悪意を持つ攻撃者グループ“脅威アクター”による重要インフラ攻撃が活発化

　「世界各地の重要インフラが、悪意を持つ攻撃者グループである脅威アクターの活発な活動の標的になっている」--。米Recorded Futureで脅威インテリジェンスアナリストを務めるキャリー・アボア氏は、こう指摘する（写真1）。

写真1：米Recorded Future 脅威インテリジェンスアナリストのキャリー・アボア（Callie Aboaf）氏

インドの送電網を標的に中国関連の脅威アクターが活動

　アボア氏によれば、2020年から2023年までに、中国関連の脅威アクターである「RedEcho」がインドの電力網に仕掛けた標的型攻撃が観察されている。RedEchoは中国およびアジア太平洋地域に攻撃用のインフラ拠点を置き、モジュール型マルウェア「ShadowPad」を使っている。脅威アクターの「Red Gulf」や 「APT41」「Tonto Team」などと技術的な重なりが見られるという。

　中国とインドは長年、国境紛争を続けている。2020年5月には両国の兵士が実効支配線（LAC）に沿って配置され衝突してもいる。RedEchoの活動は「こうした地政学的な緊張が高まる中で出現したもの」（アボア氏）だ。

　同時期のRedEchoの活動には、ShadowPadを使ったインドの電力事業者が運用するサーバーへの大量かつ持続的な攻撃が含まれる。最終的には「インドの発電所１カ所と、5カ所ある地域給電指令所（RLDC）のうち4カ所、2つの州の給電指令所、および2つの主要な港湾を標的にしていた」（アボア氏）という（図1）。その際「インドの発送電の複数のWebサイトを偽装していた」（同）

図1：中国関連の脅威アクターであるRedEchoはインドの電力資産を対象に広範な地域をターゲットにした

　アボア氏は「RedEchoは地域の電力需供をバランスさせている給電指令所を侵害した。広範囲にわたる停電を引き起こし、多くの市民に影響を与え、経済的な混乱を引き起こす可能性があった」と振り返る。

　RedEchoの攻撃は、2021年2月にRecorded Futureが活動に関するレポートを発表した後、3月11日までに攻撃を一旦停止した。だが2021年7月に活動を再開し、2021年8月まで続けた。この間の攻撃では「ShadowPadを使って再び、インドの4つのエネルギー組織と、デリーにある給電指令所および政府所有の電力システム運用会社が標的になった」（アボア氏）

　RedEchoの一連の攻撃についてアボア氏は「経済的なスパイ行為の可能性は低い。将来の操作活動のための情報収集あるいはインドの電力グリッドに関する地図を作成し、将来の利用に備えるためだと考えられる。こうした事前活動は、武力紛争が激化・長期化している際には警告の意味を持つ」と説明する。

　中国の国家支援型脅威アクターである「TAG-38」も、少なくともインドの州が運営する7つの給電指令所を攻撃した。アボア氏は「TAG-38はShadowPadだけでなく、オープンソースのプロキシツールである『Fast Reverse Proxy』なども使っている。主に台湾と韓国にあるIPカメラや防犯カメラ用のDVR（Digital Video Recorder）などのIoT（Internet of Things：モノのインターネット）デバイスを侵害し、ShadowPadをコントロールしている」と説明する。

　2024年5月から7月にかけては、VPS（Virtual Private Server:仮想専用サーバー）からなる匿名ネットワーク「HiddenOrbit（Red Relayとも呼ばれる）」を経由したインドの電力組織に対する偵察活動も確認された。

　この偵察活動では「インドの10州における給電指令所と電力送配電オペレーターが対象になった。侵害や悪用を示す証拠は確認できなかったが、インドの重要インフラが中国の長期的な関心対象である可能性を示唆している。RedEchoやTAG-38に似ているが相互の関係性は確認されていない」（アボア氏）という。