APT1レポートに関するまとめ?

先週 Mandiantが APT1の活動についてのレポートを公開しましたが、その後様々な反応がありました。ここではそれらをまとめつつ、レポートの内容についての補足をしたいと思います。

(関連するこのブログの記事)
Comment Groupのこれまでの活動 - セキュリティは楽しいかね? Part 2
APT(Advanced Persistent Threat)について語るなら、これくらいは読んでおけ! - セキュリティは楽しいかね?
Advanced Persistent Threat (APT)とは何か (Part 1) - セキュリティは楽しいかね?

(参考)
ちょうどこの記事をまとめている途中に、以下の記事を見つけました。非常に冷静な分析で参考になる内容だと思います。
解放軍ハッカー説と米国防予算:日経ビジネスオンライン

Mandiantについて

Mandiantは単なるセキュリティ会社というにはやや特殊な会社です。創業者である CEOの Kevin Mandiaをはじめ、COOやCSOなどの要職を軍の情報機関出身者が占めています。一私企業が公開したレポートではありますが、こうした背景は考慮しておく必要があるでしょう。

(関連記事)
China hacking claims: tech firms move to front line in US cyberwar | World news | guardian.co.uk
Analysis: Detailed China hacking report leaves little room for doubt | Asia News – Politics, Media, Education | Asian Correspondent

61398部隊とは?

レポートの結論を簡単に要約すると「過去数年間にわたって主に米国の複数の組織に対して行われてきたサイバースパイ活動は、人民解放軍のある部隊によるものと考えられる」ということです。この部隊とは、総参謀部第三部第二局(61398部隊)のことですが、総参三部が中国におけるサイバースパイ活動の中心的な役割を担っていることは、実は以前から度々指摘されていました。

米議会の諮問機関である米中経済安全保障調査委員会(USCC: U.S.-China Economic and Security Review Comission)は毎年議会に年次報告書を提出していますが、2009年と2012年には中国によるサイバー攻撃に関するより詳細な報告書を公開しています*1。これらの報告書では、中国におけるサイバー攻撃の戦略、攻撃手法、組織体制などについて詳細に論じており、総参謀部第三部および第四部と技術偵察局などがサイバー攻撃に関する主要な役割を担っているのではないかと推測しています。

(lUSCC)
Occupying the Information High Ground: Chinese Capabilities for Computer Network Operations and Cyber Espionage. | U.S.-CHINA

(日本語訳)
BSK第22-5(平成22年9月)中華人民共和国のサイバー戦とコンピュータ・ネットワーク・エクスプロイテーション能力 米中経済安全保障調査委員会議会報告2009から抜粋<PDF>
BSK第25-1(平成24年9月)情報優位の獲得:コンピュータ・ネットワーク作戦及びサイバースパイ活動のための中国の能力<PDF>


また米国の民間シンクタンクである Project 2049 Instituteはアジア地域の安全保障問題を主な調査研究の対象としていますが、2011年と2012年に中国のサイバースパイ活動に関する調査報告書を公開しています。この報告書では、人民解放軍の総参謀部第三部を活動の主な司令塔としており、12ある作戦局と3つの研究所の役割や場所などについて紹介しています。今回の Mandiantの報告書で APT1として名指しされた 61398部隊についても当然言及しており、それによるとこの部隊は上海に本部拠点を置き、主に米国やカナダに対する作戦活動に従事しているとされています*2

(Project 2049 Institute)
The Chinese People's Liberation Army Signals Intelligence and Cyber Reconnaissance Infrastructure (PDF) (2011/11/11)
Countering Chinese Cyber Operations: Opportunities and Challenges for U.S. Interests (PDF) (2012/10/29)

(上記の紹介記事)
中国人民解放軍が擁するサイバー・スパイ組織の全貌:日経ビジネスオンライン


さらに前回の記事でも少し触れましたが、WikiLeaksによって公開された2008年11月の外交公電には「上海を拠点とする、総参三部に関係するハッカーグループによって、米国の複数のシステムが侵入された」との記述があります。この公電ではこれらのサイバースパイ活動を "Byzantine Candor" (BC)というコードネームで呼んでおり、BCによる攻撃が 2002年から観測されているとあります。この BCは一般には Comment Groupまたは Comment Crewと呼ばれており、Mandiantは APT1と同一だとレポートで述べています。

(上記の公電から該当箇所を引用、下線は筆者によるもの)*3
"Since late 2002, USG organizations have been targeted with social-engineering online attacks by BC actors. BC, an intrusion subset of Byzantine Hades activity, is a series of related computer network intrusions affecting U.S. and foreign systems and is believed to originate from the PRC.
(中略)
According to Air Force Office of Special Investigations (AFOSI) reporting, hackers based in Shanghai and linked to the PRC,s People,s Liberation Army (PLA) Third Department have been using these compromised systems as part of the larger BC attack infrastructure to facilitate computer network exploitation (CNE) of U.S. and foreign information systems.
(中略)
A October 23 DoD cable states Shanghai-based hackers associated with BC activity and linked to the PLA have successfully targeted multiple U.S. entities during this time period. The cable details dozens of identified Internet Protocol (IP) addresses associated with BC activity as well as the dates of their activity. All of the IP addresses listed resolve to the CNC Group Shanghai Province Network in Shanghai, and all the host names of the addresses contained Asian keyboard settings as well as China time zone settings."


これらの点から、今回 Mandiantが指摘した部隊の存在およびその活動内容について、米国の関係者の間では周知の事実だったことがわかります。
なお中国はこれらの組織の存在を公式には認めておらず、実態はよくわかっていないのが実状です。

レポートの内容への批判

レポートは、「APT1によるサイバースパイ活動の対象」「攻撃のライフサイクルやバックドアなどのマルウェア」「攻撃に利用されたインフラ (C2サーバ、ドメインなど)」「複数のハッカーの特定」などについて詳細に記述されています。Mandiantが過去 APT1について調査してきた内容の集大成といってもいいでしょう。しかし当然ながらいくつか批判もあります。攻撃の活動主体を名指ししているにもかかわらず、いずれも状況証拠ばかりで決定的なものでないことが特に批判の的となっています。

まず中国の反応ですが、国防部は軍がハッキング活動を支援したことはないと否定し、むしろ中国は米国からサイバー攻撃を頻繁に受けていると反発しています。特に発信元 IPアドレスの位置情報(攻撃の大半が上海の 4つのネットブロックを起点にしている)をもとにした推測について、根拠が薄いとしています。

(国防部によるプレス発表)
Chinese military never supports cyberattacks: defense ministry
China refutes accusations of launching cyberattacks on US
"The spokesman said Mandiant's report was groundless in fact because the report came into the conclusion that the source of attack came from China only with the discovery that attacks were linked to IP addresses based in China."


また米国内でも同様の批判はあります。たとえば Jeffrey Carr*4は中国による攻撃活動であることは事実だろうけど、結論ありきで仮説の検証が十分行われていないことを批判しています。また他にも、61398部隊の本部ビルの近くにはインテルなどのハイテク企業もあり同じ通信会社のネットワーク回線を利用していることや、位置情報について細かな間違いがあることなども指摘しています*5

Al Jazeeraの記事(書いているのは Thinkstの人)でも、PLAの仕業と決めつけるのにはかなり無理があり、米国内におけるロビー活動の一環ではないかと見ています。私自身もこれらの批判は的を射たものだと考えていますが、Mandiantの名誉のために言っておくと、レポートでは 61398部隊ではない可能性もあると一応述べています。

(Jeffrey Carrのブログ記事)
Digital Dao: Mandiant APT1 Report Has Critical Analytic Flaws
Digital Dao: More on Mandiant's APT1 Report: Guilt by Proximity and Wright Patterson AFB

(その他の批判記事)
Hacking incidents and the rise of the new Chinese bogeyman - Opinion - Al Jazeera English
thinkst Thoughts...: ThinkstScapes 2013-AH1: On the China report
APT1: Matching data to your hypothesis is not the same as proving your case | The Roer Information Security Blog

APT1の位置づけ、レベル

Mandiantはおよそ20ほどの APTのグループについて調査をしているようなのですが、そのうち今回の APT1はどう位置づけられるのでしょうか*6。この点について、Mandiant CSOの Richard Bejtlichが Forbesのインタビューに答えています。それによると、攻撃者のレベルを3段階に分けたときに、今回の APT1は一番下。高度なハッカーではないけれども、継続的に非常に多くのサイトに侵入するなど、最も活動的で生産的なグループであると述べています。軍の部隊かもしれないが、いわゆる特殊部隊のエリートではないと。これだけ多くの活動の証拠を残していることなどを考えると、まあ納得できる評価ではないかと思います*7。AlienVaultや Dell SecureWorksなどの研究者も、APT1はそれほど高度な攻撃グループではないと言っているようです。

Mandiantもより高度なハッカーの活動についてはあまり情報を公開していません。APT1の場合には、攻撃手法がそれほど高度ではないものの被害対象組織が非常に多いため、情報公開によって攻撃者が対応してしまうデメリットよりも、攻撃対象となりうる組織に警鐘を鳴らし対策を進めることのメリットのほうが大きいと判断した結果なのでしょう*8

(Forbesによるインタビュー記事)
The Shanghai Army Unit That Hacked 115 U.S. Targets Likely Wasn't Even China's 'A-Team' - Forbes
"They’re prolific, and sophisticated enough to get into many targets. But there are other incidents we’ve tracked where, if they needed the A-Team, they sent in other groups."
"We don’t consider APT1 to be elite. We consider them to be successful and prolific. They got the job done against a lot of targets."

Anonymousの功績?

APT1レポートでは 3人のハッカーを特定していますが、実はそれには Anonymousが間接的に貢献しています。Anonymousは 2011年の初めに米国のセキュリティ会社 HBGary Federalに侵入して内部情報を漏洩しています*9。このとき、rootkit.comにも侵入して全てのアカウント情報を公開しました。rootkit.comは HBGary社の創業者であり著名なセキュリティ研究者である Greg Hoglundが開設したサイトで、世界中のハッカーや研究者がアカウントを登録して利用していました。そして実は APT1のハッカーも rootkit.comにアカウントを登録していたのです。ドメイン登録時の情報など他にも特定に利用された情報はありますが、rootkit.comの情報も重要な役割を演じたと言えるでしょう。

なお rootkit.comの情報から攻撃者を特定した事例は実はこれが最初ではありません。例えば Dell SecureWorksによって特定された別の中国人ハッカーの事例などが知られています。

AnonymousによるHBGary Federalへの侵入事件については、以前書いた別の記事もどうぞ*10

(関連記事)
How Anonymous accidentally helped expose two Chinese hackers | Ars Technica
Tracking Cybercrime: Chinese Threat Actor Part 4
Tracking Cybercrime: Chinese Threat Actor Part 5 ( *11 )

Comment Group/Crew についての補足

前回の記事で Comment Groupの過去の活動についてまとめましたが、他にもいくつか APT1レポートの公開に対してフォローする記事が出ています。

(関連記事)
Comment Group Cyber Espionage: Additional Information & Clarification « The Shadowserver Foundation
APT1: Additional Comment Crew Indicators of Compromise | Symantec Connect Community

オバマ政権が発表した新戦略

Mandiantが APT1のレポートを公開したのは 2月18日ですが、2日後の 2月20日に米政府は企業秘密の保護に関する新たな戦略を発表しました。これは米国に対して行われているスパイ活動など企業秘密の窃取が増加している状況をふまえて、対抗措置を打ち出したものです。名指しこそ避けていますが、中国など海外の国々に対して外交圧力をかけることを意図しています*12。また過去には Office of the National Counterintelligence Executive (ONCIX)が 2011年に議会に報告書を提出しており、この中で中国とロシアを名指しで非難したことがあります*13。このように、米国ではスパイ活動による国家機密や企業秘密の漏洩を重大な問題と考えており、これを行う諸外国に対して断固とした姿勢で望むことを度々アピールしています。

タイミングが非常によかったこともあり、APT1レポートの公開と政府の新戦略の発表とを関連付ける記事も多く見られます。政治的な意図を読みとることもできますが、実際に連携した動きなのかどうかはわかりません。

(関連記事)
米、対サイバー攻撃戦略を公表 - WSJ.com
BBC News - White House vows to fight trade-secrets theft
Obama's new cyber-security tactics finger corrupt staff, China • The Register

結論

というわけで、おそらくいろいろな方面に影響を及ぼしたであろう今回のレポートですが、一言でまとめると「まあそんなに大騒ぎすることではない」でしょうか。;)

*1:2009年の報告書はなぜかリンク切れになっていて現在は参照できないようです。

*2:日本および韓国を主な対象として活動しているのは第4局(61419部隊)で青島に拠点を置いているようです。

*3:この中にでてくる AFOSIは Kevin Mandiaが所属していたところです。

*4:"Inside Cyber Warfare"の著者でもあり、この分野では有名な方です。

*5:このブログの記事の中で彼は Mandiant経営陣との会話について触れています。それによると Mandiantは APTという用語を中国のみに限定して使用することはやめたようです。

*6:先月末の NYTimesの報道によると、昨年 NYTimesに攻撃をしたグループは APT12と呼んでいるそうです。

*7:ただし全く別の活動主体がそう見せかけているだけ、という可能性もないわけではありません。また仮に中国によるものだとしても軍が直接関与していない可能性もあります。

*8:実際、レポート公開によって関連ドメインの登録情報が変更されたり、SNSアカウントが削除されたりといった動きが見られます。

*9:この侵入事件を主導したグループがのちに LulzSecを結成しました。こちらの記事もあわせてどうぞ。→ いまさら聞けないAnonymous http://www.atmarkit.co.jp/fsecurity/special/172anon/02.html

*10:この事件はソーシャルエンジニアリングの事例としてもなかなか興味深いです。

*11:このブログ記事ではオープンソース情報をもとに、APT1ハッカーの特定を試みています。

*12:ただし直接の名指しはしていないものの、この文書では中国人による過去の産業スパイ事件を事例として複数紹介しています。

*13:この報告書は今回公開された文書の付録 Annex Cとして紹介されています。