2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary] | ScanNetSecurity
2024.03.19(火)

2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

2021 年 12 月は、Apache Log4j の重大な脆弱性である「 Log4Shell 」( CVE-2021-44228, CVE-2021-45046, CVE-2021-44832 )が大きな話題となりました。

脆弱性と脅威
2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

 大企業やグローバル企業、金融、社会インフラ、中央官公庁、ITプラットフォーマなどの組織で、情報システム部門や CSIRT、SOC、経営企画部門などで現場の運用管理や、各種責任者、事業部長、執行役員、取締役、またはセキュリティコンサルタントやリサーチャーに向けて、毎月第一営業日前後をめどに、前月に起こったセキュリティ重要事象のふり返りを行う際の参考資料として活用いただくことを目的に、株式会社サイント代表取締役 兼 脅威分析統括責任者 岩井 博樹 氏の分析による「Scan PREMIUM Monthly Executive Summary 」をお届けします。※「●」印は特に重要な事象につけられています。

>> Scan PREMIUM Monthly Executive Summary 執筆者に聞く内容と執筆方針

【1】2021年総括

 2021 年は、東京オリンピック・パラリンピックやメジャーリーグでの大谷選手の活躍など記憶に残る年だったように思います。社会情勢においては、米バイデン政権の発足やアフガニスタンからの米軍撤退、ミャンマークーデターなどサイバー空間への影響が懸念される出来事が数多くありました。

 まず、中国からの脅威動向として興味深かったのは、通信事業者を標的とした攻撃が複数国で散見されたことです。これは、2020 年 5 月に国内で報じられた通信事業者へのサイバー攻撃ど同じ攻撃キャンペーンであるとみられます。また、システムインテグレーターやサービスプロバイダーを経由しての攻撃も散見されており、取引先やグループ企業などを踏み台とした攻撃はしばらく継続することを予感させるものでした。

 また、2021 年は中国の第 14 次 5 ヵ年計画が策定され、重点分野として、(1)次世代 AI、(2)量子技術、(3)半導体、(4)脳科学、(5)遺伝子・バイオテクノロジー、(6)臨床医学・ヘルスケア、(7)宇宙・地球深部・極地観測、の 7 分野が挙げられたことは記憶に新しいものです。特に、(5)に関しては、現在のところ脅威アクターは不明ではありますが、11 月に BIO-ISAC がバイオテクノロジー企業への攻撃を発表するなど、今後も攻撃の継続が予想される分野の 1 つといえそうです。

 次に、北朝鮮の脅威動向に関してですが、基本的には金融機関や投資家、脱北者、北朝鮮問題に携わる研究者やメディアが主な標的であったことに変わりはありません。一方で、中国の脅威アクターと同様に、システムインテグレーターを踏み台としたサイバー攻撃を実施している可能性も指摘されており、少しずつ傾向が変化し始めている可能性があります。

 攻撃手法に関しては、兎にも角にも商用模擬ハッキングツールとして知られる「 Cobalt Strike 」を悪用した攻撃が大流行しました。同ツールで生成できる悪性ペイロードは、基本的には Windows OS で動作することを前提としたものですが、Linux や MacOS、iOS、Android といった他の OS 上に対応させる取り組みが活発に行われました。攻撃に利用可能なツールのクロスプラットフォーム化は、マルウェア開発においてもみられています。多くの企業がリモートワークを取り入れることにより、業務環境が多様化しましたが、それに合わせてかマルウェアの進化も顕著であったように思います。

 また、今年の特徴として、インフルエンス・オペレーションが日本国内においても確認されていることは重要なことだと思います。諸外国では、以前より多くみられていたものですが、ニュースサイトのコメント欄や匿名投稿可能なニュースサイトなどへの虚偽情報流布は、インターネット上の情報の信頼度を著しく低下させることとなります。このタイプの攻撃は、各国のサイバー活動の一端であり、今後も増加することが予想されます。オープンソースの情報は、“必ず”一次情報の確認と信頼性の自己評価が重要になってくるものと考えられます。

【2】前月総括

 2021 年 12 月は、Apache Log4j の重大な脆弱性である「 Log4Shell 」( CVE-2021-44228, CVE-2021-45046, CVE-2021-44832 )が大きな話題となりました。同脆弱性については、米 FTC(公正取引委員会)が、未対応の組織に対して法的措置を警告しており、世界的な課題となっています。Microsoft 社は、中国の HAFNIUM やイランの APT35(別名、Charming Kitten )などの APT グループの悪用を確認したと報じており、その影響度は大きなものとなっています。

 脅威動向につきましては、中国を拠点とする APT グループ「 BlackTech 」の活動が“中国国内”の企業で多数観測しているとの報告が、中国のセキュリティベンダーより報告されています。この BlackTech の興味は、台湾や日本などの防衛産業や先端技術などにあるとみられていることを勘案しますと、今回の報告は「世界の工場」中国経由によるサイバー攻撃であると考えられます。

 脆弱性に関しては、Microsoft Bug Bounty Program( MSRC:Microsoft Security Response Center )の対応を不服とした研究者が、Windows 10 の RCE の脆弱性を公開しています。Bug Bounty Program はソフトウェアメーカーは合理的に 0day の脆弱性情報を得ることができますが、一方で報告者もボランティア目的での報告では無い点に気を配る必要がありそうです。

 また、安全保障に関連する報道としては、米ワシントンポストなどが華為技術( Huawei )のスパイ活動に加担していたことを示すとされる資料について報じました。予想通りといった展開ではありますが、開示された資料は、ボイスレコーディング解析についての資料ですので、類似の研究に従事する企業は他にもありそうです。同社スマートデバイスは国内でも多く出回っているものですので、気になる報道ではありました。

 最後に、2 月に冬季五輪を控える中国では、セキュリティ関連企業の企業価値が高騰しているようです。胡潤研究院と鄭州ハイテク区が共同で「中国サイバーセキュリティ企業トップ 100 」を発表しています。同発表によれば、上場しているセキュリティ企業のうち、Sangfor、360、奇安信を含む 17 社の企業価値は、100 億人民元(約 1,810 億円)以上だったとのことです。ちなみに、1 位は Sangfor 社であり、1,002 億元(約 1 兆 8,137 億円)だそうです。日本の同業の企業価値では考えられない夢のある話ですね。


《株式会社 サイント 代表取締役 兼 脅威分析統括責任者 岩井 博樹》

編集部おすすめの記事

特集

Scan PREMIUM Monthly Executive Summary

株式会社サイント

脆弱性と脅威 アクセスランキング

  1. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  2. Android アプリ「ABEMA(アベマ)」にアクセス制限不備の脆弱性

    Android アプリ「ABEMA(アベマ)」にアクセス制限不備の脆弱性

  3. 不正送金のリスクも ~ 消費者庁、Microsoft ロゴ用いたサポート詐欺に注意喚起ふたたび

    不正送金のリスクも ~ 消費者庁、Microsoft ロゴ用いたサポート詐欺に注意喚起ふたたび

  4. SKYSEA Client View に複数の脆弱性、ラック北原氏他 報告

  5. ここが変だよ日本のセキュリティ 第 46 回 「ざんねんなセキュリティ事典」(前編)

  6. ディープフェイク技術で CFO なりすまし 2,500 万米ドル送金さす

  7. 「Apex Legends」がハッキング被害に、ゲームを正常にプレイできず

  8. マイクロソフトが3月のセキュリティ情報公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. 富士フイルムビジネスイノベーション製プリンタに CSRF の脆弱性

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×