先日、中国のハッカー集団APT10(別名:ストーン・パンダ等)のメンバー2名の起訴を取り上げましたが、今回は、同じくAPT26(別名:タービン・パンダ等)を取り上げます。米国司法省は、2018年10月に江蘇省国家安全局員を含む中国人10名をコンピュータ濫用罪(合衆国法典第18編1030条)等の罪で起訴しその旨を公表しました。起訴状や米司法省の発表によって、事件の概要と検挙の端緒を見てみましょう。一部の会社名や氏名は、起訴状等の公式資料に記載がありませんが、報道資料などから推定できる場合は記載しています。
1 事件の概要
起訴されたのは、江蘇省国家安全局員2人(査栄、柴萌)、ハッカー6人(張長貴、劉春亮、高洪坤、庄梟偉、馬志琪、李瀟)、企業インサイダー2人(顧根、田曦)です。彼らは、少なくとも2010年1月から2015年5月の5年間以上にわたって13社の企業のシステムに侵入し、データを窃取してきました。一連の事件では、江蘇省国家安全局の幹部、査栄の指揮下で、国家安全局員A(Xu Yanjun、推定、徐延軍:別途起訴)と同・柴萌が担当し、ハッカー6人をハッキングの実行犯として運用すると共に、攻撃対象企業の中国人社員2人(フランス企業Safran社の中国支社プロダクト・マネージャの田曦と、IT技術・セキュリティ責任者の顧根)を、協力者として運用していました。
彼らの主目的は当時フランスの航空機製造企業Safranと米国企業GEが共同開発していた商用ターボファン・エンジン技術情報の窃取でした。その背景は、当時、中国の国営航空機製造企業(中國商用飛機有限責任公司)が同種の商用ターボファン・エンジンを開発しており、国営企業支援のための産業スパイです。そのため、フランス企業のほか米・英・仏・豪の部品製造の関係企業の情報システムが狙われたのです。一連のハッキング事例から3つを紹介します。
(1)カプストン・タービン社を利用した攻撃
2010年1月にカプストン・タービン社(本社ロスアンゼルス)のシステムにスピア・フィッシング攻撃をかけて侵入し、同社の情報を窃取すると共に、同社システムに作ったメールアドレスからスピア・フィッシングのメール送信を始めました。更に2012年には同社のウェブサイトを乗取って「水飲み場攻撃」を始めました。「水飲み場攻撃」とは、乗取ったウェブサイトにマルウェアを仕込み、ウェブサイトを訪問する関係企業の社員の端末にマルウェアを感染させる攻撃手法です。
(2)米ハイテク企業に対する攻撃
2012年8月から米サンディエゴに本社を置くハイテク企業に対して攻撃を行い、2014年1月までの間に、同企業の40以上のコンピュータ・システムに侵入して各種のマルウェアを仕込んで、情報を窃取しました。
(3)フランス企業Safran社の中国支社に対する攻撃
田曦は、フランスの航空機製造企業Safran社の中国江蘇省蘇州市にある支社のプロダクト・マネージャでしたが、2013年11月頃から江蘇省の国家安全局員A(Xu Yanjun)から数回に亘って要求を受けて、翌2014年1月25日に同企業のノートパソコンにUSBドライブを挿入してマルウェアを感染させました。田曦が同企業のノートパソコンにマルウェアを感染させると、同パソコンから「ドッペルゲンガー・ドメイン」という本物に酷似した偽ドメイン「ns24.dnsdojo.com」向けに感染成功を知らせる通信(ビーコン)が送信され、また、2月19日にも同パソコンから通信(ビーコン)が発信されています。
すると、米国当局はこの2月19日の通信を探知した模様で、米国法執行機関(FBI)はフランス当局にこの通信(ビーコン)活動を通報しました。フランス当局(対内安全保障総局DGSIと推定)は、当該航空機製造企業に警告を発したようで、支社のIT技術・セキュリティ責任者である社員・田曦は記録を調査するように指示を受けました。
ところが、顧根は既にAの協力者となっていたために、この調査指示をAに通報したのです。Aから連絡を受けた国家安全部員・柴萌とハッカー劉春亮が、偽ドメインを削除して証拠を隠滅しました。
なお、この他に、フランス企業Safranの中国支社に対しては最高経営陣からのメールを偽装したスピア・フィンシング攻撃も行われており、同一の攻撃対象企業に対して、遠隔侵入と物理的侵入を併用しています。
(注)起訴状には、感染したシステムからの通信(ビーコン)を米国のどの機関が捕捉したかについての記述はありません。捕捉したのはNSAである可能性が高いと思われます。
2 国家安全部の工作で興味深い点
本事案で興味深い点は、中国国家安全部がそのハッキング工作に当り、米国で言う遠隔侵入と物理的侵入(ここでは内部協力者工作insider-enabling)の両方法を併用していることです。即ち、遠隔侵入とは、インターネットを通じたハッキングであり、張長貴、劉春亮らのハッカーが、「スピア・フィッシング攻撃」や「水飲み場攻撃」の手法で、標的システムをハッキングしています。また、物理的侵入とは、インターネットを通じたハッキングではなく、直接的にシステムへの侵入を図るものですが、本事件では、標的企業Safranの社員・田曦を協力者に仕立てて、標的システムにマルウェアを仕掛けています。更に、標的企業のIT技術・セキュリティ責任者、顧根まで協力者にしていたのです。
なお、フランス企業Safranの中国支社に対する攻撃では、会社インサイダーを使った内部攻撃と、最高経営陣からのメールを偽装したスピア・フィッシング攻撃の両方が行われており、同一の攻撃対象企業に対して、遠隔侵入と物理的侵入を併用しています。中国のハッキング手法が高度化、多彩化している傾向がみられます。
3 上記事例(3)の発覚の端緒
本事案の起訴状を読んでいくと、FBIが国家安全部員Aを中心とするメッセージの遣取りを捕捉したことが分かります。即ち、2013年11月から2014年2月までの間の、国家安全部員Aと同・柴萌、また企業インサイダー田曦との間の通信メッセージの遣取りが、起訴状に詳しく引用記載されています。これはどうして可能となったのでしょうか。
実は、国家安全部員Aは、別件の経済スパイ事件に対する囮捜査によって、2018年にベルギーに誘き出されて逮捕され米国に移送されていたのです。また、Aは、Gメール・アカウントを二つ持ち、スマホはアイホーンを使用し、更にアイクラウドのアカウントも持ち、これらを多用していたのです。FBIは捜査の過程でこれらの事実を把握し、アイクラウドなどから情報を収集できた訳です。
2013年6月にはスノーデンによる情報漏洩と報道があり、「プリズム」計画の存在は既に世界のインテリジェンス関係者には知れ渡っていた筈です。米国企業のウェブメールやクラウドサービスを使えば、米国当局に捕捉される可能性が高いこと位は知っていなければなりません。そのような状況でありながら、Aは、アイホーンを持ち、米国企業のウェブメールやクラウドサービスを多用していたのです。インテリジェンス・オフィサー失格と言わねばなりません。まあ、それだけ、米国企業のウェブメールやクラウドサービスが便利であるということでしょうか。
4 発覚の経緯についての考察
本事案の発覚の端緒は、上記3に述べた通りですが、これは謂わば公式の端緒であり、これだけが発覚の端緒ではなかった可能性もあります。
米国インテリジェンス(推定、NSA)は、2014年の段階でSafran社のネットワークにマルウェアが仕込まれたことを把握していました。また、スノーデン漏洩資料を見ても、NSAは、Byzantine Hadesというコードネームで、中国のハッカー集団の解明作業(ハッカー集団をハッキングする作業)をしており、相当の成果を挙げています。従って、APT26についても、その活動をある程度把握していた可能性があります。しかし、その情報を証拠として使ってしまうと、NSAのシギント能力を暴露してしまうこととなります。
ところが、本事件では、幸いなことに、国家安全部員Aがアイホーンを使用し、Gメールを使い、アイクラウドを使っていたのです。スノーデン漏洩資料によって、Gメールやアイクラウドについては、米国当局はデータ収集が可能なことが既に暴露されていますので、この部分を起訴資料として使用することは、新たなインテリジェンス・ソースの暴露とは言えません。そこで、NSAのハッキング能力を隠しつつ、アイホーン関係の情報を使用して起訴した可能性もあるのです。 インテリジェンスとは、こういう世界なのです。