中国とインドが同一のパキスタン警察組織を標的に別々のスパイ活動を実施

木曜日に公開された調査によると、中国とインドに関連するハッキング集団が、2年以上にわたってパキスタンの法執行機関に対し、互いに無関係な形でスパイ活動を並行して実施していたことが分かりました。

サイバーセキュリティ企業SentinelOneの報告書によると、この活動は2024年2月から2026年4月にかけて行われ、場合によっては全く同一のシステムが侵害されていました。標的の中心となったのは、長年続く分離独立派の反乱の舞台となっているパキスタン南西部の州を管轄するバロチスタン州警察です。

同社の調査部門SentinelLabsは、警察のネットワークには政府の国内治安に関するデータが一元的に集約されていると指摘しています。報告書によれば、侵害されたシステムには犯罪記録、生体認証・指紋データ、職員ファイル、国民IDと紐づくホテル・入居者登録情報、市民からの苦情記録などが保存されていたとのことです。

研究者らは、中国系の関与は主に、中パ経済回廊(CPEC)に関わる北京側の自国民を保護する狙いに突き動かされたものと分析しています。報告書では、中国人労働者に影響を及ぼした事件として、2024年3月の自爆テロと2024年10月にカラチ空港付近で発生した攻撃を挙げています。

SentinelLabsによると、こうした侵入行為は、パキスタン側の治安保証に頼るのではなく、脅威を独自に評価しようとする取り組みを反映したものです。また同社の報告書は、インドに関連する活動については、両国間の対立関係に起因する可能性が高いと評価しています。

イスラマバードは、ニューデリーがバロチスタンの反乱勢力を支援していると非難し、バロチスタン解放軍(BLA)を「インドの代理勢力」と呼んでいます。一方インド側も、カシミール問題を巡って同様の非難を展開しており、両政府とも相手側の主張を否定しています。SentinelLabsは、バロチスタン州警察のデータへのアクセスにより、この紛争に関する情報を把握できるようになると述べています。

パキスタンとインドは互いにサイバースパイ活動を展開してきたとされており、これまでにもインドの政府機関・学術機関・戦略機関を標的とした攻撃や、パキスタンの政府機関・重要インフラ事業者を標的とした攻撃が確認されています。

Sentinel Labsの報告書は、バロチスタン州警察の苦情管理システム(Complaint Management System)の侵害について記述しています。このポータルは、ログインした警察官と、苦情の処理状況を確認する市民の両方が利用するものです。研究者らによると、中国と関連のある攻撃者は、ポータルのアップデートに偽装したマルウェアを仕込んでいました。これは実行可能ファイルで、閲覧者の端末を感染させながら偽の「アップデート完了」というメッセージを表示するものでした。

このサイトは警察官と一般市民の双方が利用するため、改ざんされたポータルによって両方のグループが危険にさらされたとSentinelLabsは述べています。研究者らは、コード内に残された中国語のログ文字列や開発者の痕跡といった鑑識上の証拠から、中国語を話す人物が作成したものと判断したとしています。

SentinelLabsは、特定の集団名を挙げる代わりに、使用ツールセットごとに活動をクラスターに分類しています。中国系の各集団間で共有されているバックドア(PlugXやShadowPadを含む)が、中国系関与と評価する上での軸となったほか、アジア各国の政府、および一部台湾のチベット系組織にまで及ぶ被害パターンも判断材料となりました。

インド系の侵入活動については、研究者らが「TAG-179」として追跡している攻撃者との関連性が、確度は低いものの指摘されています。これは他社が「Bitter」や「Mysterious Elephant」と呼ぶクラスターと重なるもので、一部は不法滞在の外国人送還をテーマにした囮文書を根拠としています。

研究者らは、パキスタンが欧州による近代化支援プログラムなども活用しつつ、警察活動の一元化・デジタル化を進めている以上、今後も高価値なデータが集積され続け、それが攻撃者に狙われる対象になり得ると指摘しています。

翻訳元: https://therecord.media/china-india-ran-separate-spy-campaigns-against-same-police-force

ソース: therecord.media