長年にわたり、 Barium、Winnti、APT41など様々な名称で知られる中国ハッカー集団は、高度なハッキング活動を独自に組み合わせて展開し、彼らを追跡してきたサイバーセキュリティ研究者を困惑させてきた。彼らは時に、中国国家安全部と見られる、国家支援による典型的なスパイ活動に焦点を合わせているように見える一方で、攻撃はより伝統的なサイバー犯罪に類似しているように見えることもあった。今回、一連の連邦起訴状がこれらの侵入者を名指しで告発し、その活動に新たな光を当てている。
5人の中国人ハッカーが、幅広い業界の数百社のグローバル企業、シンクタンク、大学、外国政府機関、香港政府関係者や民主活動家のアカウントのネットワークに侵入する大規模な計画に関与したとして告発されている。被害者は、米国、フランス、オーストラリア、英国、チリのほか、アジア12か国に及ぶ。司法省によると、成都404ネットワークテクノロジーという会社に雇われたハッカーらは、数十社の民間企業を攻撃して数百万ドルを盗んだとされ、ランサムウェア攻撃やクリプトジャッキング(侵害を受けたコンピューターを悪用して暗号通貨を生成するマルウェア)を使用することもあった。多くの場合、ハッカーらはサプライチェーン攻撃と呼ばれる珍しく大胆な手法を使用して、標的の正規ソフトウェアに悪意のあるコードを仕込んでいた。
しかし、起訴状で明らかになった容疑の計画の中で最も詳細な点は、9つのビデオゲーム企業を標的とした点です。被害者の名称は明らかにされていませんが、米国、フランス、韓国、日本、シンガポールに拠点を置いています。裁判所の文書には、攻撃者がサプライチェーン攻撃とスピアフィッシングを用いてこれらの企業のネットワークに侵入した経緯が記されています。彼らはそのアクセスを利用してゲーム内アイテムを作成し、2人のマレーシア人、ウォン・オン・フア氏とリン・ヤン・チュア氏が管理するアカウントの仮想通貨残高を人為的に増加させました。そして、2人はハッカーが作成したアイテムと通貨を、彼らが管理するSEA Gamerというマーケットで販売したとされています。司法省は現在、両氏の身柄引き渡しを求めています。
「残念ながら、これはハッカーが悪用している新たな分野であり、数十億ドル規模の産業だと我々は考えています」と、ワシントンD.C.のマイケル・シャーウィン連邦検事代理は、水曜日の司法省の記者会見で、ビデオゲーム会社を標的にしていることについて述べた。「これで終わりではないことは確かです」
今回の訴追は、司法省が中国ハッカーを国家支援によるスパイ活動とサイバー犯罪ハッキングの複合的な罪で起訴した、わずか2ヶ月の間に2度目となる。「私はこれまで何度も、中国政府の指示、あるいは少なくとも中国政府の暗黙の承認を得て活動するハッカーに対する訴追を発表してきました」と、FBI副長官のデビッド・ボウディッチ氏は水曜日の記者会見で述べた。「本日、私たちはこれらのハッカーと、彼らの活動に目をつぶってきた中国政府関係者に対し、彼らの行為は今回も容認できないと伝えるためにここに来ました。そして、彼らを公に非難するつもりです。」
FBI提供
この起訴状は、このグループを追跡しているサイバーセキュリティ研究者にとって謎を解く一助となる。このグループは5年以上にわたり、一連の衝撃的なサプライチェーン攻撃を実行してきた。例えば、ASUSのノートパソコンやウイルス対策ソフト「CCleaner」のアップデートを乗っ取り、数百万台のコンピューターに悪意のあるコードを密かに埋め込んできた。しかし、このグループには以前から複数のサブグループが存在すると見られており、国家安全省のハッカーが副業としてビデオゲーム企業を狙うサイバー犯罪者だと考えられていたこともある。しかし現在、Bariumの一部の組織は副業ではなく、実際には契約組織であり、そこには長年サイバー犯罪の経歴を持つハッカーが含まれていたことが明らかになっている。
容疑者が勤務していたとされる企業「成都404」は、ホワイトハットハッキングとペネトレーションテストを提供するサイバーセキュリティ企業を自称し、中国の安全保障機関や軍部に顧客がいることを公に誇っている。しかし、起訴状には、同社の技術部門副社長である江立志氏が、自身のサイバー犯罪歴に言及し、中国国家安全部との繋がりが国内法執行機関から自身を守っていると自慢する内容の通信文が含まれているとされている。シャーウィン氏は水曜日、このグループが民主化団体を標的としていることは、犯罪行為以外の動機を持つことが時折あったことを示していると繰り返し指摘した。
「これらの営利目的の犯罪行為は、中華人民共和国政府の暗黙の承認を得て行われた」と、FBIのジェームズ・ドーソン特別捜査官は水曜日の記者会見で述べた。「今回の捜査は、サイバー捜査においてますます顕著になっている複合的な脅威の新たな例だ」
セキュリティ企業クラウドストライクのインテリジェンス担当副社長アダム・マイヤーズ氏は、国家安全部が成都404のようなグループを関与させ始めたのは、2014年に中国と米国政府が経済的利益のために民間企業を標的としたハッキング行為を一切やめることを約束した画期的な「習近平合意」以降だろうと指摘する。「(ハッカーたちは)おそらく同じグループに属していて、アウトソーシングを始めた際に国家安全部の契約部門となるような会社を設立したのだろう」とマイヤーズ氏は語る。「アウトソーシングによって、否認の可能性を高め、制裁対象行為から距離を置くことができるのだ」
起訴状は、バリウムによる最も悪名高いサプライチェーン攻撃のいくつかを実行したのが成都404ハッカー集団であったことも明らかにしている。この集団が「Shadowpad」と呼ばれるマルウェアの犯人であると名指しされたことで、ASUS、CCleaner、韓国製企業向けリモート管理ツールNetsarangなどの正規ソフトウェアにこのマルウェアの亜種を埋め込んだ活動に、この集団が関与していたことが示唆されている。「これらは史上最大級のサプライチェーン攻撃でした」と、セキュリティ企業カスペルスキーのグローバル調査分析チーム責任者、コスティン・ライウ氏は述べている。「この集団とこれらの攻撃との関連性は非常に大きな意味を持ちます。」
外国のサイバースパイの起訴ではよくあることだが、起訴された5人のハッカーは依然として逃亡中で、欠席起訴となっている。逮捕されたのは共犯とされるマレーシア人2人のみだ。しかし司法省は、今回の起訴は中国のサイバー犯罪者、そして彼らと協力し保護する中国政府機関に対し、米国は彼らの活動を綿密に把握しており、責任を問うだろうというシグナルを送るものだと主張した。
「中国当局は、少なくとも我が国や同様の考えを持つ国々の法執行当局と同等の能力をコンピューター侵入に対する法執行において有していることを我々は知っています。しかし、彼らはそうしないことを選んでいるのです」と、ローゼン司法次官補は述べた。「しかし、次のことを知っておいてください。法の支配を口先だけで唱え、このような卑劣な犯罪行為を阻止するための措置を講じない国は、世界のリーダーとして尊敬されることはありません。責任ある政府は、世界中の被害者を標的に、悪質な窃盗行為を行うサイバー犯罪者を故意に保護することはありません。」
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学、その他の最新情報を知りたいですか?ニュースレターにご登録ください!
- 重力、機械、そして星間旅行の壮大な理論
- 不確実性の不安に対処する方法
- スプレッドシートを駆使したIT担当者による投票権回復への取り組み
- 超高速プラズマはよりクリーンな自動車エンジンの鍵となるのでしょうか?
- 大学再開の失敗というあからさまな偽善
- 💻 Gearチームのお気に入りのノートパソコン、キーボード、タイピングの代替品、ノイズキャンセリングヘッドホンで仕事の効率をアップさせましょう
