Mandiant報告書(2) -Executive Summary-

1.概要

さて、それではMandiant報告書の解説を始めてみたいと思います。まず、最初にあるのはExecutive Summaryです。ここを読めばこの報告書で書かれていることが概要が概ね把握できるようになっています。

61398部隊との関係や、実際に盗み出している情報の種類、攻撃対象が中国の戦略的新興産業であることの指摘など、この時点で背筋がぞくっと来るものがあります。中国という国が一般企業の技術を狙って戦略的に動いているようにしか見えないです。

2.用語解説

内容にはいる前に、まずいくつか用語の解説を入れます。

2.1 APT(Advanced Persistent Threat)

色々な定義がありますが、こちらのリンクにある定義が一番適切かと思います。

http://www.lac.co.jp/security/blog/2011/03/lac2011-vol05.html

要するに不特定多数へ適当に攻撃を仕掛けていくつか成功すればラッキーといういたずら的な攻撃ではなく、明確にターゲットをしぼり、そのターゲットに向けてソーシャルエンジニアリングから最新の脆弱性利用まで含めた複数の攻撃をしぶとく仕掛けていくタイプです。

APTのポイントは「明確にターゲットが絞られていること」にあると考えます。その情報を取りに行きたい人たちがしぶとく攻撃を仕掛ける。これは今までのいわゆるネット上の個人が面白半分で攻撃しているのとは明確に異なります。

2.2 MUCD(Military Unit Cover Designator)

中国人民解放軍が部隊の識別子として与えている5桁の数字です。


正式名称:第14軍団/第3師団/第125連隊/第1大隊
MUCD :81356

MUCDは非公式な略称にとどまらず、公的な出版物やInternet上でも用いられるものだそうです。

3.Executive Summary

ここではもともと要約であるExective Summaryをさらに要約するという暴挙に出ます。詳細は元資料を参照してください。

  1. Mandiantは民間企業だが2004年から7年間に渡り数百の企業のセキュリティ侵害の調査を実施してきた
  2. APT攻撃している中国発のグループは20程度存在するが、このレポートでは最も活動量が多いグループに焦点を当てる。そのグループをAPT1と呼ぶ。
  3. APT1は中国人民解放軍参謀部第三部第二局(61398部隊)そのものであると思われる。

4.:Key Findings

上記結論の根拠となったポイントをいくつか記述しています。

4.1. 61398部隊とAPT1の関係

  • APT1の攻撃は上海の4つの巨大ネットワークから発信されている。そのうち二つは61398部隊の根拠地に存在している。 ・61398部隊は数百から数千の人数が関与している
  • 61398部隊の根拠地に中国電信は光ファイバーを直結している

4.2. APT1が盗み出すデータ

  1. APT1は少なくとも141の企業から数百テラバイトの情報を組織的に盗み出している。
  2. APT1は一旦アクセスルーツを確立すると、数ヶ月から数年にわたりアクセスを続けさまざまな情報を盗み出して行く
  3. 盗み出して行く情報はこんなもの。
  • 技術情報
  • 製造工程
  • テスト結果
  • ビジネス計画
  • 製品価格
  • 被害者企業幹部のメールとコンタクトリスト

4.3. APT1の攻撃対象

  1. 英語圏の幅広い業種に対して攻撃をかけてくる
  2. 141のAPT1のターゲットのうち87%が英語圏
  3. APT1の攻撃対象業種は中国が戦略的新興産業と位置づけた業種と合致する。

4.4. APT1のインフラ規模

  1. APT1は数千のシステムを攻撃用に利用している
  2. 直近2年で特定した攻撃サーバ(C2サーバ)は13ヶ国にわたり存在している。
  3. 849のC2サーバのうち709は中国にあり、その次にアメリカに109が存在している。
  4. 直近3年でAPT1は988のドメインを利用している
  5. 二年間にわたる調査で、APT1が攻撃サーバに832の異なるIPアドレスからリモートデスクトップ接続で接続している

4.5. APT1の攻撃発信源

  1. Mandiantが観測した1905の攻撃の97%で、攻撃者は上海のIPアドレスから接続し、簡体字を利用していた
  2. 767の設置されたバックドアは614の異なるIPアドレスに接続していた。
  3. 614のアドレスは全て中国に登録されていた
  4. そのうち613が4つの上海のネットワークのうちのどれかに属していた

4.6. APT1のグループの規模

  1. APT1のインフラの規模は数十人、おそらくは数百人規模の人間のオペレータがいることを意味している
  2. APT1の規模は少なくとも1000台のサーバーを保持している
  3. APT1はこれだけの規模の攻撃を行うために、下記のようなサポートが必要である。
    • 翻訳者
    • オープンソース調査者
    • マルウェア開発者
    • 攻撃対象の各業界に対する精通者
    • 盗み出した情報を整理し、情報要求者に渡す人
    • システム全体を管理するシステム管理者

4.7. APT1ペルソナ

※personaという言葉を利用しています。攻撃者その人、というより、その名前を使っている人たちがおり、一人かもしれないし、複数人かも知れない。

  1. Mandiantは3人のAPT1のペルソナを特定した。

4.7.1. UglyGollira

  • APT1が利用しているドメインを2004年から登録している。

4.7.2. DOTA

  • APT1が利用しているメールアドレスを数ダース登録している。
  • 上海の携帯電話を持っている。
  • UglyGorillaとDOTAはAPT1の同じインフラを利用している。

4.7.3. SuperHard

  • APT1が利用しているマルウェアの作者
  • “SuperHard”は61398部隊の根拠地である”Pudong New Area in Shanghai”にいることが判明している

4.8. Mandiantの対応

  1. 3000近いAPT1を識別する識別子(ドメイン名/IPアドレス/マルウェアMD5チェックサム)を提供している
  2. MandiantのEnterprizeレベルの製品を使っている会社はこれらのAPT1を利用可能
  3. そのほかにフリーのホスト単位調査ツール”Redline”を提供している

5.結論

  1. これらの証拠からAPT1は61398部隊であると結論する。
  2. 下記のような可能性はまだ存在するが、非常に可能性としては低い
    • 極秘で潤沢なリソースを持った中国人集団であり
    • 複数年にわたり構築された上海の通信環境に直接アクセス可能であり
    • 61398部隊の根拠地のすぐ近くにあり
    • 61398部隊とよく似たミッションを遂行している集団がほかにいる

6.なぜAPT1を公表するに至ったか?

  1. 61398部隊の情報を公表する決断はつらい決断であった
  2. 中国からの攻撃の実態を知らせることで、セキュリティのプロフェッショナルが攻撃に対し効果的に備えることができるようになる。
  3. しかし逆に公表すれば、このレポートで記述されている攻撃手法はまだ知られていない別のものに置き換えられて行くだろう
  4. 我々は彼らをトレースするのに苦労することになる。
  5. 公表した3000のシグネチャーもすぐに無効化されるだろう
  6. 我々はこのレポート自体がもつリスクにも気がついている。
  7. 中国はわれわれに対して激しい非難と報復をしてくることを予期している
広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中