(1) バリウムとアクシオム

 前編で紹介した2017年のノットペティア(NotPetya)の事件は感染範囲が広く世界的な悪影響もあったため、繰り返しメディアで取り上げられ、強い印象を残すものとなった。しかし、それだけでなく、これがソフトウェアサプライチェーン攻撃を用いたインシデント(事件、出来事)の先駆けと呼ぶべき位置づけにあったことも銘記しておくべきだろう。これ以降、ソフトウェアサプライチェーン攻撃は、繰り返し発生しているのである(表1)。

 ここで、2017年以降、2019年までの間に見られた代表的なソフトウェアサプライチェーン攻撃を列挙してみよう。ノットペティアを用いたインシデントが発生したのと同じ2017年には、英国製無料PC最適化ツール・シークリーナー(CCleaner)や韓国製遠隔管理ツール・ネットサラン(NetSarang)の更新プログラムを悪用したソフトウェアサプライチェーン攻撃が相次いで発生している [1] [2]。翌2018年には台湾のコンピュータメーカーASUS(エイスース)社製PC内のソフトウェア更新が悪用され、2019年にはゲーム会社三社(その内二社はアジアの会社)の更新プログラムやプラットフォームが悪用され、バックドアが拡散されていたことが明らかになっている [3] [4]。

表 1. ソフトウェアサプライチェーン攻撃の実例

表 1. ソフトウェアサプライチェーン攻撃の実例

 以上、挙げたものの中でも、シークリーナーの事件はその手口からアクシオム(Axiom、別名:グループ72)という中国系脅威アクターによるものと見られている。それ以外の今挙げた事件は、いくつかのプログラムの共通性から、いずれも同じハッカー集団バリウム(Barium、別名:APT41、Winnti、ウィキッドパンダ/ウィキッド・スパイダー)によるものと見られた [14] [15] [3] [16]。

 このバリウムに所属するハッカーたちは米司法当局によって特定され、2019年8月と2020年8月に提訴されている。その正体が判明する以前から、バリウムは、研究者らによって中国政府のためにスパイ活動を行う脅威アクターであると見られてきたが、同時に金銭的な利益を目的としたサイバー犯罪をもするという点において特徴的であると見られてきた。結局その実態は、成都404ネットワークテクノロジー社という中国の民間コンピューターセキュリティ会社であった。本件では複数の訴状によって同社社員3名と、関連する中国人ハッカー2名、関連するマレーシア人ゲーム会社社員2名が訴追されている。マレーシア人2名はマレーシア当局によって既に逮捕されているが、中国人5名は逮捕されていない。

 成都404ネットワークテクノロジー社は、ランサムウェアやクリプトジャッキングといった手法を用いて利益を得ると同時に、ベトナム、インド、英国などの政府機関のシステムに侵入したり、香港の民主化運動や米国、チベット、インドを標的としたスパイ活動を行ったりしていたと見られている [17]。ちなみにクリプトジャッキングとは、他人のコンピュータにマルウェアを送り込み、そこで勝手に仮想通貨のマイニング処理を行って利益を得ることである。

(2) 大規模な拡散・限られた標的

 以上のように、ウクライナの混乱を目的としていたと見られるノットペティアに対し、バリウムとアクシオムはいずれの活動においても偵察活動に専念していたように見える [3]。そして、バリウムとアクシオムは、複数回にわたる作戦によって大量のPCを感染させていたことになるが、膨大なPCを広範な攻撃対象としていたというより、明確で限られた少数の対象を目標としていたことが分かっている。つまり、感染させたそれら全てのPCを情報収集の対象としていたわけではなかった。感染させた上で情報収集の対象企業・機関で使用されているPCかどうかの判別を行なっていたのである。これらの脅威アクターが使用するマルウェアは、自身が感染したPCが、標的企業・機関が使用するPCか否かを、MACアドレス(media access control address:ネットワーク機器のハードウェアに振られる識別番号)や、ネットワークアドレスから判別をする機能を持っており、当該PCであった場合にのみ、「第二段階」のスパイウェアを送り込んでいた [3]。いくつかの活動において、数十~数百台程度が本当の目標であったことが分かっている。残りの数十万~数百万台は興味の対象外であったということだろう(表1を参照)。

 一体、バリウムとアクシオムは、何を探していたのだろう。そして、最終的に、何をその少数のターゲットに送りつけようとしていたのだろうか。シークリーナーの事件に関しては、そのソフトウェアを提供する英ソフトウェア会社ピリフォーム(Piriform)社の親会社であるコンピューターセキュリティ会社アバスト(Avast)社が、その分析の中で「第三段階」のスパイウェアに辿り着いている。それは、キーボード入力を記録するキーロガー(keylogger)機能と、パスワードを盗み取る機能を持ったものだった [3]。既に提訴されたバリウムは、その経営者の一人が、中国国家安全部(中国の情報機関)と密接な関係を持っていると自称していたこともあり、その活動は、中国政府を顧客としたスパイ活動であったのではないかと疑われている [18]。アクシオムもまた、国家的後ろ盾を持った高度な技術を持った中国人ハッカーたちであると見られている [19]。共に、中国政府のためのスパイ活動に従事していたという見方がされている訳である。

(3) 2017年の変化 ― 警戒する企業

 以上の2017年から続く一連のサイバー・インシデントは、サイバーセキュリティ業界にとって、サプライチェーン攻撃に対するウェイクアップ・コール(目を覚まさせるもの)となったようだ。サプライチェーン攻撃とは、ソフトウェアサプライチェーン攻撃を包含するより広い概念であるが、そこにはハードウェアに対してスパイ行為に使えるような仕掛けを組み込むことが含まれている。コンピューターセキュリティ会社クラウドストライク(CrowdStrike)社のメイヤーズ(Adam Meyers)副社長は、オンライン配信動画の中で、2017年の変化への驚きを語っている。サプライチェーン攻撃というと、それまで業界で語られるときは「潜在的な媒介要素(potential vector)」と見られており、多くの人々に心の中で、ハードウェアや集積回路などの問題であると受け止められていたという。ここでいう媒介要素とはマルウェアを媒介する要素、つまり攻撃経路のことである。しかし2017年に、ソフトウェアもまたサプライチェーン攻撃の現実的で実行可能な対象であることが認識されたのであった [20]。

 また、グレイ・アナリティックス社は、同社ウェブサイト上で、サプライチェーン・サイバーセキュリティはここ数年で、商業や民間組織の重大なセキュリティ問題へと進化したとしている。2017年以前には、数十年にわたって、そのような懸念は「国防総省の問題」に過ぎなかったとしている。つまりそれまで、国家による国家に対する攻撃の問題であったサプライチェーン攻撃を、2017年を境に、民間企業にとってのビジネス上のリスクとする認識が持たれるようになったのである [21]。バリウムのケースなどにも見られるように、サプライチェーン攻撃は相変わらず国家に対する国家による攻撃の側面が強い。しかし、それによってサイバー攻撃に曝された民間企業への被害もまた懸念されているのである。

(4) 2020年の変化 ― それは政府機関を襲う

 2017年から2019年に掛けて、ウクライナを混乱に陥れるために使用されたり、個人を対象としたスパイ活動に使用されたりしてきたと見られるソフトウェアサプライチェーン攻撃であるが、2020年にはそのやり方に大きな変化が見られる。前編の冒頭で紹介した米官公庁に対するサンバーストによる大規模な攻撃に見られるように、政府機関そのものに対する直接的で大規模な攻撃が始まっているのである。この傾向は、米国に対するもののみに止まらない。同年、複数のモンゴル政府機関に対しても、ソフトウェアサプライチェーン攻撃を使用した活動が確認されている。

 このときモンゴル政府を狙った脅威アクターの正体に関しては現時点(2021年1月)でははっきりしていない。使用された技術から、ラッキーマウス(Lucky Mouse)やTA428といった複数の脅威アクターが候補として挙げられている。そして、それら候補の一つであるラッキーマウスは、中国系の脅威アクターであると見られている [12]。

 こうして時系列で追っていくと、ソフトウェアサプライチェーン攻撃の対象には傾向があるように見えてくる。2017~2019年に起こったいくつかの事件は何れも実行者としてロシアと中国が疑われている訳であるが、この時期に、ロシアは他国の混乱を目指して、中国は誰か個人(もしくはグループ)の情報窃取を目指して活動していたように見える。そして2020年になって、やはりこれら両国政府を背景とするものと疑われる複数の脅威アクターによって、ソフトウェアサプライチェーン攻撃を使用した政府機関への大規模で直接的な侵入が図られているのである。

 ここで一般的に、脅威アクターが何者であるかの特定は難しいということは、あらためて思い出しておく必要がある。疑われる全てのインシデントにおいて、ロシアや中国が攻撃者であると断定的に議論をするのは危険である。しかし、現状の分析を単純に読み取るのであれば、中国とロシアの両政府が2020年になって、時を同じくしてソフトウェアサプライチェーン攻撃を国家機関に対して本格的に使用し始めているように見える。つまり両国が2017~2019年という同じ時期にその手法を別々に試し有効性に自信を深め、同じ2020年になって、いよいよ国家機関に対するスパイ行為にその手法を使用し始めているように見えるのである。

 これらの攻撃の実行者が何者であろうと、何者かが本格的な攻撃に乗り出していることに変わりはない。ソフトウェアサプライチェーン攻撃という特殊な経路から侵入するマルウェアに対応する必要に迫られているのは、米国やモンゴルだけではないだろう。ここで、その対応のために必要なのは、政府機関のセキュリティの向上だけではない。各国政府は、ソフトウェア業界全体のセキュリティ向上という課題をも突き付けられている。実際に、サイバーセキュリティ業界では、サプライチェーン攻撃の激化を受けて、ゼロトラスト・セキュリティ(zero trust security)が導入され始めている。これは、扱うネットワークそのものを信頼せず、あたかも敵対者に対するように扱うことによって、結果的に確実に信頼できる接続を確保しようという比較的新しいコンセプトである [22]。官民挙げてのセキュリティの向上が、国家機密の保護という観点から求められている。

(2021/04/15)

脚注

  1. 1 「サプライチェーン攻撃の脅威と対策について」サービス&セキュリティ株式会社e-Gateセンター、 2019年2月26日。
  2. 2 Lily H. Newman, "Inside the Unnerving Supply Chain Attack That Corrupted CCleaner," Wired, April 17, 2018.
  3. 3 Andy Greenberg, "A Myeterious Hacker Group Is On A Supply Chain Hijacking Spree," Wired, May 3, 2019.
  4. 4 "Supply Chain Hackers Snuck Malware Into Videogames," Wired, April 23, 2019.
  5. 5 "The Untold Story of NotPetya, the Most Devastating Cyberattack in History," Wired, August 22, 2018.
  6. 6 "Six Russian GRU Officers Charged in Connection with Worldwide Deployment of Destructive Malware and Other Disruptive Actions in Cyberspace," Justice News, Office of Public Affairs of the U.S. Department of Justice, October 19, 2020.
  7. 7 "ShadowPad: Attackers Hid Backdoor in Software Used by Hundreds of Large Companies Worldwide," Kaspersky, August 15, 2017.
  8. 8 "Microsoft Corporation v. John Does," Courthouse News Service, U.S. District Court for the Eastern District of Virginia, October 26.
  9. 9 "CCleaner Malware," Kaspersky.
  10. 10 "Operation ShadowHammer," Kaspersky, Securelist, March 25, 2019.
  11. 11 Marc-Etienne M. Léveillé, "Gaming industry still in the scope of attackers in Asia," WeLiveSecurity, ESET, March 11, 2019.
  12. 12 Mathieu Tartare, "Operation StealthyTrident: corporate software under attack," WeLiveSecurity, ESET, December 10, 2020.
  13. 13 Ellen Nakashima, Graig Timberg, "Russian government hackers are behind a broad espionage campaign that has compromised U.S. agencies, including Treasury and Commerce," The Washington Post, Dcember 15, 2020.
  14. 14 "ShadowPad in corporate networks,"Securelist, Kaspersky, August 15, 2017.
  15. 15 Andy Greenberg, "The CCleaner Malware Fiasco Targeted at Least 18 Specific Tech Firms," Wired, September 20, 2017.
  16. 16 Selena Larson , “Hackers infiltrate free PC cleaning software,” CNN, September 21, 2017.
  17. 17 "Seven International Cyber Defendants, Including “Apt41” Actors, Charged In Connection With Computer Intrusion Campaigns Against More Than 100 Victims Globally," Justice News, Office of Public Affairs of the U.S. Department of Justice, September 16, 2020.
  18. 18 Andy Greenberg, "Feds Charge Chinese Hackers With Ripping Off Video Game Loot From 9 Companies," Wired, September 16, 2020.
  19. 19 Jeff Stone, "China-Backed Hacking Group Axiom Said To Have Attacked 43,000 Computers," International Business Times, October 28, 2014.
  20. 20 Michael Busselen, "Software Supply Chain Attacks Gained Traction in 2017 and Are Likely to Continue," Crowd Strike, March 20, 2018.
  21. 21 "Supply Chain Intelligence with ChainShield," Gray Analytics.
  22. 22 Stuart H, "Zero trust architecture design principles," Blog Post, U.K. National Cyber Security Centre, November 20, 2019.