中国の攻撃手法が高度化、秘匿性の高い攻撃にシフト
本会見で紹介された『2024年版サイバー脅威の実態レポート』では、ランサムウェアやAI技術とサイバー攻撃の関係など、8つの観点から調査結果がまとめられている。今回は、その中から特に日本に影響を及ぼすとされるホットトピックが数点取り上げられた。まず、攻撃者グループや攻撃手法の変化に焦点を当てた調査結果を玉田氏が紹介。その中でも、中国の国家支援グループが、特定の組織に向けて行う攻撃の変化について説明された。
中国は2010年代前半、大手製造業などに目立った手法を用いて攻撃を行っていた。「このような、攻撃者の身元が明らかになることを厭わず情報を窃取する手法を続けた結果、中国には複数の不都合が生じた」と玉田氏は説明する。
こうした攻撃に対し、たとえば法執行機関による訴追や、パブリックアトリビューションが行われた。それ以外にも、セキュリティベンダーによる攻撃活動の周知と検知対応、欧米諸国による中国系企業や製品などに対する締め出しが行われ、攻撃が難しくなっていったのだという。
「そのような事態を受け、現在中国の組織はステルス性の高い攻撃にシフトしている」と玉田氏。では、具体的にはどのような攻撃が確認されているのか。同氏は、以下4つの手法を紹介した。
- 秘匿性を重視したネットワークインフラと通信:AzureやAWSをはじめとした、正規クラウドサービスなどでホスティングし通信を行う。また、ドメインフロンティングやトネリング技術などを利用し、最終的な接続先を確認できないようにする方法が取られている
- フリーツール・商用ツールの利用:以前は独自開発したマルウェアを使用していたが、現在は他の攻撃者も用いるツールも用いられてる。これにより、匿名性が高められている
- セキュリティ製品の検知回避:環境寄生型の攻撃やDLLサイドローディング、サプライチェーンの悪用などで、正規業務に攻撃活動を紛れ込ませる方法や、攻撃ファイルを確認しづらくさせる
- セキュリティ製品の無効化やログの削除などによる証拠隠滅:EDRのサービスを停止させ、ログを削除する
攻撃手法だけでなく、攻撃組織にも大きな変化が生じた。2024年、中国では人民解放軍(PLA)の軍事再編が実施された。サイバー戦、電子戦、宇宙空間の作戦を含む情報戦を統括すべく2015年に発足された戦略支援部隊(SSF)が廃止され、以下の3部隊に引き継がれたという。
- 軍事宇宙部隊(軍事航天部隊)
- サイバー空間部隊(網絡空間部隊)
- 情報支援部隊(信息支援部隊)※新設
また、もう1つの変化として玉田氏は「戦区の変化」を挙げる。PLAでは、国内の地域ごとに分割し監視を行っている。下図は2015年に分割改変が起こったときのものだ。「中国では、軍事再編を行うタイミングで分割区域も変化する傾向がある。現状は新たな動きが確認されていないが、今後変化する可能性が十分にある」と語った。
なお、サイバー領域における軍事グループも、戦区と紐づいていることがわかっている。そのため、分割された地域ごとに検知ルールを定めていたセキュリティベンダーは、そのルールを変えていく必要が出てくるとした。
続けて玉田氏は、近年の中国における特徴的な諜報活動の事例として、マルウェア「Hemigate」を用いた手法を紹介。2023年初頭から活動が確認されており、経済政策に深く関連する国の政府やテクノロジー業界などが標的になっているという。
たとえば、巨大経済圏構想である「一帯一路」の関連諸国である台湾、フィリピン、マレーシア、南アフリカや、中国の経済競争国にあたるドイツ、アメリカなどが標的にされているとのことだ。
攻撃の特徴としては、先にも挙げられていたステルス工作による検知回避が挙げられると同氏。高機能マルウェアであるHemigateを独自開発し活用することで、情報窃取や遠隔操作などを可能にしているという。
