日本新聞: ブラックテックの正体は背後に中国? 情報は抜かれ続ける…

この秋あき、日本にっぽん政府せいふが名指なざしで注意ちゅうい喚起かんきを行おこなったハッカー集団しゅうだん「BlackTech＝ブラックテック」。

世界中せかいじゅうの企業きぎょうや組織そしきなどから機密きみつ情報じょうほうを盗み出ぬすみだしていると言いう。

背後はいごには、中国ちゅうごくがいると指摘してき。一体いったい何者なにものなのか。その正体しょうたいは。

サイバースパイ

ブラックテックに注目ちゅうもくが集あつまったのは9月つき。

警察庁けいさつちょうと内閣ないかくサイバーセキュリティセンターが異例いれいの注意ちゅうい喚起かんきを行おこなったことだった。

アメリカ政府せいふも同時どうじに発表はっぴょう。

手口てぐちの詳細しょうさいを公開こうかいし、注意ちゅういを呼よびかけた。

ブラックテックは、情報じょうほう窃取せっしゅを行おこなうとされるハッカー集団しゅうだんだ。

組織そしきのセキュリティーの脆弱ぜいじゃく性せいをついて、内部ないぶに潜入せんにゅう。

コンピューターウイルスを駆使くしして、機密きみつ情報じょうほうをひそかに盗み出ぬすみだす。

いわば、サイバー空間くうかんのスパイ組織そしきだ。

最初さいしょに存在そんざいが確認かくにんされたのは、2010年ねん頃ごろ。

当初とうしょ、ターゲットとなったのは、主おもに台湾たいわんの企業きぎょうなどだったが、17年ねん後半こうはんから翌年よくねんにかけて、状況じょうきょうが一変いっぺんする。

文科ぶんか省しょうを装よそおった偽にせメール

「関係かんけい者しゃ各位かくい今度こんど、科学かがく技術ぎじゅつ学術がくじゅつ審議しんぎ会かいでは、文部もんぶ科学かがく省しょうにおける研究けんきゅう計画けいかくや評価ひょうか等とうについて検討けんとうを行おこなっております… 何卒なにとぞご確認かくにんいただきますようお願おねがいいたします」

18年ねん1月つき、日本にっぽんのある学術がくじゅつ関係かんけい者しゃに送おくられたメールの文面ぶんめんだ。

この時期じき、多おおくの学術がくじゅつ関係かんけい者しゃに送おくられたとみられるが、これは、偽にせメールだった。

記載きさいされたURLにアクセスすると、最終さいしゅう的てきには、コンピューターウイルスに感染かんせんするような仕組しくみになっていた。

セキュリティー機関きかんなどによる分析ぶんせきで、ウイルスの特徴とくちょうなどがブラックテックの特徴とくちょうと一致いっち。

この時期じきころから、日本にっぽんへの攻撃こうげきが明あかるみになっていく。

日本にっぽん企業きぎょうの被害ひがいへの対応たいおうにあたってきたマクニカの竹内たけうち寛ひろしさんは高度こうどなスキルを持もった集団しゅうだんだと指摘してきする。

「文面ぶんめんは非常ひじょうに上手じょうずな日本語にほんごですから、当然とうぜん、日本語にほんごを話はなせる協力きょうりょく者しゃがいるといえるでしょう。この時期じきには、異ことなる分野ぶんやの複数ふくすうの組織そしきをターゲットにしていました。これほどのオペレーションは、かなりの規模きぼでないと実行じっこうできません」

日本にっぽんの被害ひがい官公庁かんこうちょうメディア民間みんかん企業きぎょうに

竹内たけうち寛ひろしさんによれば、2018年ねんには研究けんきゅう機関きかんや重じゅう工業こうぎょう、それにITサービスなど、2019年ねんには半導体はんどうたいや電機でんき関連かんれんそれに重要じゅうようインフラ企業きぎょうなどがターゲットとなったという。

警察庁けいさつちょうの文書ぶんしょによれば、政府せいふ機関きかん、エレクトロニクス、メディアなども標的ひょうてきとなった。

セキュリティーの専門せんもん家かの間まで、ブラックテックによる犯行はんこうの可能かのう性せいが指摘してきされるのは、19年ねんに発生はっせいした「三菱みつびし電機でんき」の情報じょうほう漏洩ろうせつ事件じけんだ。

三菱みつびし電機でんきは社内しゃないのネットワークに大だい規模きぼな攻撃こうげきを受うけ、8000人にんを超こえる個人こじん情報じょうほうが漏洩ろうせつ。

さらに、研究けんきゅう開発かいはつ中ちゅうの防衛ぼうえい装備そうび品ひんに関にかんする取り扱とりあつかい注意ちゅういの情報じょうほうも外部がいぶに流出りゅうしゅつした可能かのう性せいが判明はんめいした。

また、関係かんけい者しゃによると、21年ねんに発生はっせいした「富士通ふじつう」の情報じょうほう共有きょうゆうソフトへの不正ふせいアクセス事件じけんにも関与かんよが指摘してきされている。

攻撃こうげきされたソフトは、内閣ないかくサイバーセキュリティセンターや外務省がいむしょう、それに国土こくど交通こうつう省しょうといった官公庁かんこうちょうのほか、全国ぜんこくの民間みんかん企業きぎょうでも使つかわれていたが、詳くわしくは公表こうひょうされていない。

手薄てうすな海外かいがい拠点きょてんターゲットは「ルーター」

手口てぐちは、文部もんぶ科学かがく省しょうのケースのような偽にせメールだけではない。

組織そしきのシステムの脆弱ぜいじゃく性せいをついた攻撃こうげきも展開てんかいしている。

警察庁けいさつちょうなどは、ルーターといった「ネットワーク機器きき」が狙ねらわれていることを強調きょうちょう。

特とくに海外かいがいの子会社こがいしゃやグループ会社かいしゃが使つかっているルーターが攻撃こうげきの入り口いりくちになりやすいとしている。

機器ききのプログラムを最新さいしんにしていないなどの脆弱ぜいじゃく性せいを悪用あくよう。

ルーターを起点きてんに、海外かいがいの拠点きょてんに侵入しんにゅうし、時間じかんをかけてネットワークを探索たんさくし、最終さいしゅう的てきには、本社ほんしゃへのルートを見みつけるのだ。

セキュリティー会社かいしゃ「ラック」の石川いしかわ芳浩よしひろさんは、海外かいがい拠点きょてんは弱点じゃくてんになりやすいと指摘してきする。

「グローバル企業きぎょうは、合併がっぺいや買収ばいしゅうを繰り返くりかえすし、それぞれの社内しゃないネットワークを本社ほんしゃは詳細しょうさいにすべて把握はあくしているかといえば、難むずかしいのです。被害ひがい企業きぎょうよりも、ブラックテックのほうが、詳くわしいのでは、と思おもうときがあります」

ブラックテックによる犯行はんこうと断定だんていはされていないものの、三菱みつびし電機でんきのケースでも、中国ちゅうごくの拠点きょてんのサーバーが発端ほったんだった。

発表はっぴょうによれば、中国ちゅうごくから侵入しんにゅうされたおよそ3か月かげつ後ご、国内こくないでもウイルスが見みつかった。

背後はいごに中国ちゅうごく… その実態じったいは

高たかいハッキングスキルを持もつブラックテック。

背景はいけいには、中国ちゅうごく当局とうきょくの存在そんざいが見え隠みえかくれする。

これまでの国内外こくないがいの研究けんきゅう機関きかんなどの分析ぶんせきでは、ブラックテックは中国ちゅうごく人民じんみん解放かいほう軍ぐんの配下はいか、あるいは連携れんけいをとっているとみられている。

過去かこには、台湾たいわんメディアが、当局とうきょく者しゃ筋すじの情報じょうほうとして、中国ちゅうごくの武漢ぶかん大学だいがくに拠点きょてんを置おいているとも報ほうじた。

しかし、詳くわしい実態じったいは明あきらかになっていない。

中国ちゅうごくのハッカー集団しゅうだんに詳くわしい、脅威きょういインテリジェンス会社かいしゃ「サイント」の岩井いわい博樹ひろきさんは、指摘してきする。

「中国ちゅうごくが背景はいけいにあると言いわれるハッカー集団しゅうだんは年々ねんねん、特定とくていしづらくなっている」

背景はいけいにあるのは、中国ちゅうごく政府せいふが近年きんねん取り組とりくむ、軍ぐんと民間みんかん企業きぎょうの協力きょうりょくを促進そくしんする「軍民ぐんみん融合ゆうごう」だとする。

政府せいふは、産業さんぎょう特区とっくを設もうけてセキュリティー企業きぎょうの起業きぎょうを促進そくしんするなど、取り組とりくみを強化きょうか。

そうする中なかで、国家こっかプロジェクトとして行おこなわれるサイバー攻撃こうげきにも「民間みんかん」が参入さんにゅうしている可能かのう性せいがあるという。

20年ねんには、APT1と呼よばれる中国ちゅうごくのハッカー集団しゅうだんについて「人民じんみん解放かいほう軍ぐんから出でて、民間みんかん部隊ぶたいとして活動かつどうしているらしい」という噂うわさが駆かけ巡めぐり、中国ちゅうごくに関にかんするインテリジェンスの専門せんもん家かに衝撃しょうげきを与あたえた。

中国ちゅうごくでは、毎年まいとし、国内こくないのセキュリティー企業きぎょうや重要じゅうようインフラ事業じぎょう者しゃなどが参加さんかする大だい規模きぼなサイバー演習えんしゅうを行おこなっている。

岩井いわいさんによると、演習えんしゅうで使つかわれていた攻撃こうげきのインフラの一部いちぶが、ブラックテックを含ふくむ、過去かこの中国ちゅうごくを拠点きょてんとするハッカー集団しゅうだんのケースと一致いっちしたことも確認かくにんしたという。

（岩井いわいさん）

「もはやブラックテックという枠組わくぐみにこだわる必要ひつようはなくなっているかもしれません。民間みんかん企業きぎょうや優秀ゆうしゅうな学生がくせいといった様々さまざまな人ひとたちが案件あんけんごとに手てを貸かしている可能かのう性せいもあります。非常ひじょうに追跡ついせきしづらくなっています」

対策たいさくはほかの攻撃こうげきと同様どうように

対策たいさくはどうするのか。

ほかの攻撃こうげきとの大おおきな違ちがいはないと指摘してきするのはトレンドマイクロの岡本おかもと勝之かつゆきさんだ。

「より相手あいてに特とく化かした活動かつどうをしてくるものの、侵入しんにゅう手口てぐちと内部ないぶ活動かつどうを防ふせぐという観点かんてんでは、ほかのサイバー攻撃こうげきと、ほとんど変かわらないといっていいでしょう」

偽にせメールに添付てんぷされたファイルを開ひらかない仕組しくみ作づくりはもちろん、ネットワーク機器ききを最新さいしんの状態じょうたいに保たもっているか。

基本きほん的てきな対策たいさくが、まず求もとめられる。

さらに重要じゅうようなのは、侵入しんにゅうされたとしても、すぐに気きづき、被害ひがいを最小さいしょう限げんにとどめること。

（岡本おかもとさん）

「組織そしきの混乱こんらんや妨害ぼうがいを狙ねらっているわけではありません。最悪さいあくの場合ばあい、被害ひがい自体じたいに気きづけず、情報じょうほうだけ漏もれていることもあります。気きづくのが遅おそくなればなるほど、追跡ついせきは困難こんなんを極きわめます」

岡本おかもとさんは、社内しゃないのネットワークで行おこなわれる不審ふしんな通信つうしんを、いかにとらえることができるかが重要じゅうようだとする。

（岡本おかもとさん）

「最低さいてい限げんでも社内しゃないのネットワークで行おこなわれている遠隔えんかく操作そうさの通信つうしんを可視かし化かすることが必要ひつようだと思おもいます。不審ふしんなものであれば、すぐにブロックしていくことが大切たいせつです」

それでも気きづけるのは「運うん」

そうした社内しゃないネットワークの通信つうしんを監視かんしするツールは、さまざまなセキュリティー企業きぎょうが提供ていきょうしている。

しかし、攻撃こうげきの検知けんちは、極きわめて困難こんなんだ。

JPCERTコーディネーションセンターの佐々木ささき勇人はやとさんは、「運うんもある」という実感じっかんを明あかした上うえで、むしろ、その運うんを最大限さいだいげん生いかすことの重要じゅうよう性せいを強調きょうちょうする。

「攻撃こうげきに気きづけるのは、正直しょうじきに申し上もうしあげて、偶然ぐうぜんや運うんの要素ようそも大おおきいと思おもいます。仮かりに10社しゃが攻撃こうげきを受うけたとして、すべての会社かいしゃが気きづくのは、難むずかしいといわざるを得えません。しかし、1社しゃでも、2社しゃでも気きづくことができたなら、それは、日本にっぽん全体ぜんたいとしての被害ひがいを最小さいしょう限げんにできる可能かのう性せいがあるのです」

佐々木ささきさんによると、ブラックテックは、攻撃こうげきに使つかうサーバーといったインフラを使つかい回まわすことがよくあるという。

たとえば、ある企業きぎょうに行おこなわれた攻撃こうげきの通信つうしん元もとをたどるとほかの企業きぎょうでも、同様どうように観測かんそくされることがある。

被害ひがいに気きづけた企業きぎょうが進すすんで情報じょうほう共有きょうゆうを行おこなえば、ほかの組織そしきでひそかに行おこなわれている攻撃こうげきの通信つうしんもあぶり出だせる。

さらに、国際こくさい間かんの連携れんけいの重要じゅうよう性せいを指摘してきする専門せんもん家かもいる。

台湾たいわんのセキュリティー会社かいしゃ「CyCraftTechnology」の陳ちん仲なか寛ひろしさんによれば、中国ちゅうごくのハッカーの多おおくは、まず台湾たいわんを標的ひょうてきにするという。

そして、数すう年ねん後ごに同おなじ技術ぎじゅつや手法しゅほうを使つかって日本にっぽんを攻撃こうげきするというパターンがある。

「繰り返くりかえされるからこそ、台湾たいわんと日本にっぽんの協力きょうりょくは非常ひじょうに重要じゅうようなのです。攻撃こうげきの被害ひがいに関にかんする情報じょうほうは、すべてつまびらかにすることはできるものではないことは確たしかですが、より効率こうりつ的てきにインテリジェンスを共有きょうゆうしていく方法ほうほうはないのか。模索もさくしていく必要ひつようがあります」