SecurityDay2012 「中国のセキュリティ動向関連」 中国のハッカーコミュニティとサイバー軍の現状~JPCERT/CC の Lin氏講演

2012年2月20日(月) 14時24分
このエントリーをはてなブックマークに追加
中国の平均的なネットユーザー像の画像
中国の平均的なネットユーザー像
中国インターネットユーザーはすでに5億人を超えたといわれている。それでも普及率は4割弱の画像
中国インターネットユーザーはすでに5億人を超えたといわれている。それでも普及率は4割弱
単独のカテゴリでは学生が最も多いの画像
単独のカテゴリでは学生が最も多い
都市部で働く層と、地方で働く層の収入の二極化もみられるの画像
都市部で働く層と、地方で働く層の収入の二極化もみられる
JPCERTコーディネーションセンター Jack YS Lin氏の画像
JPCERTコーディネーションセンター Jack YS Lin氏
中国国内の代表的なネットサービスの画像
中国国内の代表的なネットサービス
「インターネットが中国を変える」から「中国がインターネットを変える」への画像
「インターネットが中国を変える」から「中国がインターネットを変える」へ
中国のハッカーはグレーハットが多く、犯罪意識が希薄の画像
中国のハッカーはグレーハットが多く、犯罪意識が希薄
中国の主な標的は台湾から日本、アメリカ、欧州への画像
中国の主な標的は台湾から日本、アメリカ、欧州へ
吸血鬼のようにオンラインショッピングの送金情報を吸い取る「ネットバンク吸血鬼」の画像
吸血鬼のようにオンラインショッピングの送金情報を吸い取る「ネットバンク吸血鬼」
サイバーフォースの攻撃と思われるトラフィックは規則性があるの画像
サイバーフォースの攻撃と思われるトラフィックは規則性がある
サイバーフォースは土曜は休みのようだの画像
サイバーフォースは土曜は休みのようだ
サイバーフォースの特徴の画像
サイバーフォースの特徴
本稿では、JPCERT/CC、JAIPA、Telecom-ISAC Japan、JNSA、日本電子認証協議会によって構成されるSecurityDay運営委員会が2月6日開催した「SecurityDay 2012」において、JPCERTコーディネーションセンター(JPCERT/CC)のJack YS Lin氏が行った講演「中国のセキュリティ動向関連」をレポートします。

中国国内のインターネットユーザは5億人に達し、中国官民は積極的に投資活動を行い、中国国内各業界分野の発展進歩を牽引するよう期待を寄せています。この巨大なユーザマーケットに魅せられてビジネスが続々と展開されていますが、「3Q大戦」や「中国電信独占禁止」などのいかにも「中国らしい」事件が発生しました。一方、中国国内の情報セキュリティに照準を合わせると、ハッカー活動は活発化をたどる一途であり、DDoS攻撃、トロイ感染や、サイトの侵入改竄などの事件が後を絶たず、12月には史上最大規模の情報漏えい事件が起こりました。本発表では2011年に起きた幾つかの事件をベースに、中国情報セキュリティの現状及び今後が展望されました。

---

●普及率に地域と収入による差

Lin氏は、中国インターネットの統計的な情報の整理から講演を始めた。中国のインターネット人口はすでに5億人を超え、全国での普及率は38.3%と4割に届く勢いであると述べる。また、成長率では世界一インターネット人口が伸びている国だが、その半面、都市部や農村部との普及率は70%から24%と大幅な開きがあり、地域格差がまだ多いともいう。

インターネット利用者の平均像としては、年収が3000元前後と500元未満の層に分布のピークがあり、無収入の利用者も1割弱いるとした。職業別でみると学生が単独カテゴリではトップの30%を占めている。以前はネットカフェからの利用が一般的だったものが、現在は家庭や職場からの利用が増えている。

回線事情は、中国でもブロードバンド化が進んでいるとされているが、実際には800kbps前後の帯域速度であり、国土が広いため伝送遅延も大きいという実態がある。

●中国のソーシャルサービス利用状況

アプリケーションの利用動向は、メールよりもメッセンジャーやチャットの利用が多い。これはビジネス分野でも同様だそうだ。中国で最大のチャットサービスであるTencentのQQは、登録ユーザー数は累計で9億といわれており、同時オンライン数は1億に達する。

また中国でもツイッターに相当するサービスが急進しており、その代表であるShina WeiboとQQがそれぞれ2億人以上の登録ユーザーを抱えている。Lin氏によれば、中国のSNSの特徴は炎上が多いことだそうで、プロバイダーも書き込みの監視や削除策をとっているが、人力でのチェックがほどんで対策が追いついていないと指摘した。

Google、Facebook、Twitterなどグローバルに普及しているサービスは、中国では当局によってアクセスをブロックされているが、類似の国内サービスが普及しており、中国にとってのインターネットは国内で完結している状態だ。たとえば、Fecebookに相当するrenrenというサービスは1.7憶のユーザーを抱え、YouTubeに相当するyoukuというサービスは3億人が利用しており、FourSquareに相当する位置情報サービスは200万人の利用者がいるとのことだ。

●「中国がインターネットを変える」?

以前、グローバルな世界では、「インターネットが中国を変える」といわれていたが、急速に利用人口を増やし国内市場が拡大を続ける中国国内では「中国がインターネットを変える」ともいわれ始めているそうだ。これは、一国のインターネット人口で5億も抱えながら、さらに成長している巨大市場を各国のサービスプロバイダーなどが無視できなくなっている現状を差した言葉である。

●中国ハッカーコミュニティは約5万人規模、政治には無関心

Lin氏は、以上のような中国インターネットの定量分析を行ったあと、中国国内外のハッカーやインシデントの事例の説明に移った。

まず、中国のハッカー像について次のように語った。

中国におけるハッカーコミュニティは、5万人規模であり、その多くが、セキュリティ業界に属し、正業だけでは収入が足りずアンダーグラウンドマーケットで活動する、いわゆるグレーハットだという。また、攻防一体思想が強く、セキュリティを守ることと攻撃を切り離さないで考えるため、経験を積んだハッカーがセキュリティ会社を設立することも珍しくないそうだ。

そして、反日など思想的な活動や攻撃を行うものも多いが、実際には政治には無関心で、最終的には中国から脱出(移民)したいと思っているハッカーが多いとした。

そのアンダーグラウンドマーケットでは、攻撃ツールの取引サイトやハッカー専用のチャットチャネルも多数存在している。取引サイトでは、ツールの提供から攻撃の請負まで豊富なサービスがメニュー化されている。DDoS攻撃を請け負うサイトでは、攻撃力をアピールする目的で自分の持っているゾンビのリストを公開しているものもある。

●オンラインゲームサービス企業同士が攻撃

中国で盛んなオンラインゲームでは、同業者どうしの競争が激しい。一部のプロバイダーは、DDoS攻撃によってライバル企業の営業妨害を頻繁に行うそうで、攻撃を受けた側は、その攻撃トラフィックをさらに政府系サイトにリダイレクトすることもあるという。これは、自社サイトが攻撃を受けているといっても、公安(中国の警察)の対応は鈍く、なかなか摘発など行動を起こしてくれないからだという。政府が対応せざるを得ないようにし、公安を動かすための措置として、被害者がさらに他所を攻撃するような手段がとられるのだそうだ。

他にも、ECサイトのカタログファイルにトロイの木馬をしかけ、そこから商品を注文するときに、余分な送金をさせるという「網銀吸血鬼:Net Banking Vanpire」という手法や、データベースの内容をまるごと盗む「脱庫」という手法などが紹介された。脱庫の攻撃対象のリストに日本の企業やプロバイダーのアドレスが確認されたこともあるという。

直近の出来事としては、今年の旧正月において、鉄道局がオンラインでのチケット予約を開始させた。しかし、このシステムは、実際のユーザーを相手にビジネスを展開してきた民間企業に比して、サーバーの能力も十分でなく、政府系の調達による問題でシステムの品質やベンダー選定なども不透明な部分が多い。加えてシステムそのものの設計も悪かった。そこに、旧正月での帰省客によって1日あたり10億アクセスもリクエストが集中し、当然のようにサーバーがダウンしてしまった。なお、このシステムはオンラインでのチケット予約なのに、サービス時間が午前9時から午後6時までとしていたそうだ。

●サイバーフォースは活動曜日と時間に特徴

最後に林氏は、「サイバーフォース(網軍)」について言及した。サイバーフォースはゼロデイ攻撃やアンチウイルスソフトに対する迂回処置など、高度な技術を駆使し、組織化されている行動が特徴である。標的型のメールを感染の主力として利用し、外国の政府や軍需産業、重要インフラを主なターゲットとしている。

使われるツールは、ハッカーのものと違う特徴をもち、さらに攻撃対象(国、地域)ごとにも異なるという。つまり、部隊ごとにターゲット国や地域が決まっていると思われるということだ。国際情勢の変化によって、ターゲットが変化することもある。たとえば、親中派が台湾の政権を握る2008年までは、中国からの攻撃と思われるもののうちおよそ半分が台湾に向けられたものだったのが、その年を境に、台湾向けの攻撃が20%まで減っている。

さらに興味深いのは、組織化された攻撃は、その時間帯や曜日にも特徴が現れるという。具体的には、お昼時間の12時から1時、午後6時から7時の時間帯の攻撃トラフィックがほとんどゼロになる。また、曜日別にみると、土曜日には攻撃が行われない。「業務」としての攻撃を強く感じさせる律義なトラフィックパターンだそうだ。

Jack YS LIN(林 永煕)
一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト
2002年 国立電気通信大学 大学院情報システム学研究科 博士前期課程終了。2005年よりJPCERT/CC早期警戒グループにおいて、情報セキュリティアナリストとして、主にGreater Chinaにおけるインシデントハンドリング業務に従事。2009年、JiCA短期専門家としてカンボジア王国国家ICT開発庁におけるICT管理能力向上プロジェクトに協力
《ScanNetSecurity》

注目ニュース

icon

中国に散在する50を超えるサイバー組織について、組織概要や主要人物、技術水準、対日有害性などを個別に分析した調査レポート「中国対日有害サイバー組織総覧2012」を、12月15日に刊行すると発表した。

icon

王献冰という「サイバーテロリスト」とは、江沢民が推進した偏狭な愛国主義教育の落とし子であったと同時に、彼の行為は(表向きは違法行為であろうとも)中国がとっていた当時の対日戦略と矛盾しなかった。

icon

分析 研究者によれば、中国のサイバー詐欺師と国の支援を受けた愛国ハッカーが、さらに強力なセキュリティ脅威を制作するために協力しているという。

icon

すでに中国メディアやThe Hacker News等で報じられているが、2011年12月21日から22日にかけ、中国の複数のコミュニティサイトの会員情報が大量に流出した。

icon

文部科学省は12月19日午前11時、同省公式Webサイトが一部改ざんされたと発表した。問題が起こったのは「科学技術週間」というイベントの検索ページで、「検索用キーワードが改ざんされているのではないか」と一般...

icon

11月19日午前3時、韓国の済州海上警察署は、済州海上で不法操業していた中国漁船1隻を拿捕し18人の船員を拘束した。

icon

ロイターも、そして同様にHongの見解を報じたガーディアンも、報道官Hongが以下のように述べた時、彼が真顔でいたのかどうかについては記していない:「中国もハッカー攻撃の被害者であり、我々はハッキングを含...

icon

米国議会の委員会が11月公開予定のレポートによれば、2007年と2008年の4回に渡って、ハッカーが米国政府の衛星を妨害したという。

icon

10月25日、衆議院の公務用PCやサーバがサイバー攻撃を受けたと複数のメディアが発表している。サイバー攻撃は7月以降に発生しており、これによってPCがウイルスに感染、議員など同院のネットワークを利用している...

icon

「COG情報セキュリティフォーラム」閉会後の9月23日早朝、中国紅客聯盟の創始者Lion(林勇)が同聯盟の10年ぶりの再編を、公式Webサイトおよび自身の微博(中国版Twitter)で宣言したのは 本連載で報じた通り だ...

icon

中国ハッカーが自ら制定したルールである「 COG黒客自律規約 」などを公開した「 COG情報セキュリティフォーラム 」が閉会した9月23日早朝、中国紅客聯盟の創始者Lion(林勇)が同聯盟の10年ぶりの再編を、公式We...

icon

9月22日、著名中国ハッカーらによる「 2011 COG情報セキュリティフォーラム 」が、中国の上海浦東幹部学院で開催された。このフォーラムでは、中国ハッカーらが自らを律する目的で作成した「COG黒客自律規約」が...

icon

日本アイ・ビー・エム株式会社(日本IBM)は9月21日、東京SOCにおいて中国からの攻撃が増加していることを確認したと発表した。これは、9月18日に日本のWebサイトに対して攻撃を行うように中国のインターネットコ...

icon

警察庁は9月19日、「満州事変80周年を契機としたとみられるサイバー攻撃」について概要と対応を発表した。この攻撃は、中国大手チャットサイト「YY チャット」などにおいて9月12日から18日にかけ、満州事変80周年...

icon

満州事変勃発の引き金である柳条湖事件が発生した9月18日(中国では「918纪念日」と呼ばれる)の前日、中国ハッカー組織のひとつ「黒闊站長巴(※巴は口へんに巴)」(Admin8.us)がリーダー的役割を担う「9...

icon

中国の国営新華社通信は8月10日、ITセキュリティ部門の高官の言を引用し、中国はサイバー攻撃による世界最大の被害国のひとつとして、国際社会と協調してこれに対処している、と発表した。

icon

1ヶ月ほど前から、中国貴州省在住と思われる、「D.W」または「此人以死」と名乗るハッカーが日本やアメリカ合衆国の重要Webサイトに対し、攻撃の前段階と思われる調査行動を断続的に続けている。

icon

名門校である広東省の中山大学で機械設計と企業マネジメントを専攻し、若干24歳で広東省の「科倫達信息科技有限公司」のCEOに就任。CISSP、CIW、CCNA、MCSE等の資格を有し、リバースエンジニアリングのプロとして...

icon

6月15日に報じた、 中国でトップクラスのハッカーによる「COG情報セキュリティフォーラム(COG信息安全論壇)」の公式Webサイトが公開され、フォーラムのスケジュール等の詳細が発表された。来る9月22日、上海で...

icon

6月20日、アメリカ合衆国の核不拡散政策教育センター(Nonproliferation Policy Education Center:NPEC)のWebサイトに、翻訳ソフトの訳出文と思われる奇妙な日本語が書かれたハッキング声明ページがアップされ...

icon

4月中旬、新華社が伝えたところによれば、中国国務院新聞弁公室、工業情報化部、公安部、国家工商総局は「違法なネットワーク広報活動の特定項目に関する抜本的整備事業方案」を提出し、4月中旬から2ヶ月の期限で...

icon

活動的な中国ハッカーグループの一つ「中国藍客聯盟」のリーダー格メンバー「奠愛」は、初心者ハッカー向けDOS攻撃ツール「藍客聯盟専用版CC攻撃ツール」を製作、自らのブログ上にて、使用方法の実演ビデオマニュ...

RSS

特集・連載

ピックアップフォト