SecurityDay2012 「中国のセキュリティ動向関連」 中国のハッカーコミュニティとサイバー軍の現状~JPCERT/CC の Lin氏講演 | ScanNetSecurity
2024.03.29(金)

SecurityDay2012 「中国のセキュリティ動向関連」 中国のハッカーコミュニティとサイバー軍の現状~JPCERT/CC の Lin氏講演

最後に林氏は、中国の「サイバーフォース(網軍)」について言及した。サイバーフォースはゼロデイ攻撃やアンチウイルスソフトに対する迂回処置など、高度な技術を駆使し、組織化されている行動が特徴である。

研修・セミナー・カンファレンス セミナー・イベント
中国の平均的なネットユーザー像
中国の平均的なネットユーザー像 全 13 枚 拡大写真
本稿では、JPCERT/CC、JAIPA、Telecom-ISAC Japan、JNSA、日本電子認証協議会によって構成されるSecurityDay運営委員会が2月6日開催した「SecurityDay 2012」において、JPCERTコーディネーションセンター(JPCERT/CC)のJack YS Lin氏が行った講演「中国のセキュリティ動向関連」をレポートします。

中国国内のインターネットユーザは5億人に達し、中国官民は積極的に投資活動を行い、中国国内各業界分野の発展進歩を牽引するよう期待を寄せています。この巨大なユーザマーケットに魅せられてビジネスが続々と展開されていますが、「3Q大戦」や「中国電信独占禁止」などのいかにも「中国らしい」事件が発生しました。一方、中国国内の情報セキュリティに照準を合わせると、ハッカー活動は活発化をたどる一途であり、DDoS攻撃、トロイ感染や、サイトの侵入改竄などの事件が後を絶たず、12月には史上最大規模の情報漏えい事件が起こりました。本発表では2011年に起きた幾つかの事件をベースに、中国情報セキュリティの現状及び今後が展望されました。

---

●普及率に地域と収入による差

Lin氏は、中国インターネットの統計的な情報の整理から講演を始めた。中国のインターネット人口はすでに5億人を超え、全国での普及率は38.3%と4割に届く勢いであると述べる。また、成長率では世界一インターネット人口が伸びている国だが、その半面、都市部や農村部との普及率は70%から24%と大幅な開きがあり、地域格差がまだ多いともいう。

インターネット利用者の平均像としては、年収が3000元前後と500元未満の層に分布のピークがあり、無収入の利用者も1割弱いるとした。職業別でみると学生が単独カテゴリではトップの30%を占めている。以前はネットカフェからの利用が一般的だったものが、現在は家庭や職場からの利用が増えている。

回線事情は、中国でもブロードバンド化が進んでいるとされているが、実際には800kbps前後の帯域速度であり、国土が広いため伝送遅延も大きいという実態がある。

●中国のソーシャルサービス利用状況

アプリケーションの利用動向は、メールよりもメッセンジャーやチャットの利用が多い。これはビジネス分野でも同様だそうだ。中国で最大のチャットサービスであるTencentのQQは、登録ユーザー数は累計で9億といわれており、同時オンライン数は1億に達する。

また中国でもツイッターに相当するサービスが急進しており、その代表であるShina WeiboとQQがそれぞれ2億人以上の登録ユーザーを抱えている。Lin氏によれば、中国のSNSの特徴は炎上が多いことだそうで、プロバイダーも書き込みの監視や削除策をとっているが、人力でのチェックがほどんで対策が追いついていないと指摘した。

Google、Facebook、Twitterなどグローバルに普及しているサービスは、中国では当局によってアクセスをブロックされているが、類似の国内サービスが普及しており、中国にとってのインターネットは国内で完結している状態だ。たとえば、Fecebookに相当するrenrenというサービスは1.7憶のユーザーを抱え、YouTubeに相当するyoukuというサービスは3億人が利用しており、FourSquareに相当する位置情報サービスは200万人の利用者がいるとのことだ。

●「中国がインターネットを変える」?

以前、グローバルな世界では、「インターネットが中国を変える」といわれていたが、急速に利用人口を増やし国内市場が拡大を続ける中国国内では「中国がインターネットを変える」ともいわれ始めているそうだ。これは、一国のインターネット人口で5億も抱えながら、さらに成長している巨大市場を各国のサービスプロバイダーなどが無視できなくなっている現状を差した言葉である。

●中国ハッカーコミュニティは約5万人規模、政治には無関心

Lin氏は、以上のような中国インターネットの定量分析を行ったあと、中国国内外のハッカーやインシデントの事例の説明に移った。

まず、中国のハッカー像について次のように語った。

中国におけるハッカーコミュニティは、5万人規模であり、その多くが、セキュリティ業界に属し、正業だけでは収入が足りずアンダーグラウンドマーケットで活動する、いわゆるグレーハットだという。また、攻防一体思想が強く、セキュリティを守ることと攻撃を切り離さないで考えるため、経験を積んだハッカーがセキュリティ会社を設立することも珍しくないそうだ。

そして、反日など思想的な活動や攻撃を行うものも多いが、実際には政治には無関心で、最終的には中国から脱出(移民)したいと思っているハッカーが多いとした。

そのアンダーグラウンドマーケットでは、攻撃ツールの取引サイトやハッカー専用のチャットチャネルも多数存在している。取引サイトでは、ツールの提供から攻撃の請負まで豊富なサービスがメニュー化されている。DDoS攻撃を請け負うサイトでは、攻撃力をアピールする目的で自分の持っているゾンビのリストを公開しているものもある。

●オンラインゲームサービス企業同士が攻撃

中国で盛んなオンラインゲームでは、同業者どうしの競争が激しい。一部のプロバイダーは、DDoS攻撃によってライバル企業の営業妨害を頻繁に行うそうで、攻撃を受けた側は、その攻撃トラフィックをさらに政府系サイトにリダイレクトすることもあるという。これは、自社サイトが攻撃を受けているといっても、公安(中国の警察)の対応は鈍く、なかなか摘発など行動を起こしてくれないからだという。政府が対応せざるを得ないようにし、公安を動かすための措置として、被害者がさらに他所を攻撃するような手段がとられるのだそうだ。

他にも、ECサイトのカタログファイルにトロイの木馬をしかけ、そこから商品を注文するときに、余分な送金をさせるという「網銀吸血鬼:Net Banking Vanpire」という手法や、データベースの内容をまるごと盗む「脱庫」という手法などが紹介された。脱庫の攻撃対象のリストに日本の企業やプロバイダーのアドレスが確認されたこともあるという。

直近の出来事としては、今年の旧正月において、鉄道局がオンラインでのチケット予約を開始させた。しかし、このシステムは、実際のユーザーを相手にビジネスを展開してきた民間企業に比して、サーバーの能力も十分でなく、政府系の調達による問題でシステムの品質やベンダー選定なども不透明な部分が多い。加えてシステムそのものの設計も悪かった。そこに、旧正月での帰省客によって1日あたり10億アクセスもリクエストが集中し、当然のようにサーバーがダウンしてしまった。なお、このシステムはオンラインでのチケット予約なのに、サービス時間が午前9時から午後6時までとしていたそうだ。

●サイバーフォースは活動曜日と時間に特徴

最後に林氏は、「サイバーフォース(網軍)」について言及した。サイバーフォースはゼロデイ攻撃やアンチウイルスソフトに対する迂回処置など、高度な技術を駆使し、組織化されている行動が特徴である。標的型のメールを感染の主力として利用し、外国の政府や軍需産業、重要インフラを主なターゲットとしている。

使われるツールは、ハッカーのものと違う特徴をもち、さらに攻撃対象(国、地域)ごとにも異なるという。つまり、部隊ごとにターゲット国や地域が決まっていると思われるということだ。国際情勢の変化によって、ターゲットが変化することもある。たとえば、親中派が台湾の政権を握る2008年までは、中国からの攻撃と思われるもののうちおよそ半分が台湾に向けられたものだったのが、その年を境に、台湾向けの攻撃が20%まで減っている。

さらに興味深いのは、組織化された攻撃は、その時間帯や曜日にも特徴が現れるという。具体的には、お昼時間の12時から1時、午後6時から7時の時間帯の攻撃トラフィックがほとんどゼロになる。また、曜日別にみると、土曜日には攻撃が行われない。「業務」としての攻撃を強く感じさせる律義なトラフィックパターンだそうだ。

Jack YS LIN(林 永煕)
一般社団法人 JPCERT コーディネーションセンター 早期警戒グループ 情報セキュリティアナリスト
2002年 国立電気通信大学 大学院情報システム学研究科 博士前期課程終了。2005年よりJPCERT/CC早期警戒グループにおいて、情報セキュリティアナリストとして、主にGreater Chinaにおけるインシデントハンドリング業務に従事。2009年、JiCA短期専門家としてカンボジア王国国家ICT開発庁におけるICT管理能力向上プロジェクトに協力

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る