クラッカー集団「APT10」が大企業のネットワークに侵入したことが判明、実行犯は中国の情報機関の手先である可能性

by Nicolas Raymond

世界的にクラッキングを行う集団「APT10」が知的財産と企業秘密を入手するために、ノルウェーを代表するソフトウェア企業のVismaのネットワークに侵入して機密情報を盗み出したと、ネットセキュリティ企業のRecorded Futureが報告しています。Recorded Futureによると、このクラッカー集団は中国の情報機関に関連する組織で、世界中の企業や政府組織から機密情報を盗み出すような攻撃を行っているそうです。

APT10 Targeted Norwegian MSP and US Companies in Sustained Campaign
https://www.recordedfuture.com/apt10-cyberespionage-campaign/

China hacked Norway's Visma to steal client secrets: investigators | Reuters
https://www.reuters.com/article/us-china-cyber-norway-visma/china-hacked-norways-visma-to-steal-client-secrets-investigators-idUSKCN1PV141

アメリカの司法省は、「中国は2018年12月からハッキングを行っていて、世界中の企業から知的財産や企業秘密を盗みだそうと試みている」と主張しており、実際に中国国家安全部の関係者とみられるクラッカー2人を起訴しています。

この司法省が提出した起訴状の中には、中国人クラッカー集団である「APT10」の存在に言及されています。APT10は少なくとも2009年から活動を続けてきたクラッカー集団で、医療・防衛・航空宇宙・政府・重工業などさまざまな分野の企業のネットワークにDropboxなどのクラウドサービスを利用して侵入し、知的財産や機密情報を盗み出していたとのこと。APT10はアメリカのほかにフランス・ドイツ・日本・スイス・イギリスなどの12カ国でクラッキングを行っていて、「少なくとも45の企業とサービスプロバイダが被害に遭っていた」とRecorded Futureは述べています。

APT10の被害にあった企業の中にヒューレット・パッカード・エンタープライズやIBMも含まれているとロイター通信は報じています。なお、IBMは企業の機密データが盗まれた証拠はないと述べ、ヒューレット・パッカード・エンタープライズもAPT10の攻撃についてコメントはできないと述べました。

中国政府関連ハッカー組織がIBMやHPのネットワークにサイバー攻撃を仕掛け顧客企業のPCにも侵入していたと判明 - GIGAZINE

そんな中、2018年9月、Vismaのクライアントの1社がネットワークへの不正なアクセスを感知し、Recorded Futureに捜査の支援を依頼したそうです。Vismaが提供したマルウェアサンプルとネットワークログを分析したところ、2018年8月から既にネットワーク侵入の痕跡があったことが判明しました。Vismaは北欧を中心にビジネスを展開するソフトウェア企業で、売上高はおよそ10億ドル(約1100億円)を記録するヨーロッパを代表する大会社の1つです。

APT10のクラッカーは、Vismaのネットワークにログインしていたそうですが、このログイン時間は中国・天津市のアクティブタイムゾーンと重なるとのこと。アメリカ司法省の起訴状に含まれている資料の中には、APT10が中国の情報機関である国家安全部に関連する組織であることを裏付ける証拠も示されていて、APT10の本拠地はその支部である天津国家保安局と考えられるとしています。

中国の国家安全部には公の連絡先は存在せず、ロイター通信は中国外務省にコメントを要求しましたが返答はなく、中国当局は繰り返しクラッキングへの関与を否定しています。

Recorded Futureの戦略的脅威開発責任者でアメリカ国家安全保障局(NSA)の元情報担当官であるPriscila Moriuchi氏は、VismaのネットワークにおけるAPT10の活動は、商業的機密情報を求めてクライアントシステムに侵入することを意図したものだと述べています。また同氏は「APT10は、Vismaのネットワークを悪用して、Vismaの顧客にも攻撃をしかけることを可能にしたと考えています。しかし、攻撃が速やかに捕捉されたので、二次被害を食い止めることができました」と語っています。