Microsoftが中国政府の関与が疑われるハッカーグループが用いていたドメインの押収に成功

Microsoftが中国を拠点とするハッカーグループ「Nickel」が用いたドメイン42個の差し押さえに成功したと発表しました。このハッカーグループは中国にとって地政学上の敵国にあたる国々の政府機関やシンクタンク、人権団体をターゲットにしていることから、中国政府の関与が疑われています。

Nickel_Complaint_a
https://www.documentcloud.org/documents/21138937-nickel_complaint_a

Nickel_bc_Order Granting TRO
https://www.documentcloud.org/documents/21138969-nickel_bc_order-granting-tro

Protecting people from recent cyberattacks - Microsoft On the Issues
https://blogs.microsoft.com/on-the-issues/2021/12/06/cyberattacks-nickel-dcu-china/

Microsoft seizes sites used by APT15 Chinese state hackers
https://www.bleepingcomputer.com/news/microsoft/microsoft-seizes-sites-used-by-apt15-chinese-state-hackers/

Microsoft seizes domains used by Chinese cyber-espionage group Nickel (APT15) - The Record by Recorded Future
https://therecord.media/microsoft-seizes-domains-used-by-chinese-cyber-espionage-group-nickel-apt15/

Microsoftのデジタル犯罪対策部門にあたるDigital Crimes Unit(DCU)が2021年12月6日、Nickelの妨害に成功したと発表しました。DCUが行った妨害作戦はNickelがアメリカおよび世界28カ国の組織を攻撃する際に用いていたドメインを押収するというもので、DCUはバージニア州連邦裁判所に当該ドメインの管理権を強制的に委譲する法的許可を求め、許可を得た後に当該ドメインへのアクセスを安全なサーバーにリダイレクトするという処置を施しました。

今回成功した妨害作戦はNickelの組織自体に打撃を与えるものではありませんが、DCUは「Nickelが一連の攻撃で使用していたインフラストラクチャーの要となる部分を取り除くことに成功した」と語っています。

Nickelは2016年からMicrosoftの脅威インテリジェンス部門であるThreat Intelligence Centerが追跡しているハッカーグループで、「APT15」「KE3CHANG」「Vixen Panda」「Royal APT」「Playful Dragon」とも呼ばれています。発表によると、Nickelが活動している国はアメリカ、アルゼンチン、バルバドス、ボスニア・ヘルツェゴビナ、ブラジル、ブルガリア、チリ、コロンビア、クロアチア、チェコ、ドミニカ、エクアドル、エルサルバドル、フランス、グアテマラ、ホンジュラス、ハンガリー、イタリア、ジャマイカ、マリ、メキシコ、モンテネグロ、パナマ、ペルー、ポルトガル、スイス、トリニダード・トバゴ、イギリス、ベネズエラの29カ国で、これらの国々を図示した世界地図が以下。

DCUによると、Nickelのターゲットとなっているのは上記の国々の外交組織や外務省を含めた民間団体・公的機関とのこと。DCUはNickelに対して中国政府の関与があるという明言は避けましたが、「Nickelのターゲットと中国の地政学的な利益は往々にして関係がみられる」と言及しました。

DCUはサイバー犯罪者が用いているドメインを差し押さえるという戦術のパイオニアを自称しており、その成果としてすでに24件の訴えによって、サイバー犯罪者が用いていた悪意のあるウェブサイトを1万個以上、国家の支援を受けるハッカー集団が用いていたウェブサイトを600個以上停止し、将来的にサイバー犯罪者に用いられると予想されるウェブサイトを60万個以上ブロックしてきたとアピールしています。