セキュリティ企業のFireEyeによると、10年もの間、中国政府のために機密情報を盗み出すことを目的に活動してきたと思われるサイバースパイ活動を検知したという。
FireEyeは「APT30 and the Mechanics of a Long-Running Cyber Espionage Operation」(APT30と長期にわたるサイバースパイ活動の仕組み)と題した報告書の中で、APT30と呼ばれる組織が2005年より高度で持続的な標的型攻撃(APT)を継続的に行っており、同組織は中国政府の支援を受けている可能性が高いことを明かした。
APT30は政府機関や民間企業、さらに中国政府に関連する重要な政治、経済、および軍事情報を保有する主に東南アジアの報道機関やジャーナリストを標的にしてきた。
FireEyeは、APT30がこの10年間データを盗むのに利用した一連のツールを発見したと主張している。それらのツールには、ダウンローダーやバックドア、中央コントローラ、さらにリムーバブルドライブを感染させることやエアーギャップ(セキュアなコンピュータネットワークとセキュアでないネットワークが物理的に分離されている環境)ネットワークからファイルを盗むことを目的とする複数のコンポーネントが含まれるという。APT30はほかにも2段階のコマンド制御プロセスという戦略を利用していた、とFireEyeは述べている。
同時に、FireEyeの報告書は、APT30が構造的かつ組織的なワークフローを有していることも示唆した。APT30のマルウェアは各マルウェアバージョンを把握できるように組織的に名前が付けられており、「一貫した開発アプローチ」を示していることがその理由だという。
FireEyeの脅威情報担当バイスプレジデントを務めるDan McWhorter氏は、「APTを行うAPT30のような組織の存在は、国家の支援を受けたサイバースパイ活動が世界のさまざまな政府や企業に影響を及ぼしていることを浮き彫りにするものだ」と述べた。
「東南アジアとインドにおけるAPT30の一貫性と成功を考慮すると、われわれが共有するAPT30の脅威情報は、この存在が立証された脅威を、同地域の政府や企業が検出、予防、分析し、それに対処することを速やかに開始する上で役立つだろう」(McWhorter氏)
APT30が発見されたことを受け、FireEyeのアジア太平洋地域を担当する最高技術責任者(CTO)のBryce Boland氏は、特にアジアの組織は、オンライン犯罪の被害に遭うことを避けるために、セキュリティの優先度を高める必要があると、ブログ記事の中で警告した。
「FireEyeのアジア太平洋担当CTOとして、アジアの組織は自らが高度なサイバー攻撃の脅威の標的になることはなさそうだと油断していることを、私は常に認識している。高度な攻撃者も、彼らが危機に無頓着であることをよく知っており、それを悪用している」と同氏は述べた。「APT30のようなグループは、盛んに地域の機密情報を盗難することに成功している。そしてこの地域は、われわれが世界中で確認している最高レベルのターゲット攻撃を受けてきている」(Boland氏)
「このグループは長年、成功裏に活動し、発見されないままでいることができた。そして、攻撃インフラを変更する必要が生じたことさえなかった。これは、攻撃が起こっていることを被害者が認識していないことを明確に示している」(Boland氏)
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
