June 28, 2019 / 8:25 AM / 25 days ago

特別リポート:中国クラウドホッパー攻撃、西側敗北の裏事情

[ロンドン 26日 ロイター] - スウェーデンの通信機器大手エリクソン(ERICb.ST)は、2014年から17年にかけて、5回にわたり中国系と見られるサイバースパイによるハッキング攻撃を受けた。同社のセキュリティ担当スタッフは、それらへの対応策に、さまざまな種類のワインにちなんだ呼称をつけるようになった。

6月26日、スウェーデンの通信機器大手エリクソンは、2014年から17年にかけて、5回にわたり中国系と見られるサイバースパイによるハッキング攻撃を受けた。2017年5月撮影(2019年 ロイター/Kacper Pempel)

「ピノ・ノワール」は16年9月に開始された。その1年前に発生した一連の攻撃をうまく撃退していたエリクソンは、侵入者たちがまた戻ってきたことを察知した。そしてこの時は、同社のサイバーセキュリティチームは侵入の手口を正確に突き止めることができた。同社が情報テクノロジーサービスの供給を受けていた米ヒューレット・パッカード・エンタープライズ(HPE)(HPE.N)との接続経路から侵入されていたのだ。

中国国家安全省と関係のあるハッカーチームは、HPEのクラウドサービスに侵入。そこを拠点にHPEの顧客に攻撃を仕掛け、何年にもわたって企業や政府から大量の機密情報を盗み出していた。米国の検察当局者によれば、目的は中国の経済的利益の拡大だったという。

この「クラウドホッパー」という呼び名で知られる一連のハッキング作戦こそが、昨年12月、米国で中国人が2人がID窃盗と詐欺の容疑で起訴された際の罪状だった。検察側は、多数の西側企業が犠牲となった巧妙な作戦について詳述しているが、企業名は伏せていた。ロイターは当時、HPEと米IBM(IBM.N)の2社が被害を受けていたことを報じた。

だが「クラウドホッパー」作戦では、この他に大手テクノロジー企業少なくとも6社が被害を受け、テクノロジーサービス事業者世界トップ10のうち5社に影響が及んでいたことが分かった。

ロイターが確認した「クラウドホッパー」作戦による他の被害企業は、富士通(6702.T)、NTTデータ(9613.T)、印タタ・コンサルタンシー・サービシズ(TCS.NS)、南アのディメンションデータ、米コンピューター・サイエンシズ(CSC)、DXCテクノロジー(DXC.N)の6社。DXCは、HPEが2017年に自社のサービス部門をスピンオフし、CSCと合併させて設立した企業だ。

 中国、富士通やNTTデータにも不正侵入、大規模サイバー攻撃

一連のハッキング被害は、これら6社、そしてHPEとIBMから波及していた。

戦略的に重要なモバイル電気通信事業で中国企業と競合する立場にあるエリクソンはその1例だ。この他、航空券予約管理の分野で米国首位に立つ旅行予約システムのセーバー(SABR.O)や、米海軍にとって最大の造船企業で、バージニアの造船所で原子力潜水艦を建造しているハンティントン・インガルス・インダストリーズ(HII.N)なども攻撃を受けている。

元オーストラリア国家サイバーセキュリティ顧問であるアラステア・マクギボン氏は、「経済的な利益を得ることを目的として、企業の生命線である産業秘密や営業秘密を盗もうとするものだ」と言う。

ロイターでは、この作戦による損害の全体像を把握できなかった。また多くの被害者は、どの情報が盗まれたのかを正確に突き止められていない。

<クラウド依存の脆弱性>

だが、「クラウドホッパー」作戦による攻撃は、セキュリティ上の脅威への対応に頭を悩ませる政府当局者やテクノロジー企業に憂慮すべき教訓を与えている。「APT10(Advanced Persistent Threat10)」と呼ばれるグループを含む中国系ハッカーは、一流のセキュリティ専門家による反撃を受けながらも、また経済スパイ行為を控えるという2015年の米中間の合意にもかかわらず、攻撃を継続することができたのである。

サービス事業者が法的責任や不利な報道を懸念し、ハッキング被害を受けた顧客に情報を提供しなかったため、企業や政府による攻撃への対応が後手に回ったことが記録やインタビューからうかがわれる。情報当局者は、こうした失敗を見ると、西側の諸機関が高度なサイバー侵略を防ぐために必要な情報共有ができるのかが疑わしくなる、と話している。現時点でさえ、多くの被害者は攻撃を受けたことに気づいていない可能性がある。

また、企業が遠隔コンピューターサービスやデータ保存のために外部サービス事業者と契約してクラウド・コンピューティングを利用することがますます一般的な手法になるなかで、今回の作戦は、そうしたクラウド・コンピューティングに本質的に付きまとうセキュリティ上の脆弱性を浮き彫りにした。

マイク・ロジャース元国家安全保障局(NSA)長官は、「クラウドが万能だと考える人は、ぼんやりしているだけだ」と話している。

ロイターは、西側政府当局者、現・元企業幹部、民間のセキュリティ研究者など、「クラウドホッパー」事件の捜査に関わった30人の人物にインタビューを行った。また数百ページに及ぶ企業の内部文書、裁判所への提出文書、企業の情報活動報告書も閲覧した。

HPEは、「今回の攻撃を緩和し、自社顧客の情報を保護するために、熱心に取り組んでいる」と、同社広報担当のアダム・バウワー氏は述べ、「国家関係者によるサイバー犯罪の脅威増大に対抗するために、油断なく努力を続けている」と付け加えた。

DXCの広報担当者は、自社と顧客を守るために「堅固なセキュリティ措置を導入している」という。「DXCテクノロジーの発足以来、DXCも、DXC管理下の環境を利用する顧客も、APT10その他の危険な存在による重大な影響を受けたことはない」と、この広報担当者は話した。

NTTデータ、タタ・コンサルタンシー・サービシズ、富士通、そしてIBMはコメントを拒否している。IBMは過去に、企業の機密データが攻撃によって漏洩したという証拠はないと述べている。

中国政府は、ハッキングに関与したという疑惑をすべて否定している。

<侵入の経緯>

HPEの内部文書と事情に通じた10人の関係者によれば、HPEのセキュリティ担当スタッフにとって、エリクソンの状況は、巨大な嵐の中の1つの暗雲にすぎない。

HPEの前身であるテクノロジー大手企業ヒューレット・パッカードは、何年にもわたってハッキングを受けていることに気づいていなかった。同社が自社のサーバに有害なコードが仕込まれていることを初めて発見したのは2012年であり、外部の専門家に調査を依頼したところ、感染は少なくとも2010年1月までさかのぼることが分った。

ヒューレット・パッカードのセキュリティ担当者たちは反撃に出た。侵入者を追跡し、防御措置を強化し、ハッカーによる既知の拠点をすべて同時に潰すよう、慎重に計画された駆除措置を実施した。だが攻撃は再び仕掛けられ、少なくとも5年は攻防が繰り返された。

一歩リードしていたのは侵入者の側だった。彼らはHPのエンジニアが計画した駆除措置が実施される前に大量のデータを盗み出していた。彼らは認証情報が納められたディレクトリを丸ごと窃取した。これは、何百人もの従業員になりすますことを可能にする大胆な行為である。

ハッカーたちはどこを探せば最も重要な機密データがあるかを正確に知っており、自らのコードに罵倒や侮蔑の言葉を散りばめていた。ハッキング用のツールの1つには、被害者がウィルス対策(AV)ソフトに頼っていることを揶揄する「AVなんてクソ食らえ」というメッセージが含まれていた。キャンペーン全体で用いられた有害なドメイン名は「nsa.mefound.com」で、米国の情報機関を模倣しているようだった。

資料によれば、状況はさらに悪化した。

2015年、連邦捜査局(FBI)から感染したコンピューターが外部のサーバと通信しているという警告を受けたHPEは、進行中だった3つの調査を「トリプルプレイ」と称する取組みに一本化した。16年末の経営幹部向けプレゼンテーションによれば、HPEが管理するシステムのうち最大122件、新たなDXC事業にスピンアウトされる予定のシステム102件が侵入を受けていたという。

17年半ば以降の社内向けのチャートは、顧客別にコードネームを付された調査について、経営幹部が把握しやすいように作成されたものだ。「Rubus」はフィンランドの企業グループであるバルメット向けのもの、「Silver Scale」はブラジルの鉱業大手バーレ向けだ。「Greenxmass」はスウェーデンの製造企業SKF向けで、「Oculus」がエリクソンを対象としている。

プロジェクト「Kronos」及び「Echo」が対象としていたのはスイスのバイオテクノロジー企業だったシンジェンタだが、シンジェンタは17年、ちょうど同社ネットワークに対する攻撃に関してHPEが調査を進めていた時期に、中国の国営化学企業グループ、中国化工集団(ケムチャイナ)に買収されてしまった。

エリクソンは、個別のサイバーセキュリティ事件についてはコメントしないとしている。広報担当者は「我が社の企業ネットワークに対する攻撃はあるが、徹底的な調査の結果、我が社の顧客に対する攻撃の成功例において、エリクソンのインフラが利用されていたという証拠は見つかっていない」と話している。

SKFの広報担当者は、「HPEに対する『クラウドホッパー』攻撃に関連して、侵入が発生したことは認識している。侵入に関して調査したところ、商業的な機密情報へのアクセスがあったことは確認されていない」と述べている。

NSAのロブ・ジョイス上級顧問は、企業は高いスキルを持つ敵と戦っている、と語る。ハッキングは「強力なもので、防衛するのが困難だ」と同氏は言う。

西側諸国の当局者によれば、攻撃を行ったのは中国政府の支援を受けた多数のハッキング集団だという。米国の検察当局者によれば、国家安全省の指揮を受ける「APT10」と呼ばれる集団が最も恐れられている。国家安全保障の専門家によれば、中国の情報機関は米国の中央情報局(CIA)に相当する存在で、電子的手段や人的手段によるスパイ活動を遂行する能力があるという。

「APT10」のメンバーとされるZhu HuaとZhang Shilong両容疑者は昨年12月、共謀してコンピューター侵入、通信不正行為、悪質なID窃盗を行った容疑で米国により起訴された。可能性は低いが、2人が米国に引き渡され有罪判決を受けた場合、最長27年米国の刑務所に収監されることになる。

中国外務省はこれについて「根拠のない告発」であるとして、米国に対し「両国の関係に対する深刻な打撃を回避するため、中国国民に対する訴訟なるものを取り下げるよう」求めている。

米司法省は、中国側の否定を「形式的なものでデマカセである」としている。

ジョン・デマーズ司法次官補はロイターに対し、「中国政府は、こうした活動を行うために自らの情報機関を使う一方で、自国の企業や市民が起こした知的財産権侵害に対する捜査への一切の協力を拒否している」と語った。

「APT10」は、サービス事業者のシステムを攻撃する際、「スピアフィッシング」と呼ばれる手法を使うことが多い。企業の従業員に詐欺メールを送って自分のパスワードを入力させるか、マルウェアのインストールを促すものだ。ドアが開いたら、ハッカーたちは企業のシステムに入り込み、顧客データを探り、何よりも重要な点として、顧客のシステムへの橋渡しとなるネットワーク上のコンピューター、「ジャンプ・サーバー」を探す。

攻撃者がサービス事業者のネットワークから顧客のシステムへと「ホップ」した後の行動はさまざまであり、攻撃がスキルレベルや任務の異なる複数のチームにより行われていることがうかがわれると、こうした作戦を検知した人々は指摘する。ある事情に詳しい関係者によると、侵入者の一部は「泥酔強盗」のようであり、入り組んだ企業システムのなかで迷子になり、手当たり次第にファイルを持っていくように見えるという。

<沈黙する被害企業>

最初はヒューレット・パッカード、後にヒューレット・パッカード・エンタープライズの1部門としてスタートし、現在はDXCと名乗るサービス事業者を経由して侵入を受けた企業が何社にのぼるのかを知ることは不可能だ。

HPEの事業は何百社もの顧客を抱えていた。企業の認証情報を手に入れた攻撃者は、サービス事業者ができることであればほぼ何でもできる。資料によれば、侵入されたサーバーの多くは、複数のHPE顧客用に利用されていたという。

悪夢とも呼べる状況の1つが、前出の旅行予約大手セーバーの例だ。同社は世界各国数万カ所のホテルに関する予約システムを提供していた。また、航空会社数百社、1500の空港と提携して包括的な航空券予約システムを動かしている。

捜査担当者によれば、セーバーのシステムが完全に侵入され、中国が企業幹部や米国政府当局者の渡航先を追跡できるようになっていたなら、情報の宝庫を明け渡したことになる。そうなれば、対人的なアプローチや、物理的な監視、あるいは彼らのデバイスへのデジタル追跡ツールのインストールなども可能になってしまう。

2015年、捜査官らは、セーバー専用に提供されていたHPのサーバーのうち少なくとも4台が大量のデータを外部のサーバーに漏洩していたことを突き止めた。2人の元HPE従業員によれば、セーバー関連の侵入は長期的なもので対処が困難だったという。

元従業員らによれば、HP経営陣は、社内セキュリティ担当者が求めた調査のためのアクセス権限を渋々としか認めず、セーバー側にすべては説明しないよう警告したという。

「顧客への情報提供を限定することが重視された」と1人は言う。「非常に苛立たしかった。我々にはあれほど使えるスキルや能力があったのに、それを許されなかった」

18年12月、何年にもわたって脅威を封じ込めようと苦労していた米政府は、「APT10」のハッカーを中国国家安全省の工作員と認定した。この公式な認定は、広く国際的な支持を集めた。ドイツ、ニュージーランド、カナダ、英国、オーストラリアその他の同盟国は、いずれも中国に対する米国の批判を支持する声明を発表した。

それでも、「クラウドホッパー」活動の多くは世間の目からは隠されたままだった。多くの場合、被害企業からの要請がその理由だった。

攻撃を受けたサービス事業者は、 情報漏れを防ぐため、セキュリティ担当スタッフが調査に関係のない他の従業員と話すことすら制限することが多かった。

16年、HPEのグローバル機能担当法務顧問室が「ホワイトウルフ」というコードネームの調査に関する通達を出した。この通達は、「本プロジェクト及び関連する活動の秘密保持が非常に重要である」と警告し、詳細な説明なしに、この取組みを「機密事項である」と述べていた。通達は、「(プロジェクト外部には)ホワイトウルフに関する、またそれがHPEやHPEが行う活動に与える影響に関するいかなる情報も漏らしてはならない」と述べている。

米当局が昨年12月、「クラウドホッパー」という呼び名で知られる一連のハッキング作戦に関与したとして起訴した中国人が2人の勤務先とされる天津華盈海泰科技発展が登録された中国天津の建物。2018年12月撮影(2019年 ロイター/Thomas Peter)

こうした秘密主義はHPEに限られない。米国土安全保障省の上級サイバーセキュリティ担当であるジャネット・マンフラ氏はロイターに対し、政府がテクノロジーサービス事業者に警告を発したときでさえ、各社はその警告を顧客に伝えるとは限らなかった、と述べた。

「我々は顧客への通知を依頼したが、強制することはできなかった」とマンフラ氏は話した。

(Jack Stubbs記者、 Joseph Menn記者、Christopher Bing記者、翻訳:エァクレーレン)

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below