台湾は、その全存在をかけた闘いを中国と繰り広げてきた。そして何年もの間、中国政府の支援を受けたハッカーの標的にされている。こうしたなか台湾のセキュリティ企業の調査によって、ある中国のハッカー集団が台湾経済の中核産業に深く入り込み、実質的に半導体産業全体を強奪しようとしている実態が浮かび上がってきた。
台湾のサイバーセキュリティ企業CyCraftの研究員が、8月6日(米国時間)に開催されたセキュリティカンファレンス「Black Hat」において、過去2年間に少なくとも台湾の半導体メーカー7社を襲ったハッキング活動の新たな詳細を発表した。
企業に深く入り込んだ一連の侵害行為は、ハッカーがスケルトンキー・インジェクションという手法を使ったことで「Operation Skelton Key(スケルトンキー作戦)」と呼ばれる。これらはソースコードやソフトウェア開発キット、チップの設計図など、可能な限り大量の知的財産を盗み出すことを意図して実行されていたようだ。
関連記事:米国の知財を狙った中国のハッカー、その手口と「標的」が見えてきた
CyCraftは以前、このハッカー集団を「Chimera(キメラ)」と名づけている。だが同社の新たな発見には、ハッカーと中国本土との結びつきを示す証拠や、悪名高き中国政府支援のハッカー集団「Winnti Group」(「Barium」や「Axiom」とも呼ばれる)とのゆるやかなつながりを示す証拠が含まれていた。
「これはまさに、台湾の立場や力を操ろうとする国家規模の攻撃です」と、CyCraftによる長期の調査に携わっている同社の研究員チャド・ダフィは指摘する。CyCraftが確認したような知的財産の大規模な窃取は、「企業のビジネス運営能力全体を根本から損なうものです」。6日のBlack Hatで同社の調査結果を発表したCyCraft研究員のチェン・チュンクアンも、「これは産業全体に対する戦略的な攻撃です」と断言する。
VPN経由で侵入して“万能な鍵”を作成
CyCraftの研究員は、被害を受けた企業名を明かしていない。なかにはCyCraftの顧客も含まれるというが、同社はほかの侵害行為について「Forum of Incident Response and Security Teams(FIRST)」という調査グループと協力して分析に当たっている。被害を受けた半導体企業のいくつかは、台湾北西部の新竹市にあるテクノロジーハブ「新竹科学工業園区」に本社がある。
研究員らは、少なくともいくつかの事案において、ハッカーが仮想プライヴェートネットワーク(VPN)の侵害により最初のアクセスを確保したとみられることを発見した。ハッカーがそのVPNの証明書を入手したのか、それともVPNサーヴァーの脆弱性を直接利用したのかは不明だ。
ハッカーの次の動きは典型的なもので、侵入テストツール「Cobalt Strike」のカスタムヴァージョンを使用し、埋め込んだマルウェアに「Google Chrome」の更新ファイルと同じ名前をつけて偽装した。また、グーグルやマイクロソフトのクラウドサーヴィスにあるC&C(コマンド&コントロール)サーヴァーを利用し、異常なコミュニケーションだと検出されないようにしていた。
ハッカーは、最初のアクセスポイントから暗号学的ハッシュ化で保護されたパスワードのデータベースにアクセスし、ネットワーク上のほかのコンピューターに移動し、侵入を試みていた。CyCraftのアナリストによると、ハッカーは自分たちの痕跡が残るかもしれないマルウェアでコンピューターを感染させるのではなく、盗んだ証明書や、ユーザーが利用可能な正規の機能を使用し、ネットワーク上の移動やさらなるアクセスの確保を行っていた。
CyCraftが確認したなかで、ハッカーが被害者のネットワークで繰り返し使っていた戦術として最も特徴的だったのは、ドメインコントローラー(大きなネットワークでアクセスのルールを決めるサーヴァー)を操る手法だった。
ハッカーは一般的なハッキングツール「Dumpert」や「Mimikatz」のコードを組み合わせた特製のプログラムを利用し、ドメインコントローラーのメモリーに新たな認証ユーザーを作成する。これがスケルトンキー・インジェクションと呼ばれる手法だ。新たに作成されたユーザーは企業全体のコンピューターにアクセスできる。「どこへでも移動できる万能な“スケルトンキー”のようなものです」とダフィは言う。
中国が関与していたいくつかの“証拠”
CyCraftは今年4月、「Operation Skelton Key」に関するこれらの知見の大部分をひっそりと公開していた。だがBlack Hatでのプレゼンテーションでは、問題のハッキング行為と中国本土の結びつきを示す複数の新たな情報を明らかにした。
これらの新たな手がかりのなかで最も注目に値する部分は、おそらくハッカーをハッキングする活動からもたらされている。
CyCraftの研究員は、ハッカー集団であるキメラが被害者のネットワークからデータを抜き出すところを目撃し、ハッカーとC&Cサーヴァーとのやりとりから認証トークンを傍受することに成功した。CyCraftのアナリストはそのトークンを使ってクラウドサーヴァーの中身を閲覧することができた。なかにはアナリストが言うところのハッカーの“カンニングペーパー”も含まれており、典型的な侵害行為の標準的な手順が書かれていた。
注目に値するのは、手順が簡体字の中国語で書かれていたことだ。簡体字は中国本土で使用されるもので、台湾では使用されていない。
ハッカーはまた、おおむね北京標準時で活動しているように見受けられ、「996」の勤務スケジュールに従っていた。これは中国のテック産業で一般的なシフトで、午前9時から午後9時まで週6日働く制度だ。休日のとり方も本土と同じである。
最終的にCyCraftは、台湾や海外の情報機関と協力するなかで、同じような手法を駆使するハッカー集団が台湾の政府機関も標的にしていることを確認したという。
見え隠れする大規模なハッカー集団の存在
だが、明らかになった内容のうちでも最も具体的だったのが、複数の被害者のネットワークに仕掛けられたバックドアプログラムの存在だった。CyCraftによると、このプログラムはハッカー集団の「Winnti」(10年以上活動するハッカーの大集団で、中国本土に拠点があると広く考えられている)が使っていたものだという。
Winntiは近年、国家の支援を受けたと見られる中国の国益のためのハッキングと、営利目的のハッキング犯罪を展開しており、ヴィデオゲーム企業をしばしば標的としていることが知られている。また15年には、CyCraftが台湾の半導体メーカーに対して使われたことを確認したものと同様のスケルトンキー・インジェクションをWinntiも駆使していると見られることが、シマンテックの調査で判明している(CyCraftはキメラ=Winntiかどうかはまだわからないとしているが、その可能性はありうると考えているようだ)。
13年に公表した調査のなかで初めてこの集団の存在を把握し、「Winnti」と名づけたのがカスペルスキーだ。昨年には、台湾メーカーのエイスース(ASUS)が販売するコンピューターの更新メカニズムが乗っ取られた攻撃と、Winntiとを結びつけている。
カスペルスキーのグローバル調査分析チームの責任者コスティン・ライウは、CyCraftが特に注視している半導体メーカーのほかにも、通信会社からテック企業に至るまで、Winntiは多数の台湾企業に攻撃を仕掛けていると指摘する。「確認できている攻撃は氷山の一角にすぎない可能性があります」と、ライウは言う。
また、台湾を広く狙った活動において、Winntiが中国とかかわりのある唯一の集団というわけではないとも、ライウは指摘する。だが彼は、ASUSのソフトウェア更新の乗っ取りなどの斬新な手法は、Winntiを特徴づけるものだとも語っている。
半導体産業という危険な標的
だがCyCraftのダフィは、中国による台湾への大規模なハッキングのなかでも、半導体産業は特に危険な標的になるのだと言う。ダフィによると、チップの設計図を盗めれば、中国のハッカーはコンピューターに隠された脆弱性をより簡単に探ることができるからだ。
「これらのチップを設計レヴェルで詳細まで理解すれば、チップにあらゆる模擬攻撃を仕掛けることで、リリース前に脆弱性を見つけることができます。そうなると、デヴァイスが市場に出回るころには、すでに“欠陥品”のようになっているわけです」
CyCraftは、盗んだチップの設計文書やコードをハッカーがどう使っているかはわからないと認める。一連のハッキング行為の動機として可能性が高そうなのは、単純に中国の半導体メーカーがライヴァル企業に対して優位性を確保できるようにするため、というものだ。
「それは台湾経済の一部に損害を与え、長期的な競争力を損なうひとつの方法です」と、ダフィは言う。「半導体産業のほぼ全域を対象とし、サプライチェーンの至るところに及ぶこの攻撃の規模からすると、業界の力関係を変えようとしているように見えます。もしすべての知的財産が中国の手に渡れば、中国はさらなる力を手にすることでしょう」
※『WIRED』によるハッキングの関連記事はこちら。
RELATED ARTICLES
INFORMATION
限定イヴェントにも参加できるWIRED日本版「メンバーシップ」会員募集中!
次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編)を、週替わりのテーマに合わせてお届けする会員サーヴィス「WIRED SZ メンバーシップ」。限定イヴェントへの参加も可能な刺激に満ちたサーヴィスは、2週間の無料トライアルを実施中!
"産業" - Google ニュース
August 09, 2020 at 08:00AM
https://ift.tt/3ktiiIf
中国のハッカー集団が「台湾の半導体産業」を狙っている? 見つかったいくつかの“証拠” - WIRED.jp
"産業" - Google ニュース
https://ift.tt/36Kc3Zj
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
Bagikan Berita Ini
0 Response to "中国のハッカー集団が「台湾の半導体産業」を狙っている? 見つかったいくつかの“証拠” - WIRED.jp"
Post a Comment