中国の技術企業を狙った米国のサイバー攻撃とは？CNCERT報告書を読む

2024年に米国によるとされるサイバー攻撃が中国の大手技術企業を標的にし、機密性の高い商業情報が大量に盗まれたとする報告書を、中国の国家コンピュータネットワーク緊急対応技術チーム（CNCERT）が2024年12月18日に公表しました。本記事では、このサイバー攻撃の経緯と特徴を、日本語で分かりやすく整理します。

中国CNCERTが明らかにしたサイバー攻撃の全体像

報告書によると、今回のサイバー攻撃は米国から中国の大手技術企業を狙って行われたもので、企業内ネットワークに侵入し、合計4.98GBに及ぶ重要な商業情報や知的財産関連ファイルが盗まれました。攻撃は2024年8月から11月にかけて継続的に行われたとされています。

ステップ1：文書管理システムの脆弱性を突いた侵入

最初の侵入は2024年8月19日に確認されています。攻撃者は、企業が利用していた電子文書管理システムの脆弱性（セキュリティ上の弱点）を悪用し、システム管理者のアカウントとパスワード情報を窃取しました。

その2日後の8月21日、攻撃者は盗み出した管理者の認証情報を使い、文書管理システムのバックエンドに正規ユーザーになりすましてログインしたとされています。

ステップ2：バックドアとトロイの木馬をサーバーに設置

2024年8月21日正午、攻撃者は電子文書管理システム上にバックドアプログラムとカスタマイズされたトロイの木馬プログラムを設置しました。

• トロイの木馬は、侵害された個人用コンピューターから盗み出された機密ファイルを受け取る役割を担い、「/xxx/xxxx?flag=syn_user_policy」という経路でアクセスされました。
• バックドアプログラムは、盗まれた機密ファイルを集約し、海外へ送信するために使われ、「/xxx/xxxStats」という経路が用いられました。

報告書によれば、これらのプログラムは検知を逃れるため、メモリ上でのみ動作し、ハードディスクには痕跡を残さない設計になっていたといいます。このような「ファイルレス」な手口は、解析や追跡を非常に難しくします。

ステップ3：276台の個人PCに感染を拡大

2024年11月6日、8日、16日には、攻撃者が電子文書サーバーのソフトウェア更新機能を悪用し、企業内の個人用コンピューター276台に特別なトロイの木馬プログラムを送り込んだとされています。

このトロイの木馬の主な機能は次の通りです。

• 感染した端末内をスキャンし、機密性の高いファイルを探索・窃取する
• ログイン情報などの個人情報を盗み出す

トロイの木馬は使用後すぐに削除されるよう設計されており、発見をさらに困難にしていました。

企業の「頭脳」を狙った大規模な機密情報窃取

今回のサイバー攻撃の目的は、金銭的な被害よりも、企業の知的財産や核心技術に関わる情報の収集にあったと報告書は指摘しています。

社内ネットワークを丸ごとスキャン

攻撃者は、中国国内に設置されたプロキシ（中継）IPを経由して何度もソフトウェアアップグレード管理サーバーにログインし、そこを足がかりに企業の内部ネットワークへ侵入しました。

侵入後は、社内の各ホスト（サーバーやPC）に対してディスク全体のスキャンを実行し、どこにどのような業務データや技術情報が保存されているかを把握していったとされています。

キーワードで絞り込む「狙い撃ち」の窃取

2024年11月6日から16日にかけての3回の攻撃では、それぞれ異なるキーワードがあらかじめトロイの木馬に設定されていました。これらのキーワードは、標的となった企業の業務内容と密接に関連するものだったとされています。

トロイの木馬は、設定されたキーワードを含むファイルを探索し、該当するファイルのみを選択的に盗み出して海外へ送信しました。3回のスパイ活動を通じて、合計4.98GB分の重要な商業情報と知的財産関連ファイルが窃取されたと報告されています。

キーワードを使った絞り込みや、攻撃ごとにキーワードを変える手法からは、攻撃者が事前に十分な準備と分析を行っていたことがうかがえます。

サイバー攻撃の「プロらしさ」が見える4つの特徴

CNCERTの報告書は、今回の米国によるとされるサイバー攻撃について、時間帯やツールの選び方など、いくつかの特徴を整理しています。

1. 米国の勤務時間帯に合わせた攻撃

解析によれば、多くの攻撃は北京時間の午後10時から翌午前8時の間に集中していました。これは、米国東部標準時（EST）の午前10時から午後8時に対応する時間帯です。

攻撃は主に月曜日から金曜日に行われ、米国の主要な祝日には活動が見られなかったとされています。こうしたパターンは、攻撃に関わる組織が特定の勤務時間に沿って動いている可能性を示唆しています。

2. ドイツやルーマニアなどのプロキシIPを使用

攻撃に使われた5つのプロキシIPアドレスは、ドイツ、ルーマニアなど海外の地域に所在していました。直接の所在を隠すため、多段階のプロキシを用意していたとみられ、フォレンジック（事後分析）対策や豊富な攻撃リソースを持つ組織的な行動がうかがえます。

3. オープンソースのツールで痕跡をカモフラージュ

侵害されたサーバーからは、広く使われているオープンソースのバックドアツールが確認されたと報告されています。攻撃者は、一般的なツールや汎用的なプログラムを巧みに利用し、自らの行為を通常の通信や運用に紛れ込ませていました。

さらに、重要なバックドアやトロイの木馬はすべてメモリ上でのみ動作し、ハードディスクには保存されていませんでした。この設計により、ログやファイル痕跡から攻撃を追跡することが難しくなります。

4. ソフトウェア更新機能を“逆手”に取る高度な手口

攻撃者は、電子文書管理システムのクライアント配布プログラムを書き換え、ソフトウェアのアップグレード機能を通じてトロイの木馬を配布しました。

正規の更新に見せかけてトロイの木馬を配布することで、短期間で276台の個人PCに感染を広げ、重要ユーザーへの集中的な攻撃と大規模な情報収集を可能にしたとされています。報告書は、こうした手法から攻撃組織の高い能力がうかがえるとしています。

日本を含む企業が学べるポイント

今回のサイバー攻撃の詳細は、国際ニュースとしての重要性にとどまらず、デジタル化が進むすべての企業にとって教訓となる点を多く含んでいます。

報告書の内容から読み取れるポイントを整理すると、次のようになります。

• ソフトウェアの更新機能そのものが攻撃経路になり得るため、アップデート配信の仕組みと監査体制を見直す必要があること
• 管理者アカウントが乗っ取られると被害が一気に拡大するため、パスワード管理の強化や多要素認証の導入が不可欠であること
• 深夜帯や休日など、通常とは異なる時間帯のアクセスパターンに警戒すべきこと
• プロキシIPや海外経由のアクセスについて、平時からログを分析し、不審な動きを早期に検知する仕組みを整える重要性

今回の報告書が描く攻撃シナリオは、国や業種を問わず、多くの組織が直面し得る典型的なリスク像を示していると言えます。ニュースを「遠い国の話」として読むのではなく、自社や自分の仕事にどう関わるかという視点で振り返ることが、サイバーリスク時代の新しいリテラシーになりつつあります。

Reference(s):

China releases report on U.S. cyberattacks targeting a tech enterprise

cgtn.com