出典:SOPA Images Limited / Alamy Stock Photo
米国議員らは、中国が支援する脅威アクターが、より大規模なスパイ活動の一環として米国下院議員ジョン・ムーレナール(ミシガン州選出、共和党)になりすましたと非難しています。
9月8日、米国下院中国特別委員会は、「中国共産党と関連があると結論付けた、現在進行中の高度に標的化されたサイバー諜報活動について、一般市民に警告する」旨のプレスリリースを発表しました。
このプレスリリースによると、ここ数週間で複数回、疑わしい中国国家系アクターが、委員会の議長を務めるムーレナール氏になりすまし、信頼されたターゲットにメールを送信したとされています。これらは一連の標的型フィッシング攻撃であり、「受信者を騙してファイルやリンクを開かせ、サイバー攻撃者が被害者のシステムや情報にアクセスできるように仕向けるもので、米中間の高レベルな貿易交渉の最中に、被害者が気付かないうちに行われていました。」
このプレスリリースは、9月7日付のウォール・ストリート・ジャーナルの記事を受けて発表されたもので、同記事は中国のアクターが様々な貿易団体をスパイしようとし、FBIが捜査していると報じました。新聞は、犯人は国家支援のAPT41である可能性が高いと伝えています。
中国支援のサイバー脅威アクターAPT41の正体
APT41(別名:Double Dragon、Barium、Winnti、Wicked Spider、Wicked Panda)は、少なくとも2012年から追跡されている高度持続的脅威(APT)です。このグループは中国政府のための諜報活動で最もよく知られていますが、メンバーが金銭目的の活動も行っていることが知られています。
昨年、Google CloudのMandiantは、同グループが2023年に始まったスパイ活動の一環として、物流や公益事業会社を標的にした手口を説明しました。特に高度なキャンペーンの一つでは、APT41がGoogleカレンダーを悪用してデータを盗み、マルウェアを実行していたことが確認されています。
2019年と2020年には、FBIがAPT41の疑いのあるメンバー5人(Haoran Zhang、Dailin Tan、Chuan Qian、Qiang Fu、Lizhi Jiang)をサイバー犯罪や金融犯罪で起訴しました。5人はいまだ逃亡中で、FBIの最重要指名手配リストに載っています。
昨年、Googleはこのアクターについて次のように述べています。「同グループの諜報活動は、医療、ハイテク、通信など、経済的利益のある分野を標的にしてきました。」
「APT41は、正規のソフトウェアアップデートに悪意のあるコードを注入するソフトウェアサプライチェーンの侵害を頻繁に利用しています」とGoogleは説明しています。「また、ブートキットや不正なデジタル証明書の利用など、高度な手法も用いています。同グループが個人的利益のためにビデオゲーム業界を一貫して標的にしてきたことが、その後の諜報活動で使われる戦術の発展に寄与したと考えられています。」
議員なりすまし攻撃の内幕
この発表では、キャンペーンの詳細な技術情報はほとんど明かされていませんが、加害者がターゲットデータを盗むための活動を隠蔽するためにソフトウェアやクラウドサービスを悪用したと主張しています。
「我々の分析によると、サイバー攻撃者は開発者ツールを悪用して隠れた経路を作り、データを自分たちのサーバーに密かに吸い上げていました」と委員会は述べています。
ターゲティング、タイミング、手法から、委員会はこのなりすましが、外交政策上の優位を得るために政策審議へ影響を与えようとする北京主導の取り組みだったと考えています。この活動は、中国政府が政府による諜報活動や民間部門から機密性の高い敵対国データを執拗に追い求める傾向を継続するものです。
この事件は特に重大でしたが、なりすましは標的型フィッシング攻撃ではよくある手口であり、経営幹部やIT担当者などのデジタルな肖像が脅威アクターによって利用され、従業員が機密情報を渡したり、悪意のあるリンクをクリックしたりするよう仕向けられることが日常的に起きています。
そのため、各チームはユーザー向けのフィッシング対策トレーニング、必須の多要素認証、FIDOキーのようなフィッシング耐性のある認証、適切なメールゲートウェイやエンドポイントセキュリティツールの導入を検討すべきです。