海外における個人情報流出事件とその対応「油井・ガス井を狙ったサイバー攻撃」(1)中国人の諜報活動
2月10日付けの「The Oil and the Glory」が、油井を舞台にした中国人の諜報活動について報じている。中国を拠点とするSong Zhiyueが、ハッカーらがエネルギー企業を攻撃するためのツールとして、米国のコンピュータサーバを提供していたというものだ。
国際
海外情報
Songは中国東部の山東省に住所を持っているらしい。また、Songが提供していたサーバを利用していたのは、首都の北京にいるハッカーらだ。100MBのスペースを10ドルという破格値で提供していた。ハッカーらは、このサーバから米国、台湾、ギリシャ、カザフスタンにあるエネルギー企業のコンピュータシステムに侵入していた。
Songに関する「The Wall Street Journal」の記事では、サーバがどのように使用されていたのか、Songが知っていたかは分からないとしている。ただし、ハッカーらは、北京時間で9時から5時まで、週日に攻撃を行っていた、すなわち週末や週日でも夜間は攻撃していなかったというから、まるでオフィスで勤務しているようだった。
さて、「The Oil and the Glory」や「The Wall Street Journal」の記事は、2月9日付けの、McAfeeのCTO、George Kurtzによるブログ記事に基づく。ただし、McAfeeに確認したところ、Songについての情報元が同社であることを否定している。国際的なエネルギー産業が大規模な(サイバー)攻撃を受けているとして、McAfeeではこの攻撃をNight Dragonと呼んで警告している。しかし、中国からの攻撃だとの考えを示している。
●2年前から攻撃を受けてきたエネルギー企業
Night Dragon攻撃が始まったのは2009年9月だ。地球規模の石油、エネルギー、石油化学製品の企業数社が密かに攻撃を受けた。ターゲットは、油井やガス井業務、そして入札に関する機密業務情報やプロジェクト融資情報だった。Kurtzはこれらの情報は、数十億ドルの取引につながる可能性があると指摘する。エネルギー業界は極度に競争の激しい産業であるためだ。
さらに、攻撃の背後関係について詳しく調べたMcAfeeは、攻撃者が中国にいることを示す強い証拠があると報告している。攻撃は、購入した米国のホストサービスと、セキュリティ侵害を行ったオランダのサーバ上のC&Cサーバを用いていた。
攻撃に用いられたツール、技術、ネットワーク活動は主に中国からだというのがMcAfeeの考えだ。攻撃のツールや技術、ネットワーク活動などを確認していて、ソーシャルエンジニアリング、スピアフィッシング、WindowsOSの脆弱性攻撃、Active Directoryのセキュリティ侵害などのハッキング技術を複雑に組み合わせたものだという。バックドアリモート管理ツール(RAT)も使用していた。
ツールを使用する前に、攻撃側ではまずSQLインジェクションと、移動の多いノートPCを使う従業員にスピアフィッシングを仕掛けた。そして、企業のVPNアカウントに入り、ファイアウォールを突破して、DMZに侵入した。
システムに入り込むと、攻撃側はローカルアドミニストレータアカウントと、Active Directoryアドミニストレータアカウントに侵入。さらに、Microsoftが2006年に買収したSysinternalsツールなどのWindowsのユーティリティや、公開されているソフトウェアを用いている。これらは中国で作成されたハッキングツールや、中国のハッカー向け地下Webフォーラムで公開されているツールだ。
犯人らは、油井やガス井の探査や入札に関する財務書類など以外にも、SCADAシステムのデータも収集していた。McAfeeのホワイトペーパーには、ターゲットとなった企業の数は明記されていないが、事態を報じた「The Register」の記事では5社となっている。ただし、侵入の被害を確かに受けたか、確認されていない企業がさらに7社あると「Foreign Policy」が伝えている。
攻撃は2年以上が経過した今も続いている。ただし、やはり「The Wall Street Journal」の記事では、捜査機関からのコメントとして2007年から始まっていた可能性も挙げている。
(バンクーバー新報 西川桂子)
《ScanNetSecurity》
