Recorded Future Newsが精査した流出技術文書の一群によれば、中国は秘密の訓練プラットフォームを用いて、最も近い近隣諸国の重要インフラに対するサイバー攻撃を予行演習しているようだ。
北京は長年にわたり、西側当局者やサイバーセキュリティ研究者から、大規模な攻撃的サイバー作戦を展開していると非難されてきた。そうした主張は通常、情報機関の評価や、侵害後に得られた技術的フォレンジックに基づくものだった。今回の流出資料にはソースコード、訓練情報、ソフトウェア資産が含まれており、攻撃が実行される前段階で、それを支え得る準備の実態を示す稀少な文書的手がかりを提供している。
内部ファイルは、この訓練プラットフォームを「遠征クラウド(Expedition Cloud)」と呼ばれる大規模な統合システムの一部として説明している。これは攻撃者が、中国の「南シナ海およびインドシナ方面における主要な作戦上の対抗相手」の「実際のネットワーク環境」の複製をハッキングする訓練を行えるよう設計されたものだという。
専門ブログNetAskariが最初に報じたこの流出資料は、電力、エネルギー送電、輸送部門で使用される標的コンピュータネットワークに加え、スマートホームのインフラに至るまで再現することを明記している。また、これらのネットワークに対する作戦において「偵察グループ」と「攻撃グループ」の働きを評価することを強調しており、防御側の役割は特に示されていない。
重要インフラへの攻撃を予行演習することは、サイバー作戦をリアルタイムで即興的に行うのではなく、事前に計画し練習できるという点で、中国に潜在的な優位性をもたらす。専門家はまた、このシステムの設計がサイバー作戦における人工知能の活用拡大を示唆しているとも述べており、そうした変化は、すでに大規模な中国のサイバー戦力にさらなる優位を与え得る。
防御ではなく攻撃作戦に焦点を当てたこのようなプラットフォームの存在は、中国当局が政府はサイバー攻撃を行っていないと繰り返し主張してきたことに疑問を投げかける。
中国外務省報道官の郭嘉昆は最近、中国企業が重要インフラへの攻撃を助長しているとする英国の非難に反論し、北京は「ハッキングに反対し、法に従ってそのような活動と闘う」と述べた。
しかしRecorded Future Newsが確認した文書は、むしろそうした攻撃を実施するための準備を行う国家支援の取り組みが存在することを示唆している。ロンドンの中国大使館の報道部は、この流出資料に関する一連の質問に回答しなかった。
流出の経緯
この資料は、保護されていないファイル転送プロトコル(FTP)サーバー上で露出しているのが発見された後、Recorded Future Newsに共有された。このサーバーには、マルウェアに感染した「遠征クラウド」開発者の一人が使用していた個人端末から収集されたとみられる資料が蓄積されていた。
流出資料は、プラットフォームのエンジニアリングおよびシステムアーキテクチャ、ならびに運用者がハッキング訓練を行えるサイバーレンジの詳細を記している。段階的なパッチ、現実的なデバッグ作業、開発者の作業報告の証拠も含まれる。露出していたFTPサーバーには遠征クラウド関連資料のほか、開発者とその妻に属する多数の個人ファイル、そして共有コンピュータに感染していた複数種のマルウェアも置かれていた。
Recorded Future Newsが取材した独立系専門家は、遠征クラウド・プロジェクトを扱う技術文書の量、複雑さ、多様性に基づき、ファイルの真正性に高い確信を示している。
このプラットフォームは、CyberPeace(赛宁网安)という企業によって開発された。同社は自社サイトで政府・軍との広範なつながりを誇っている。CyberPeaceは、本記事に関して英語と中国語の双方で送付されたコメント要請に応じなかった。
文書は、どの国家機関が同社に遠征クラウドの構築を委託したのかを特定していない。Recorded Future Newsが取材した複数の独立系専門家によれば、人民解放軍(PLA)の部隊から公安部・国家安全部の地方局に至るまで、当初の責任主体となり得る独立機関は多数存在するという。専門家はまた、CyberPeaceがこのプラットフォームを複数の顧客に販売した可能性もあると示唆した。
専門研究者らはRecorded Future Newsに対し、この発見は並外れたものだと述べ、中国国家の関与以外にあり得ないと語った。「これは国家顧客のニーズを満たすために作られた。発注書は見えないが、彼らが何を作ったかは見える」と、サイバーセキュリティ企業SentinelOneで中国を専門とするダコタ・キャリーは述べた。
キャリーは、この流出資料が「信じられないほど稀少な洞察」を提供しており、中国が外国ネットワークを標的にしていることを明示的に記述した文言を海外アナリストが目にしたのは初めてだと述べた。
「これは間違いなく、これまで得られなかった洞察だ。これは初めてのことだ。国家や治安機関が訓練するためのサイバーレンジを開発しているだけではなく、重要インフラを模倣している」と、チューリッヒ工科大学(ETH Zurich)のCyberdefense Projectの上級研究者で中国専門家のエウジェニオ・ベニンカーサは述べた。
サイバー脅威インテリジェンスの専門家でNatto Thoughts共同創設者のメイ・ダノフスキーは、文書を「本当に価値が高い」と評し、中国のサイバーレンジ利用について前例のない詳細を提供していると指摘した。
「中国共産党は、侵略者ではなく平和を推進しているように見られたいのだ」とキャリーは付け加えた。「公的発言はそれを反映している。観測可能な行動はそうではない。」
偵察と攻撃
文書が注目を集めた理由を理解するには、このシステムが敵対ネットワークの複製内でサイバー作戦をどのように分割し評価しているかを理解することが鍵となる。
このプラットフォームは、標的ネットワークを模したテンプレートを用いて、同一のシナリオを管理された条件下で繰り返し再現・検証できるようにし、サイバー攻撃の訓練演習を役割の異なる2つのチームに分けている。
まず偵察グループが派遣され、前進する部隊の前方で地形を偵察する斥候のようにデジタル環境をマッピングする。このチームは、ネットワーク上にどのようなシステムが存在するか、どのサービスやインターフェースが露出しているか、そして第2チームが利用し得る潜在的な侵入経路がどこにあるかを特定する。
次に、主要な作戦実行主体として指定された攻撃グループが、その情報を用いてネットワーク内で計画された作戦を遂行する。このチームは、どこから侵入し、どのルートを辿り、目的達成のために環境内をどのように移動するかを決定する。
流出文書は具体的な任務目標を明示したり、カスタムのハッキングツールを運用レベルの詳細で特定したりはしていない。代わりに「武器イメージ」に言及しており、これはレンジ内で標準化された攻撃者用ワークステーションとして使われる、事前設定済みの仮想マシンであるように見える。この曖昧さは、プラットフォーム設計を重視し、ハッキングツールは最終顧客が制御する交換可能な入力として扱うという文書の焦点と整合している。
専門家はRecorded Future Newsに対し、このシステムは運用セキュリティが異例に厳格に設計されていると述べた。具体的には、内部制御システムと、漏えいに脆弱な「信頼できない」ものとして扱われる模擬外部環境とを厳格に分離している。これは、このサイバーレンジが機密目的で使用されていることを示唆する。
プラットフォーム設計の要は、攻撃中に取られた各ステップを分析者がレビューできる点にある。これにより、異なるチームや繰り返し実行した結果を比較し、最も効果的な手法を評価できる。その結果、サイバー作戦を時間とともに研究・測定・洗練できるものへと変えるシステムとなり、逸話的ではなく体系的に教訓を抽出できる。
いかなる演習においても、プラットフォームは参加チームが行ったすべての行動を記録する。ネットワークトラフィック、システム活動、運用者の判断が詳細にログ化され、作戦全体を再構成して再生できる。演習の成果物は重視され、運用者が新たな技能を得ることよりも、リハーサルで生成される主要資産としてログが保持される。
「これは攻撃のためのネットワークエンジニアリングの驚異的な応用だ。おそらく7カ国未満という、ごく少数の国しか、この能力を運用概念に組み込めていない。中国は明らかに最上位にいる」とキャリーは述べた。
機密性と自動化
NATOのLocked Shield演習で使用されるエストニアのサイバーレンジCR14の最高執行責任者(COO)アラール・ヴァラオツは、厳格なネットワーク分離の重要性について次のように述べた。「これは基本的に、彼らが機密扱いの何か、あるいは運用ツールを使っていることを示している。機密またはセンシティブなサイバーレンジを構築したいなら、このように作る。そしてもちろん、これは彼らがここで訓練以上のこと、つまりリハーサルをしていることを意味する。」
中国のサイバーレンジ利用を広範に研究してきたキャリーは、このプラットフォームが、2018年に『情報安全研究(Journal of Information Security Research)』に掲載された李建華という中国の学者の論文を想起させると述べた。
「その論文で李は、標的ネットワークを再現する必要性について語っている。サイバーレンジ内で物理的・ネットワーク的な分離を行い、情報開示リスクを避けるためにレンジ内の機微情報を完全に破壊できるようにすることについて語っている。攻撃と防御の練習にこれらのネットワークを使うことについて語っている。そして、サイバーレンジが訓練を促進するだけでなく、作戦のリハーサルにも役立つという有用性を、非常に重要な形で示している。」
キャリーは、中国のハッカーにネットワークへアクセスされる組織にとって、その含意は重大だと述べた。「適切な量のネットワーク偵察があれば、少なくとも2018年に李が述べたところでは、目標はそれらの環境を再現し、それに対して作戦を練習することだ。そしてそれは、標的上での滞在時間を短縮する。
「第1段階が初期侵入とネットワーク偵察だとすれば、一定期間後に戻ってきたとき、運用者はすでにそれらのネットワークを素早く移動する練習を済ませている。そこに何があるか、あるいはどのデバイスにアクセスできるかを把握している」とキャリーは説明した。
ヴァラオツとキャリーは、攻撃経路を追跡し、最も効果的な作戦に関する膨大なデータを記録することで中国が得る価値には、追加のリスクが伴う点でも一致した。キャリーは「最終目標は基本的に、ネットワークに対する攻撃キャンペーンの自動化を促進することだ」と述べた。
李の論文も読んだというヴァラオツは次のように述べた。「攻撃内のさまざまなパラメータを測定できるなら、攻撃を訓練できる……人為的ミスを取り除ける。AIは、人間よりはるかに速く経路やボトルネック、別のアイデアを見つけられる。
「チェスを指すコンピュータのゲーム理論のようなものだ。さまざまなシナリオを試し、最適な攻撃ベクトルを見つけ、さらには人間の介入なしに攻撃を実行することさえできる」と彼は述べた。
チェスコンピュータの発展は急速だった。1997年、約500万ドルをかけて開発された専用機IBM Deep Blueは、コンピュータが世界最高の人間プレイヤーに勝てることを証明した。そのわずか10年余り後には、現代のチェスエンジンと人間が対等な条件で競うことは不可能だという見方が広く受け入れられた。
その後コンピュータは、欺瞞、不完全情報、不確実性下での戦略的推論を伴うポーカーなど、より複雑なゲームでも人間を上回ってきた。こうした条件は、チェス単体よりも現実世界の意思決定に近い。
しかし、これらのゲームでさえ固定ルールと明確に定義された結果を持つ閉じた世界である。これに対しサイバー作戦は、ソフトウェア、ネットワーク、人間行動にまたがるはるかに多くの変数を含む、開放的なシステムで行われる。
専門家はRecorded Future Newsに対し、ゲーム理論のレンズを通して見ると、人工知能の近年の進歩は、このような開放的環境で意思決定を加速し優位を活用するための道具と見なされていると述べた。彼らは、この力学は攻撃だけでなく防御にも当てはまると指摘する。たとえ遠征クラウド文書には防御用途が見えないとしても、である。
これらの用途に関する研究は、中国と西側の双方でサイバーセキュリティ投資の主要な焦点となっている。現時点では、こうした発展は戦場の根本的な再編をもたらすというより、生産性向上を提供していると一般に考えられている。しかし、遠征クラウド文書が示唆する長期的な軌道は、双方でさらに大きな自動化へ向かうという。ヴァラオツはこう述べた。「より優れたAIを持つ者が勝つ。AIシステムがあなたを攻撃してきたら、人間には防げないのだから。」
以前の記事はありません
新しい記事はありません
翻訳元: https://therecord.media/leaked-china-documents-show-testing-cyber-neighbors
