SecurityInsight | セキュリティインサイト

ファイア・アイ、長期的に活動する中国のサイバースパイ集団の最新状況を公開

ファイア・アイは4月14日、長期的に活動する脅威グループ「APT10」(MenuPass)の最新状況を公開した。その概要は以下のとおり。

「APT10」(MenuPassグループ)は、ファイア・アイが2009年から追跡している中国のサイバースパイ集団。このグループはこれまで、米国、欧州、日本の土木建設企業、航空宇宙企業、通信企業、官公庁を標的としてきた。こうした業界が標的となっているのは、重要な軍事諜報情報の入手や、中国企業の支援に向けた機密情報の窃取など、中国の国家安全保障に関わる目的を後押しするためと考えられる。なお、PwCとBAEは最近、共同のブログ記事を発行し、APT10の広範な活動について詳述している。

FireEye iSIGHTインテリジェンスが、APT10によるオペレーションの拡大を初めて報じたのは2016年6月のこと。同グループは当初、日本の大学を標的としているのが検知されたが、その後、日本国内でより広範囲な標的を対象としていることが判明した。そして、FireEye as a Service(FaaS)、Mandiant、FireEye iSIGHTインテリジェンスが連携して解析を進めた結果、新たなツールや手法を用いた一連の攻撃は世界規模で多くの被害が出ていることが判明した。

ファイア・アイは、2016~2017年に6つの大陸でAPT10による攻撃を検知している。APT10は、インド、日本、北欧の製造業、南米の鉱業、全世界の複数のITサービス・プロバイダーを標的とし、不正アクセスを行なってきた。こうした企業の中には、最終的な標的もあるが、それと同時に、最終的な標的への足がかりとされた団体も存在すると考えられる。

APT10は、2016~2017年の活動で新たなツールを利用している。継続的に使用されるSOGUに加えて、最新の侵入活動では新たなツールが使用されており、ファイア・アイは、これらがAPT10に固有のものであると考えている。第一段階のバックドアとしては、HAYMAKERとSNUGRIDEが使用される一方、第二段階のバックドアとしては、BUGJUICEと、オープンソースのQUASARRATのカスタマイズ版が使用されている。こうした新種のマルウェアからは、APT10が新しい攻撃手法の開発にリソースを投じていることが分かる。

APT10の脅威は全世界の企業・団体に及ぶ。APT10がサービス・プロバイダーのネットワークへのアクセスを悪用していることから、悪意ある攻撃者は、対象の企業・団体をあらゆる角度から攻撃しようと試みているが分かる。PwC/BAEのブログ記事で周知されて以降、APT10の活動は鈍化しているように思われる。しかし、彼らは今後、大規模なオペレーションを復活させて、新たな戦術、手法、手順を導入する可能性があるとファイア・アイは考えている。
 

関連リンク

プレスリリース