2016.09.27(火)

SecurityDay2012 「中国のセキュリティ動向関連」 中国のハッカーコミュニティとサイバー軍の現状~JPCERT/CC の Lin氏講演

研修・セミナー・カンファレンス セミナー・イベント

本稿では、JPCERT/CC、JAIPA、Telecom-ISAC Japan、JNSA、日本電子認証協議会によって構成されるSecurityDay運営委員会が2月6日開催した「SecurityDay 2012」において、JPCERTコーディネーションセンター(JPCERT/CC)のJack YS Lin氏が行った講演「中国のセキュリティ動向関連」をレポートします。

中国国内のインターネットユーザは5億人に達し、中国官民は積極的に投資活動を行い、中国国内各業界分野の発展進歩を牽引するよう期待を寄せています。この巨大なユーザマーケットに魅せられてビジネスが続々と展開されていますが、「3Q大戦」や「中国電信独占禁止」などのいかにも「中国らしい」事件が発生しました。一方、中国国内の情報セキュリティに照準を合わせると、ハッカー活動は活発化をたどる一途であり、DDoS攻撃、トロイ感染や、サイトの侵入改竄などの事件が後を絶たず、12月には史上最大規模の情報漏えい事件が起こりました。本発表では2011年に起きた幾つかの事件をベースに、中国情報セキュリティの現状及び今後が展望されました。

---

●普及率に地域と収入による差

Lin氏は、中国インターネットの統計的な情報の整理から講演を始めた。中国のインターネット人口はすでに5億人を超え、全国での普及率は38.3%と4割に届く勢いであると述べる。また、成長率では世界一インターネット人口が伸びている国だが、その半面、都市部や農村部との普及率は70%から24%と大幅な開きがあり、地域格差がまだ多いともいう。

インターネット利用者の平均像としては、年収が3000元前後と500元未満の層に分布のピークがあり、無収入の利用者も1割弱いるとした。職業別でみると学生が単独カテゴリではトップの30%を占めている。以前はネットカフェからの利用が一般的だったものが、現在は家庭や職場からの利用が増えている。

回線事情は、中国でもブロードバンド化が進んでいるとされているが、実際には800kbps前後の帯域速度であり、国土が広いため伝送遅延も大きいという実態がある。

●中国のソーシャルサービス利用状況

アプリケーションの利用動向は、メールよりもメッセンジャーやチャットの利用が多い。これはビジネス分野でも同様だそうだ。中国で最大のチャットサービスであるTencentのQQは、登録ユーザー数は累計で9億といわれており、同時オンライン数は1億に達する。

また中国でもツイッターに相当するサービスが急進しており、その代表であるShina WeiboとQQがそれぞれ2億人以上の登録ユーザーを抱えている。Lin氏によれば、中国のSNSの特徴は炎上が多いことだそうで、プロバイダーも書き込みの監視や削除策をとっているが、人力でのチェックがほどんで対策が追いついていないと指摘した。

Google、Facebook、Twitterなどグローバルに普及しているサービスは、中国では当局によってアクセスをブロックされているが、類似の国内サービスが普及しており、中国にとってのインターネットは国内で完結している状態だ。たとえば、Fecebookに相当するrenrenというサービスは1.7憶のユーザーを抱え、YouTubeに相当するyoukuというサービスは3億人が利用しており、FourSquareに相当する位置情報サービスは200万人の利用者がいるとのことだ。

●「中国がインターネットを変える」?

以前、グローバルな世界では、「インターネットが中国を変える」といわれていたが、急速に利用人口を増やし国内市場が拡大を続ける中国国内では「中国がインターネットを変える」ともいわれ始めているそうだ。これは、一国のインターネット人口で5億も抱えながら、さらに成長している巨大市場を各国のサービスプロバイダーなどが無視できなくなっている現状を差した言葉である。

●中国ハッカーコミュニティは約5万人規模、政治には無関心

Lin氏は、以上のような中国インターネットの定量分析を行ったあと、中国国内外のハッカーやインシデントの事例の説明に移った。

まず、中国のハッカー像について次のように語った。

中国におけるハッカーコミュニティは、5万人規模であり、その多くが、セキュリティ業界に属し、正業だけでは収入が足りずアンダーグラウンドマーケットで活動する、いわゆるグレーハットだという。また、攻防一体思想が強く、セキュリティを守ることと攻撃を切り離さないで考えるため、経験を積んだハッカーがセキュリティ会社を設立することも珍しくないそうだ。

そして、反日など思想的な活動や攻撃を行うものも多いが、実際には政治には無関心で、最終的には中国から脱出(移民)したいと思っているハッカーが多いとした。

そのアンダーグラウンドマーケットでは、攻撃ツールの取引サイトやハッカー専用のチャットチャネルも多数存在している。取引サイトでは、ツールの提供から攻撃の請負まで豊富なサービスがメニュー化されている。DDoS攻撃を請け負うサイトでは、攻撃力をアピールする目的で自分の持っているゾンビのリストを公開しているものもある。

●オンラインゲームサービス企業同士が攻撃

中国で盛んなオンラインゲームでは、同業者どうしの競争が激しい。一部のプロバイダーは、DDoS攻撃によってライバル企業の営業妨害を頻繁に行うそうで、攻撃を受けた側は、その攻撃トラフィックをさらに政府系サイトにリダイレクトすることもあるという。これは、自社サイトが攻撃を受けているといっても、公安(中国の警察)の対応は鈍く、なかなか摘発など行動を起こしてくれないからだという。政府が対応せざるを得ないようにし、公安を動かすための措置として、被害者がさらに他所を攻撃するような手段がとられるのだそうだ。

他にも、ECサイトのカタログファイルにトロイの木馬をしかけ、そこから商品を注文するときに、余分な送金をさせるという「網銀吸血鬼:Net Banking Vanpire」という手法や、データベースの内容をまるごと盗む「脱庫」という手法などが紹介された。脱庫の攻撃対象のリストに日本の企業やプロバイダーのアドレスが確認されたこともあるという。

直近の出来事としては、今年の旧正月において、鉄道局がオンラインでのチケット予約を開始させた。しかし、このシステムは、実際のユーザーを相手にビジネスを展開してきた民間企業に比して、サーバーの能力も十分でなく、政府系の調達による問題でシステムの品質やベンダー選定なども不透明な部分が多い。加えてシステムそのものの設計も悪かった。そこに、旧正月での帰省客によって1日あたり10億アクセスもリクエストが集中し、当然のようにサーバーがダウンしてしまった。なお、このシステムはオンラインでのチケット予約なのに、サービス時間が午前9時から午後6時までとしていたそうだ。

●サイバーフォースは活動曜日と時間に特徴

最後に林氏は、「サイバーフォース(網軍)」について言及した。サイバーフォースはゼロデイ攻撃やアンチウイルスソフトに対する迂回処置など、高度な技術を駆使し、組織化されている行動が特徴である。標的型のメールを感染の主力として利用し、外国の政府や軍需産業、重要インフラを主なターゲットとしている。

使われるツールは、ハッカーのものと違う特徴をもち、さらに攻撃対象(国、地域)ごとにも異なるという。つまり、部隊ごとにターゲット国や地域が決まっていると思われるということだ。国際情勢の変化によって、ターゲットが変化することもある。たとえば、親中派が台湾の政権を握る2008年までは、中国からの攻撃と思われるもののうちおよそ半分が台湾に向けられたものだったのが、その年を境に、台湾向けの攻撃が20%まで減っている。

さらに興味深いのは、組織化された攻撃は、その時間帯や曜日にも特徴が現れるという。具体的には、お昼時間の12時から1時、午後6時から7時の時間帯の攻撃トラフィックがほとんどゼロになる。また、曜日別にみると、土曜日には攻撃が行われない。「業務」としての攻撃を強く感じさせる律義なトラフィックパターンだそうだ。

Jack YS LIN(林 永煕)
一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト
2002年 国立電気通信大学 大学院情報システム学研究科 博士前期課程終了。2005年よりJPCERT/CC早期警戒グループにおいて、情報セキュリティアナリストとして、主にGreater Chinaにおけるインシデントハンドリング業務に従事。2009年、JiCA短期専門家としてカンボジア王国国家ICT開発庁におけるICT管理能力向上プロジェクトに協力
《ScanNetSecurity》

編集部おすすめの記事

特集

研修・セミナー・カンファレンス アクセスランキング

  1. 「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

    「攻殻機動隊 REALIZE PROJECT」と「SECCON CTF for GIRLS」がコラボ(SECCON2016、JNSA)

  2. 企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

    企業内 CSIRT 構築の勘所、内製? or 外製?…RECRUIT-CSIRTの場合

  3. 標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

    標的型やランサムウェアへの対抗策を最新事例で解説、「Email Security Conference 2016」を開催(ナノオプト・メディア)

  4. 「CODE BLUE 2016」、新たに2つのトレーニングと3つのコンテストを公開(CODE BLUE事務局)

  5. 10回目となる「Trend Micro DIRECTION」を東京、大阪で開催(トレンドマイクロ)

  6. 自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト

  7. Black Hat USA 2016 でプレゼンスを発揮した日本人、アーセナルで注目集めたツールたち

  8. PCログオンと複合機の認証を統合、高セキュリティと利便性の両立も可能に(富士通、富士通フロンテック)

  9. 「CODE BLUE 2016」の全講演が決定、全自動サイバー攻防戦CGC優勝者も登壇(CODE BLUE事務局)

  10. Black Hat USA 2016 , DEFCON 24 を 128 倍楽しむ方法

  11. [Security Days Fall 2016 開催直前インタビュー] VDI による IT ガバナンス強化で防ぐ内部犯行と、使い勝手と安全を両立するモバイル活用(ヴイエムウェア)

  12. サイバー攻撃対策に特化した特別併催企画「サイバーセキュリティワールド2016」を新設(東京ビッグサイト)

  13. [インタビュー] 鵜飼裕司 今年の Black Hat USA 2016 注目 Briefings

  14. [レポート] セキュリティに賭するもの ~ インターポール 福森大喜氏 セキュリティ・キャンプ2016 特別講義

  15. [RSA Conference 2016 USA] EDR (Endpoint Detection and Response)とは? ~ タニウム社 チーフセキュリティアーキテクトに聞く

  16. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  17. [Black Hat USA 2014 レポート] 標的型攻撃実証ツールをBlack Hat USA 2014で公開、マクニカネットワークス セキュリティ研究センター 凌研究員

  18. CODE BLUE 第 3 回をふりかえって~ BLUE 篠田佳奈氏インタビュー

  19. デロイト流「なんちゃってCSIRT」再生3つのアプローチ

  20. 「e-ネットキャラバン」にフィルタリングを中心とした上位講座を新設(総務省)

アクセスランキングをもっと見る

★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★10月7日まで ノベルティや海外カンファレンスのお土産大放出キャンペーンを実施中 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事はもちろんのこと、掲載された全ての限定コンテンツに、フルアクセスが可能となります。

×