CrowdStrike Blog:中国政府がTURBINE PANDA(タービンパンダ)と中国のトップスパイを働かせてジェット旅客機C919の製造で楽をした方法 | ScanNetSecurity
2024.03.19(火)

CrowdStrike Blog:中国政府がTURBINE PANDA(タービンパンダ)と中国のトップスパイを働かせてジェット旅客機C919の製造で楽をした方法

本ブログ記事では、「サイバー犯罪者の混成部隊」を中国政府がどのように利用して、主要テクノロジーやインテリジェンスのギャップを埋め、軍民両用のタービンエンジンの生産を増強していたかについて紹介します。

国際 海外情報
CrowdStrike Blog:中国政府がTURBINE PANDA(タービンパンダ)と中国のトップスパイを働かせてジェット旅客機C919の製造で楽をした方法
CrowdStrike Blog:中国政府がTURBINE PANDA(タービンパンダ)と中国のトップスパイを働かせてジェット旅客機C919の製造で楽をした方法 全 4 枚 拡大写真
 情報セキュリティ業界では、サイバー犯罪調査員が、任務の割り当てから実際の活動、完了までといった攻撃活動の全容を知る機会は滅多にありません。繰り返し聞きおよぶ「アトリビューションは難しい」という言葉は、多くの場合真実です。

 サイバー犯罪者が悪事を働いている部屋に踏み込むことでもしない限り、サイバー攻撃の首謀者を 100 % の確実性をもって証明するのは、ほぼ不可能だと言えます。しかしながら、米国司法省がここ 2 年の間に発行した一連の起訴状と、CrowdStrike Intelligence の調査結果から、謎に包まれた中国の諜報機関の衝撃的な一面が明らかになりました。

図1:LEAPエンジン
図1:LEAPエンジン

 本ブログ記事では、CrowdStrike Intelligence のレポートから、中国の地下ハッキング組織、国家安全部( MSS )の職員、企業の内部関係者、国家指令部などで構成される「サイバー犯罪者の混成部隊」を中国政府がどのように利用して、主要テクノロジーやインテリジェンスのギャップを埋め、軍民両用のタービンエンジンの生産を増強していたかについて紹介します。この種のエンジンは、エネルギー生成に利用できるのに加え、中国製のナローボディ型双発ジェット旅客機C919を、欧米の航空宇宙企業の製品に競合するレベルに引き上げる可能性があります。

 これから説明するのは、スパイ活動、サイバー攻撃および隠蔽の驚くべき手口です。これらの手口は、CrowdStrike Intelligence が、中国ベースの攻撃者グループ「 TURBINE PANDA(タービンパンダ)」に起因するものと考える攻撃とすべて一致しています。この攻撃活動は、2015年の米連邦政府人事管理局( OPM )への侵害の犯人とされる江蘇省の MSS 組織によるものであることが判明しています。

ターゲット

 この攻撃は、中国政府が「中国の経済的地位の上昇と、航空機での旅行に対する中流階級の需要が、航空機の供給能力と、そのような事業をサポートする国内の民間航空産業の能力をはるかに上回る」と予測したことに端を発したものです。タービンエンジンが、エネルギーセクターと航空セクターにおける軍民融合にもたらす明らかなメリットはともかく、中国政府によるこのセクターへの戦略推進は、必要性に基づいたものでした。中国は 2022 年までに米国の後を継いで世界最大の航空市場となり、2036 年までには乗客数が約 10 億人増加すると予測されています。中国の第 12 次および 13 次 5 か年計画や、中国製造 2025 計画をはじめとする数多くの国家戦略計画では、航空宇宙・航空機器の分野を「リープフロッグ型」の発展に注力するために優先する 10 の業界のうちの 1 つとして扱っています。

図2:中国人の空の旅における指数関数的成長。中国の中間層の台頭を反映
図2:中国人の空の旅における指数関数的成長。中国の中間層の台頭を反映

中国製の商用飛行機を阻む障害

 この戦略は、複占状態にある欧米の航空宇宙産業と張り合うように設計された中国製の民間航空機を開発することに焦点を当てたものでした。そこで生まれたのが C919 です。この航空機は、設計上の欠陥により当初の予定より数年遅れた 2017 年に初飛行に漕ぎつけました。そのコストは、競合他社のコストの約半分でした。

 しかし、C919 は外国製の部品に大きく依存しており、中国の成功と言うにはほど遠いものでした。そのギャップを埋める取り組みとして、中国首謀の攻撃者グループ TURBINE PANDA が、2010 年から 2015 年の間、C919 の各種構成要素の製造企業に対し、サイバー攻撃を行いました。

図3:C919の構成要素
図3:C919の構成要素

 具体的には、2009 年 12 月、中国国営企業( SOE )の Commercial Aircraft Corporation of China( COMAC / 中国商用飛機有限責任公司)が、米国に本拠を置く GE Aviation とフランスの航空宇宙会社 Safran( 旧 Snecma )とのジョイントベンチャーである CFM International 社の LEAP-X エンジンを採用したことを発表しました。この会社は新しく発表された C919 向けにカスタム版である LEAP-1C エンジンを提供しています。

 この契約は当時のフランスの首相であったフランソワ・フィロン氏の訪問中に北京で締結されたと伝えられています。先に CFM との契約を締結していたにもかかわらず、中国の国有企業を管理・監督する組織である SASAC が、COMAC と同じ SOE である Aviation Industry Corporation of China( AVIC / 中国航空工業集団有限公司)に、LEAP-X に匹敵する「国産の」ターボファンエンジンを作るという任務を課したと考えられています

開発期間の劇的な短縮

 2016 年 8 月、COMAC とAVIC の両社は、CJ-1000AX エンジンを製造した中国の Aero Engine Corporation( AECC / 中国航空発動機集団)の主要株主となりました。CJ-1000AX には、サイズやターボファンブレードの設計など、LEAP-1C との類似点がいくつもあります。AECC は、2018 年 5 月に最初のテストを実施し、最初のモックアップに存在していた大きな問題を克服しました。

 技術仕様書を実際に確認することなく、CJ-1000AXがLEAP-X の正確なコピーであると断定することは難しいのですが、AECC が MSS 主導のサイバースパイ活動によって多大な利益を得ており、開発期間を数年も短縮し、おそらくは何十万ドルものコストを削減することができた可能性は高いと思われます。

多面的な標的型攻撃

 中国共産党とその SOE が、中国の諜報機関に重要な技術的ギャップを埋める情報を提供する実際のプロセスははっきりしていません。しかし、CrowdStrike Intelligence と米国政府が発表したレポートでは、中国政府が強制的な技術移転、合弁事業、内部の人間を介した物理的な知的財産の詐取、サイバースパイ活動などの多面的な方法で、必要とする情報を手中に収めていることが裏付けられています。

 特に、主要プロジェクトにおける重要なインテリジェンスギャップの特定を SOE が支援しており、それを収集する任務を負っているのが中国の諜報機関であると考えられます。アメリカ合衆国司法省の起訴状から明らかになった攻撃のタイミングとその内容から、LEAP-X エンジンおよび C919 のその他の構成要素に関連するテクノロジーを持つ企業を標的とするという任務が MSS に課せられことが確証できます。

 たとえば、2010 年 1 月に発生した TURBINE PANDA が関与したとみられる最初の準備的なアクティビティは、ロサンゼルスを拠点とするキャプストン・タービン社が標的とされました。この攻撃は、CFM がエンジンのプロバイダーとして選ばれた 1 か月後に発生しています。

 このことから、南京にある MSS の江蘇省の当局( JSSD )が犯人として浮上しました。

 こちらのレポートで、このオペレーションの背後にいる攻撃者、彼らの戦略、戦術などについて紹介しています。

追加のリソース:

・レポートの全文をダウンロードできます。 “Huge Fan of Your Work: How TURBINE PANDA and China’s Top Spies Enabled Beijing to Cut Corners on the C919 Passenger Jet.”

・2019年のグローバル脅威に関するレポートをご一読ください。 “Adversary Tradecraft and the Importance of Speed.”

・2019年のFalcon OverWatchレポートをご一読ください。“Observations From the Front Lines of Threat Hunting.”

CrowdStrikeの製品紹介ページでCrowdStrike Falconプラットフォームについて説明しています。

・CrowdStrikeの次世代型AVをお試しください。Falcon Preventの無料トライアル版をすぐに試してみましょう。

*原文はCrowdStrike Blog サイト掲載: https://www.crowdstrike.com/blog/huge-fan-of-your-work-part-1/

《Adam Kozy (CrowdStrike)》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

    サイバー攻撃 はじまりはいつも OSINT ~ 日本ハッカー協会 杉浦氏講演

  3. 善意目的でスパム46万通、慈善団体が当局からお目玉

    善意目的でスパム46万通、慈善団体が当局からお目玉

  4. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  5. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  6. 経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

    経済産業省 サイバーセキュリティ課 職員を名乗る自動音声電話に注意を呼びかけ

  7. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

    愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  8. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

  9. 経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

    経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

  10. NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

    NEC、陸自「多国間サイバー防護競技会(Cyber KONGO 2024)」を支援

ランキングをもっと見る