中国政府とつながるハッカー集団が日本企業を標的に大規模なハッキング攻撃を仕掛けているとの報告

「世界中の日本企業および関連企業を標的にした大規模なハッキング攻撃が、中国政府の支援を受けているとみられるハッカー集団によって実施されている」と、シマンテックのセキュリティ研究者が報告しました。

Japan-Linked Organizations Targeted in Long-Running and Sophisticated Attack Campaign | Symantec Blogs
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

APT Exploits Microsoft Zerologon Bug: Targets Japanese Companies | Threatpost
https://threatpost.com/apt-exploits-zerologon-targets-japanese-companies/161383/

Massive, China-state-funded hack hits companies around the world, report says | Ars Technica
https://arstechnica.com/information-technology/2020/11/massive-china-state-funded-hack-hits-companies-around-the-word-report-says/

研究者が発見した大規模な攻撃は、世界中の17の国と地域にある複数の日本企業やその子会社を標的にしているとのこと。攻撃対象となっているのは自動車企業や製薬企業、一般商社、マネージドサービスプロバイダ(MSP)など多岐にわたり、非常に規模が大きく洗練された攻撃を行っていると研究者は報告しています。

日本企業を標的にした大規模な攻撃の発見には、人工知能を活用したシマンテックのCloud Analyticsテクノロジーが関わっています。ノートンライフロック(シマンテックの民生向け事業)が保持する膨大なデータを分析することが可能なCloud Analyticsが、疑わしいサイバー攻撃にフラグを立てたことを受けて研究チームが詳細な分析を行ったところ、世界各国にまたがる大規模な攻撃の全体図が浮かび上がったとのこと。

一連の攻撃は少なくとも2019年10月中旬から2020年10月まで継続されており、かなりの時間とリソースがつぎ込まれています。実際に被害を受けた企業がある国や地域を示した地図がこれ。アジアやヨーロッパ、北米などの企業が標的になっていることがわかります。被害を受けた企業は主に有名で規模の大きい日本企業やその関連企業だそうで、中国国内で攻撃を受けた企業も日本企業の子会社だったとのこと。研究者らは一連の攻撃が、中国政府の支援を受けているとみられているハッカー集団「APT10(Cicada)」によるものだとみています。

なお、APT10によるハッキングは以前からたびたび話題に上がっており、世界各国の企業や機関が標的とされています。

クラッカー集団「APT10」が大企業のネットワークに侵入したことが判明、実行犯は中国の情報機関の手先である可能性 - GIGAZINE

by Nicolas Raymond

今回のハッキングのように、攻撃範囲が広く大規模なハッキングを行うハッカー集団の多くは、一般的に政府の支援を受けていると推測されます。APT10は以前にも日本企業を対象にしたハッキングを仕掛けた前例があるほか、顧客のコンピュータやネットワークなどの運用・監視・保守を行うMSPを標的にする点も、過去のAPT10の動きと類似しているとのこと。

また、ハッカーが広範囲に用いる「DLLサイドローディング」という攻撃手法は、WindowsのプログラムファイルであるDLLファイルを悪意のあるファイルに置き換え、セキュリティソフトウェアの検出を回避しつつマルウェアを仕込むものです。この攻撃手法に使われるシェルコードや難読化手法も、過去にAPT10が用いたものと重複していると研究者は指摘しています。

以上の点から研究者は一連の攻撃がAPT10によるものだと考えており、日本に関連する多くの組織が洗練され豊富なリソースを持つサイバー攻撃の標的になり得ると主張。これまでのところ、自動車産業が主なターゲットになっているものの、それ以外のあらゆる分野の組織が潜在的なリスクにさらされていることを認識する必要があるそうです。

また、シマンテックが確認した攻撃の中には、2020年8月にMicrosoftがパッチを当てたばかりの脆弱性・Zerologonを用いるものもあったとのこと。最新の脆弱性を用いる点からも、攻撃者らはハッキングのツールと戦術を常に進化させ続けていることがうかがえます。