中国がアメリカとの「サイバー協定」締結後も繰り返しサイバー攻撃を行っていることが発覚

By Bill Smith

中国政府や大企業による産業スパイは、アメリカでのトウモロコシ泥棒につながるほどにさまざまな分野で行われているようですが、そんな中国とアメリカの間で2015年9月25日に歴史的なサイバー協定が結ばれました。これは、「両国家が競合企業などの持つ企業秘密などの知的財産をインターネット経由で盗み出すようなサイバー犯罪を行わない、また、故意にそういった行いをサポートしないことに合意する」という内容のものだったのですが、協定が結ばれてから3週間以上が経過した現在も中国からの攻撃が多数検知されていることが明らかになっています。

The Latest on Chinese-affiliated Intrusions into Commercial Companies » Adversary Manifesto
http://blog.crowdstrike.com/the-latest-on-chinese-affiliated-intrusions-into-commercial-companies/

知的財産や国家機密を守るためのセキュリティテクノロジーを提供する「CrowdStrike」が開発する、フォーチュン500にランクインする企業の多くも採用しているというクラウドベースのセキュリティツールが「CrowdStrike Falcon」です。9月25日にアメリカと中国がサイバー協定を結んで約3週間が経ちますが、企業ネットワークへの侵入を試みた中国からの攻撃を、「CrowdStrike Falcon」が多数検知・遮断していることをCrowdStrikeが明かしています。

中国のアタッカーによる攻撃を受けた企業のうち7つは、テクノロジー・製薬関連の企業。これらは明らかに各企業が持つ知的財産や企業秘密を狙った攻撃と考えられています。両国がサイバー協定を結んだ後に行われた最初の攻撃は、協定が締結された翌日の9月26日。幸い、「CrowdStrike Falcon」が攻撃を検知・遮断することに成功しており、顧客データが盗まれる事態には至っていません。しかし、これらの攻撃が協定締結直後に行われたという事実には目を疑うばかりです。

「CrowdStrike Falcon」が検知した攻撃をタイムラインで表したのが以下の図。上部の「9/25」と書かれた赤色カードがサイバー協定が結ばれたタイミングで、「CrowdStrike Falcon」が直近30日間で検知した攻撃は図下部の濃いグレーの領域に日付と共に記されています。これによると、協定締結後に検知した攻撃は11回。なお、以下のグラフは「CrowdStrike Falconが検知したテクノロジー・製薬関連の企業への攻撃」のみ図示したものです。

これらの攻撃は中国政府と関わりがあるとみられているハッカーグループ「DEEP PANDA」などによるもので、農業・化学薬品・金融・ヘルスケア・保険・法律・テクノロジーなどさまざまな分野に対する攻撃が検知されている模様。多くの攻撃はウェブサーバーに対するSQLインジェクションによる「China Chopper」の設置から企業ネットワークへの侵入を試みているそうです。

なお、CrowdStrikeによると中国政府関連の攻撃は現在も続いているとのことです。