ブラックテックに注目が集まったのは9月。
警察庁と内閣サイバーセキュリティセンターが異例の注意喚起を行ったことだった。
ブラックテックの正体は 背後に中国? 情報は抜かれ続ける…
この秋、日本政府が名指しで注意喚起を行ったハッカー集団「BlackTech=ブラックテック」。
世界中の企業や組織などから機密情報を盗み出していると言う。
背後には、中国がいると指摘。一体何者なのか。その正体は。
サイバースパイ
アメリカ政府も同時に発表。
手口の詳細を公開し、注意を呼びかけた。
ブラックテックは、情報窃取を行うとされるハッカー集団だ。
組織のセキュリティーの脆弱性をついて、内部に潜入。
コンピューターウイルスを駆使して、機密情報をひそかに盗み出す。
いわば、サイバー空間のスパイ組織だ。
最初に存在が確認されたのは、2010年頃。
当初、ターゲットとなったのは、主に台湾の企業などだったが、17年後半から翌年にかけて、状況が一変する。
文科省を装った偽メール
「関係者各位 今度、科学技術学術審議会では、文部科学省における研究計画や評価等について検討を行っております… 何卒ご確認いただきますようお願いいたします」
18年1月、日本のある学術関係者に送られたメールの文面だ。
この時期、多くの学術関係者に送られたとみられるが、これは、偽メールだった。
記載されたURLにアクセスすると、最終的には、コンピューターウイルスに感染するような仕組みになっていた。
セキュリティー機関などによる分析で、ウイルスの特徴などがブラックテックの特徴と一致。
この時期ころから、日本への攻撃が明るみになっていく。
日本企業の被害への対応にあたってきたマクニカの竹内寛さんは高度なスキルを持った集団だと指摘する。
「文面は非常に上手な日本語ですから、当然、日本語を話せる協力者がいるといえるでしょう。この時期には、異なる分野の複数の組織をターゲットにしていました。これほどのオペレーションは、かなりの規模でないと実行できません」
日本の被害 官公庁 メディア 民間企業に
竹内寛さんによれば、2018年には研究機関や重工業、それにITサービスなど、2019年には半導体や電機関連それに重要インフラ企業などがターゲットとなったという。
警察庁の文書によれば、政府機関、エレクトロニクス、メディアなども標的となった。
セキュリティーの専門家の間で、ブラックテックによる犯行の可能性が指摘されるのは、19年に発生した「三菱電機」の情報漏洩事件だ。
三菱電機は社内のネットワークに大規模な攻撃を受け、8000人を超える個人情報が漏洩。
さらに、研究開発中の防衛装備品に関する取り扱い注意の情報も外部に流出した可能性が判明した。
また、関係者によると、21年に発生した「富士通」の情報共有ソフトへの不正アクセス事件にも関与が指摘されている。
攻撃されたソフトは、内閣サイバーセキュリティセンターや外務省、それに国土交通省といった官公庁のほか、全国の民間企業でも使われていたが、詳しくは公表されていない。
手薄な海外拠点 ターゲットは「ルーター」
手口は、文部科学省のケースのような偽メールだけではない。
組織のシステムの脆弱性をついた攻撃も展開している。
警察庁などは、ルーターといった「ネットワーク機器」が狙われていることを強調。
特に海外の子会社やグループ会社が使っているルーターが攻撃の入り口になりやすいとしている。
機器のプログラムを最新にしていないなどの脆弱性を悪用。
ルーターを起点に、海外の拠点に侵入し、時間をかけてネットワークを探索し、最終的には、本社へのルートを見つけるのだ。
セキュリティー会社「ラック」の石川芳浩さんは、海外拠点は弱点になりやすいと指摘する。
「グローバル企業は、合併や買収を繰り返すし、それぞれの社内ネットワークを本社は詳細にすべて把握しているかといえば、難しいのです。被害企業よりも、ブラックテックのほうが、詳しいのでは、と思うときがあります」
ブラックテックによる犯行と断定はされていないものの、三菱電機のケースでも、中国の拠点のサーバーが発端だった。
発表によれば、中国から侵入されたおよそ3か月後、国内でもウイルスが見つかった。
背後に中国… その実態は
高いハッキングスキルを持つブラックテック。
背景には、中国当局の存在が見え隠れする。
これまでの国内外の研究機関などの分析では、ブラックテックは中国人民解放軍の配下、あるいは連携をとっているとみられている。
過去には、台湾メディアが、当局者筋の情報として、中国の武漢大学に拠点を置いているとも報じた。
しかし、詳しい実態は明らかになっていない。
中国のハッカー集団に詳しい、脅威インテリジェンス会社「サイント」の岩井博樹さんは、指摘する。
「中国が背景にあると言われるハッカー集団は年々、特定しづらくなっている」
背景にあるのは、中国政府が近年取り組む、軍と民間企業の協力を促進する「軍民融合」だとする。
政府は、産業特区を設けてセキュリティー企業の起業を促進するなど、取り組みを強化。
そうする中で、国家プロジェクトとして行われるサイバー攻撃にも「民間」が参入している可能性があるという。
20年には、APT1と呼ばれる中国のハッカー集団について「人民解放軍から出て、民間部隊として活動しているらしい」という噂が駆け巡り、中国に関するインテリジェンスの専門家に衝撃を与えた。
中国では、毎年、国内のセキュリティー企業や重要インフラ事業者などが参加する大規模なサイバー演習を行っている。
岩井さんによると、演習で使われていた攻撃のインフラの一部が、ブラックテックを含む、過去の中国を拠点とするハッカー集団のケースと一致したことも確認したという。
(岩井さん)
「もはやブラックテックという枠組みにこだわる必要はなくなっているかもしれません。民間企業や優秀な学生といった様々な人たちが案件ごとに手を貸している可能性もあります。非常に追跡しづらくなっています」
対策はほかの攻撃と同様に
対策はどうするのか。
ほかの攻撃との大きな違いはないと指摘するのはトレンドマイクロの岡本勝之さんだ。
「より相手に特化した活動をしてくるものの、侵入手口と内部活動を防ぐという観点では、ほかのサイバー攻撃と、ほとんど変わらないといっていいでしょう」
偽メールに添付されたファイルを開かない仕組み作りはもちろん、ネットワーク機器を最新の状態に保っているか。
基本的な対策が、まず求められる。
さらに重要なのは、侵入されたとしても、すぐに気づき、被害を最小限にとどめること。
(岡本さん)
「組織の混乱や妨害を狙っているわけではありません。最悪の場合、被害自体に気づけず、情報だけ漏れていることもあります。気づくのが遅くなればなるほど、追跡は困難を極めます」
岡本さんは、社内のネットワークで行われる不審な通信を、いかにとらえることができるかが重要だとする。
(岡本さん)
「最低限でも社内のネットワークで行われている遠隔操作の通信を可視化することが必要だと思います。不審なものであれば、すぐにブロックしていくことが大切です」
それでも気づけるのは「運」
そうした社内ネットワークの通信を監視するツールは、さまざまなセキュリティー企業が提供している。
しかし、攻撃の検知は、極めて困難だ。
JPCERTコーディネーションセンターの佐々木勇人さんは、「運もある」という実感を明かした上で、むしろ、その運を最大限生かすことの重要性を強調する。
「攻撃に気づけるのは、正直に申し上げて、偶然や運の要素も大きいと思います。仮に10社が攻撃を受けたとして、すべての会社が気づくのは、難しいといわざるを得ません。しかし、1社でも、2社でも気づくことができたなら、それは、日本全体としての被害を最小限にできる可能性があるのです」
佐々木さんによると、ブラックテックは、攻撃に使うサーバーといったインフラを使い回すことがよくあるという。
たとえば、ある企業に行われた攻撃の通信元をたどるとほかの企業でも、同様に観測されることがある。
被害に気づけた企業が進んで情報共有を行えば、ほかの組織でひそかに行われている攻撃の通信もあぶり出せる。
さらに、国際間の連携の重要性を指摘する専門家もいる。
台湾のセキュリティー会社「CyCraftTechnology」の陳仲寛さんによれば、中国のハッカーの多くは、まず台湾を標的にするという。
そして、数年後に同じ技術や手法を使って日本を攻撃するというパターンがある。
「繰り返されるからこそ、台湾と日本の協力は非常に重要なのです。攻撃の被害に関する情報は、すべてつまびらかにすることはできるものではないことは確かですが、より効率的にインテリジェンスを共有していく方法はないのか。模索していく必要があります」
サイバー攻撃は、その事態の深刻さゆえ、ほとんど情報が公開されないことが常だ。
しかし、こうした状況は、ブラックテック側に、都合のよい環境を作り出しているともいえる。
国家クラスのハッカー集団に対抗することは一企業でできることではない。
日本、世界全体で、取り組まなければ、きょうも、情報は抜かれ続ける。
科学文化部 記者
福田 陽平
2013年入局 岡山局・札幌局を経て2021年から現所属
担当分野はIT・サイバーセキュリティー
福田 陽平
2013年入局 岡山局・札幌局を経て2021年から現所属
担当分野はIT・サイバーセキュリティー