ブログ(脅威調査)

APT40:中国政府が支援するスパイグループの調査

FireEyeでは、中国国家の支援を受け、重要な技術情報やインテリジェンスを狙ったスパイ活動を展開する「APT40」と呼ばれる脅威グループを追跡しています。中国海軍の近代化を支援するため、少なくとも2013年から活動している同グループは、特に海洋技術を扱うエンジニアリング、運輸、防衛産業などの分野を標的としています。近年では、一帯一路構想において戦略的に重要な国々 (カンボジア、ベルギー、ドイツ、香港、フィリピン、マレーシア、ノルウェー、サウジアラビア、スイス、米国、英国) を標的にしていた形跡も見られます。この国家支援型のサイバーグループはこれまで、「TEMP.Periscope」や「TEMP.Jumper」という名で報告されていました。

ミッション
2016年12月、中国人民解放軍海軍は南シナ海にて米海軍の無人潜水機(UUV)を拿捕しました。この事件は、サイバー空間における中国の活動と並行しています。その1年以内に、APT40はUUV製造業者になりすまし、海軍研究に携わる大学を標的にしました。これは中国が海軍能力向上のため、高度な技術を狙った多くの事件のうちの一つです。海洋情勢と海軍技術に重点を置いていることから、APT40は最終的に外洋海軍を編成するという中国政府の目的を支えているとFireEyeでは考えています。

APT40は、海洋情勢に重点を置いていることに加え、特に東南アジアで活動している組織や南シナ海での紛争に関与している組織など、インテリジェンス収集を目的に広範な地域で標的攻撃を行っています。最近では、一帯一路構想に関連して、カンボジア総選挙を標的にしました。一帯一路は、アジア、欧州、中東、アフリカを横断する陸海の貿易ネットワークを構築し、中国の影響力がより広域に及ぶことを目指した1兆ドル規模の構想です。

 

 


図1:標的とされた国と産業。米国、英国、ノルウェー、ドイツ、サウジアラビア、カンボジア、インドネシアが含まれる

アトリビューション
FireEyeは、APT40が中国国家の支援を受けたサイバースパイ・グループであるという評価に、ある程度の自信を持っています。同グループの標的は中国の国家利益と一致しており、また中国を拠点に活動していることを示す複数の技術的痕跡も確認されています。まず、同グループは中国標準時(UTC+8)を中心に活動している可能性が高いという分析結果が示されました。さらに、APT40が利用する複数のCommand and Control(C2)ドメインが中国のドメイン再販業者によって最初に登録されていたほか、「Whois」でも中国の位置情報が記録されており、これはインフラ調達プロセスが中国で行われていたことを示唆しています。

APT40は、中国にある複数のIPアドレスを使用して活動を行っています。 ある例では、オープンインデックス化されたサーバーから回復されたログファイルから、中国海南省にあるIPアドレス(112.66.188.28)が、被害を受けたマシン上のマルウェアと通信するコマンド・コントロール・ノードの管理に使用されていたことが明らかになっています。このC2へのログインは、すべて中国語設定で構成されたコンピュータによるものでした。

今後の展望
世間の関心が高まっているにもかかわらず、APT40はこれまでと変わらない頻度でサイバースパイ活動を継続しており、少なくとも短期、中期的には継続することが予想されます。また、2017年より選挙関連の標的を対象に加えたことなどから、同グループが海洋以外の分野にも標的を拡大していくということに、FireEyeはある程度の確信を持っています。一帯一路に関連した個々のプロジェクトの進展に合わせ、APT40の標的は各地域におけるプロジェクトの反対勢力にも及ぶことが予想されます。

 

ご参考情報:初期侵入や潜伏後の権限昇格など、APT40の攻撃サイクルの技術的詳細についてはブログ全文(英語)をご覧ください。