「中国政府系」ハッカーを追い詰める「謎の集団」の正体に迫る--山田敏弘

「イントルージョン・トゥルース」という謎の組織が、サイバーセキュリティ関係者の間で話題になっている。

 米大手格付け会社「ムーディーズ」の子会社で経済情報を扱う「ムーディーズ・アナリティックス」は、少なくとも2011年からハッカーの侵入を受けていた。

 狙われたのは、同社に所属する著名なエコノミストの電子メールアカウント。このエコノミストは大手メディアなどにも頻繁に登場するほどよく知られた人物であり、彼の元には極秘の経済情報や分析が日々集まっていた。そこでハッカーは、彼のアカウントに不正アクセスし、そこに届くメールがすべて自分の設置した別のアカウントに転送されるようルールを設定していた。

 ハッカーが最初にこのエコノミストのアカウントに不正アクセスを成功させた手口は、ほかのサイバー攻撃でもよく見られる平凡なものだった。「スピアフィッシング・メール」(特定のターゲットを狙って上司や取引先などを装うメール)を送りつけ、添付ファイルを開いたり、メール内のリンクをクリックさせることで、不正アクセスを可能にするマルウェア(不正プログラム)に感染させたと見られている。

 そうしてエコノミストのメールをずっと盗み取っていた――。

謎の組織「イントルージョン・トゥルース」

 米司法省は2017年11月27日、このムーディーズの事件と、さらに別のハッキング事案2件について、犯人の起訴を発表。犯人とされる中国人ハッカー3人の名前などを公開した。ムーディーズ以外の2件でサイバー攻撃の対象になった企業は、世界的に幅広い事業を手掛ける独「シーメンス」と、全地球航法衛星システム(GNSS)の開発を行っている米「トリンブル」だった。告発された中国人3人は、中国広東省のダミー会社を隠れ蓑にしてハッキングを行っており、この会社は中国の情報機関である「国家安全部」と繋がりがあったという。

 実はこの犯人3人のうち2人は、米司法省が告発するよりも前に、別のある「組織」によってすでにその名前などが暴露されていた。その「組織」とは、「Intrusion Truth」(イントルージョン・トゥルース)という名のグループ。彼らは中国の政府系ハッカーに関する情報を次々と暴露している謎の集団なのである。暴露された情報には、中国人ハッカーが日本に対して行った大々的なサイバー攻撃に関連する話も含まれる。

 この「イントルージョン・トゥルース」というミステリアスな組織が今、サイバーセキュリティ関係者の間で話題になっている。そこで、この謎の集団はいったい何者なのか、迫ってみたい。

「われわれはAPTを追う」

「イントルージョン・トゥルース」について1つだけはっきりしていることは、彼らが中国政府系のハッカーらに敵意を持ち、糾弾しようとしていることだ。「イントルージョン・トゥルース」のブログには、「われわれはAPTを追う」という副題が付けられている。

 この「APT」とは「Advanced Persistent Threat」(高度な持続型の脅威)の略で、標的をサイバー攻撃し、継続的にシステムに潜伏してスパイ工作や妨害行為を行うサイバー攻撃のことを指す。

 APT攻撃を行う組織は「APT1」「APT12」などのように番号を付けて呼ばれることもあり、ほとんどが国家の支援を得て攻撃を行っている。これこそが、中国のサイバー攻撃の特徴なのである。

 ロシアや米国などと違い、中国はサイバー攻撃で他国に「破壊」をもたらすことはしない。あくまで、サイバー攻撃で標的のネットワークに潜入し、時間をかけて機密情報や知的財産を盗み出すことに力を入れてきた。

 つまり「イントルージョン・トゥルース」は、中国が国家的に行っているサイバー攻撃を「追う」のだと宣言している。彼らは、2017年4月18日に最初のブログ記事をアップし、それ以降、中国政府系ハッカーらの情報についての記事をいくつもアップしている。

「APT3」の正体を暴露

 まず彼らが暴露したのは、「APT3」と呼ばれるハッカー組織のことだった。「私たちの知的財産を盗んでいる中国スパイ組織の裏には誰がいるのか」というタイトルのブログ記事に、このハッカー組織が世界中の「政府機関、研究機関、テクノロジー部門、航空宇宙・防衛部門、輸送部門、製造部門、遠距離通信」を幅広く攻撃対象にしていると書いたのだ。

 その上で、「インフォセック企業(情報セキュリティを扱う企業のこと)界隈では、APT3の背後に誰がいるのか、追うのは難しいと見ている。だが、われわれにはそれができるということを見せるつもりだ」と強気に述べ、「APT攻撃を行っている人たちと、彼らの背後にある企業、そして攻撃指令を出している政府機関を明らかにする」と宣言した。

 そして実際に「APT3」のハッカーらの正体を暴露している。まず1人目の中国人の名前を明らかにし、この人物の所在地も目星を付けて記載している。その3日後には、今度は2人目の中国人ハッカーの名前を暴露し、さらに4日後には、「APT3」が中国国家安全部の請負企業である広東省の「広州博御信息技術有限公司」(Boyusec)であると明らかにした。

 この暴露から4カ月後の2017年9月、冒頭で述べたように、米司法省がこの中国人2人と、広州博御信息技術有限公司の職員であるもう1人を告発するに至ったのである。

 ちなみに米司法当局は、「イントルージョン・トゥルース」との関連性や彼らの暴露した情報が起訴につながったのか、などの点についてはコメントをしていない。だが、世界のサイバーセキュリティ関係者らの間で謎の集団の暴露が結果的に米政府による起訴につながったと考えられ、一気に「イントルージョン・トゥルース」の名がインフォセック業界で広く知られるようになったことは事実である。

ウーバーのレシートまで入手

 この後、「イントルージョン・トゥルース」はしばらく鳴りを潜めていた。だが2018年7月から、今度は「APT10」として知られるハッカー組織について暴露を開始。この「APT10」はもともと中国の国家系ハッカーと見られていた集団だが、「イントルージョン・トゥルース」がそれを裏付ける情報を公開した。

「APT10」はそれまで、米企業などを狙った大規模なサイバー攻撃を実施していた。主な標的は「マネージドITサービスプロバイダー(MSP)」と呼ばれる、多くの企業のウェブサイトなどを代行して運用管理するプロバイダー会社だった。ピンポイントで企業などに攻撃するのとは違い、数多くの企業にサービスを提供するプロバイダーを何社も攻撃してシステムに侵入することで、プロバイダーそのものと、世界中に広がる顧客の機密情報を盗みだすことができた。

 この「APT10」は、日本の企業も標的にしていた。2016年には、日本の大学など学術界や製薬会社関連、米国にある日本の製造業の子会社なども標的になっている。

 笹川平和財団やホワイトハウスなどの公開されている電子メールのアドレスを勝手に使って、「フィッシング・メール」をばらまいていた。そうしたメールには、例えば「なぜトランプは当選したのか.docx」というファイルが添付され、実行するとマルウェアに感染してしまうものもあった。またホワイトハウス関連のメールアドレスから、2016年の米大統領選の2日後に「[UNCLASSIFIED] The impact of Trump's victory to Japan(非機密:トランプの勝利が日本に与える影響)」というタイトルのメールもばらまかれていた。

 そうして、知的財産や情報などを盗み出そうとしたのである。この「APT10」の攻撃を分析した英調査会社「PwC」は、「APT10は、この攻撃によって世界中のMSPに加え、その顧客の知的財産や機密性のある情報に対して、空前規模のアクセスを手中にしたと考えられます」と分析している。

 だが、「イントルージョン・トゥルース」が「APT10」の中国人メンバーの名前などを次々と暴露した。しかも、彼らが使ったウーバー(米大手の配車サービス)のレシートまで手に入れており、かなりの調査能力を見せつけている。今後の展開についても、サイバーセキュリティ関係者の間で注目されている。

米欧にいる人物の可能性

 こうした暴露は、中国当局にしてみれば迷惑以外の何物でもない。当然中国も、この集団が何者なのか探っているはずだ。彼らの動きを阻止しなければ、今後さらなる暴露が続くかもしれないからだ。専門家らによれば、中国当局が彼らの正体を見つけたら、報復行動に出ることは間違いないという。

 実は、中国のそうした強硬姿勢こそが、「イントルージョン・トゥルース」の正体を示すヒントになっているという見方もある。

 どういうことか。

『ウォール・ストリート・ジャーナル』は、次のように書いている。「中国のハッカーについて調査する研究者などを雇っているような大手企業やサイバーセキュリティ企業は、彼らが調査で知り得た中国のサイバー工作の実態について公表したがらない。その理由は、そうした情報を暴露すれば、中国政府から仕返しをされる懸念があるからだ。だから、イントルージョン・トゥルースを使って公開している」。

 つまり、中国政府のサイバー攻撃を把握しながらも、仕返しを恐れて口を噤んでいる大手セキュリティ会社などが、「イントルージョン・トゥルース」という謎の匿名集団を媒体として、中国政府と関係者を容赦なく糾弾している――。

 そんな背景があるのではないか、と見る専門家もいる。

  また、「イントルージョン・トゥルース」がブログの中で使っている「ある言葉」が、別のヒントになる。中国のハッカーによって米欧の知的財産が大量に盗まれているという話の中で、「私たち」という言葉を使っているのだ。やはり米欧にいる人物の可能性は高いと考えられる。

 実はこれまで取材などに応じてこなかった「イントルージョン・トゥルース」は、ITセキュリティ系の記事に強い米ウェブサイト『マザーボード』の取材に、電子メールで応じている。同集団の「代表者」はこう主張している。

「われわれが名乗ることは絶対にないし、協力者について語ることもない。サイバー空間における中国の卑劣な行為に対抗するには匿名であることが不可欠なのである」

「イントルージョン・トゥルース」の動向は要注目だ。

山田敏弘 ジャーナリスト、ノンフィクション作家、翻訳家。講談社、ロイター通信社、ニューズウィーク日本版などを経て、米マサチューセッツ工科大学(MIT)のフルブライト研究員として国際情勢やサイバー安全保障の研究・取材活動に従事。帰国後の2016年からフリーとして、国際情勢全般、サイバー安全保障、テロリズム、米政治・外交・カルチャーなどについて取材し、連載など多数。テレビやラジオでも解説を行う。訳書に『黒いワールドカップ』(講談社)など、著書に『モンスター 暗躍する次のアルカイダ』(中央公論新社)、『ハリウッド検視ファイル トーマス野口の遺言』(新潮社)、『ゼロデイ 米中露サイバー戦争が世界を破壊する』(文芸春秋)など多数ある。

関連記事
(2018年10月17日
より転載)