韓国への大規模サイバーテロ事件について(3)

なんか沈静化してきた印象がありますが、まだ非正規Windows説が微妙に生き残っている感じがしますね。

元ネタ

最初の報告で「誤解ないしデマ(の可能性が高いもの」として紹介したものですが、どうも問題となった中国のIPアドレスがmsn.comのドメイン名を使用しているようで、それが根拠となっているようです。

追加でこの辺りを少し追ってみました。

1.問題のIPアドレス

最初に中国国内のIPアドレスと報じられ、その後内部のプライベートアドレス空間だったと報道された問題のIPアドレスいは”101.106.25.105″です。

このIPアドレスで素直にぐぐって情報を軽く漁って見ましょう。このページによると確かに中国国内で”1695750.r.msn.com”という逆引きレコードをもっているみたいですね。

これを根拠としてこのサーバーは不正Windowsにパッチを提供するサーバである、という話が出てきているようです。

2.WSUSはこのドメインを見に行くのか？

Microsoftのページを探してみましょう。こんな情報が転がっていました。

手順 3 : WSUS 3.0 のネットワーク接続を構成する

このページはWSUSサーバを設定するときの手順で、WSUSサーバーが通信するWindows Updateサーバのリストが載っています。上記ページをみればわかりますが、こんな感じです。

• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com

msn.comなんかにアクセスしないよ？

3.じゃあなんでr.msn.comとかの逆引き設定しているのか

知りません。誰か知っていたら教えて欲しいです。しかし、WSUSのアップデートサーバだと考えるのはおかしいですよね。だってWSUSはmsn.comなんぞにアクセスしない。

4.じゃあ真相はなんなんだよ

やっぱりメールを基点とするAPT攻撃と解釈するのが妥当だと思いますよ。WSUSの線はそれを支持する根拠がまるで出てきていません。msn.comだった説も上で説明したように無関係です。

• トレンドマイクロ報告(日本語)
• トレンドマイクロ報告(英語)
• アンラボ社APT攻撃に対する顧客情報の保護フォローアップ(韓国語)

4.何を理解すべきか

4.1.今回の攻撃はなんだったのか？

まず、相手が韓国だからと言って勝手にセキュリティ意識が薄いに違いない、とか割れOS使っていたに違いない、とか侮るのは止めておいたほうがいいと思います。SQLSlammerの件とか見ていると、非正規OSが一杯存在しているのは事実のようですが、今回の件をそちらの方向で軽く考えると判断を誤ると思います。

これは明確な破壊の意図を持った攻撃です。大規模な悪戯である可能性は犯行声明も出てこない現状、ますます低くなっています。

1. きちんとアンチウイルスを導入してそれなりの対応をしていたはずの組織が
2. なすすべもなく潰されてシステム壊滅状態に陥った

という所に恐怖を覚えるべきじゃないでしょうか。

4.2.過去のセキュリティの基本対策の考え方の崩壊

これまでの基本的なネットワークセキュリティ対策の基本的な考え方は下記のようなものだと思います。

• 余計なサービスを止める
• FireWallの開放を最小限に設定
• セキュリティパッチをきちんと適用
• アンチウイルスをちゃんと入れておく

基本的にはこれだけやっていれば、まぁ、普通は問題ないよね？という世界がこれまでの一般的な認識だと思います。

しかしAPT攻撃はこの程度の防御を乗り越えてくる。今回の事件は、この程度の一般的な対策のレベルでは対応できない脅威があり、それはもう目の前にある、という事を明確に示した事件だと思っています。

4.3.普通のIT技術者が立っている場所

Mandiant報告書はサイバースパイ大作戦を中国が展開していることを示し、今回の事件は恐らく北朝鮮(断定は出来ない)がサイバーテロとしてAPTを利用可能であることを示しました。

ここにある構造は“軍事レベル技術 vs そこらの民間技術者”という構図です。

もう我々は既に戦場に立っています。自分たちでも気がつかないうちに立たされています。前から警告は一杯出ていたというのに。

戦場でぼさっと立って、撃たれた仲間を間抜け呼ばわりして笑っている場合じゃないと思いますよ。やられるのであれば、せめて勝てないまでも戦ってからやられたい。わけわからないうちに潰されるのはごめんです。

韓国への大規模サイバーテロ事件について(2)

いくつかの続報が出てきていますのでまた少しまとめておきます。
TrendMicroの挙動調査および感染経路の報告はかなり信頼性が高そうな印象です。

1.概要

• 発信源は中国国内ではなかった
• Unix系サーバーへの攻撃コードも含まれていた
• TrendMicroより詳細なmalwareの挙動の調査報告および感染経路の推定報告が出ている

2.発信源は中国国内ではなかった

前回の記事発行時には中国国内のIPアドレスから感染した、と報道されていましたが、状況が変わっています。国内での報道でも出てきていますが、どうも被害にあった農協内部で感染元になったサーバがたまたま中国国内のサーバーのIPアドレスと重複するIPを設定しており誤認したようです。

まぁ、プライベート空間にグローバル空間のIPアドレス振るなよ、っていう話ですが・・・

1. KISA(韓国インターネット振興院)の報告(韓国語)
2. atmarkITの記事 韓国のサイバー攻撃、アクセス元は社内のプライベートIPアドレス

3.Unix系サーバーへの攻撃コードも含まれていた

今回のmalwareは感染したPCを破壊するだけでなく、mRemoteとSecureCRTに保存されているID/Passを利用して、接続可能なUnix系サーバへアクセスして破壊する動きまでとるようです。

mRemote/SecureCRTはどちらもインストールされているクライアントPCからサーバへリモートアクセスを行うためのツールです。要するにリモートデスクトップやらSSHやらの接続を管理し、一度アクセスしたサーバへのID/Passwordを保持して次回接続時に簡単に接続できるようにするツールです。

ゆえにソフトウェア内部のどこかに平文パスワードを保持しており、今回のmalwareはこれを利用して管理者権限が取れるサーバに接続して下記のディレクトリを削除します。

• /kernel
• /usr
• /etc
• /home

徹底的に破壊に特化しています。ID/Passはこの手のリモート接続ツールに覚えさせておくと、こういう攻撃に利用されるケースがあるという事ですね。私も注意しないと・・・

• mRemote
• SecureCRT
• symantecのUnix系破壊に対する報告(Remote Linux Wiper Found in South Korean Cyber Attack)

4.TrendMicroより詳細なmalwareの挙動および感染経路の推定報告が出ている

TrendMicro社より詳細な挙動および感染経路に対する報告(推定)が出ています。現時点では最も説得力があるように思えます。

第一段階:メールによるスピアー攻撃(3/19)

報告によると3/19日に銀行からのメールを装った偽装メールを送っているようです。この偽装メールの添付ファイルはダウンローダであり、添付ファイルを開くと9つのファイルをダウンロードします。

(筆者推測)この”9つのファイル”の実態は記述されていませんが、恐らくバックドア系ではないかと思われます。

第二段階:中央管理サーバへのmalware設置

malwareを効果的に広めるよう、中央管理サーバにmalwareを押し込みます。

(筆者推測)ここは報告書では明確に記述されていませんが、恐らくアンラボ社の中央管理サーバの権限を何らかの手法で奪取したと思われます。サーバの権限を乗っ取ったのか、アンラボ社の中央管理サーバ自体の脆弱性をついたのか、このあたりは現時点では不明です。

第三段階:malwareの散布と起動

中央管理サーバに接続している全クライアントに仕込まれたmalwareが配布され3/20 14:00に起動。結果全クライアント壊滅。

KISAは感染経路の特定はまだ作業中であり、時間がかかる可能性がある、としておりまだ確証取れている状態ではないようです。( KISA報告)。とはいえ現時点では最も説得力のあるストーリーだと思います。

5.現時点で見えていること

• 昨日時点より調査・解析が進んでおり、技術的には進展。典型的APT
• 誰が・何を目的として今回の事件を起こしたのかは全く不明

複数の「既存のアンチウイルスソフトウェアに検知されない」新種のmalwareを開発する力を持つ人たちが相手なはずです。相当なレベルであり、やはり軍レベルが関与していそうな雰囲気です。引き続き続報を待ちたいと思います。

韓国への大規模サイバーテロ事件について

まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。

1.被害状況

• 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる
• 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能

2.攻撃手法

• 良くありがちなDDOSなんぞではなく、malware配布によるもの。
• 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。
• アンラボ社の見解(韓国語)
• 資産管理サーバーを乗っ取った手法は不明だが、APTにより管理サーバのアカウントを乗っ取ったものとアンラボ社は見ている。
• 資産管理サーバは恐らくパターンを配布するアンラボ社製品の中央管理サーバを指すと思われます。

アンラボ社製品紹介。
資産管理機能について触れられている

3.malwareの動き

結構凶悪ですね。感染力を無視し、可能な限りダメージを与えることを目的としているようです。

• MBR破壊。PCが起動できない状態となる
• つながっているHDD全消去。
• 多分mountされているドライブ全て。
• ファイルサーバーをネットワークドライブとしてmountしている場合、そっちもやられちゃうんじゃないかしら・・・

関連ソース

• symantecのウイルス解析結果報告
• trendmicroのウイルス解析結果報告

4.何が脅威か?

これは元気な少年によるウイルス作ったらなんとなく広がっちゃったよ的なレベルでは全くないし、Anonymous的な権威に反抗してやるぜベイベー的な物にも見えない。

今回犯人がやったことは下記の様なものだ思われます。

1. 攻撃すべきターゲットを明確に絞り込む
2. ターゲット組織内に浸入
3. アンチウイルスの中央管理サーバ乗っ取り
4. malwareを中央管理サーバに仕込み配布
5. 対象組織内全クライアントにmalware配布
6. 2013/3/20 14:00に一挙に起動。全クライアント壊滅

これは遊びのレベルではないし、金銭目的でもない。明確な意図を持った攻撃です。攻撃対象を軍に絞ったらどこまで行けたのでしょうか？

これは私にはサイバーテロというより明確なサイバー戦争による奇襲に見えます。下手すると本格攻撃を実施する前の威力調査かもしれない。

5.犯人は誰か？

現在では犯人を特定できるだけの情報はありません。状況から見て北朝鮮が当然強く疑われますが証拠は現時点ではありません。

攻撃の発信元が中国だったという話はありますが、単に中国の機械が乗っ取られて発信元に使われただけではないかと思います。中国の例の61398部隊が関与している証拠もないですし、恐らく違うでしょう。続報が待たれます。

6.誤解ないしデマ(の可能性が高いもの)

Windows 7のSP1を割れOSにあてたから全面ダウンした

そんなんではありません。明確なmalwareによる攻撃です

非正規版WSUSのアップデートサーバにmalwareが仕込まれていた

• アンラボ社の調査ではアンラボ社製品の資産管理サーバ経由と思われます。
• オリジナルの記事は「非正規WSUSが残っていればそういう攻撃も可能」という推定の話
• 明確に否定できるわけではないが、実際に現地で調査しているアンラボ社の調査のほうが信憑性は高いとみています

※オリジナル記事 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因

Mandiant報告書(3)-61398部隊について-

1.概要

あまり時間が取れないため非常に記事を書くのが遅く、もはや旬の話題ですらない気がしますが、めげずに進めます。

次の章では「China’s Computer Network Operations Tasking to PLA Unit 61398」として、61398部隊にクラッキング任務が与えられている事の状況証拠を記述しています。

2.人民解放軍の組織構成および61398部隊の位置づけ

まず、攻撃の元となっていると目されている61398部隊の人民解放軍内の位置づけについて記述されています。

色々言葉で説明するより図を見たほうが早いと思うので、報告書内の図を私のほうで簡単に書き直した絵を下記に示します。

人民解放軍内における61398部隊の地位。Mandiant報告書内画像から作成

指揮命令系統としては中央軍事委員会/参謀部/第三部/第二局(61398部隊)という形になっているようです。結構上位ですね。

参謀部第三部はSIGINT/CNO担当となっており、61398部隊はその中のCNO(Computer　Network Operation)による諜報活動を担当していると思われます。

※元画像は中国語と英語になっています。中国語部分を対応する日本語に私のほうで置き換えています。本ブログ全体がそうなんですが、誤りがあれば是非ご指摘いただければと思います。
※また、この辺りの情報はMandiant独自調査ではなく、他の調査からの引用です。

3.61398部隊の任務と能力の推論

この章では61398部隊の活動の痕跡をGoogleの情報から拾い上げ、61398部隊の輪郭
を描き出して行きます。

3.1 61398部隊の能力の推論

• 61398部隊はの情報は中国政府のサイトを検索しても出てこない
• しかし、いくつかの情報が残っており、61398部隊の技術が垣間見える
• 61398部隊がソースとして引用されている論文をあげると下記のようなものがある。

(1)データ隠蔽技術(Covert Communications)
“An information hiding method of Word 2007 based on image covering”
(2)英語学(English Linguistics)
※ここは論部ではありませんが、英語学者としての訓練を61398部隊で受けた人の手記があったようです
(3)OS内部技術(Operating System Internals)
“The Implementation of Overlay File System in Embedded Linux”
(4)デジタル信号処理(Digital Signal Processing
“ADC’s Performance and Selection Method of Sampling Number of Bits,”
(5)ネットワークセキュリティ(Network Security)
“Quantization Evaluation Algorithm for Attack Graph Based on Node Score”

タイトルをみれば、ハードウェアレベルから高度な最新のセキュリティに至るまでの技術
を61398部隊が研究していることはわかると思います。

3.2 61398部隊の人材募集

61398部隊が大学に出している人材募集情報があったようです。そこでは高度なコンピューター技術力と英語力を求めていたようです。ここからも61398部隊がどのような人材を求めているかが垣間見れます。

3.3 613998部隊の規模と所在地

• 公開されている資料から61398部隊の規模は数百～数千名と思われる
• 2007年 61398部隊用のビルを江苏龙海建工集团有限公司が立てている。
• そのビルは「61398部队中心大楼」と呼ばれ12階建てである
• 所在地は「上海市浦东新区高桥镇大同路208号」
• このビルは2000人近い人数を格納できる
• そして、このビルは61398部隊が持ついくつかのビルの一つでしかない

ここで面白かったのが61398部隊の位置がGoogle Earchとかで参照できることですね。なんかすごい時代になったものです。中国の諜報機関の所在地がネットで検索できる情報から暴露され、その写真が現地に行かなくても見えるとは。

61398部隊の根拠地と思われるビル

また、61398部隊はさらにサポート部隊も近くに持っているようです。

• 輸送部隊
• 外来診療所
• 幼稚園
• ゲストハウス

これらのサポートは通常は巨大ないし高位の部隊に与えられるものであり、61398部隊が人民解放軍の中でも重要な部隊であることの証左となる。

3.4 61398部隊と中国電信との関係

• ・Mandiantは中国電信の内部文書をオンラインで発見した
• ・その文書によると61398部隊から光ファイバーの提供要請を受けており、
• ・「国防の重要性に基づき」光ファイバーケーブルを安い価格で提供している

Mandiant報告書内の画像を転載。中国電信の61398部隊への光ファイバー提供のメモ

よくもまぁ、こんなメモが落ちていたなと感心しきり。今は提供元のURLはドメインごと
なくなっているようです。

4.結論

• 61398部隊は数百～数千の従業員がいる
• コンピュータセキュリティとネットワークの専門家を求めている
• 英語に堪能な人材を求めている
• 巨大なインフラを上海の”Pudong New Area”に持っている
• 国有企業である中国電信から特殊な光ファイバーを国防の名目で提供されている

これだけではまだ、61398部隊が巨大なコンピュータ関係部隊であり、英語情報の収集と時刻ネットワークを守る研究をしている部隊であり、クラッキング部隊とまでは言えません。ここから先の章ではAPT攻撃の発信元を追跡するとこのビルにたどりつくことが記述されます。

 

尖閣諸島領有権と勅令十三号の関係

とある方を話をしていて勅令十三号が尖閣領有の根拠となっている、という話が出てきてたので、少し調べてみました。まだ、Mandiant報告書の途中ですが、一旦ここで調べた範囲の話をまとめておきたいと思います。

結論から言えば

1. 勅令十三号を持って尖閣領有の根拠と主張するのは無理がある。少なくとも突っ込まれる余地はある。
2. しかし、そもそも日本政府は勅令十三号を根拠としていないので関係ないよね。
3. 勅令十三号を根拠としている、という説は沖縄毎日新聞の連載が元になっている俗説である

という感じです。

1.勅令十三号とは

まず、勅令十三号の中身を実際に見てみましょう。色々な所で出回っていますが、正確な原文はアジア歴史資料センターのページでネット上から直接閲覧が可能です。

アジア歴史資料センター

※八重山郡　八重山諸島で検索すると一撃で出てきます。

勅令第十三号

朕沖縄県ノ郡編制ニ関スル件ヲ裁可シ茲ニ之ヲ公布セシム

睦仁 内閣総理大臣侯爵伊藤博文 内務大臣芳川顕正 勅令第十三号

第一条

那覇首里両区ノ区域ヲ除ク外沖縄県ヲ画シテ左ノ五郡トス

島尻郡 島尻各間切久米島慶良間諸島渡名喜島粟國島伊平屋諸島鳥島及大東島

中頭郡 中頭各間切

國頭郡 國頭各間切及伊江島

宮古郡 宮古諸島

八重山郡 八重山諸島

第二条

郡ノ境界若クハ名称ヲ変更スルコトヲ要スルトキハ内務大臣之ヲ定ム

附則

第三条 本令施行ノ時期ハ内務大臣之ヲ定ム

2.問題点

上記の勅令見ると確かに「尖閣諸島」の名前は出てきません。これを持って尖閣諸島を八重山郡に編入した、と主張するには無理がありそうです。「八重山諸島」の中に尖閣諸島は入っていると主張することは可能かもしれませんが、少なくとも「いやそりゃ無理でしょ！」と突っ込まれる余地はある。

Google Mapでこの辺りの地図を見てみるとこんな感じです。

薄い紫色が宮古諸島、その左にあるのが八重山諸島、そして上にあるのが尖閣諸島です。

いや・・・これやちょっと・・・尖閣諸島は八重山諸島の一部だ！と主張するのは厳しくね？

ただ、実際問題として、勅令十三号を受けて、尖閣諸島は八重山郡に編入されてはいるようです。

当時の中国(大正9年)からもらった感謝状にも「八重山郡尖閣列島」と記述されているみたいですしね。

※外務省「尖閣諸島に関するQ&A」Q4参照

【参考：中華民国駐長崎領事の感謝状】（仮訳）

ここらへんは想像ですが「尖閣諸島はどうすんの？」「八重山郡に入れとけ！」みたいな会話があったのかも知れないです。

あるいは当時は尖閣諸島は八重山諸島の一部だと認識されていたのかもしれない。今みたいに手軽にGoogle Mapで位置関係を確認することが出来る時代でもないですし。遠く離れた帝都では尖閣諸島は八重山諸島の一部、として認識されていたのかもしれません。

ここら辺は想像でしかありませんので、あまり意味のある議論でもないです。ただ、少なくとも、勅令十三号を持って尖閣諸島は日本領に編入された、という解釈は突っ込まれる余地があることは事実でしょう。

3.勅令十三号は尖閣領有の根拠か？

外務省のページに現在の日本の主張が述べられています。この辺りを見てもらえばわかりますが、そもそも日本は勅令十三号を持って尖閣領有の根拠にはしていません。

尖閣諸島についての基本見解

むしろ勅令十三号という言葉は一言も出てきませんね。

日本の立場はあくまで「無主地の先占」であり、

1. 尖閣諸島は無主地だった
2. 継続的かつ平穏な領域主権を行使した

の二本柱で成立しています。

ここに勅令十三号は関係ありません。いくら勅令十三号を叩いて領有権の根拠が薄弱である、と主張しても意味がありません。だって、日本政府はそんなこと言ってないから。

4.では、どこから出てきた話か？

結局勅令十三号はどの島をどの郡に編入するか？という割り振りの話であり、日本政府の尖閣領有の根拠ではありません。

では、勅令十三号が尖閣領有の根拠である、という話はどこから出てきたか？というと、どうも沖縄毎日新聞の「琉球群島における古賀氏の功績」という連載にその記載があるようです。

で、その連載どこかで読めないかなぁ、と思って調べていたら出てきました。

下記ページの上部にある「2ページ」というリンクです。

http://www.tanaka-kunitaka.net/senkaku/okinawamainichi-1910/0105.html

当時の沖縄毎日新聞のコピーですね。確かに「二十九(一八九六)年勅令第十三号を 以て尖閣列島の我が所属たる旨公布せられたるにより」と書かれているのが確認出来ます。

5.沖縄毎日新聞の誤報？

上記連載の文言には二つの解釈がありえます。

1. 沖縄毎日新聞の誤報である
2. 実際に八重山郡に編入されている。当時は勅令十三号をもって尖閣編入宣言と認識されていた

最初は単純な誤報と考えていましたが、単純にそうとも言えない気もしてきています。少なくとも当時、一般的には勅令十三号を持って日本に編入した、と考えられていたのかもしれません。

6.結論

確かに勅令十三号には尖閣諸島の名が明示されていない以上、解釈の余地がありえます。実際に八重山郡に編入されているじゃないか、と言っても、後付で編入したんじゃね？と言われるかもしれません。

しかし、根本的に日本政府はそのような主張は行っておりません。確かに勅令十三号には尖閣諸島の名が明示されていない。そこを攻撃しても「で？何？そもそもそんなこと言ってないけど？」という反撃で終わりになってしまう話でもあります。

Mandiant報告書(2) -Executive Summary-

1.概要

さて、それではMandiant報告書の解説を始めてみたいと思います。まず、最初にあるのはExecutive Summaryです。ここを読めばこの報告書で書かれていることが概要が概ね把握できるようになっています。

61398部隊との関係や、実際に盗み出している情報の種類、攻撃対象が中国の戦略的新興産業であることの指摘など、この時点で背筋がぞくっと来るものがあります。中国という国が一般企業の技術を狙って戦略的に動いているようにしか見えないです。

2.用語解説

内容にはいる前に、まずいくつか用語の解説を入れます。

2.1 APT(Advanced Persistent Threat)

色々な定義がありますが、こちらのリンクにある定義が一番適切かと思います。

http://www.lac.co.jp/security/blog/2011/03/lac2011-vol05.html

要するに不特定多数へ適当に攻撃を仕掛けていくつか成功すればラッキーといういたずら的な攻撃ではなく、明確にターゲットをしぼり、そのターゲットに向けてソーシャルエンジニアリングから最新の脆弱性利用まで含めた複数の攻撃をしぶとく仕掛けていくタイプです。

APTのポイントは「明確にターゲットが絞られていること」にあると考えます。その情報を取りに行きたい人たちがしぶとく攻撃を仕掛ける。これは今までのいわゆるネット上の個人が面白半分で攻撃しているのとは明確に異なります。

2.2 MUCD(Military Unit Cover Designator)

中国人民解放軍が部隊の識別子として与えている5桁の数字です。

例
正式名称：第14軍団/第3師団/第125連隊/第1大隊
MUCD ：81356

MUCDは非公式な略称にとどまらず、公的な出版物やInternet上でも用いられるものだそうです。

3.Executive Summary

ここではもともと要約であるExective Summaryをさらに要約するという暴挙に出ます。詳細は元資料を参照してください。

1. Mandiantは民間企業だが2004年から7年間に渡り数百の企業のセキュリティ侵害の調査を実施してきた
2. APT攻撃している中国発のグループは20程度存在するが、このレポートでは最も活動量が多いグループに焦点を当てる。そのグループをAPT1と呼ぶ。
3. APT1は中国人民解放軍参謀部第三部第二局(61398部隊)そのものであると思われる。

4.:Key Findings

上記結論の根拠となったポイントをいくつか記述しています。

4.1. 61398部隊とAPT1の関係

• APT1の攻撃は上海の4つの巨大ネットワークから発信されている。そのうち二つは61398部隊の根拠地に存在している。 ・61398部隊は数百から数千の人数が関与している
• 61398部隊の根拠地に中国電信は光ファイバーを直結している

4.2. APT1が盗み出すデータ

1. APT1は少なくとも141の企業から数百テラバイトの情報を組織的に盗み出している。
2. APT1は一旦アクセスルーツを確立すると、数ヶ月から数年にわたりアクセスを続けさまざまな情報を盗み出して行く
3. 盗み出して行く情報はこんなもの。

• 技術情報
• 製造工程
• テスト結果
• ビジネス計画
• 製品価格
• 被害者企業幹部のメールとコンタクトリスト

4.3. APT1の攻撃対象

1. 英語圏の幅広い業種に対して攻撃をかけてくる
2. 141のAPT1のターゲットのうち87%が英語圏
3. APT1の攻撃対象業種は中国が戦略的新興産業と位置づけた業種と合致する。

4.4. APT1のインフラ規模

1. APT1は数千のシステムを攻撃用に利用している
2. 直近2年で特定した攻撃サーバ(C2サーバ)は13ヶ国にわたり存在している。
3. 849のC2サーバのうち709は中国にあり、その次にアメリカに109が存在している。
4. 直近3年でAPT1は988のドメインを利用している
5. 二年間にわたる調査で、APT1が攻撃サーバに832の異なるIPアドレスからリモートデスクトップ接続で接続している

4.5. APT1の攻撃発信源

1. Mandiantが観測した1905の攻撃の97%で、攻撃者は上海のIPアドレスから接続し、簡体字を利用していた
2. 767の設置されたバックドアは614の異なるIPアドレスに接続していた。
3. 614のアドレスは全て中国に登録されていた
4. そのうち613が4つの上海のネットワークのうちのどれかに属していた

4.6. APT1のグループの規模

1. APT1のインフラの規模は数十人、おそらくは数百人規模の人間のオペレータがいることを意味している
2. APT1の規模は少なくとも1000台のサーバーを保持している
3. APT1はこれだけの規模の攻撃を行うために、下記のようなサポートが必要である。

• 翻訳者
• オープンソース調査者
• マルウェア開発者
• 攻撃対象の各業界に対する精通者
• 盗み出した情報を整理し、情報要求者に渡す人
• システム全体を管理するシステム管理者

4.7． APT1ペルソナ

※personaという言葉を利用しています。攻撃者その人、というより、その名前を使っている人たちがおり、一人かもしれないし、複数人かも知れない。

1. Mandiantは3人のAPT1のペルソナを特定した。

4.7.1. UglyGollira

• APT1が利用しているドメインを2004年から登録している。

4.7.2. DOTA

• APT1が利用しているメールアドレスを数ダース登録している。
• 上海の携帯電話を持っている。
• UglyGorillaとDOTAはAPT1の同じインフラを利用している。

4.7.3. SuperHard

• APT1が利用しているマルウェアの作者
• “SuperHard”は61398部隊の根拠地である”Pudong New Area in Shanghai”にいることが判明している

4.8. Mandiantの対応

1. 3000近いAPT1を識別する識別子(ドメイン名/IPアドレス/マルウェアMD5チェックサム)を提供している
2. MandiantのEnterprizeレベルの製品を使っている会社はこれらのAPT1を利用可能
3. そのほかにフリーのホスト単位調査ツール”Redline”を提供している

5.結論

1. これらの証拠からAPT1は61398部隊であると結論する。
2. 下記のような可能性はまだ存在するが、非常に可能性としては低い

• 極秘で潤沢なリソースを持った中国人集団であり
• 複数年にわたり構築された上海の通信環境に直接アクセス可能であり
• 61398部隊の根拠地のすぐ近くにあり
• 61398部隊とよく似たミッションを遂行している集団がほかにいる

6.なぜAPT1を公表するに至ったか？

1. 61398部隊の情報を公表する決断はつらい決断であった
2. 中国からの攻撃の実態を知らせることで、セキュリティのプロフェッショナルが攻撃に対し効果的に備えることができるようになる。
3. しかし逆に公表すれば、このレポートで記述されている攻撃手法はまだ知られていない別のものに置き換えられて行くだろう
4. 我々は彼らをトレースするのに苦労することになる。
5. 公表した3000のシグネチャーもすぐに無効化されるだろう
6. 我々はこのレポート自体がもつリスクにも気がついている。
7. 中国はわれわれに対して激しい非難と報復をしてくることを予期している

MANDIANT報告書を解説してみる(1)

1.概要

昨今色々なところで報道されていますが、中国のサイバー攻撃が話題になっています。ちょっと気になった、というかぶっちゃけ面白そうだったので元資料を読んでみました。

元ネタになっているのはMANDIANT社が公開した下記資料です。

Exposing One of China’s Cyber Espionage Units
(http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf)

実際この報告書を読んでみると、最初は非常に面白いです。含まれている内容はざっくり言うとこんな感じ。

(1)どうやってMandiant社が問題の部隊にたどり着いたのか
(2)実際の攻撃の手口の分析
(3)攻撃者のプロファイル

記述されている内容も非常に慎重かつ詳細かつ精緻であり、この報告書自体が捏造とか嘘っぱちということは非常に考えにくい印象です。十分に信頼に足る報告書だと私は判断しています。

2.この報告書をどう捉えるか？

まぁ、正直最初は面白がって読んでいただけなのですが、読み進むにつれてぞくっとくる物を感じてしまいました。これは結構やばいんでないかと。単なるしょぼい部隊の産業スパイ大作戦とはちと思えない。大規模すぎるし本気すぎる。

MANDIANT報告書ではそのようなことは一切書かれていないので単純に読んで私が感じた印象のレベルでしかないですが、ひょっとしたら中国は国を挙げて全面的に産業スパイ大作戦を展開し、産業スパイによる国力向上を図っているのではないか？とか思ってしまったわけです。

最近の軍事技術は基盤環境まで含めて高度化しており、中核となる設計書を盗み出したとしてもそれを再現することは難しいと思うです。相手の性能を知ること(もちろんとても重要なことです)は出来るかも知れませんが、同じものを作ることは、それだけでは多分出来ない。

ソフトウェアの世界で言えば、概要設計だけあっても同じ品質のソフトウェアは作れないよね、という話とイコールかと思います。エンジニアへの教育レベルとかテスト手法とかコーディング規約とかプロジェクト運用ルールとか。そこまでそろって初めて組織として高品質を担保できる。そうでないとなんとなくそれっぽく動いている、というレベルまでしか到達できません。

中国の産業スパイ大作戦はこの構図自体をひっくり返すことを狙っているんじゃないかしら？生産のノウハウや品質向上、果ては従業員教育のレベルまで全てのノウハウを不正な手段で獲得し、基盤技術の成長を加速しようとしているじゃないのか?

もしそうだとすると、その攻撃は

「中国軍の支援を受けた強力なクラッカー部隊 vs そこらの一般の企業のシステム管理者」
という構図になります。

あれ・・・これもしかして俺ら普通の量産型エンジニアって知らぬうちに最前線立ってね・・・・？

3.本稿での解説予定

そんなわけでちとびびって来たのでMandiantさんの報告書の解説をして見たいと思いました。何もならんとは思いますが、何もせんでいるのはなんか嫌だし。

内容としてはこんな感じで書いていこうと思っています。

Mandiant報告書解説シリーズ
1.本ページ
2.Mandiant報告書解説
2.1.Exective Summary
2.2.61398部隊(China’s Computer Network Operations Tasking to PLA Unit 61398)
2.3.APT1:これまでの活動(Yeas of Espionage)
2.4.APT1:攻撃手順詳細(Attack Lifecycle)
2.5.APT1:利用ネットワークインフラ(Infrastructure)
2.6.APT1:クラッカー個人プロファイル(Identities)
2.7.結論(Conclusion)

3.サイバー戦争の新しい形？というか正しいサイバー戦争のやり方？
4.どうやって戦うねん？

4.注意事項

(1)私はセキュリティの専門家でも安全保障の専門家でもありません。そこらへんに転がっている量産型エンジニアです。そのため、内容には多くの間違いがあると思います。
(2)さらに言うと英語もあまり得意ではありません。間違って理解しているところも一杯あると思います。
(3)というわけで、出来る限り元ネタを当たって下さい。この文章が元ネタへの誘導になれば十分にその役目は果たしていると思います。
(4)おかしなところを発見したらご指摘頂ければありがたいです。可能な限り修正いたします。