Mandiant報告書(3)-61398部隊について-

1.概要

あまり時間が取れないため非常に記事を書くのが遅く、もはや旬の話題ですらない気がしますが、めげずに進めます。

次の章では「China’s Computer Network Operations Tasking to PLA Unit 61398」として、61398部隊にクラッキング任務が与えられている事の状況証拠を記述しています。

2.人民解放軍の組織構成および61398部隊の位置づけ

まず、攻撃の元となっていると目されている61398部隊の人民解放軍内の位置づけについて記述されています。

色々言葉で説明するより図を見たほうが早いと思うので、報告書内の図を私のほうで簡単に書き直した絵を下記に示します。

人民解放軍内における61398部隊の地位。Mandiant報告書内画像から作成

人民解放軍内における61398部隊の地位。Mandiant報告書内画像から作成

指揮命令系統としては中央軍事委員会/参謀部/第三部/第二局(61398部隊)という形になっているようです。結構上位ですね。

参謀部第三部はSIGINT/CNO担当となっており、61398部隊はその中のCNO(Computer Network Operation)による諜報活動を担当していると思われます。

※元画像は中国語と英語になっています。中国語部分を対応する日本語に私のほうで置き換えています。本ブログ全体がそうなんですが、誤りがあれば是非ご指摘いただければと思います。
※また、この辺りの情報はMandiant独自調査ではなく、他の調査からの引用です。

3.61398部隊の任務と能力の推論

この章では61398部隊の活動の痕跡をGoogleの情報から拾い上げ、61398部隊の輪郭
を描き出して行きます。

3.1 61398部隊の能力の推論

  • 61398部隊はの情報は中国政府のサイトを検索しても出てこない
  • しかし、いくつかの情報が残っており、61398部隊の技術が垣間見える
  • 61398部隊がソースとして引用されている論文をあげると下記のようなものがある。

(1)データ隠蔽技術(Covert Communications)
“An information hiding method of Word 2007 based on image covering”
(2)英語学(English Linguistics)
※ここは論部ではありませんが、英語学者としての訓練を61398部隊で受けた人の手記があったようです
(3)OS内部技術(Operating System Internals)
“The Implementation of Overlay File System in Embedded Linux”
(4)デジタル信号処理(Digital Signal Processing
“ADC’s Performance and Selection Method of Sampling Number of Bits,”
(5)ネットワークセキュリティ(Network Security)
“Quantization Evaluation Algorithm for Attack Graph Based on Node Score”

タイトルをみれば、ハードウェアレベルから高度な最新のセキュリティに至るまでの技術
を61398部隊が研究していることはわかると思います。

3.2 61398部隊の人材募集

61398部隊が大学に出している人材募集情報があったようです。そこでは高度なコンピューター技術力と英語力を求めていたようです。ここからも61398部隊がどのような人材を求めているかが垣間見れます。

3.3 613998部隊の規模と所在地

  • 公開されている資料から61398部隊の規模は数百~数千名と思われる
  • 2007年 61398部隊用のビルを江苏龙海建工集团有限公司が立てている。
  • そのビルは「61398部队中心大楼」と呼ばれ12階建てである
  • 所在地は「上海市浦东新区高桥镇大同路208号
  • このビルは2000人近い人数を格納できる
  • そして、このビルは61398部隊が持ついくつかのビルの一つでしかない

ここで面白かったのが61398部隊の位置がGoogle Earchとかで参照できることですね。なんかすごい時代になったものです。中国の諜報機関の所在地がネットで検索できる情報から暴露され、その写真が現地に行かなくても見えるとは。

61398部隊の根拠地と思われるビル

また、61398部隊はさらにサポート部隊も近くに持っているようです。

  • 輸送部隊
  • 外来診療所
  • 幼稚園
  • ゲストハウス

これらのサポートは通常は巨大ないし高位の部隊に与えられるものであり、61398部隊が人民解放軍の中でも重要な部隊であることの証左となる。

3.4 61398部隊と中国電信との関係

  • ・Mandiantは中国電信の内部文書をオンラインで発見した
  • ・その文書によると61398部隊から光ファイバーの提供要請を受けており、
  • ・「国防の重要性に基づき」光ファイバーケーブルを安い価格で提供している
Mandiant報告書内の画像を転載。中国電信の61398部隊への光ファイバー提供のメモ

Mandiant報告書内の画像を転載。中国電信の61398部隊への光ファイバー提供のメモ

よくもまぁ、こんなメモが落ちていたなと感心しきり。今は提供元のURLはドメインごと
なくなっているようです。

4.結論

  • 61398部隊は数百~数千の従業員がいる
  • コンピュータセキュリティとネットワークの専門家を求めている
  • 英語に堪能な人材を求めている
  • 巨大なインフラを上海の”Pudong New Area”に持っている
  • 国有企業である中国電信から特殊な光ファイバーを国防の名目で提供されている

これだけではまだ、61398部隊が巨大なコンピュータ関係部隊であり、英語情報の収集と時刻ネットワークを守る研究をしている部隊であり、クラッキング部隊とまでは言えません。ここから先の章ではAPT攻撃の発信元を追跡するとこのビルにたどりつくことが記述されます。

 

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中