韓国への大規模サイバーテロ事件について(3)

なんか沈静化してきた印象がありますが、まだ非正規Windows説が微妙に生き残っている感じがしますね。

元ネタ

最初の報告で「誤解ないしデマ(の可能性が高いもの」として紹介したものですが、どうも問題となった中国のIPアドレスがmsn.comのドメイン名を使用しているようで、それが根拠となっているようです。

追加でこの辺りを少し追ってみました。

1.問題のIPアドレス

最初に中国国内のIPアドレスと報じられ、その後内部のプライベートアドレス空間だったと報道された問題のIPアドレスいは”101.106.25.105″です。

このIPアドレスで素直にぐぐって情報を軽く漁って見ましょう。このページによると確かに中国国内で”1695750.r.msn.com”という逆引きレコードをもっているみたいですね。

これを根拠としてこのサーバーは不正Windowsにパッチを提供するサーバである、という話が出てきているようです。

2.WSUSはこのドメインを見に行くのか?

Microsoftのページを探してみましょう。こんな情報が転がっていました。

手順 3 : WSUS 3.0 のネットワーク接続を構成する

このページはWSUSサーバを設定するときの手順で、WSUSサーバーが通信するWindows Updateサーバのリストが載っています。上記ページをみればわかりますが、こんな感じです。

msn.comなんかにアクセスしないよ?

3.じゃあなんでr.msn.comとかの逆引き設定しているのか

知りません。誰か知っていたら教えて欲しいです。しかし、WSUSのアップデートサーバだと考えるのはおかしいですよね。だってWSUSはmsn.comなんぞにアクセスしない。

4.じゃあ真相はなんなんだよ

やっぱりメールを基点とするAPT攻撃と解釈するのが妥当だと思いますよ。WSUSの線はそれを支持する根拠がまるで出てきていません。msn.comだった説も上で説明したように無関係です。

4.何を理解すべきか

4.1.今回の攻撃はなんだったのか?

まず、相手が韓国だからと言って勝手にセキュリティ意識が薄いに違いない、とか割れOS使っていたに違いない、とか侮るのは止めておいたほうがいいと思います。SQLSlammerの件とか見ていると、非正規OSが一杯存在しているのは事実のようですが、今回の件をそちらの方向で軽く考えると判断を誤ると思います。

これは明確な破壊の意図を持った攻撃です。大規模な悪戯である可能性は犯行声明も出てこない現状、ますます低くなっています。

  1. きちんとアンチウイルスを導入してそれなりの対応をしていたはずの組織が
  2. なすすべもなく潰されてシステム壊滅状態に陥った

という所に恐怖を覚えるべきじゃないでしょうか。

4.2.過去のセキュリティの基本対策の考え方の崩壊

これまでの基本的なネットワークセキュリティ対策の基本的な考え方は下記のようなものだと思います。

  • 余計なサービスを止める
  • FireWallの開放を最小限に設定
  • セキュリティパッチをきちんと適用
  • アンチウイルスをちゃんと入れておく

基本的にはこれだけやっていれば、まぁ、普通は問題ないよね?という世界がこれまでの一般的な認識だと思います。

しかしAPT攻撃はこの程度の防御を乗り越えてくる。今回の事件は、この程度の一般的な対策のレベルでは対応できない脅威があり、それはもう目の前にある、という事を明確に示した事件だと思っています。

4.3.普通のIT技術者が立っている場所

Mandiant報告書はサイバースパイ大作戦を中国が展開していることを示し、今回の事件は恐らく北朝鮮(断定は出来ない)がサイバーテロとしてAPTを利用可能であることを示しました。

ここにある構造は“軍事レベル技術 vs そこらの民間技術者”という構図です。

もう我々は既に戦場に立っています。自分たちでも気がつかないうちに立たされています。前から警告は一杯出ていたというのに。

戦場でぼさっと立って、撃たれた仲間を間抜け呼ばわりして笑っている場合じゃないと思いますよ。やられるのであれば、せめて勝てないまでも戦ってからやられたい。わけわからないうちに潰されるのはごめんです。

Mandiant報告書(3)-61398部隊について-

1.概要

あまり時間が取れないため非常に記事を書くのが遅く、もはや旬の話題ですらない気がしますが、めげずに進めます。

次の章では「China’s Computer Network Operations Tasking to PLA Unit 61398」として、61398部隊にクラッキング任務が与えられている事の状況証拠を記述しています。

2.人民解放軍の組織構成および61398部隊の位置づけ

まず、攻撃の元となっていると目されている61398部隊の人民解放軍内の位置づけについて記述されています。

色々言葉で説明するより図を見たほうが早いと思うので、報告書内の図を私のほうで簡単に書き直した絵を下記に示します。

人民解放軍内における61398部隊の地位。Mandiant報告書内画像から作成

人民解放軍内における61398部隊の地位。Mandiant報告書内画像から作成

指揮命令系統としては中央軍事委員会/参謀部/第三部/第二局(61398部隊)という形になっているようです。結構上位ですね。

参謀部第三部はSIGINT/CNO担当となっており、61398部隊はその中のCNO(Computer Network Operation)による諜報活動を担当していると思われます。

※元画像は中国語と英語になっています。中国語部分を対応する日本語に私のほうで置き換えています。本ブログ全体がそうなんですが、誤りがあれば是非ご指摘いただければと思います。
※また、この辺りの情報はMandiant独自調査ではなく、他の調査からの引用です。

3.61398部隊の任務と能力の推論

この章では61398部隊の活動の痕跡をGoogleの情報から拾い上げ、61398部隊の輪郭
を描き出して行きます。

3.1 61398部隊の能力の推論

  • 61398部隊はの情報は中国政府のサイトを検索しても出てこない
  • しかし、いくつかの情報が残っており、61398部隊の技術が垣間見える
  • 61398部隊がソースとして引用されている論文をあげると下記のようなものがある。

(1)データ隠蔽技術(Covert Communications)
“An information hiding method of Word 2007 based on image covering”
(2)英語学(English Linguistics)
※ここは論部ではありませんが、英語学者としての訓練を61398部隊で受けた人の手記があったようです
(3)OS内部技術(Operating System Internals)
“The Implementation of Overlay File System in Embedded Linux”
(4)デジタル信号処理(Digital Signal Processing
“ADC’s Performance and Selection Method of Sampling Number of Bits,”
(5)ネットワークセキュリティ(Network Security)
“Quantization Evaluation Algorithm for Attack Graph Based on Node Score”

タイトルをみれば、ハードウェアレベルから高度な最新のセキュリティに至るまでの技術
を61398部隊が研究していることはわかると思います。

3.2 61398部隊の人材募集

61398部隊が大学に出している人材募集情報があったようです。そこでは高度なコンピューター技術力と英語力を求めていたようです。ここからも61398部隊がどのような人材を求めているかが垣間見れます。

3.3 613998部隊の規模と所在地

  • 公開されている資料から61398部隊の規模は数百~数千名と思われる
  • 2007年 61398部隊用のビルを江苏龙海建工集团有限公司が立てている。
  • そのビルは「61398部队中心大楼」と呼ばれ12階建てである
  • 所在地は「上海市浦东新区高桥镇大同路208号
  • このビルは2000人近い人数を格納できる
  • そして、このビルは61398部隊が持ついくつかのビルの一つでしかない

ここで面白かったのが61398部隊の位置がGoogle Earchとかで参照できることですね。なんかすごい時代になったものです。中国の諜報機関の所在地がネットで検索できる情報から暴露され、その写真が現地に行かなくても見えるとは。

61398部隊の根拠地と思われるビル

また、61398部隊はさらにサポート部隊も近くに持っているようです。

  • 輸送部隊
  • 外来診療所
  • 幼稚園
  • ゲストハウス

これらのサポートは通常は巨大ないし高位の部隊に与えられるものであり、61398部隊が人民解放軍の中でも重要な部隊であることの証左となる。

3.4 61398部隊と中国電信との関係

  • ・Mandiantは中国電信の内部文書をオンラインで発見した
  • ・その文書によると61398部隊から光ファイバーの提供要請を受けており、
  • ・「国防の重要性に基づき」光ファイバーケーブルを安い価格で提供している
Mandiant報告書内の画像を転載。中国電信の61398部隊への光ファイバー提供のメモ

Mandiant報告書内の画像を転載。中国電信の61398部隊への光ファイバー提供のメモ

よくもまぁ、こんなメモが落ちていたなと感心しきり。今は提供元のURLはドメインごと
なくなっているようです。

4.結論

  • 61398部隊は数百~数千の従業員がいる
  • コンピュータセキュリティとネットワークの専門家を求めている
  • 英語に堪能な人材を求めている
  • 巨大なインフラを上海の”Pudong New Area”に持っている
  • 国有企業である中国電信から特殊な光ファイバーを国防の名目で提供されている

これだけではまだ、61398部隊が巨大なコンピュータ関係部隊であり、英語情報の収集と時刻ネットワークを守る研究をしている部隊であり、クラッキング部隊とまでは言えません。ここから先の章ではAPT攻撃の発信元を追跡するとこのビルにたどりつくことが記述されます。

 

尖閣諸島領有権と勅令十三号の関係

とある方を話をしていて勅令十三号が尖閣領有の根拠となっている、という話が出てきてたので、少し調べてみました。まだ、Mandiant報告書の途中ですが、一旦ここで調べた範囲の話をまとめておきたいと思います。

結論から言えば

  1. 勅令十三号を持って尖閣領有の根拠と主張するのは無理がある。少なくとも突っ込まれる余地はある。
  2. しかし、そもそも日本政府は勅令十三号を根拠としていないので関係ないよね。
  3. 勅令十三号を根拠としている、という説は沖縄毎日新聞の連載が元になっている俗説である

という感じです。

1.勅令十三号とは

まず、勅令十三号の中身を実際に見てみましょう。色々な所で出回っていますが、正確な原文はアジア歴史資料センターのページでネット上から直接閲覧が可能です。

アジア歴史資料センター

※八重山郡 八重山諸島で検索すると一撃で出てきます。

勅令第十三号

朕沖縄県ノ郡編制ニ関スル件ヲ裁可シ茲ニ之ヲ公布セシム

睦仁 内閣総理大臣侯爵伊藤博文 内務大臣芳川顕正 勅令第十三号

第一条

那覇首里両区ノ区域ヲ除ク外沖縄県ヲ画シテ左ノ五郡トス

島尻郡 島尻各間切久米島慶良間諸島渡名喜島粟國島伊平屋諸島鳥島及大東島

中頭郡 中頭各間切

國頭郡 國頭各間切及伊江島

宮古郡 宮古諸島

八重山郡 八重山諸島

第二条

郡ノ境界若クハ名称ヲ変更スルコトヲ要スルトキハ内務大臣之ヲ定ム

附則

第三条 本令施行ノ時期ハ内務大臣之ヲ定ム

2.問題点

上記の勅令見ると確かに「尖閣諸島」の名前は出てきません。これを持って尖閣諸島を八重山郡に編入した、と主張するには無理がありそうです。「八重山諸島」の中に尖閣諸島は入っていると主張することは可能かもしれませんが、少なくとも「いやそりゃ無理でしょ!」と突っ込まれる余地はある。

Google Mapでこの辺りの地図を見てみるとこんな感じです。

薄い紫色が宮古諸島、その左にあるのが八重山諸島、そして上にあるのが尖閣諸島です。

いや・・・これやちょっと・・・尖閣諸島は八重山諸島の一部だ!と主張するのは厳しくね?

ただ、実際問題として、勅令十三号を受けて、尖閣諸島は八重山郡に編入されてはいるようです。

当時の中国(大正9年)からもらった感謝状にも「八重山郡尖閣列島」と記述されているみたいですしね。

※外務省「尖閣諸島に関するQ&A」Q4参照

【参考:中華民国駐長崎領事の感謝状】(仮訳)

ここらへんは想像ですが「尖閣諸島はどうすんの?」「八重山郡に入れとけ!」みたいな会話があったのかも知れないです。

あるいは当時は尖閣諸島は八重山諸島の一部だと認識されていたのかもしれない。今みたいに手軽にGoogle Mapで位置関係を確認することが出来る時代でもないですし。遠く離れた帝都では尖閣諸島は八重山諸島の一部、として認識されていたのかもしれません。

ここら辺は想像でしかありませんので、あまり意味のある議論でもないです。ただ、少なくとも、勅令十三号を持って尖閣諸島は日本領に編入された、という解釈は突っ込まれる余地があることは事実でしょう。

3.勅令十三号は尖閣領有の根拠か?

外務省のページに現在の日本の主張が述べられています。この辺りを見てもらえばわかりますが、そもそも日本は勅令十三号を持って尖閣領有の根拠にはしていません。

尖閣諸島についての基本見解

むしろ勅令十三号という言葉は一言も出てきませんね。

日本の立場はあくまで「無主地の先占」であり、

  1. 尖閣諸島は無主地だった
  2. 継続的かつ平穏な領域主権を行使した

の二本柱で成立しています。

ここに勅令十三号は関係ありません。いくら勅令十三号を叩いて領有権の根拠が薄弱である、と主張しても意味がありません。だって、日本政府はそんなこと言ってないから。

4.では、どこから出てきた話か?

結局勅令十三号はどの島をどの郡に編入するか?という割り振りの話であり、日本政府の尖閣領有の根拠ではありません。

では、勅令十三号が尖閣領有の根拠である、という話はどこから出てきたか?というと、どうも沖縄毎日新聞の「琉球群島における古賀氏の功績」という連載にその記載があるようです。

で、その連載どこかで読めないかなぁ、と思って調べていたら出てきました。

下記ページの上部にある「2ページ」というリンクです。

http://www.tanaka-kunitaka.net/senkaku/okinawamainichi-1910/0105.html

当時の沖縄毎日新聞のコピーですね。確かに「二十九(一八九六)年勅令第十三号を 以て尖閣列島の我が所属たる旨公布せられたるにより」と書かれているのが確認出来ます。

5.沖縄毎日新聞の誤報?

上記連載の文言には二つの解釈がありえます。

  1. 沖縄毎日新聞の誤報である
  2. 実際に八重山郡に編入されている。当時は勅令十三号をもって尖閣編入宣言と認識されていた

最初は単純な誤報と考えていましたが、単純にそうとも言えない気もしてきています。少なくとも当時、一般的には勅令十三号を持って日本に編入した、と考えられていたのかもしれません。

6.結論

確かに勅令十三号には尖閣諸島の名が明示されていない以上、解釈の余地がありえます。実際に八重山郡に編入されているじゃないか、と言っても、後付で編入したんじゃね?と言われるかもしれません。

しかし、根本的に日本政府はそのような主張は行っておりません。確かに勅令十三号には尖閣諸島の名が明示されていない。そこを攻撃しても「で?何?そもそもそんなこと言ってないけど?」という反撃で終わりになってしまう話でもあります。