PLA某部隊が欧米のアンチウイルスソフト購入の動き(2021.5)
○概要:PLAの61419部隊と呼ばれるSSFの部隊が、欧米露のアンチウィルスソフト購入を企図
○事案の概要
事案の経緯
ウェブ情報、その他のソースにより、PLAの61429部隊が欧米露のアンチウィルスソフト購入を企図した調査を実施していることが判明
購入の候補となっていた商品は、6か国14個商品。具体的には下記の通り
Date of Procurement Order
|
Product Name
|
Subscription Length
|
Number of Users
|
Country of Supplier
|
January 2019
|
Kaspersky Security Cloud Family
|
1 year
|
20 user terminals
|
Russia
|
January 2019
|
Kaspersky Security Cloud Personal
|
1 year
|
10 user terminals
|
Russia
|
January 2019
|
Kaspersky Endpoint Security for Business Select
|
1 year
|
10 user terminals
|
Russia
|
January 2019
|
Kaspersky Endpoint Security Cloud Plus
|
1 year
|
10 user terminals
|
Russia
|
January 2019
|
Avira Prime
|
1 year
|
10 user terminals
|
Germany
|
April-May 2019
|
Kaspersky Endpoint Security for Business ADVANCED
|
2 years
|
30 user terminals
|
Russia
|
April-May 2019
|
McAfee Total Protection
|
2 years
|
30 user terminals
|
US
|
April-May 2019
|
Dr. Web Enterprise Security Suite
|
2 years
|
30 user terminals
|
Russia
|
April-May 2019
|
Nod32 ESET Multi-Device Security
|
2 years
|
10 user terminals
|
|
April-May 2019
|
Norton Security Premium
|
2 years
|
10 user terminals
|
US
|
April-May 2019
|
Symantec Endpoint Protection Subscription
|
2 years
|
10 user terminals
|
US
|
November 2019
|
Trend Micro Worry-Free Services Advanced
|
2 years
|
10 user terminals
|
US-Japan
|
November 2019
|
Sophos Intercept X
|
2 years
|
10 user terminals
|
UK
|
November 2019
|
BitDefender Total Security
|
2 years
|
10 user terminals
|
Romania
|
出展:Recorded Futureサイト(文献1)より
被害の全容
これまでのところ、本事象によりPLAが得た情報やこれまでなされた攻撃、偵察活動との関連性は不明
攻撃対象について、下記のようなシナリオに基づく攻撃が実行された場合、影響は国・地域を問わず同製品を用いる組織・団体に広く及ぶ
最近行われている、或いはその疑いのあるキャンペーンと合わせて考えると政治経済的な係争を国やその主要な企業等が潜在的な攻撃対象として考えられる。
○ハンドリング
本件について、関係する各国・企業がどのように対応しているかについては、本記事執筆時(2021.5.6)では未確認
○分 析
攻撃手法
本事案そのものは攻撃には当たらないが、サプライチェーン攻撃の「偵察(Reconnaissance)」もしくは「武器化(Weaponization)」に相当する。
成功の要因
今回の事象は未だ攻撃そのものが発生したわけではない。
難しい点は、購入自体には違法性が無く、一企業の意志ではこれらを防止することや、もしかすると検知することすら難しい可能性があるという点である。
(ロシアはまだしも)欧米日のような開かれた民主主義社会、そして法治国家では、例え国家安全保障上のリスクを孕むものであっても、合法的な情報収集活動を禁じることは出来ない。
ベンダ企業からの製品購入についても、兵器にも該当せず特に規制する根拠がない。
※ ここについては、特に外為法の内容及び現在の規制について確認する必要がある。
見積もられる攻撃者・攻撃企図
記事では、PLAの意図について、2つのシナリオが想定されるとしている。
① アンチウィルスソフトを悪用したテスト環境駆動による
② アンチウィルスソフトのリバースエンジニアリングによるゼロデイ脆弱性の発見、利用
予想されるリスク
上記のシナリオにより、新たなエクスプロイトキットやゼロデイ脆弱性をついたサプライチェーン攻撃が行われる可能性がある。特にこれらの製品を用いている企業・団体については直接的な被害が懸念される他、攻撃者が入手した情報を起点としたサプライチェーン攻撃が行われれば、より多くの組織・団体に影響が及ぶことは避けられない。
○じ後の対策
短期的対策
記事中でも記載されているように、同製品を用いた組織・団体、とりわけ政府機関、自治体、防衛産業等、重要な機密を扱うシステムについては注意するとともに
ゼロデイ脆弱性の発見、修正に注力するとともに、既に何らかの攻撃が実行されている可能性も踏まえて対策をとる必要がある。
中長期的対策
中国が実際に上記のような意図をもって購入を行い、かつ攻撃を行った場合その影響は甚大であり、現時点で規制の手段はないとしても、安らかの対策をとる必要がある。
少なくとも、中国がどのような情報を収集し、入手しているか、またそれを何に活用しようとしているかに関するインテリジェンスは必須である。
一方、当該国の個人による購入と国家主体・準国家主体による情報収集を、厳格に区別することは困難でもある。諜報活動においては、個人や民間企業をカバーで用いることは日常茶飯事であるし、当該国においては個人や企業が協力を求められた場合、従う義務もある。
○レビュー
本件が 与える影響については、最近判明したPLAによるサプライチェーン攻撃とあいまり、我が国にとっても非常に重大な影響を持ち得るものであるといえる。まだ公的機関のリアクションもなく、本件だけの信憑性は定かではないが、少なくともこのような動きについては今後も官民を挙げて監視していく必要があろう。
○関連知識
・ 中国の各部隊について(調査中)
・ 各APT等攻撃者集団について
Groups | MITRE ATT&CK® 2021.5.7最終アクセス
○関連情報・資料
海外メディア
Insikt Group(Recorded Future)記事 2021.5.5 ・・・文献1
・ China man suspected of involvement in sweeping cyber-attacks - The Japan News (the-japan-news.com)
The Record 2021.5.5 ・・・文献2
日本メディア
・ China man suspected of involvement in sweeping cyber-attacks - The Japan News (the-japan-news.com)
同部隊が関わったとされる日本国内におけるサプライチェーン攻撃について
英語版読売新聞 2021.4.21
※本件はまだ未判明