出典:dan74(Alamy Stock Photoより)
新たな中国の脅威アクターが、フィッシングを台湾の有名な半導体産業への侵入手段として利用しようとしている。
台湾の半導体産業は、世界で最も地政学的に重要な産業の一つである。単なる収益獲得を超え、さまざまなグローバルテクノロジーにとって、現在唯一無二で代替不可能なサプライチェーンの要となっている。そのため、台湾の繁栄、ひいては中国共産党(CCP)の台湾支配の野望は、台湾自身だけでなく、特に米国など他国にとっても極めて重要である。
これまで以上に、中国はサイバー攻撃を武器として台湾の半導体産業、さらには台湾の国家防衛を脅かしている。Proofpointの研究者は、ここ数ヶ月で半導体産業を標的とした、まだ分類されていない3つの高度持続的脅威(APT)を特定し、さらに昨年末には4つ目のグループも確認している。
「中にはやや未熟なものもありますが、時間とともに進化しているのが見て取れます」とProofpointの脅威リサーチャー、マーク・ケリー氏は述べている。他のグループは、より専門的でカスタムな機能を持っているという。
これまで文書化されていなかった4つのAPT
5月と6月、半導体の製造・パッケージング・テスト・サプライチェーン関連の台湾企業に、「大学院生」からのメールが届いた。台湾の大学のメールアドレスを使い、その学生は採用担当者や人事(HR)担当者に就職を希望する内容だった。
出典:Proofpoint
これらのメールにはPDFまたはパスワード付きアーカイブが添付されていた。初期段階ではCobalt Strikeが隠されていたが、やがてVoldemortバックドアを運ぶようになった。Voldemortは、Google Sheetsをコマンド&コントロール(C2)に利用するという独特な手法が特徴のカスタムツールである。これまではAPT41(別名TA415、Double Dragon、Brass Typhoon)のみが使用していたが、Proofpointは今回の脅威クラスターをAPT41とは別物と見なし、暫定的に「UNK_FistBump」と呼んでいる。
UNK_FistBumpが大学院生を装っていた一方で、4月と5月には「UNK_DropPitch」と呼ばれる脅威アクターが架空の投資会社を名乗っていた。これらの攻撃は、「HealthKick」と呼ばれるシンプルなカスタムバックドアを投下し、半導体企業そのものではなく、大手投資銀行を標的としていた。
これらのメールの動機は金銭目的ではなかった。むしろ、半導体や広範なテクノロジー分野の投資分析に関わる個人を狙っていた。ケリー氏は「彼らはこの市場に関する新たな情報、特定企業の動向や、特に興味深い新製品ライン、新たなビジネスモデルなど、グローバルな半導体サプライチェーンの競争環境を変える可能性のある情報に関心があるのかもしれません」と推測している。
FistBumpやDropPitchより前の3月には、「UNK_SparkyCarp」がMicrosoftアカウントのログインセキュリティ通知を装ったメールを送信していた。これは、2024年11月の攻撃に続き、台湾の半導体産業を標的とした2度目の攻撃だった。
さらに、2024年10月には「UNK_ColtCentury」と呼ばれる4つ目の脅威グループが、台湾の半導体関連組織の法務担当者にコールドメールを送っていた。Proofpointは、これらのメールがSparkRATバックドア感染につながるものだったと推定している。
半導体産業への攻撃が加速
中国のAPTが台湾の半導体産業を標的にしてきたのは、以前から広く信じられている。しかし、実際の証拠はこれまで不足していた。ケリー氏は「過去5年間で、年に1~2回程度、しかも1つの組織が標的になる程度しか見たことがなかった」と振り返る。
それに比べて、「今年は確実に攻撃件数が大幅に増加している」と述べている。
この変化を引き起こした正確な要因は不明だが、業界では最近、関心を高める出来事が多発している。今年初め、トランプ政権は外国製半導体への関税を検討していた。一方、台湾政府は中国とのビジネス関係を制限し、中国のテック企業が台湾企業の従業員を違法に引き抜いている疑いで調査を進めている。
「サイバー攻撃の増加が見られるのは確かに興味深い現象です」とケリー氏は語る。「しかし、なぜ今なのか、明確な答えはまだありません。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/4-chinese-apts-taiwan-semiconductor-industry