ファイア・アイ、中国を拠点としたサイバー攻撃グループ「APT30」の 詳細情報を公開

東南アジア、インドの政府・報道関係者・商業機関をターゲットに、 10年間に及ぶサイバースパイ活動を実施

米国カリフォルニア州ミルピタス発
高度なサイバー攻撃の対策製品、サービスで業界をリードするファイア・アイ(FireEye, Inc.、本社:米国カリフォルニア州ミルピタス、日本法人:東京都千代田区、代表:茂木正之)は、「APT 30および長期に及ぶサイバースパイ活動のメカニズム(APT 30 and the Mechanics Of a Long-Running Cyber Espionage Operation)」と題した最新の脅威情報レポートを発表しました。本レポートは、中国政府が支援している可能性の高いAPT攻撃(Advanced Persistent Threat:高度で持続的な標的型攻撃)グループである「APT 30」によるサイバースパイ活動に関する情報をまとめています。

APT 30は、少なくとも2005年からサイバースパイ活動を実施しており、ファイア・アイが継続的に追跡しているAPTグループの中でも、最も活動期間の長い組織の1つです。このグループは、マレーシア、ベトナム、タイ、ネパール、シンガポール、フィリピン、インドネシアを含む東南アジア、インドを標的としたサイバースパイ活動を続けています。さらに、APT 30の攻撃のツール・手法・手順(TTP:Techniques, Tactics, and Procedures)は、大半のAPT攻撃者が検出を回避するためにTTPを定期的に変更するのとは対照的に、当初から一貫したTTPを使い続けており、それでも継続的な成功を収めています。

ファイア・アイの脅威情報担当バイスプレジデントであるダン・マクウォーター(Dan McWhorter)は、次のように述べています。「APT 30などのAPTグループからわかることは、国の支援を受けたサイバースパイ活動が、世界中のさまざまな政府機関・企業に影響を及ぼしているということです。東南アジア、インドでのAPT 30の一貫性とその成功を踏まえると、今回公開したAPT 30の脅威情報を活用することで、各国の政府や企業が、すでに根づいてしまった脅威をいち早く検知・防御・解析し、対処できるようになります」

APT 30のマルウェアを分析した結果、彼らは既存のテクノロジー企業のように、組織的にソフトウェアの開発を行っており、侵害対象となる外交・政治・報道機関や民間企業のさまざまな環境と密に連動した手段をとることが判明しています。ターゲットにされた組織が持つ情報は、東南アジア地域の政府・経済・軍事に関する重要問題や、紛争地域、中国共産党の正当性に関する議論など、中国政府にとって重要と思われる情報となっています。

本レポートの主な調査結果の内容は、以下の通りです。

10年以上に及ぶ長期的なサイバースパイ活動
APT30による統合型ツールセットの開発・改良や、10年以上に及ぶインフラストラクチャの再利用の状況から、これが一貫性のある長期的なミッションに基づくことがうかがえます。このツール群は、ダウンローダ、バックドア、中央コントローラ、複数のコンポーネントで構成されており、リムーバブルドライブに感染し、エアギャップ型ネットワークを横断して、情報を窃取できるようになっています。APT30は、マルウェアのコマンド&コントロール(C2)で利用するために、自らのDNSドメインを頻繁に登録しています。マルウェア・サンプルの存在を見ると、ドメインの一部は長年にわたって使用されています。

l体系化・組織化されたワークフロー
APT30の組織はワークフローが体系化・組織化され、チームによる協業環境が整っており、マルウェアも、首尾一貫した開発姿勢を反映したものとなっています。APT30(あるいは彼らを支援する開発者)は、マルウェアのバージョニングについて、体系的なラベル付けを行い、継続的な追跡を実施しています。マルウェアは、ミューテックスとイベントを使用することで、いかなる場合でも単一のコピーのみが実行される状態を保証しており、マルウェアのバージョン情報は、バイナリ内に組み込まれています。マルウェアのC2通信ではバージョンチェックが行われており、マルウェアは最新版のコピーへとアップデートすることで、継続的なアップデート管理が可能となっています。

l優先順位付けされたターゲット
APT30の「Lecna」(BACKSPACE)バックドアの制御ソフトウェアからは、脅威グループがターゲットの優先順位を決定しつつ、交代制で作業を行っている可能性が示唆されています。APT30のバックドアは通常、2段階のC2プロセスを使用しており、攻撃対象のホストは、最初のC2サーバーに接続すると、攻撃者のメインコントローラに接続すべきか否かを判断します。コントローラはGUIインターフェイスを使用しており、攻撃者は、ホストの優先順位を決定し、攻撃対象にノートを追加、特定のホストがオンライン状態になった時のためにアラートを設定することが可能です。最後に、コントローラ内では、未使用のダイアログボックスが、最新の「アテンダント」向けのログインプロンプトを表示します。

APT30の主なターゲット
彼らの主な目的は、政冶上のスパイ活動を目的とした機密情報の窃取にあると思われます。APT30のマルウェアは、(特定のファイルタイプなどの)情報の窃取を狙いにしたもので、一部のケースでは、リムーバブルドライブの感染が可能で、エアギャップをジャンプする可能性もあります。一部のマルウェアに含まれるコマンドでは、「Hide」モード内に自らを置くことで、攻撃対象のホスト上でステルス状態を保持しており、おそらくこれによって長期の潜伏が可能となっています。

APT30の主なターゲットは、政府の情報収集要件を満たすと思われる組織です。APT30の攻撃対象は、その大部分が東南アジアに位置しています。そのソーシャル・エンジニアリング活動の大半からは、グループの主な関心事が、地域の政治・軍事・経済に関する問題や領土紛争、そして中国および中国政府の正当性に関するトピックを扱う報道機関・報道関係者にあることがうかがえます。

APT 30とその活動内容、およびターゲットに関する詳細な情報は、下記のレポート全文(英語)をご覧ください。

企業やセキュリティ担当者の方は、それぞれの実装環境向けに当社が公開している脅威情報をご覧ください。