の61398部隊はAPT1の活動が発祥している地域と完全に同じ場所にある。

Unit 61398 is partially situated on Datong Road (大同路) in Gaoqiaozhen (高桥镇), which is located in the Pudong New Area (浦东新区) of Shanghai (上海). The central building in this compound is a 130,663 square foot facility that is 12 stories high and was built in early 2007.
61398は上海の浦东新区の高桥镇の大同路に部分的に基地がある。この施設の中央ビルは130,663平方フィートの建造物で12階建てで2007年初期に建設された。

We estimate that Unit 61398 is staffed by hundreds, and perhaps thousands of people based on the size of Unit 61398’s physical infrastructure.
61398の構造物の規模から61398部隊が数百人、恐らく数千人により運営されていると我々は推測する。

(引用及び翻訳終了）
-------------------------------------------------------------------

　このレポートの後半にはハッカーの本名特定まで至ったものもあり（第53頁～、“UglyGorilla”とのコードネームの人物の本名がJackWangであると思われる）全般的に非常に興味深いものです。必読と言えるでしょう。

（下の画像二つはマンディアント社のレポートより61398部隊の位置関係と中央ビル及び被害を受けた国、クリックで画像拡大）

３．61398部隊の手口

　レポートによりますと基本的にはなりすましメールによる標的型攻撃です。

(下の画像はマンディアント社のレポートよりAPT1からマンディアント社の従業員に送られたメールの内容、メールの送信者は一見マンディアント社のＣＥＯであるKevin Mandia氏に見えるが、ドメインを見るとフリーメールであり、Kevin Mandia氏からではない。リンクをクリックするとマルウエアに感染する）

（中にはマルウエアのアイコンをＰＤＦファイルに変えた例もあるとのこと、下の画像はマンディアント社のレポートより）

この動画はマンディアント社の公式アカウントによりYouTubeに投稿されたAPT1の実際の犯行の様子。

４．中国側の否定とその否定の信憑性

中国側はこの問題に関して反論をしています。

「サイバー攻撃 中国国防省が反論」（2013年2月20日 18時14分）
中国国防省の耿雁生報道官「中国軍が、インターネットでスパイ活動をしているという根拠はない」（20日）
中国外務省の洪磊報道官「推測に基づいて根拠のない非難をするのは無責任な行為で、問題の解決に全くつながらない」、「中国もサイバー攻撃の被害者だ」（２０日の定例記者会見）

　しかし私はこれらの中国側の反論に対して疑いを持っています。それは以前に中国軍がサイバー攻撃を実施していると思われる映像を中国のテレビ番組が誤って報道する事件があり、話題になったことがあるからです。それは2011年8月25日 (木)の記事「中国軍がサイバー攻撃を実行中の映像を中国が誤ってテレビ番組で放送か」でも紹介させて頂きました。

（下の二つが問題の画像。「法輪功」や「攻撃」等に見える単語が識別出来る 画像はYouTubeに投稿された問題のTV番組より 問題の場面は動画の40秒前後より クリックで画像拡大)

５．さいごに

　実際問題として可能な対策は非常に限られていると思われます。個人レベルとしましては不審なメールは無視することですが、実際問題として上司や顧客の名前を騙って届くメールを無視できるでしょうか。わざわざメールアドレスが正しいものであるか確認するでしょうか。

　マンディアント社は61398部隊が手口を変える虞があるにも拘らず今回のレポートを発表した意図は、中国が関与しているとの問題を提起することと、一時的に彼等の作戦コストを増やし、彼等の作業の進展を有意義に妨げることであったとしています（リポート第6頁）。

　少なくとも今回のレポートが一石を投じることには成功した模様です。

「米、産業スパイ対策強化へ＝中国念頭に外交圧力」（2013年2月21日(木)9時17分配信 時事通信)

　日本もサイバー戦への備えを急ぐべきと言えるでしょう。