中国政府とつながりのある2人の男が、クラウド大手、航空宇宙・防衛関連企業、半導体設計会社、海軍を含む米国政府機関、その他世界中の組織をハッキングした罪で告発されている。
米検察当局によると、この二人の目的は、北京の指示の下、数十の企業、省庁、その他の組織から設計図などの機密情報を盗むことだった。トランプ政権は、進行中の貿易戦争の中、中国への圧力を強めるため、今週、これらの疑惑を暴露し公表したとみられる。
2人の中国人、朱華(Zhu Hua)は、Afwar、CVNX、Alayos、GodkillerなどのオンラインIDを持つとされ、張士龍(Zhang Shilong)は、Baobeilong、Zhang Jianguo、Atreexpなどの偽名を持つとされ、APT10などの名称で知られるハッカー集団の一員であるとされている。彼らは、コンピュータ侵入、通信詐欺、および悪質な個人情報窃盗の共謀罪で起訴されている。
APTはAdvanced Persistent Threat(高度持続的脅威)の略で、作成に高度な技術を要するマルウェアやエクスプロイトコードを指す流行語です。サイバーセキュリティの世界ではよくあることですが、APT10はStone Panda、MenuPass、Red Apolloなどとも呼ばれています。
「被告らがマネージド・サービス・プロバイダー(MSP)を標的にし、侵害したとして告発されている点において、この事件は重要です」と、ロッド・ローゼンスタイン司法副長官は本日の声明で述べた。「MSPは、知的財産やその他の機密ビジネス情報を含む商業データの保管、処理、保護を他の企業が委託している企業です。ハッカーがMSPにアクセスできれば、機密ビジネス情報を盗み出し、競合他社に不当な優位性を与える可能性があります。」
ローゼンスタイン氏によれば、過去7年間に米国司法省が扱った経済スパイ行為を訴える訴訟の90%以上が中国に関係しているという。
検察側は被害者の名前を挙げていないものの、 HPEとIBMは中国ハッカー集団の侵入を受けた企業の一つとされている。このハッカー集団によるハイテク大手への侵入作戦は「クラウドホッパー」と呼ばれ、HPEとIBMのクラウドサービスに侵入し、そこから顧客のネットワークに侵入したとされている。IBMは、企業秘密が盗まれたという証拠はないと述べた。HPEの広報担当者は、「HPEの顧客データのセキュリティは最優先事項です。起訴状に記載されている具体的な詳細についてはコメントできませんが、HPEのマネージドサービスプロバイダー事業は、2017年のエンタープライズサービス事業の売却に伴い、DXCテクノロジーに移管されました」と述べた。
「企業秘密と経済」
英国政府は米国の非難を公に繰り返した。「今回の攻撃は、英国と同盟国に対する、これまでに明らかになった最も重大かつ広範囲にわたるサイバー侵入の一つであり、世界中の企業秘密と経済を標的としている」と、ジェレミー・ハント外務大臣は述べた。
英国政府通信本部(GCHQ)は、傘下の国家サイバーセキュリティセンター(NCSC)を通じて、APT10が「医療、防衛、航空宇宙、政府、重工業/鉱業、マネージドサービスプロバイダー(MSP)、IT業界など、多くの業界を標的にしていた」と述べた。
NCSCはまた、APT10による知的財産窃盗は「現在も進行中」であり、「同グループがMSPを標的にすることで促進されている」と警告し、「基本的なサイバーセキュリティ対策がまだ講じられていないケースもあり、これは容認できない」と付け加えた。
米国エネルギー省も中国政府とAPT10を非難した。「悪意のある攻撃者は、我が国の重要インフラを脅かすために高度な攻撃を実行している」とリック・ペリー・エネルギー長官は声明で述べた。
そしてFBIは被告人を指名手配した。
コーディネートされた
米国の起訴状によれば、2人は中国天津市にある華英海泰という会社に勤務し、中国国家安全部天津市国家安全局と連携して行動していたという。
刑事起訴状によると、2006年から2018年にかけて、被告を含むAPT10グループのメンバーは、民間および防衛技術企業、そして米国政府機関のコンピュータシステムに侵入した。彼らは少なくとも12州で45以上の組織に侵入したとされている。航空宇宙、衛星、製造、製薬、石油・ガスの探査・生産、通信、そしてコンピュータプロセッサに関わる組織から、数ギガバイト規模のデータを窃取したとされている。
2014年以降、このグループはMSP(マネージドサービスプロバイダー)を標的にしていたとされている。起訴状によると、APT10と被告らは、ニューヨークにオフィスを構え、ブラジル、カナダ、フィンランド、フランス、ドイツ、インド、日本、スウェーデン、スイス、アラブ首長国連邦、英国、米国を含む少なくとも12カ国に顧客を持つサービスプロバイダーに侵入した。
誰がまた戻ってきたと思う?中国が戻ってきて、あなたの友人をハッキング:ハイテク関税をめぐる論争の中、北京はアメリカ企業を標的にしている
続きを読む
APT10は、米海軍のコンピュータシステムに侵入し、海軍職員10万人の個人情報を含む機密データを盗んだとも非難されている。NASAも、被害を受けた米国政府機関の一つである。
2013年、APT10はMenuPassとして防衛関連企業を標的にしていたが、会計・監査会社プライスウォーターハウスクーパース(PWC)とBAEシステムズは共同で、約18カ月前にAPT10の中国とのつながりを指摘した。
起訴状ではAPT10の攻撃戦略が概説されており、その戦略には、開かれるとスパイウェアやその他のデータ窃盗ソフトウェアがインストールされ実行される添付ファイル付きの、個別に標的を絞ったフィッシングメール(スピアフィッシング)が含まれていた。
このグループは、QuasarRATリモート管理者マルウェアを頻繁に使用していました。ネットワークに侵入すると、ハッカーたちは文書を抽出していました。知的財産や貴重な商用ファイルだけでなく、従業員、請負業者、取引先の個人情報も抽出し、通常は.rarファイルに圧縮していました。
GCHQによるAPT10の戦術の要約(PDF、6ページ)には、「業界パートナーは、盗み出されたデータは人事情報に関連するものが多いと報告しており、特に標的の企業への関心を示唆しているほか、顧客やサプライヤーへのアクセスを開発している可能性もある」と記されている。
また、NCSC が APT チームのコマンド アンド コントロール サーバーに確実にリンクした IP アドレスもリストされており、警戒している IT 担当者がブロックする準備ができています。
- 185.111.74.127
- 194.68.44.108
- 66.70.135.104
- 185.211.247.52
- 195.54.163.74
- 167.114.171.8
- 37.10.71.100
司法省の名指しと非難の戦略は、2014年にサイバー攻撃の罪で中国軍関係者5人を起訴した際の戦略を踏襲している。この5人はまだ逮捕されていない。
FBIは朱華氏と張世龍氏が中国国外に渡航した場合に逮捕される可能性があると述べたが、ローゼンスタイン氏は発言の中で、両氏が近いうちに米国の裁判所に出廷するとは予想していないことを明確にした。中国は米国と犯罪人引渡し協定を結んでおらず、両国間の貿易摩擦は継続しており、さらに米国の要請でカナダでファーウェイ幹部が逮捕されたことで事態は悪化しており、いかなる合意も実現しそうにない。
「被告たちが連邦裁判所で法の支配の下、正義の裁きを受ける日が来ることを願っています」とローゼンスタイン氏は述べた。「それまでは、中国産業の利益のために米国企業から盗みを働く彼らや他のハッカーたちは、外国の保護下にあるからといって、米国法を破る免罪符はないということを心に留めておくべきです。」
実際のペナルティもありません。®
