メモ

中国の対ネット新兵器・巨砲「The Great Cannon」の仕組みとは

By Spolster

2015年3月に発生したGitHubへの史上最大のDDoS攻撃では5日間にわたってサイトに障害が生じたのですが、この攻撃の背景には中国政府レベルの組織が関わっていることが指摘されてきました。そんな中、サイバーセキュリティ関連企業が公表した報告書では、アジア・太平洋地域を中心に行われている大規模なサイバー攻撃に、中国政府の関与が疑われる組織「APT30」が関わっており、「The Great Cannon」と呼ばれるネット攻撃システムの存在が明らかにされました。

APT 30 and the Mechanics of a Long-Running Cyber Espionage Operation « Threat Research | FireEye Inc
https://www.fireeye.jp/blog/threat-research/2015/04/apt_30_and_the_mecha.html

China's Great Cannon
https://citizenlab.org/2015/04/chinas-great-cannon/

報告書を作成したアメリカを拠点とするサイバーセキュリティ関連企業の「FireEye」は、約70ページに及ぶ報告書(PDFファイル)において、同社が「APT30(Advanced Persistent Threat:先進的で強固な脅威)」と名付けた、中国国内の組織が企業スパイ活動やターゲット企業への攻撃を行っていることが明らかにされています。標的とされた企業や団体は、明らかになっているだけでもインド・マレーシア・ベトナム・タイ・ネパール・シンガポール・フィリピン・インドネシアの各国に存在しており、さらに日本を含むASEAN諸国でも同様の攻撃が行われていることが疑われており、その背景には中国政府が関わっていることを示す証拠の存在が指摘されています。また、この攻撃は2005年から継続的に行われていることがわかっています。


その状況について、FireEyeのアジア太平洋地域担当CTO・Bryce Boland氏は「中国政府の関与を示す『動かぬ証拠』は存在していないものの、全ての兆候が中国を指し示しています」と語り、政府レベルの大きな組織が関わっていることを示唆。そして「アジア地域では、知的財産の開発がとてつもない勢いで行われており、ここが新しい戦場となっています」と語っています。

また、トロント大学・Munk School of Global AffairsのCitizen Labが明らかにした調査では、3月16日に行われたGitHubへのDDoS攻撃と同26日にも発生したGreatFire.orgへの攻撃は、同サイトがホスティングしていたGitHubのページを標的としたものであると考えられることを明らかにしています。標的となったページには、中国の検閲システムを回避する技術に関するファイルが置かれてあり、これを妨害しようとするための攻撃であったと考えられています。GreatFire.orgによる調査では、Baiduのサーバから返された悪意のあるマルウェアが攻撃に用いられていますが、Baiduは同社のサーバが何者かによって感染させられていることを否定しています。

◆中国のネット検閲システム「金盾」と攻撃システム「Great Cannon」
中国にはネットの情報を検閲し、都合の悪い情報をブロックできるGreat Firewall(金盾)と呼ばれる検閲システムが存在していることはすでによく知られたところですが、これと双璧をなすともいえる攻撃の仕組み「Great Cannon」の存在が明らかになってきています。Great Cannonは特定のIPアドレスに対するトラフィックを乗っ取り、その内容を思い通りに置き換える中間者攻撃を行う能力を備えているとみられます。

その動作イメージは以下の図のような感じ。


図中の「TAP」が示すように、中国におけるネット環境は全てその内容を金盾(=政府)によって「盗聴」されており、たとえば中国国内からネット検索で「法輪功」や「天安門」などの禁止されたキーワードを入れると、検索したユーザーと相手のサイトに対してRSTパケットを送って通信を強制的にストップさせるなどの措置が取られます。これが、金盾に備わった「防御能力」です。


一方のGreat Cannonは、通信そのものを乗っ取ることによって別のサイトへリダイレクトしたり、攻撃用に作成された悪意のあるJavaScriptファイルを送りつけて攻撃の踏み台にするという「攻撃能力」を備えています。


システムの画面や操作マニュアルなどは、全て中国語の表記になっているとのこと。この点においても、中国人が関与している可能性は極めて高いとFireEyeは指摘しています。


独自のインターネット環境を構築した中国のネット検閲システムは、これまでいわば「防御」の姿勢を持っていたわけですが、今回新たに明らかにされたGreat Cannonは正反対となる「攻撃」の能力を備えたといえるもの。GitHubへのDDoS攻撃を例に出すまでもなく、都合の悪い相手に対する攻撃能力を手に入れたのであるとすれば、新たなる懸念が広がることは避けられそうにありません。

この記事のタイトルとURLをコピーする

・関連記事
中国のネット検閲システム「グレートファイアウォール」の仕組み - GIGAZINE

中国政府が規制するウェブサイトにアクセスするとどうなるか現地で試してきた - GIGAZINE

中国国内のサイトブロック状況が分かる「GreatFire.org」がサイバー攻撃を受け、事態は予断を許さない状況 - GIGAZINE

PSNとXbox LiveにDDoS攻撃を行った容疑で18歳のハッカーが逮捕される - GIGAZINE

中国でどのサイトがブロックされているかがわかる「GreatFire.org」 - GIGAZINE

改めて振り返ってみる「中国と香港・マカオ」をめぐる歴史と今後の流れ - GIGAZINE

天安門事件から丸25年、中国ではGoogleへのアクセスが遮断される - GIGAZINE

「インターネットでウワサを広めた」容疑で強制拘留、激化する中国の検閲 - GIGAZINE

in メモ, Posted by darkhorse_log

You can read the machine translated English article here.