米国の知財を狙った中国のハッカー、その手口と「標的」が見えてきた

 

2020/07/26 https://wired.jp/2020/07/26/chinese-hackers-charged-decade-long-crime-spying-spree/

 

 

 

 

新型コロナウイルスを研究する米国企業を狙った中国人のハッカー2人を、このほど米司法省が訴追した。ワクチンを含むさまざまな知的財産を狙ったとされており、ハッカーを支援した中国政府を米国として初めて公式に非難する事態に発展。起訴状からは、ハッカーの具体的な手口や標的まで明らかにされている。

 

 

李嘯宇(リ・シャオユー)は、あるとき問題に直面していた。彼は大学時代のクラスメートである董家志(ドン・ジァチー)とともに10年にわたってハッキング攻撃を繰り広げていたが、ミャンマーの人権団体のメールサーヴァーに侵入できないでいたのだ。いつものやり方ではうまくいかないようだった。

そのとき、高い地位に就いている友人が解決策をもたらしてくれた。中国国家安全部の職員が、まだセキュリティ業者に知られておらず防衛が難しいゼロデイマルウェアを李に渡し、李が仕事を終えられるようにしてくれたのだ。これらはすべて、このほど司法省が公開した起訴状に記載された内容である。

米国として初めて中国を公式に非難

一部の国においては、犯罪者によるハッキングと国家の支援を受けたハッキングとの境界線が、ずいぶん前から曖昧になっている。特にロシア、イラン、北朝鮮などがそうだ。こうしたなか米司法省は7月21日に公開した詳細な起訴状において、中国のことをそのような国々のひとつとして、初めて米国として公式に非難した。

 

当局によると、李と董は少なくとも2009年以降、世界各国の数百に及ぶ企業をハッキングしてきたという。被害に遭った企業は製造から工学、ヴィデオゲーム、教育ソフト、太陽光エネルギー、医薬品まで多岐にわたる。

最近のふたりは新型コロナウイルス感染症のワクチンと治療法の開発に取り組む企業を標的にしていたが、これはこの分野への国際的関心の高さを思えば驚くには当たらない。ふたりは中国国家安全部の職員に渡すために極めて貴重な知的財産を盗み、それと同時に自分たちの財布も潤していた疑いがもたれている。

「中国は技術を強奪し、複製し、乗っ取るという技術開発戦略の一環として、サイバー侵入の手法を使っています」と、国家安全保障を担当するジョン・デマーズ司法次官補は21日の記者会見で語っている。「中国は犯罪を実行するハッカーに安全な隠れ家を提供しており、今回のケースではハッカーらは自分たちの私腹を肥やすためにハッキングするだけでなく、進んで国家のために働こうとし、声がかかれば応じようとしていました」

標的を確実に狙うチームワーク

李と董がチームとしてどのように活動していたかを、起訴状は詳しく説明している。董は標的について調べ、どうすれば相手につけ込めるかを研究した。一方の李は、ネットワークに不正侵入してデータを秘かに抽出するという“汚れ仕事”を担当した。

ふたりは被害者が誰であろうと、ほぼ同じようなワークフローで標的を狙っていた。ふたりが関与したとされる攻撃の多さを思えば、それもうなずける。規模が大きければ効率性が重要になるからだ。

ふたりはまず、狙う価値のある標的を特定し、構成が不十分なネットワークや、標的がまだパッチを当てていない脆弱性を通して、足がかりを築こうとした。例えば、アドビはアプリケーションフレームワーク「ColdFusion」の重大なバグを2018年9月11日に明らかにしたが、李は同じ年の10月20日、そのバグを悪用してメリーランド州にある米国政府のバイオケミカル研究機関のネットワークにウェブシェル[編註:攻撃者が潜入に用いる“裏口”の一種]をインストールすることに成功した。

 

ウェブシェルは、李と董の活動を特徴づけるものだった。ふたりは特に標的となるネットワークに攻撃者がリモートアクセスできるようにする、入手しやすく比較的シンプルな「China Chopper」と呼ばれるマルウェアを好んでウェブシェルとして使っていた。

ふたりはまた、認証情報を盗み出すソフトウェアを使い、ユーザーネームとパスワードを手に入れていた。被害者のシステムへの十分な可視性を確保すると、盗みたいデータを圧縮したRARファイルにためこんだ。

裁判で示された文書には、Windowsがデフォルトで隠している「recycle bin」フォルダーを主な活動の拠点とするなど、その後ハッカーたちが自らの活動を隠すためにとった手順の概要が記されている。またふたりはウェブシェルとRARファイルに、無害な印象を与える名前を付けていた。例えば、それらの拡張子を「.jpg」に変えることで、中身が数十ギガバイトから数百ギガバイトにもなる知的財産のデータではなく、単純な画像ファイルに見えるようにしていた。

 

明らかに中国政府のために働いた事例も

起訴状には、李と董が関与した窃盗行為のほんの一部しか含まれていない。だが、それでも活動の手広さには目を見張るものがある。

ふたりは無線通信やレーザー、アンテナ技術などに関する200ギガバイト相当のデータを、カリフォルニア州の企業から盗んだとされる。また、ヴァージニア州の防衛関連企業からは、米空軍のプロジェクトの詳細や、従業員と請負業者数百人の個人情報からなる140ギガバイトのデータを盗んでいた。さらに高効率ガスタービンを開発している機械メーカーからは、1テラバイトを超えるデータを盗んだ。

 

それだけではない。彼らの攻撃対象のリストには、複数のヴィデオゲーム会社や製薬会社、教育ソフトウエア会社1社、新型コロナウイルスの研究者をはじめとした数百にもなる世界中の標的が含まれていた。

内容によっては、李と董が独自に行動していたのか、それとも中国政府のために働いていたのか明確ではない事例もある。だが、その境界線がより明瞭なケースも存在していた。ふたりは天安門での抗議活動に参加したのちに亡命した人物と、ダライ・ラマの事務所が交わした電子メールを盗んだとされている。問題のメールには明確な金銭的価値はないが、中国政府にとっては大いに関心のあるデータだ。

逆に独自に行動していたことが明らかな事例もある。ふたりは17年にマサチューセッツ州のソフトウェア会社の従業員数人に「ソースコードが流出する!」と題したメールを送りつけ、仮想通貨で15,000ドルを支払うよう要求したとされる事例がある。

 

踏みにじられた米中の“合意”

米国が中国のことを、サイバー犯罪者と結託しているほかの国々と同列に見なしたのは、これが初めてだ。しかし今回の疑惑は、セキュリティ業界にとってまったく驚きではない。

「中国政府はかなり前から、業者に依頼してサイバー侵入を実行してきました」と、セキュリティ企業FireEyeの分析部門でシニアマネージャーを務めるベン・リードは明かす。「彼らのようなフリーランスを使うことで、政府はより幅広い人材にアクセスできると同時に、こうした作戦を展開していることを否定できる余地も生まれるのです」

中国の精鋭ハッカー集団「APT10」や、信用調査会社エキファックスを攻撃したとされる4人のハッカーが起訴されたことをはじめとして、中国のサイバー犯罪に対する起訴が最近になって注目されている。21日に概要が明らかになった活動も、こうした一連の事件と性質を同じくするものだ。

 

これらは、どれも15年に中国と米国の間で交わされた“合意”を踏みにじるものである。かつてはダムに生じた小さなひび割れに見えたものが、気づけば巨大な穴になっている。

 

「2015年の合意は大きな成果だったと思います。あれは知的財産の窃盗をはじめとした、中国政府の悪意あるサイバー活動に対してオバマ政権が圧力をかけ続けた結果として生まれたものでした」。オバマ政権下で国土安全保障省のアドヴァイザーを務め、現在はオメルヴェニー・アンド・マイヤーズ法律事務所のパートナーであるリサ・モナコは説明する。

「しかし、中国人ハッカーによる攻撃が再び活発になったことは、サイバー攻撃の抑止は戦略的で、協調的で、持続的なものでなければならないことを示しています。合意は相手側に責任を負わせるための取り組みが存在するときのみ、効果を発揮します」

狙われたウイルス関連情報

ハッカーの起訴がどれだけの抑止力をもつにしても、とてつもなく大きな問題が引き続き起きている現状を思えば、その抑止力は十分ではなかったといえる。「米国とその友好国に対する(中国の)諜報機関の支援を受けたハッキング活動の規模と範囲は、いまわたしたちが直面している脅威のなかでも特筆すべきものです」と、米連邦捜査局(FBI)のデヴィッド・ボウディッチ副長官は、21日の記者会見で語っている。

 

「中国は知的財産や研究成果を盗んで経済力を高め、そうして得た不正利益を武器にして不法行為に異を唱えようとする国を黙らせようとします。このような経済的な威圧行為は、信頼できる世界のリーダーの態度ではありません。組織犯罪集団の態度です」

中国の大胆不敵な行動は、各国が新型コロナウイルスのワクチンと治療法を見つけようと急ぐなか、さらに大きな意味をもつようになった。起訴状は、李と董が新型コロナウイルス関連のデータを盗みだすことに成功した疑いがある、とまでは述べていない。だが、ふたりがこの問題に取り組む企業に対して、早くも今年1月から試みた複数回の侵入を挙げている。

 

例えば、カリフォルニア州のバイオテック企業が新型コロナウイルスの抗ウイルス薬を研究中だと発表した文字通りその翌日に、その企業の脆弱性を調べていたとされる。すでに5月には、FBIと国土安全保障省が、新型コロナウイルスに関する破壊的なハッキング活動を続けているとして、中国を非難していた。

「今回の起訴は、中国を含むすべての政府が新型コロナウイルス関連の情報に極めて高い価値を置いていることを示しています」と、リードはいう。

犯罪が明らかになったことの意味

こうした関心も、広範にわたる知的財産の盗難も、減少する気配はみられない。起訴状は7月7日に提出されたが、それによると李はそのわずか3週間前に6件の別個のスパイ行為に手を染め、そのすべてが同じ日に実行されたという。新型コロナウイルスによって旅行が制限されていることを思えば、李や董が米国の法廷に姿を現す可能性は低いといえる。

 

そうなれば、彼らが犯した可能性のある犯罪を白日の下に晒すことは、ある意味で合理的といえるだろう。たとえ米国が中国の無差別ハッキングを止めることができないとしても、少なくともそこに人の目を向けさせることはできる。

 

 

 

 

 

 

 

 

米司法省、中国人ハッカーを訴追 新型コロナ研究成果も標的

 

2020・07・24 https://www.dailysunny.com/2020/07/24/nynews200724-4/

 

【ワシントン共同】米司法省は21日、中国を拠点に過去10年以上にわたり日米を含む各国企業や政府機関へのハッキングを繰り返し、医薬品や国防などに関するハイテク情報を盗んだなどとして、中国政府の委託を受けた中国人2人を計11の容疑で訴追したと発表した。新型コロナウイルスに関する研究成果も標的にしていたという。
 2人は34歳と33歳。大学で電子工学を学んだ同級生で、中国の国家安全省と契約を結び、遅くとも2009年から日米やドイツ、オーストラリアなど11カ国へのハッキングを続けていた。
 司法省は数億ドル(数百億円)相当の知的財産などが盗まれたと指摘した。