( 2013.02.27 )

  

 マンディアント( MANDIANT )という米国のセキュリティ関連企業が米国時間2013年2月19日に公開した報告書が話題になっている。 同報告書は、米国企業や団体に対して繰り返し行われているサイバー攻撃やサイバーインテリジェンス( 以下サイバー攻撃 )は 「 APT1 」 や 「 Comment Crew 」 と呼ばれるハッカーグループが行っていると報告。 さらに、 「 APT1 」 が、中国人民解放軍61398部隊の本部が所在する上海のビルを拠点に活動していることを指摘した。




 中国のハッカーグループが中国人民解放軍の指揮の下で米国や日本に対してサイバー攻撃を行っているとの観測に目新しさはない。 米国インテリジェンス機関が過去から指摘していた内容だ。 唯一、目を引くのは、中国人民解放軍の諜報組織として総参謀部第3部第2局( 第61398部隊 )の存在を指摘した点にある。 人民解放軍が有するサイバー攻撃の拠点は従来、海南島に拠点を置く陸水信号部隊が単一組織としては最大の組織( 1100人規模 )とされていた。 第61398部隊の規模はこれに匹敵する。

 メディアは、マンディアント社のレポートが 「 APT1=第61398部隊 」 すなわち中国人民解放軍と断定しているかのように報道している。 だが、同レポートはその結論で 「 残念ながら一つの可能性に過ぎないことを認めざるを得ない 」 としている。 人民解放軍の関与を証明する決定的で客観的な証拠を示していないからだ。 かねてから、この種の調査結果には、こうした重大な欠陥がつきまとう。 今回の報告書も同様の欠陥を抱えている。 この点を、改めて認識しておく必要がある。

 第61398部隊の規模を数百人から千人規模としているのも、ビルの大きさから推測した、と示しているだけだ。 おそらくグーグルアースの衛星写真を基に推測したのだろう。 この域を出ないのではないかと思われる。

 同報告書はこのほか、マルウェアに残されたハッシュシ値やIPアドレスを、 「 APT1=第61398部隊 」 とする証拠として示している。 中でも興味を覚えたのは、APT1が中国の外に築いた攻撃拠点となるサーバーにアクセスする際に使用したマイクロソフトのリモートデスクトップPCの発信元の98%が中国国内からのものだったとする点だ。 これに加えて、リモートデスクトップPCで使用されているキーボードの97%が中国語のキーボードに設定されていたことを、根拠として挙げている。

 これらを状況証拠とすれば極めてクロに近いと判断できる。 しかし、中国政府の報道官の反論 ―― IPアドレスを根拠とした推測だけの批判は的を射ていない ── に十分対抗できる証拠とは言えないだろう。 日本国内でもPCの遠隔操作事件が話題になっている中で攻撃元のPCのIPアドレスを技術的に偽装する手段がある以上、決定的な証拠にはならない。 何が確認できれば確実な証拠になるのか、という課題は深刻だ。

 中国人民解放軍が、 (1)中国のドメインと明らかにわかるIPアドレスを持つ、 (2)中国語OSを搭載したパソコンから米国を攻撃する、という構図も単純すぎて疑念がわく。 ロシア担当の米国インテリジェンス関係者による次の指摘も想定内に置いておく必要があるだろう ―― ロシア政府によるサイバー攻撃は中国よりもさらに高度でより深く潜行しており注意が必要。


調

 マンディアント社がこのタイミングで報告書を公表した背景には、財政の崖の問題がある。 今週から米議会で、連邦予算の一律10%の強制削減が議論される。 マンディアント社は、政府と示し合わせて、サイバー防衛予算の削減を阻止する試みを行ったと考えられる。 同社は、政府予算の行方に大きく影響を受ける会社だ。

 事実、マンディアント社が報告書を公表した翌2月30日に、エリック・ホルダー( Eric Holder )司法長官が、サイバー攻撃を含む産業スパイ対策の強化策に関する報告書を発表した。 同長官は、記者会見で 「 加害者には個人や企業、国家さえも含まれている 」 と語った。 中国を名指しこそしなかったが、前日のマンディアント社の報告書が多数のメディアで取り上げられている以上、中国への対策強化を目的としていると米国民は理解するはずだ。 マンディアント社を利用して中国を名指ししたとも言える。




 サイバー攻撃やサイバーインテリジェンスの総称としてサイバー攻撃という表現を採用した。 ただし、マンディアント社の報告書は、 「 中国人民解放軍によるコンピュータ・ネットワーク・オペレーション( OCN ) 」 と表現している。 OCNとは米国をはじめとする西側陣営のサイバー軍がサイバー戦争を戦う上での軍事作戦を示す軍事用語である。

 OCNは、コンピュータ・ネットワーク・エクスプロイテーション( CNE )とコンピュータ・ネットワーク・ディフェンス( CND )、コンピュータ・ネットワーク・アタック( CNA )の3つの作戦行動で構成される。 「 OCN 」 と表現するということは、既に戦闘状態にあることを意味している。

 この3つの作戦行動の中で最も重要な作戦行動は言うまでもなくエクスプロイテーションである。 エクスプロイテーションは 「 弱点探査活動 」 のこと。 もともとハッカーが使用していた用語を軍が採用したと言われている。 具体的には、標的となる組織や人が持つネットワークの構成やどのような弱点が存在するのか、どのサーバーを攻撃すればどのような事態に陥るのかを事前に探査することをいう。 サイバー戦争の勝敗を決する最重要の作戦行動である。

 中国人民解放軍がサイバー分野に注力するようになったのは、このCNEを繰り返し行ううちに国家機密や先進国の知的財産がいともたやすく、しかもコストをかけることなく入手できることに気付いたからだとされている。 この点を重視し、中国の行動は本来のCNEの目的から逸脱し、GDP( 国内総生産 )攻撃( GDP Attack )に至っていると指摘する専門家もいる。<BR> <BR>  そう指摘するのは米国のシンクタンクの1つ、サイバー・コンセクエンス・ユニット( The U.S. Cyber Consequences Unit )のCEOスコット・ボーグ( Scott Borg )氏だ。 この団体はサイバー攻撃がもたらす経済への影響を研究している。 ボーグ氏は次のように指摘する。 「 知的財産の盗取はもちろんこと、交通管制システムや化学プラント、発電設備や製造設備、金融システムなどがサイバー攻撃によって何らかの被害を受けたとする。 それらは一時的な被害としていずれは復旧する。 だが、こうした攻撃が繰り返し行われればその国の国内総生産は確実に減衰する。 GDPの減衰はまさに国力や軍事力の衰退につながる 」。

 同氏はこう忠告してくれた ―― 相対的に優位な立場に立って属国化を図る100年単位の非常に長期的な戦術であることに気付く必要がある。 サイバー攻撃が威嚇や武力攻撃を補強するだけの手段ではないという意味において、マンディアント社の報告書はわが国への警鐘でもあると認識する必要がある。




 さて今回マンディアント社が公表したAPT1の手口は、フィッシングメールを端緒とした既によく知られた手口だ。 標的とする組織の従業員にメールを送信し、添付ファイルを開かせることでウイルスに感染させる。 「 バックドア 」 と呼ばれる外部からのアクセスを可能とするプログラムを送り込んで遠隔操作を可能とする。 例示されている、あるフィッシングメールは、従業員の福利厚生に関する変更通知。 ファイルもPDFファイルを偽装したもので、つい開封してしまいそうになる。

 従来にも増して事態が深刻化しているのは、攻撃者の英語能力が飛躍的に向上している点だ。 メールにある文章は、その真贋を判定する拠り所の1つとされてきた。 従来の文章は稚拙で明らかに外国人のものと思わせるものだったが、今回、確認されたフィッシングメールの文章はネイティブが書いたものとそん色ないものに進化を遂げている。 より巧妙なものになったと言える。

 攻撃者の外国語能力が向上すれば、いずれ、標的とする国の言語仕様の攻撃ツールを使用するようになるだろう。 マンディアント社が指摘する状況証拠の1つ ―― 中国語OSを搭載したパソコンを使用 ―― が瓦解する日は遠くないはずだ。

 この点は日本への攻撃も同様だ。 内部の情報に通じたうえで、自然な日本語で作文する傾向がより強くなっている。 このことを、企業は知っておく必要があるだろう。