中国のサイバーセキュリティ産業を代表する旗艦企業の一つとして長年称えられてきたKnownsecで発生したデータ流出は、同社の評判に打撃を与えるとともに、社内の弱点を予期せぬ形で認めざるを得ない事態を招いた。11月初旬、何者かが同社の内部文書の大量セットをオンライン上に公開し、いわゆる「脆弱性の王」が自社インフラの保護に失敗していたことが明らかになった。攻撃者は2023年に3つのゼロデイ脆弱性を悪用してKnownsecのシステムに侵入していたのである。同社は事件について、中国企業としては異例ともいえる詳細な説明を公表したが、それでも多くの疑問は未解決のままだ。
11月5日、中国のブログ「Mrxn’s Blog」は、Knownsecの歴史上「最大の流出」だとする出来事を報じ、およそ1万2,000件の機密文書が流出したと主張した。その内容は、ツールや社内システムから標的リストに至るまで多岐にわたるという。その後の調査で、このデータは当初GitHub上に出現し、その後ポリシー違反を理由に削除されていたことが判明した。英語メディアのNETASKARIは、最初期に利用可能な断片を分析した媒体の一つであり、そこで確認されたのは、宣伝資料、監視データのリスト、企業プロフィールのみで、国家級ハッカーが用いるような「攻撃的サイバー兵器」に類するものは見当たらなかった。それでも記者は、Knownsecが顧客向けに侵入ツールを開発し、潜在的には攻撃的オペレーションを実行し得る企業である点を指摘している。
しかし、NETASKARIやNatto Teamを含む研究者やジャーナリストの誰一人として、完全なアーカイブ全体を確認できてはいない。それにもかかわらず、西側メディアは「中国のサイバー兵器庫の大規模流出」といったセンセーショナルな見出しを素早く拡散した。Natto Teamのツールをめぐる喧騒の中で、このメディアはKnownsec側の視点から事件を検証し、中国のサイバー戦力の形成において大手民間企業が果たす役割に光を当てようとした。
2007年に設立されたKnownsecは、業界で最も影響力があり、技術的にも高度な企業の一つに数えられる。2024年には、調査グループRoarTalkが同社を市場における20の主要な「総合型」プレーヤーの一社として位置づけた。同社の創業者および現CSOは、中国における「愛国的ハッカー」第一世代の出身であり、1990年代後半の中国ハッカーシーンを切り開いたパイオニアでもある。特に注目されるのがCSOの周金鹏(Zhou Jinping)で、SuperHeiの名で知られ、長年にわたり世界の脆弱性発見ランキングを席巻してきた人物だ。MicrosoftからTencentに至るまで、幅広い製品の脆弱性を発見している。
Knownsecの投資家にはBaiduやTencentが名を連ね、2018年にはCCTVの「国家ブランド」イニシアチブの一環としてナスダックのビルボードにも登場した。1,500人を超える従業員と国内各地にまたがる数十の部門を擁するKnownsecは、長らく中国サイバー産業のショーケース的存在となっている。
同社の対応は迅速だった。報道が出たその日に、同社は顧客向けに通知を発出し、実際の侵害は2023年8月に発生していたと説明した。未知の攻撃者が3つのゼロデイ脆弱性を悪用し、同社のクラウド型オフィスシステムに侵入したという。攻撃の横展開を試みる動きは阻止したものの、盗まれたデータの範囲は特定できなかった。攻撃者の手口があまりに高度だったためである。
その後、流出データがダークウェブのフォーラム上で再び姿を現したことを受け、Knownsecはそれが前述の侵入に由来するものであると確認した。公開された断片を精査した結果、それらは従業員および顧客の部分的なリストと、自社のダークウェブ監視システムから取得されたデータで構成されていると結論づけた。Knownsecは、ユーザーアカウントやパスワード、重要な顧客資産は盗まれていないと強調した。それでも同社は、攻撃発生から公表まで2年の空白があったことを認め、その理由を「盗まれたアーカイブ全体の内容を、同社自身が一度も確認できていなかったため」と説明した。
通知の中で、同社は顧客に謝罪し、この事件を「いかなるサイバーセキュリティ企業にとっても、きわめて遺憾であり、極めて面目ない出来事」と表現した。また、メディアが事件の規模を誇張していると批判した。
論争をさらに過熱させたのがブロガーMrxnの関与である。彼は10年以上にわたり、サイバーセキュリティインシデントのレポートやペネトレーションテスト用ツールをGitHub上で公開してきた人物だ。その動機はいまだ不明である。Knownsecの評判を傷つけようとしたのか、悪名高いTCL事件のように「会社に教訓を与えよう」としたのか、あるいは単にすでに盗まれていたデータから利益を得ようとしただけなのかもしれない。
この事件は、中国企業のうちどれが「代替可能」と見なされ、どれが「潰すには大きすぎる」と見なされているのかをめぐる議論を再燃させた。多くの人々は、2024年にスキャンダルとなったi-SOON事件と比較した。i-SOONは、自社の流出を一切認めず、公の場から姿を消し、調査によれば、かろうじて存続しているにすぎない企業だとされる。それとは対照的に、Knownsecは国家ブランドであり、主要な投資対象であり、公式の対応から判断する限り、国家が支援する意向を持つ存在だ。
これは国際的な側面にも影響する。早くも2021年の時点で、米国はKnownsecを「中国軍関連企業」に指定し、同社への米国製技術の輸出を制限した。この指定は、巨大企業Qihoo 360と並ぶ、サイバー分野ではほぼ唯一の「栄誉」となっている。中国のフォーラムでは、その理由が率直に語られている。Knownsecは「サイバースペースにおける米国の覇権に対する最大の脅威」を体現しているとされているのだ。
しかし、2025年の流出は一つのパラドックスを浮き彫りにしている。世界中のソフトウェアから脆弱性を洗い出す業界のリーダーであっても、自社システム内の重大な欠陥を見落とすことがあり、そして2年も前の忘れ去られた侵害が再び表面化したとき、その結果と向き合わざるを得ないのである。
翻訳元: https://meterpreter.org/chinas-king-of-vulnerabilities-hacked-knownsec-leak-exposes-zero-day-flaws/
