2020/07/24

米国裁判所の記録から、中国の支援を受けるハッカーの詳細が明らかに

サイバー攻撃 犯罪 国際 FBI 逮捕

2020 年 7 月 24 日 Trevor Collins 著

ワシントン州東部裁判所で提出された起訴状によると、中国の支援を受けるハッカーの李嘯宇(リ・シャオユー)と董家志(ドン・ジァチー)は、少なくとも 10 年間、米国のみならず世界中の企業を標的とした攻撃を行っており、その中には、新型コロナウイルスの研究や、香港民主化運動参加者が使用していたチャットアプリも含まれていました。

2 人は計 11 ヶ国の企業を標的にしてきました。中国政府は 2 人の身柄を引き渡さず投獄は免れるものと思われますが、米国司法省はこれが、2 人ならびに他のハッカーたちへの警告となることを期待しています。李と董は、結託してコンピュータシステムを侵害していました。董がまず標的に関する情報を集め、李がプライベートな情報にアクセスするためにシステムの攻撃を試みていました。
2 人は中国・成都にある科学技術大学で出会って以来チームで動いています。李と董は、中国共産党の利益のために、同党に反対の声を上げる活動家も標的としてきました。ほどなくして党がその反体制活動家を拘束することも珍しくはありませんでした。
あるインシデントでは、李と董は香港民主化運動の主催者や指導者、また天安門事件における反体制活動家の個人情報を、中国国家安全部(MSS)に渡していました。中国国家安全部の特定の職員は、李に当時は未知であったゼロデイ攻撃マルウェアを譲渡し、反体制活動家のインターネットブラウザ侵害幇助も行っていました。

2 人は多くのケースで、「China Chopper」という Web シェルを攻撃で使用しています。また、検知を回避する技術を使用した認証情報窃盗用のソフトウェアもインストールしていました。標的のコンピュータにアクセスすると、「Recycle bin」フォルダを利用してファイルを保存します。次にファイル名を変更したのち RAR ファイルに圧縮し、ファイル抽出前に拡張子を「.jpg」に変更し、データを画像ファイルに偽装していました。

米国司法省は、合計 25 件の被害と、3.7 TB 相当の窃盗されたデータを発見しています。
リスクのレベルを判断するには、誰がどのような企業を標的にするのか把握することが有効です。たとえば自宅にいる際、筆者ならばフィッシング詐欺や認証情報の窃盗を心配しますが、もし筆者が医療関係の研究者だとしたら、研究結果が国家支援型ハッカーに漏洩することをより恐れるでしょう。以下のチャートでは、ビジネスにおけるセキュリティの優先順位を表しており、これによって IT 部門が重要度を判断しやすくなります。まずは発生の可能性と被害がより大きいリスクから対処していきましょう。発生の可能性が高く、被害も大きいリスクを軽減できたら、次にそれよりも可能性が低く被害の比較的小さなリスクに取り組みます。このトリアージが適切に行われれば、企業は経済力とセキュリティのバランスがとれることになります。