中国によるAPT攻撃の先鋭化と攻撃を支える国家支援体制の実像

攻撃対象はアプライアンスの脆弱性へ

　戦略支援部の設立は2015年のこと。インテリジェンス機能を持ち、サイバー能力を高めた軍事作戦情報と戦時準備に注力する。中国のAPT活動は現在、「戦略支援部と国家安全保障省（MSS）の両者が実行している。戦略支援部の活動は地理的なものに限定されているが、MSSはより幅広い任務を担っている」とRecorded Futureは指摘する（図2）。

図2：中国人民解放軍（PLA）の再構築

　組織再編に伴う攻撃の変化を見てみると、「攻撃対象は2021年以降、エンドポイントからインターネットに直接接続されたアプライアンスの脆弱性へと移行した」（Recorded Future）。中国国家に支援されたグループが悪用した既知のゼロデイ脆弱性の85%以上は、「ファイヤーウォールや企業向けVPN（仮想私設網）製品など一般向けアプライアンスを対象にしたものだ」（同）

　攻撃ツールとしては、オープンソースのマルウェアファミリーやエクスプロイトが多く使用されている。「グローバルなターゲットに初期のアクセスを効果的に広げることに役立っている。オープンソースを利用し、新たに公開された脆弱性を迅速に武器化し、より高度なカスタム機能を維持し、アトリビューション活動を妨げている」とRecorded Futureは説明する。

　PLAとMSSは中国国家が支援する複数の攻撃グループと連携し、各組織を支援している。その一例がツールの提供だ。中国では、「マルウェアやエクスプロイトの開発についても国家支援があり、戦略支援部とMSSとが開発したツールが、中国内に約50ある攻撃組織間に流通している」（Recorded Future）。攻撃組織は、「それらをツールを組み合わせた攻撃により、さらに効果を上げている」（同）という（図3）。

図3：戦略支援部とMSSとが開発されたツールが流通し、組み合わせて使用されている

持続的攻撃に脆弱性中心のアプローチでは不十分

　中国国家が支援する攻撃グループは「Tier1からTier3まで3つのグループに分けられる」（Recorded Future）。それぞれがクラス別の戦略支援部ユニットと連携する。

Tier1 ：攻撃が最も洗練されたグループ。EU（欧州連合）と北米、中米をターゲットにしている。

Tier2 ：次に洗練されたグループ。Tier1から共有されたカスタムツール（PlugX、ShadowPadなど）を使って、一般的に研究者が追跡しやすいインフラを使用する傾向がある。西側諸国全般と日本を含むアジアパシフィックをターゲットにしている。

Tier3 ：よく知られたカスタムツールやオープンソースを独占的に使用し、DNSプロバイダーがドメイン仕様の大部分を占める。南北中央アジアをターゲットにする。

　こうした中国側の連携した動きは、防御側技術の向上とも関係している。「監視が強化されたことにより攻撃法を強化し、戦略も高度化している」と松田氏は指摘する。「前述の国家支援を受けた攻撃グループの情報やツールの共有もそのためのものだ」（同）という。

　過去５年間、中国の攻撃目標は、（1）戦略的経済政策目標、（2）軍事・政治情報、（3）内部脅威の認識の主要3分野に集中してきた。重要インフラへのアクセスは準備体制や有事の際に活用されるため、「そこを標的にすることは軍事的・政治的インテリジェンスと合致している。そのためリスクは高まっており、確実な準備や、より能動的なセキュリティ対策の実施が求められている」とRecorded Futureは警鐘を鳴らす。

　そのうえでRecorded Futureは、「中国のAPT攻撃の標的にされる可能性が高い組織にとって、ネットワーク防御に対する脆弱性中心のアプローチは不十分だ。能動的なセキュリティ対策や、リスクに基づいた脆弱性管理への移行、外部向け機器のセキュリティ監視・検知などが必要だ」と強調する。

お問い合わせ先

レコーデッド・フューチャー・ジャパン株式会社

お問い合わせ：https://www.recordedfuture.com/jp/contact

E-mail：jp-marketing@recordedfuture.com