Mandiant報告書(2) -Executive Summary-

1.概要

さて、それではMandiant報告書の解説を始めてみたいと思います。まず、最初にあるのはExecutive Summaryです。ここを読めばこの報告書で書かれていることが概要が概ね把握できるようになっています。

61398部隊との関係や、実際に盗み出している情報の種類、攻撃対象が中国の戦略的新興産業であることの指摘など、この時点で背筋がぞくっと来るものがあります。中国という国が一般企業の技術を狙って戦略的に動いているようにしか見えないです。

2.用語解説

内容にはいる前に、まずいくつか用語の解説を入れます。

2.1 APT(Advanced Persistent Threat)

色々な定義がありますが、こちらのリンクにある定義が一番適切かと思います。

http://www.lac.co.jp/security/blog/2011/03/lac2011-vol05.html

要するに不特定多数へ適当に攻撃を仕掛けていくつか成功すればラッキーといういたずら的な攻撃ではなく、明確にターゲットをしぼり、そのターゲットに向けてソーシャルエンジニアリングから最新の脆弱性利用まで含めた複数の攻撃をしぶとく仕掛けていくタイプです。

APTのポイントは「明確にターゲットが絞られていること」にあると考えます。その情報を取りに行きたい人たちがしぶとく攻撃を仕掛ける。これは今までのいわゆるネット上の個人が面白半分で攻撃しているのとは明確に異なります。

2.2 MUCD(Military Unit Cover Designator)

中国人民解放軍が部隊の識別子として与えている5桁の数字です。


正式名称:第14軍団/第3師団/第125連隊/第1大隊
MUCD :81356

MUCDは非公式な略称にとどまらず、公的な出版物やInternet上でも用いられるものだそうです。

3.Executive Summary

ここではもともと要約であるExective Summaryをさらに要約するという暴挙に出ます。詳細は元資料を参照してください。

  1. Mandiantは民間企業だが2004年から7年間に渡り数百の企業のセキュリティ侵害の調査を実施してきた
  2. APT攻撃している中国発のグループは20程度存在するが、このレポートでは最も活動量が多いグループに焦点を当てる。そのグループをAPT1と呼ぶ。
  3. APT1は中国人民解放軍参謀部第三部第二局(61398部隊)そのものであると思われる。

4.:Key Findings

上記結論の根拠となったポイントをいくつか記述しています。

4.1. 61398部隊とAPT1の関係

  • APT1の攻撃は上海の4つの巨大ネットワークから発信されている。そのうち二つは61398部隊の根拠地に存在している。 ・61398部隊は数百から数千の人数が関与している
  • 61398部隊の根拠地に中国電信は光ファイバーを直結している

4.2. APT1が盗み出すデータ

  1. APT1は少なくとも141の企業から数百テラバイトの情報を組織的に盗み出している。
  2. APT1は一旦アクセスルーツを確立すると、数ヶ月から数年にわたりアクセスを続けさまざまな情報を盗み出して行く
  3. 盗み出して行く情報はこんなもの。
  • 技術情報
  • 製造工程
  • テスト結果
  • ビジネス計画
  • 製品価格
  • 被害者企業幹部のメールとコンタクトリスト

4.3. APT1の攻撃対象

  1. 英語圏の幅広い業種に対して攻撃をかけてくる
  2. 141のAPT1のターゲットのうち87%が英語圏
  3. APT1の攻撃対象業種は中国が戦略的新興産業と位置づけた業種と合致する。

4.4. APT1のインフラ規模

  1. APT1は数千のシステムを攻撃用に利用している
  2. 直近2年で特定した攻撃サーバ(C2サーバ)は13ヶ国にわたり存在している。
  3. 849のC2サーバのうち709は中国にあり、その次にアメリカに109が存在している。
  4. 直近3年でAPT1は988のドメインを利用している
  5. 二年間にわたる調査で、APT1が攻撃サーバに832の異なるIPアドレスからリモートデスクトップ接続で接続している

4.5. APT1の攻撃発信源

  1. Mandiantが観測した1905の攻撃の97%で、攻撃者は上海のIPアドレスから接続し、簡体字を利用していた
  2. 767の設置されたバックドアは614の異なるIPアドレスに接続していた。
  3. 614のアドレスは全て中国に登録されていた
  4. そのうち613が4つの上海のネットワークのうちのどれかに属していた

4.6. APT1のグループの規模

  1. APT1のインフラの規模は数十人、おそらくは数百人規模の人間のオペレータがいることを意味している
  2. APT1の規模は少なくとも1000台のサーバーを保持している
  3. APT1はこれだけの規模の攻撃を行うために、下記のようなサポートが必要である。
    • 翻訳者
    • オープンソース調査者
    • マルウェア開発者
    • 攻撃対象の各業界に対する精通者
    • 盗み出した情報を整理し、情報要求者に渡す人
    • システム全体を管理するシステム管理者

4.7. APT1ペルソナ

※personaという言葉を利用しています。攻撃者その人、というより、その名前を使っている人たちがおり、一人かもしれないし、複数人かも知れない。

  1. Mandiantは3人のAPT1のペルソナを特定した。

4.7.1. UglyGollira

  • APT1が利用しているドメインを2004年から登録している。

4.7.2. DOTA

  • APT1が利用しているメールアドレスを数ダース登録している。
  • 上海の携帯電話を持っている。
  • UglyGorillaとDOTAはAPT1の同じインフラを利用している。

4.7.3. SuperHard

  • APT1が利用しているマルウェアの作者
  • “SuperHard”は61398部隊の根拠地である”Pudong New Area in Shanghai”にいることが判明している

4.8. Mandiantの対応

  1. 3000近いAPT1を識別する識別子(ドメイン名/IPアドレス/マルウェアMD5チェックサム)を提供している
  2. MandiantのEnterprizeレベルの製品を使っている会社はこれらのAPT1を利用可能
  3. そのほかにフリーのホスト単位調査ツール”Redline”を提供している

5.結論

  1. これらの証拠からAPT1は61398部隊であると結論する。
  2. 下記のような可能性はまだ存在するが、非常に可能性としては低い
    • 極秘で潤沢なリソースを持った中国人集団であり
    • 複数年にわたり構築された上海の通信環境に直接アクセス可能であり
    • 61398部隊の根拠地のすぐ近くにあり
    • 61398部隊とよく似たミッションを遂行している集団がほかにいる

6.なぜAPT1を公表するに至ったか?

  1. 61398部隊の情報を公表する決断はつらい決断であった
  2. 中国からの攻撃の実態を知らせることで、セキュリティのプロフェッショナルが攻撃に対し効果的に備えることができるようになる。
  3. しかし逆に公表すれば、このレポートで記述されている攻撃手法はまだ知られていない別のものに置き換えられて行くだろう
  4. 我々は彼らをトレースするのに苦労することになる。
  5. 公表した3000のシグネチャーもすぐに無効化されるだろう
  6. 我々はこのレポート自体がもつリスクにも気がついている。
  7. 中国はわれわれに対して激しい非難と報復をしてくることを予期している

MANDIANT報告書を解説してみる(1)

1.概要

昨今色々なところで報道されていますが、中国のサイバー攻撃が話題になっています。ちょっと気になった、というかぶっちゃけ面白そうだったので元資料を読んでみました。

元ネタになっているのはMANDIANT社が公開した下記資料です。

Exposing One of China’s Cyber Espionage Units
(http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf)

実際この報告書を読んでみると、最初は非常に面白いです。含まれている内容はざっくり言うとこんな感じ。

(1)どうやってMandiant社が問題の部隊にたどり着いたのか
(2)実際の攻撃の手口の分析
(3)攻撃者のプロファイル

記述されている内容も非常に慎重かつ詳細かつ精緻であり、この報告書自体が捏造とか嘘っぱちということは非常に考えにくい印象です。十分に信頼に足る報告書だと私は判断しています。

2.この報告書をどう捉えるか?

まぁ、正直最初は面白がって読んでいただけなのですが、読み進むにつれてぞくっとくる物を感じてしまいました。これは結構やばいんでないかと。単なるしょぼい部隊の産業スパイ大作戦とはちと思えない。大規模すぎるし本気すぎる。

MANDIANT報告書ではそのようなことは一切書かれていないので単純に読んで私が感じた印象のレベルでしかないですが、ひょっとしたら中国は国を挙げて全面的に産業スパイ大作戦を展開し、産業スパイによる国力向上を図っているのではないか?とか思ってしまったわけです。

最近の軍事技術は基盤環境まで含めて高度化しており、中核となる設計書を盗み出したとしてもそれを再現することは難しいと思うです。相手の性能を知ること(もちろんとても重要なことです)は出来るかも知れませんが、同じものを作ることは、それだけでは多分出来ない。

ソフトウェアの世界で言えば、概要設計だけあっても同じ品質のソフトウェアは作れないよね、という話とイコールかと思います。エンジニアへの教育レベルとかテスト手法とかコーディング規約とかプロジェクト運用ルールとか。そこまでそろって初めて組織として高品質を担保できる。そうでないとなんとなくそれっぽく動いている、というレベルまでしか到達できません。

中国の産業スパイ大作戦はこの構図自体をひっくり返すことを狙っているんじゃないかしら?生産のノウハウや品質向上、果ては従業員教育のレベルまで全てのノウハウを不正な手段で獲得し、基盤技術の成長を加速しようとしているじゃないのか?

もしそうだとすると、その攻撃は

「中国軍の支援を受けた強力なクラッカー部隊 vs そこらの一般の企業のシステム管理者」
という構図になります。

あれ・・・これもしかして俺ら普通の量産型エンジニアって知らぬうちに最前線立ってね・・・・?

3.本稿での解説予定

そんなわけでちとびびって来たのでMandiantさんの報告書の解説をして見たいと思いました。何もならんとは思いますが、何もせんでいるのはなんか嫌だし。

内容としてはこんな感じで書いていこうと思っています。

Mandiant報告書解説シリーズ
1.本ページ
2.Mandiant報告書解説
2.1.Exective Summary
2.2.61398部隊(China’s Computer Network Operations Tasking to PLA Unit 61398)
2.3.APT1:これまでの活動(Yeas of Espionage)
2.4.APT1:攻撃手順詳細(Attack Lifecycle)
2.5.APT1:利用ネットワークインフラ(Infrastructure)
2.6.APT1:クラッカー個人プロファイル(Identities)
2.7.結論(Conclusion)

3.サイバー戦争の新しい形?というか正しいサイバー戦争のやり方?
4.どうやって戦うねん?

4.注意事項

(1)私はセキュリティの専門家でも安全保障の専門家でもありません。そこらへんに転がっている量産型エンジニアです。そのため、内容には多くの間違いがあると思います。
(2)さらに言うと英語もあまり得意ではありません。間違って理解しているところも一杯あると思います。
(3)というわけで、出来る限り元ネタを当たって下さい。この文章が元ネタへの誘導になれば十分にその役目は果たしていると思います。
(4)おかしなところを発見したらご指摘頂ければありがたいです。可能な限り修正いたします。