米セキュリティ企業Palo Alto Networksは現地時間2016年1月24日、チベット人とウイグル人の活動家らを標的として長年続いてきた一連のサイバー攻撃について、7カ月にわたって調査した結果をレポートとして公表した。一連の攻撃は、外見上はそれぞれ別々の事例であるものの、同一のハッカー集団による可能性が高いとしている。
 同社はこの集団に「Scarlet Mimic」というコード名を付けている。Scarlet Mimicが盗んだ情報は、ある民族国家以外にとってはほとんど関心がないものだと同社は説明している。

 Palo Altoのインテリジェンス・ディレクター、Ryan Olson氏は、「我々が特定した攻撃の大多数は、ウイグル人かチベット人、あるいはその支援者を標的としたものだ」と話す。

 こうした活動家団体に対する攻撃についての調査は、ロシアKaspersky Labやトレンドマイクロ、カナダ・トロント大学のCitizen Labなど、いくつかのセキュリティ関連機関も実施してきた。攻撃対象となった団体は、長年にわたって中国政府と対立している。だが、Palo Altoのレポートは、こうした攻撃を中国と結び付ける直接的な証拠はなかったとしている。

 Palo Altoは、セキュリティ企業各社が確認した多数の攻撃について、関連する証跡を調査した。


 「一連の攻撃は、実はつながっており、すべて同じ集団によるものだった」とOlson氏は説明する。「いずれもインフラが共通しており、同じツールを利用している。実際は、何らかの集団が協調して行っている攻撃だ」

 また、より多くの情報を得ようと画策する中で攻撃側が標的を拡大していったことが調査からうかがえるとOlson氏は説明する。

 「標的の転換について我々が確認した中で、ひとつ興味深いのは、政府機関に対する攻撃が2件あったことだ。いずれも、テロリストや活動家の追跡に関係する機関だ」

 Palo Altoのレポートによると、この2件の攻撃は、ロシアとインドの機関に対するものだった。これが興味深いのは、通常は活動家よりも政府機関の方がサイバー攻撃への防御にはるかに長けているからだ。

 Scarlet Mimicの攻撃では、「おとり」の文書を添付したメールを送る手口が多く見られた。おとり文書は、標的の受取人が興味を引きそうなタイトルが付いているが、マルウエアをインストールするように細工されていた。

 こうした攻撃では、時としてMicrosoft Wordなどのアプリケーションがクラッシュすることがあり、受取人に疑念を抱かせる可能性もある。だが、Olson氏によると、犯人側は攻撃に改良を加えてきた。


マルウエアは、害のないWord文書やPDFファイルを実際にシステムに書き込んで、それを自動で開く仕組みになっている。「添付ファイルを開いた時に表示されてしかるべき実際の内容はそちらの文書に含まれている」

 トロント大学のCitizen Labの調査によると、サイバー攻撃の標的となる活動家団体には、防御のためのリソースが不足している。

 とはいえ、Scarlet Mimicの攻撃は飛び抜けて高度というわけではない。攻撃で利用される脆弱性は、何年も前のものであることが多い。インストールされるマルウエアは、「FakeM」と呼ばれるWindowsのバックドアを利用するもので、これは少なくとも2013年には見つかっていた。

 今回のPalo Altoのレポートは、犯人側に動揺をもたらす可能性が高い。攻撃の犯人は、セキュリティ研究者が発表する文章に注意を払い、大急ぎで手口を変えようとすることが多い。

 「我々が何かを公開する時には、その情報が燃料になることは承知している。我々としては、犯人側が、新しいインフラの準備やコードの開発のために、時間、費用、リソースを投じざるを得ない状況にしたい。それによって、犯人側の仕事のハードルが上がるからだ」とOlson氏は話している。

2016/01/27 http://itpro.nikkeibp.co.jp/
http://itpro.nikkeibp.co.jp/atcl/idg/14/481542/012700194/