10か月に及ぶサイバースパイ活動の調査で、103か国と国際機関に属する1295台のコンピューターがスパイ活動の対象になっていたことが判明し、いくつかの状況証拠から中国が関与している可能性が示唆されている。
日曜日に公開された53ページの報告書は、政治的動機を持つハッカーの活動に関する最も説得力のある証拠と詳細の一部を提供するとともに、政府公認のサイバースパイ活動とのつながりについての疑問を提起している。
これは、研究者が GhostNet と呼ぶネットワークについて説明しています。このネットワークは主に、gh0st RAT (リモート アクセス ツール) と呼ばれる悪意のあるソフトウェア プログラムを使用して、機密文書を盗み、Web カメラを制御し、感染したコンピューターを完全に制御します。
「ゴーストネットは、世界中の多くの国々に広がる、政治、経済、メディアに関わる重要拠点に侵入されたコンピュータのネットワークを表している」と、シンクタンクSecDev Groupの研究プロジェクトであるInformation Warfare Monitorとトロント大学ムンク国際研究センターのアナリストによって執筆された報告書は述べている。「本稿執筆時点では、これらの組織は自分たちが置かれている侵害された状況にほぼ間違いなく気づいていないだろう」
しかしアナリストらは、入手した情報が最終的にハッカーにとって価値のあるものとなったのか、あるいは商業的に販売されたり諜報として渡されたりしたのかどうかについては確認できていないと述べた。
2004年からのスパイ活動
F-Secureのウイルス対策研究ディレクター、ミッコ・ヒッポネン氏によると、この攻撃は2004年頃に始まったとみられ、セキュリティ研究者がこれらの機関の多くが実行ファイルが添付された偽のメールを受け取っていることに気づいた頃だ。長年にわたり攻撃を追跡してきたヒッポネン氏は、ゴーストネットの戦術は初期から大幅に進化していると述べている。「ここ3年半ほどで、かなり高度化し、技術的になっています」。「長年続いてきたのに誰も注目していなかったので、今、この攻撃にスポットライトが当てられているのは本当に喜ばしいことです」とヒッポネン氏は付け加えた。
中国のサーバーが機密データの一部を集めていたことを示す証拠があるものの、アナリストたちはこのスパイ行為を中国政府に結びつけることには慎重な姿勢を示している。むしろ、中国は世界のインターネット利用者の5分の1を抱えており、その中には中国の公式な政治的立場と一致する目的を持つハッカーが含まれている可能性がある。
「中国製のマルウェアのすべてを中国政府による意図的あるいは標的を絞った情報収集活動によるものとするのは誤りであり、誤解を招く」と報告書は述べている。
しかし、中国は1990年代からサイバー空間を軍事的に優位に利用しようと一貫して努力してきた。「国家非対称戦争戦略の一環として中国がサイバー能力に重点を置いているのは、指揮統制型戦争における米国の優位性を回避する能力を意図的に開発することが含まれる」と報告書は述べている。
チベットのコンピューターが侵入される
ケンブリッジ大学の研究者が執筆し、トロント大学の論文と共同で発表された2つ目の報告書は、より慎重な見方を示しており、ダライ・ラマ法王事務所(OHHDL)への攻撃は「中国政府のエージェント」によって開始されたと述べている。ケンブリッジ大学の研究チームは、この報告書に「詮索好きなドラゴン」というタイトルを付けた。
報告書によると、アナリストらの調査は、機密情報の漏洩を懸念していたチベット亡命政府、チベットの非政府組織、ダライ・ラマの私設事務所のコンピューターへのアクセスを許可された後に開始された。
調査の結果、遠隔地のハッカーが情報を盗むことを可能にする悪意のあるソフトウェアに感染したコンピュータが見つかりました。これらのコンピュータは、ユーザーが悪意のある添付ファイルを開いたり、有害なウェブサイトにつながるリンクをクリックしたりしたことで感染しました。
ウェブサイトや悪意のある添付ファイルは、ソフトウェアの脆弱性を悪用してマシンを乗っ取ろうとします。ある例では、チベット関連の組織宛てに、返信先アドレス「[email protected]」に感染したMicrosoft Wordの添付ファイルが添付された悪意のあるメールが送信されました。
アナリストたちがネットワークを調査したところ、データを収集しているサーバーが保護されていないことが判明した。彼らは4台のサーバー上でハッキングされたコンピューターを監視するためのコントロールパネルにアクセスした。
これらのコントロールパネルには、チベット政府やNGOをはるかに超える感染コンピュータのリストが掲載されていた。4台のコントロールサーバーのうち3台は、海南省、広東省、四川省を含む中国に設置されていた。報告書によると、1台は米国に設置されていた。6台のコマンドサーバーのうち5台は中国国内に設置され、残りの1台は香港に設置されていた。
トロント大学の報告書では、感染したコンピュータの約30%が「高価値」標的に分類されている。これらのコンピュータは、バングラデシュ、バルバドス、ブータン、ブルネイ、インドネシア、イラン、ラトビア、フィリピンの外務省の所有物である。また、キプロス、ドイツ、インド、インドネシア、マルタ、パキスタン、ポルトガル、ルーマニア、韓国、台湾、タイの大使館のコンピュータも感染していた。
感染した国際団体には、ASEAN(東南アジア諸国連合)事務局、SAARC(南アジア地域協力連合)、アジア開発銀行、AP通信の英国支局などの一部の報道機関、および非機密扱いのNATOコンピュータが含まれていた。
セキュリティニーズに注目
GhostNetの存在は、情報セキュリティへの緊急の対応の必要性を浮き彫りにしているとアナリストらは述べている。「GhostNetは、この種の攻撃としては初めてでも唯一でもないと推測できる」
ケンブリッジ大学の研究者たちは、高度なマルウェアを組み込んだこうした高度に標的を絞った攻撃(彼らはこれを「ソーシャルマルウェア」と呼んでいる)が、今後さらに蔓延すると予測している。「ソーシャルマルウェアは、もはや政府の道具として残ることはないだろう」と彼らは述べている。「2008年に中国の諜報機関が行ったことを、2010年にはロシアの犯罪者が行うだろう」。F-Secureがこれまでに確認したこうした攻撃は数千件に過ぎないが、防衛分野の企業ユーザーにとって既に問題となっているとヒッポネン氏は述べている。「今のところ、ごく小規模ではあるが、もしこのような手法を大規模に実行できれば、状況は一変するだろう」と同氏は述べた。(サンフランシスコのロバート・マクミランが本稿に寄稿)
