MANDIANT報告書を解説してみる(1)

1.概要

昨今色々なところで報道されていますが、中国のサイバー攻撃が話題になっています。ちょっと気になった、というかぶっちゃけ面白そうだったので元資料を読んでみました。

元ネタになっているのはMANDIANT社が公開した下記資料です。

Exposing One of China’s Cyber Espionage Units
(http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf)

実際この報告書を読んでみると、最初は非常に面白いです。含まれている内容はざっくり言うとこんな感じ。

(1)どうやってMandiant社が問題の部隊にたどり着いたのか
(2)実際の攻撃の手口の分析
(3)攻撃者のプロファイル

記述されている内容も非常に慎重かつ詳細かつ精緻であり、この報告書自体が捏造とか嘘っぱちということは非常に考えにくい印象です。十分に信頼に足る報告書だと私は判断しています。

2.この報告書をどう捉えるか?

まぁ、正直最初は面白がって読んでいただけなのですが、読み進むにつれてぞくっとくる物を感じてしまいました。これは結構やばいんでないかと。単なるしょぼい部隊の産業スパイ大作戦とはちと思えない。大規模すぎるし本気すぎる。

MANDIANT報告書ではそのようなことは一切書かれていないので単純に読んで私が感じた印象のレベルでしかないですが、ひょっとしたら中国は国を挙げて全面的に産業スパイ大作戦を展開し、産業スパイによる国力向上を図っているのではないか?とか思ってしまったわけです。

最近の軍事技術は基盤環境まで含めて高度化しており、中核となる設計書を盗み出したとしてもそれを再現することは難しいと思うです。相手の性能を知ること(もちろんとても重要なことです)は出来るかも知れませんが、同じものを作ることは、それだけでは多分出来ない。

ソフトウェアの世界で言えば、概要設計だけあっても同じ品質のソフトウェアは作れないよね、という話とイコールかと思います。エンジニアへの教育レベルとかテスト手法とかコーディング規約とかプロジェクト運用ルールとか。そこまでそろって初めて組織として高品質を担保できる。そうでないとなんとなくそれっぽく動いている、というレベルまでしか到達できません。

中国の産業スパイ大作戦はこの構図自体をひっくり返すことを狙っているんじゃないかしら?生産のノウハウや品質向上、果ては従業員教育のレベルまで全てのノウハウを不正な手段で獲得し、基盤技術の成長を加速しようとしているじゃないのか?

もしそうだとすると、その攻撃は

「中国軍の支援を受けた強力なクラッカー部隊 vs そこらの一般の企業のシステム管理者」
という構図になります。

あれ・・・これもしかして俺ら普通の量産型エンジニアって知らぬうちに最前線立ってね・・・・?

3.本稿での解説予定

そんなわけでちとびびって来たのでMandiantさんの報告書の解説をして見たいと思いました。何もならんとは思いますが、何もせんでいるのはなんか嫌だし。

内容としてはこんな感じで書いていこうと思っています。

Mandiant報告書解説シリーズ
1.本ページ
2.Mandiant報告書解説
2.1.Exective Summary
2.2.61398部隊(China’s Computer Network Operations Tasking to PLA Unit 61398)
2.3.APT1:これまでの活動(Yeas of Espionage)
2.4.APT1:攻撃手順詳細(Attack Lifecycle)
2.5.APT1:利用ネットワークインフラ(Infrastructure)
2.6.APT1:クラッカー個人プロファイル(Identities)
2.7.結論(Conclusion)

3.サイバー戦争の新しい形?というか正しいサイバー戦争のやり方?
4.どうやって戦うねん?

4.注意事項

(1)私はセキュリティの専門家でも安全保障の専門家でもありません。そこらへんに転がっている量産型エンジニアです。そのため、内容には多くの間違いがあると思います。
(2)さらに言うと英語もあまり得意ではありません。間違って理解しているところも一杯あると思います。
(3)というわけで、出来る限り元ネタを当たって下さい。この文章が元ネタへの誘導になれば十分にその役目は果たしていると思います。
(4)おかしなところを発見したらご指摘頂ければありがたいです。可能な限り修正いたします。