実力トップ級は年俸5千万円クラスも 中国ハッカー集団の次なる標的は…〈AERA〉
三菱電機の調査によれば、過去10年間にTickやBlackTech以外のハッカー集団からも攻撃を受けていたという (c)朝日新聞社
サイバー空間における諜報活動は「サイバーインテリジェンス」ともいわれる。三菱電機を襲った中国ハッカー集団の目的は諜報なのか。知られざる正体とは。監視しているシンクタンクの分析官が証言する。
【写真】巧みな日本語でメールを駆使するのがTickの手口
* * *
三菱電機が昨年6月にサイバー攻撃を受け、従業員や退職者、採用予定者の8千人を超える個人情報や、官民の取引先機密が流出した可能性があることがわかった。朝日新聞のスクープを受けて、同社が発表した形だが、攻撃を仕掛けたとみられるのが「Tick(ティック)」や「BlackTech(ブラックテック)」と呼ばれる中国系のハッカー集団だ。彼らの正体や狙いは何なのか。
ティックを2008年から追跡調査しているというセキュリティー大手のトレンドマイクロは、セキュリティブログで同集団の脅威を発信している。それによるとティックは、日本に本社を置き中国に子会社を持つ防衛や航空宇宙、化学、衛星などの高度な機密情報を有する組織に対象を絞り、電子メールでマルウェア(コンピューターウイルスなど悪意のあるソフトウェア)を配信する。遠隔操作型ウイルスなどを送り込み、PCを乗っ取って情報を盗む手口だ。
18年11月からティックのマルウェア開発頻度と配備が異常に増えており、昨年1月には攻撃の第一歩として日本の経済調査会社とPR会社に侵入し、電子メール認証情報とおとり文書を窃取するなどの「調査」を実行。マルウェアの埋め込まれた添付ファイルを開封させるように誘導するメールの送信元として、盗み取ったメールアドレスを利用していた。
正確な日本語表現に精通しており、受信者を欺くために正規文書を模して「昇給」や「求人」、または米中貿易協議など中国の経済情勢に関連する件名が用いられていたという。
この集団の監視を続けている民間のシンクタンク「情報安全保障研究所」主席分析官の今泉晶吉さんは、こう証言する。
「中国当局と密接な関係のある組織に、年俸3千万円程度で雇用されている通信技術に長けたハッカーの集団です。コアメンバーは4~5人。その周囲に15人ぐらいのサブメンバーがいて、さらにSNSなど通信で繋がったサポートメンバーが一定数存在します」
今回、存在があぶり出されたティックやブラックテックにとどまらず、中国では同様のハッカー集団が多数存在し、名前やIDを変えるなどして1人が複数の集団に属しているケースも多いという。中国国内だけでなく、欧州やアフリカ諸国、シンガポールにも拠点を持つが、米国にはほとんど足場がないのが特徴だ。攻撃対象にしているのは日本、韓国、シンガポール、タイの各国だという。
「日本国内で標的として攻撃を受けている企業は三菱電機だけでなく、大手電機や電子部品、自動車・航空機部品などのメーカーが数社あります。いずれも軍事転用可能な技術力を有し、そのノウハウを膨大な文書やデータで蓄積していて、ハッカーからすれば宝の山です。逆に、彼らから狙われない企業はあまり価値がないとも言えます」(今泉さん)
今回、ティックが仕掛けた攻撃による被害は、はたしてどこまで広がるのか。
「本来はバレないように盗むのが目的ですから、すぐに露見した彼らの攻撃は実は大したことはありません。年俸5千万円クラスの実力トップ級のハッカーであれば、痕跡もなく情報を盗まれていた可能性もあります」
今泉さんは指摘し、さらにこう続けた。
「早い段階で検知して対処すれば、攻撃側の悪意の芽を摘むことができる。しかし、悪い報告ほど早くしなければ警鐘にはなりません。半年も公表せずに放置した三菱電機の対応には疑問が残りますね」
(編集部・大平誠)
※AERA 2020年2月3日号
この記事へのコメントはありません。