Risks and Incidents

サイバー、フィジカル空間のインシデント、セキュリティ情報についてまとめています。その他、情報系の学習記録など。

PLA某部隊が欧米のアンチウイルスソフト購入の動き(2021.5)

○概要:PLAの61419部隊と呼ばれるSSFの部隊が、欧米露のアンチウィルスソフト購入を企図

 

○事案の概要

 事案の経緯

 ウェブ情報、その他のソースにより、PLAの61429部隊が欧米露のアンチウィルスソフト購入を企図した調査を実施していることが判明

 購入の候補となっていた商品は、6か国14個商品。具体的には下記の通り
 
Date of Procurement Order
Product Name
Subscription Length
 
Number of Users
Country of Supplier
January 2019
Kaspersky Security Cloud Family
1 year
20 user terminals
Russia
January 2019
Kaspersky Security Cloud Personal
1 year
10 user terminals
Russia
January 2019
Kaspersky Endpoint Security for Business Select
1 year
10 user terminals
Russia
January 2019
Kaspersky Endpoint Security Cloud Plus
1 year
10 user terminals
Russia
January 2019
Avira Prime
1 year
10 user terminals
Germany
April-May 2019
Kaspersky Endpoint Security for Business ADVANCED
2 years
30 user terminals
Russia
April-May 2019
McAfee Total Protection
2 years
30 user terminals
US
April-May 2019
Dr. Web Enterprise Security Suite
2 years
30 user terminals
Russia
April-May 2019
Nod32 ESET Multi-Device Security
2 years
10 user terminals
April-May 2019
Norton Security Premium
2 years
10 user terminals
US
April-May 2019
Symantec Endpoint Protection Subscription
2 years
10 user terminals
US
November 2019
Trend Micro Worry-Free Services Advanced
2 years
10 user terminals
US-Japan
November 2019
Sophos Intercept X
2 years
10 user terminals
UK
November 2019
BitDefender Total Security
2 years
10 user terminals
Romania
出展:Recorded Futureサイト(文献1)より 
 
 被害の全容
 これまでのところ、本事象によりPLAが得た情報やこれまでなされた攻撃、偵察活動との関連性は不明
  攻撃対象について、下記のようなシナリオに基づく攻撃が実行された場合、影響は国・地域を問わず同製品を用いる組織・団体に広く及ぶ
 最近行われている、或いはその疑いのあるキャンペーンと合わせて考えると政治経済的な係争を国やその主要な企業等が潜在的な攻撃対象として考えられる。
 
○ハンドリング
 本件について、関係する各国・企業がどのように対応しているかについては、本記事執筆時(2021.5.6)では未確認
 
○分 析
 攻撃手法
 本事案そのものは攻撃には当たらないが、サプライチェーン攻撃の「偵察(Reconnaissance)」もしくは「武器化(Weaponization)」に相当する。
 成功の要因
 今回の事象は未だ攻撃そのものが発生したわけではない。
 難しい点は、購入自体には違法性が無く、一企業の意志ではこれらを防止することや、もしかすると検知することすら難しい可能性があるという点である。
 (ロシアはまだしも)欧米日のような開かれた民主主義社会、そして法治国家では、例え国家安全保障上のリスクを孕むものであっても、合法的な情報収集活動を禁じることは出来ない。
 ベンダ企業からの製品購入についても、兵器にも該当せず特に規制する根拠がない。
 ※ ここについては、特に外為法の内容及び現在の規制について確認する必要がある。
 見積もられる攻撃者・攻撃企図
 記事では、PLAの意図について、2つのシナリオが想定されるとしている。
 ① アンチウィルスソフトを悪用したテスト環境駆動による
 ② アンチウィルスソフトのリバースエンジニアリングによるゼロデイ脆弱性の発見、利用
 予想されるリスク
 上記のシナリオにより、新たなエクスプロイトキットやゼロデイ脆弱性をついたサプライチェーン攻撃が行われる可能性がある。特にこれらの製品を用いている企業・団体については直接的な被害が懸念される他、攻撃者が入手した情報を起点としたサプライチェーン攻撃が行われれば、より多くの組織・団体に影響が及ぶことは避けられない。
 
○じ後の対策
 短期的対策
 記事中でも記載されているように、同製品を用いた組織・団体、とりわけ政府機関、自治体、防衛産業等、重要な機密を扱うシステムについては注意するとともに
 ゼロデイ脆弱性の発見、修正に注力するとともに、既に何らかの攻撃が実行されている可能性も踏まえて対策をとる必要がある。
 
 中長期的対策
 中国が実際に上記のような意図をもって購入を行い、かつ攻撃を行った場合その影響は甚大であり、現時点で規制の手段はないとしても、安らかの対策をとる必要がある。
 少なくとも、中国がどのような情報を収集し、入手しているか、またそれを何に活用しようとしているかに関するインテリジェンスは必須である。
 一方、当該国の個人による購入と国家主体・準国家主体による情報収集を、厳格に区別することは困難でもある。諜報活動においては、個人や民間企業をカバーで用いることは日常茶飯事であるし、当該国においては個人や企業が協力を求められた場合、従う義務もある。
 
レビュー
 本件が 与える影響については、最近判明したPLAによるサプライチェーン攻撃とあいまり、我が国にとっても非常に重大な影響を持ち得るものであるといえる。まだ公的機関のリアクションもなく、本件だけの信憑性は定かではないが、少なくともこのような動きについては今後も官民を挙げて監視していく必要があろう。
 
○関連知識
・ 中国の各部隊について(調査中)
・ 各APT等攻撃者集団について
  Groups | MITRE ATT&CK® 2021.5.7最終アクセス
 
○関連情報・資料
海外メディア
  Insikt Group(Recorded Future)記事 2021.5.5 ・・・文献1
  The Record  2021.5.5 ・・・文献2
 
日本メディア
 同部隊が関わったとされる日本国内におけるサプライチェーン攻撃について
 英語版読売新聞 2021.4.21
 ※本件はまだ未判明