中国関連の「標的型攻撃」が増加、MITRE ATT&CKで見る攻撃手法
標的型攻撃の情報は「MITRE ATT&CK」が詳しく、これは様々な攻撃者が用いているTactics(戦術)とTechniques(技術)に関する知見をまとめたものです。国家による攻撃は、MITRE ATT&CKによるフレームワークで理解を深められます。
たとえば、MITRE ATT&CKには、ある程度特定されている攻撃グループがリスト化されており、筆者が2024年6月に確認したところ152のグループがあげられていました。もちろん、すべてのグループが記載されているわけではなく、同一の背景を持った複数の関連グループがあったり、別名で活動するグループもあったりするため、純粋なグループ数はもっと少ないでしょう。
では、152ある攻撃グループのうち、中国関連のものはどれくらいあるのか。機械的に数えただけでも40グループほどありました。イランが15グループ、ロシアが12グループ、北朝鮮が5グループのため、いかに中国関連の攻撃が活発なのかがわかると思います。
中国関連の攻撃について、MITRE ATT&CKのTacticsに沿って最近の活動に限定して見てみると、偵察やリソース開発などの下準備はありますが、実際の脅威につながる活動は「Initial Access(初期侵入)」からと言えるでしょう。方法は様々ですが、中国関連の攻撃では、Microsoft WordやPowerpint、ExcelなどのMicrosoft Office製品、一太郎などの脆弱性などが悪用される傾向にあります。メールの添付ファイルとして不正ファイルが配布され、ユーザーが“おとり”であるドキュメントファイルを開いてしまうと、その裏で脆弱性を突かれるといった「フィッシング攻撃(MITRE:T1566)」のような、バックドアに感染するタイプがよく見られました。
たとえば、日本や台湾、アメリカを標的にしていた中国関連の攻撃グループ「BlackTech」では、Microsoft Office製品の脆弱性が悪用されていました。APT41(Winnti)も同様の手口を使っています。なお、筆者は中国からの初期侵入に使われた脅威を何度か解析したことがありますが、日本への攻撃だけでなく台湾でも同様のフィッシング攻撃が見受けられました。“おとりファイル”も、以前ならSimSunという中国のフォントが使われたり、文書も拙かったりするものも少なくありませんでしたが、徐々に巧妙化しています。よく使われるバックドアについても、検知回避のための方法を熱心に研究しているなという感想をもったものです。
CISA(Cybersecurity and Infrastructure Security Agency)の情報[1]によると、最近ではネットワークデバイスの脆弱性(MITRE:「T1190:Exploit Public-Facing Application」「T1133:External Remote Services」)が悪用されているようです。
たとえば、「Volt Typhoon」では、FortinetにおけるVPNの脆弱性(CVE-2022-42475)を悪用することで、SOHOのデバイスへと侵入。「KV bot」というボット型マルウェアをルーターなどに感染させており、HTTPやSSHの設定画面を外部操作できるようにしていました。先述したBlackTechも初期侵入の際、同様にネットワークデバイスの脆弱性を悪用しています。中国関連のHAFNIUMというグループでは、Microsoft Exchange Serverが抱えていた4つのゼロデイ脆弱性を悪用していました。
また、初期侵入の後はバックドア型のマルウェア感染(Execution)により、侵入の足掛かりを作ることもあります。このとき利用されるバックドアには、攻撃者特有のものが多いでしょう。
先述したBlackTechは、「PLEAD」というバックドアを使っていました。また、昔からある「Bifrost」の亜種である「KIVARS」というバックドアも利用されています。HAFNIUMでは、「China Chopper」と呼ばれるWeb Shellタイプのバックドアが使われました。さらに、APT31(ZIRCONIUM)では、1,000通もの大量の不正メールを標的に送りつけ、IPアドレスや位置情報、デバイス情報などを窃取しています。
[画像クリックで拡大]
初期侵入してバックドアなどに感染させた後は、いかに情報を盗むか(Exfiltration)がポイントになります。このとき、なるべく多くのコンピューターやファイルサーバーに侵入し、機密ファイルなどを攻撃者に送ることが必要です。そのために実施するのが「アクセス権の取得(Credential Access)」や「権限昇格(Privilege Escalation)」であり、十分なアクセス権限を取得した上で、他のコンピューターに横展開(Lateral Movement)するのです。ここでも様々な手法やツールが使われるため、MITRE ATT&CKの情報を参照してください。
[画像クリックで拡大]
中国関連の攻撃グループによる標的型攻撃の被害は広がっています。たとえば、HAFNIUMは、先述したようにMicrosoft Exchange Serverの脆弱性を悪用して数万台のサーバーに侵入することで、アメリカやイギリスの防衛産業を含む企業から知的財産を窃取しました。このときは、世界中で約3万の組織に影響があったと言われており、米国や日本、オーストラリア、NATOは共同で中国を非難する共同声明を出しています。その後、米司法省は4人の中国人を提訴しました。
また、先述したATP31(ZIRCONIUM)は武漢にある中国国家安全省のサイバー部隊ですが、欧米諸国は同グループによる脅威に晒されています。2017年から活動していると言われており、特にジャーナリストや政府・関連企業などが狙われています。2020年のアメリカ大統領選挙への介入、イギリスの国会議員、選挙管理委員会などへと攻撃していましたが、2024年3月に米司法省によって武漢にいる7人のメンバーが提訴されました。なお、中国関連グループでは、金銭目的の攻撃も実施しています。
APT41(Winnti)は、欧米や日本、アジア諸国にある企業の知的財産を窃取した他に、オンラインゲーム内の通貨やアイテムを狙ったり、仮想通貨取引所を標的にしたりと金銭目的の攻撃が見られました。なお、2020年に米司法省は、APT41グループにおける5人の中国人を特定しています。
