piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

国内約200組織へ行われたサイバー攻撃と関係者の書類送検についてまとめてみた

2021年4月20日、国内約200の組織をターゲットにしたサイバー攻撃が2016年に行われていたとして、攻撃に関連するサーバーの契約に係った男を警視庁公安部が書類送検したと報じられました。捜査は現在も行われており他関係者の情報も報じられています。ここでは関連する情報をまとめます。

攻撃発信元サーバーに係った男を書類送検

  • 書類送検されたのは中国共産党員 中国籍の男で、既に中国へ帰国。中国の大手情報通信企業勤務で日本滞在中もシステムエンジニアの職に就いていた。*1
  • 容疑は私電磁記録不正作出・同供用。2016年9月から17年4月、5回にわたり虚偽の氏名、住所を使い国内レンタルサーバー業者と契約。サーバー利用に必要なアカウント情報を取得した疑い。
  • 男は中国国内から契約を行い、転売サイトでアカウントを販売。Tickと呼称されるグループがそのアカウントを入手し一連の攻撃に悪用されたとされる。
  • 捜査にあたったのは警視庁公安部に設置されたサイバー攻撃対策センター。一連の攻撃に中国人民解放軍の関与があったとみている。この類の不正アクセス事案において関係者の特定まで至るのは異例と報じられた。*2
  • JAXA事案の捜査過程で男の関与が浮上し、来日時に任意聴取している。その際に不正な契約事実を認め、小遣い稼ぎを動機とする供述をしていた。提供したアカウントがサイバー攻撃に悪用されることは把握していなかった可能性がある。*3 当時はすぐに立件することが難しく、その後に中国へ帰国してしまった。
  • 警視庁は不正アクセスの発信元の解析を行い、サーバーを特定。男が契約者でアカウント販売を行っていたことも判明。
f:id:piyokango:20210422003520p:plain
書類送検された男や捜査対象に上がっている人物らの関係図
サーバー契約者で別人物も浮上
  • 送検された男とは別の人物(元留学生)で虚偽情報を使い契約を行ったサーバーが不正アクセスに用いられた疑いがある。元留学生も既に中国へ帰国している。
  • 元留学生に対して指示を行った別の中国籍の二人(夫婦と報道あり)の関与も把握されており、引き続き捜査が進められている。「国への貢献」を求める指示だったとも報じられている。元留学生は知人を介して知り合ったとみられる。*4 男は中国人民解放軍隊員で、妻である女が元留学生に指示を出していた。
  • 女は偽名を使ったサーバー契約の他、日本製のUSBメモリを購入するよう指示していた。*5
警視庁が中国人民解放軍関与の判断
  • 報道では不正アクセスを行ったグループとしてTickの名前が報じられており、中国人民解放軍の61419部隊 *6 との関連が挙げられている。
  • 公安部が同グループの特定に至ったのは確認されたマルウエアの特徴、通信先などから。
  • Trend Microへの取材によれば、Tickは2008年頃に存在が認知され、2011年頃から日本企業で被害が確認され始めた。
  • 日本政府は官房長官がこの件について「攻撃主体の意図、手法、背景など政府内関係機関へ共有し今後の対策に活かす」とコメントをしている。(会見動画10:38頃から)
  • 中国外務省汪文斌副報道局長は4月20日の定例会見にて、「サイバー攻撃はどの国も直面する共通の課題である。十分な証拠に基づくべきであり、根拠なく推測をしてはならない。この問題を口実として中国を批判すること、問題の卑劣な政治目的利用に反対する。」と今回の日本の捜査を受けたコメントをしている。*7 *8
被害を受けた約200組織
  • 一連の攻撃は2016年6月から12月にかけて確認されており、防衛・航空関連、研究機関の約200組織を対象に攻撃が行われた。
  • 不正アクセスを受けた組織に対しては警察より個別に注意喚起等が行われている。*9
  • JAXAをはじめ一部組織は今回報じられた不正アクセスを事実と認めつつ、情報流出についてはなかったとコメントをしており、官房長官も流出被害は確認されていないと報告を受けたと述べている。

今回の事案で不正アクセスを受けたとして具体名が挙げられた組織名は以下の通り。*10 *11

  • 宇宙航空研究開発機構
  • 三菱電機
  • IHI
  • 日立製作所
  • 慶応義塾大学
  • 一橋大学
  • 岐阜県庁
  • 大阪府内テレビ局

資産管理ソフトの脆弱性悪用

  • 2016年に確認された事例では資産管理ソフト「SKYSEA Client View」の脆弱性(CVE-2016-7836)を用いてマルウエア感染を狙う手口(外部持ち出しなどでインターネットに接続するソフトウェア導入済みのPCに対し、偽の管理サーバーから通信を試みる方法)が確認されていた。目的は組織内の端末を遠隔操作し情報を窃取するもの。*12
  • 不正アクセスを受けたと約200組織はいずれもこのソフトウェアを導入していた。*13
  • SKYSEAの脆弱性は悪用が最初に確認された当時は未修正。修正版公開後も脆弱性を悪用する攻撃が確認されていた。
  • SKYは今回の事案報道を受け、2016年12月21日に修正版を公開済であり、その後も複数回メジャーバージョンアップが行われていることから、ほとんどのユーザーが対策済みバージョンを利用していると見解を公表。第三者によるペネトレーションや脆弱性情報の収集、利用者への情報提供等の対策も行っているとした。

開発元(Sky社)からの公開情報

注意喚起や攻撃観測情報

日本製セキュリティソフト購入を画策
  • 事案で捜査対象となっている元留学生が日本製セキュリティ関連ソフトを購入しようとして販売元から断られていたことが報じられている。*14
  • ソフト開発元は日本企業に販売先を限定しており、購入時法人登記の提出が条件となっていた。
  • 日本製セキュリティ関連ソフトの具体名は報じられていない。公安部はソフトウェアの脆弱性を探し出す目的で行われたとみている。

関連タイムライン

日時 出来事
2016年9月~17年4月 共産党員の男が5回にわたり虚偽情報を使ってレンタルサーバーを契約しアカウント転売。
2016年6月~12月 国内約200組織がTickとみられるグループによる不正アクセスの被害に遭う。
2016年12月21日 SKYがSKYSEAの脆弱性を修正するパッチ、修正版をリリース。注意喚起を公開。
2016年12月22日 警察庁やJPCERT/CCがSKYSEAの脆弱性の注意喚起を公開。
2017年4月12日 SKYがSKYSEAの脆弱性報道が前日行われたことを受け、対策済などの見解を公表。
2017年4月27日 LACが2016年中にSKYSEAの脆弱性を悪用したサイバー攻撃が発生していたと報告。
男が来日し、警視庁公安部が任意聴取。
男が中国へ帰国。
元留学生に対して警視庁公安部が任意聴取。
元留学生が中国へ帰国。
2021年4月20日 警視庁公安部が虚偽情報で契約を行っていた男を私電磁記録不正作出・同供用で東京地検へ書類送検。
  • 男や元留学生への任意聴取や帰国日は不明。

更新履歴

  • 2021年4月22日 AM 新規作成
  • 2021年4月22日 AM 攻撃分析報告追加
  • 2021年5月19日 PM 続報反映(岐阜県庁への攻撃

*1:JAXAにサイバー攻撃か 中国籍男性を書類送検へ、既に出国,産経新聞,2021年4月20日

*2:JAXAにサイバー攻撃か、中国共産党員の男を書類送検…関与人物の特定は異例,読売新聞,2021年4月20日

*3:中国軍、サイバー攻撃か 国内200機関 共産党員関与疑い 警視庁書類送検,毎日新聞,2021年4月21日

*4:軍から「国に貢献しろ」 サイバー攻撃関与疑いの元中国留学生,産経新聞,2021年4月20日

*5:「国に貢献しなさい」中国軍人の妻が元留学生に指示か…JAXAサイバー攻撃事件,読売新聞,2021年4月21日

*6:2016年大規模な組織改編が行われたため現在は部隊編成が異なるのではと指摘するツイートあり

*7:【解説】中国軍が日本にサイバー攻撃…ナゼ,日テレNEWS24,2021年4月21日

*8:サイバー攻撃 中国共産党員の男ら警視庁事情聴取も その後出国,NHK,2021年4月20日

*9:中国人民解放軍関与疑いのサイバー攻撃約200件 官房長官,産経新聞,2021年4月20日

*10:人民解放軍がサイバー攻撃関与か 中国人書類送検 JAXA標的,毎日新聞,2021年4月20日

*11:中国軍の大規模サイバー攻撃、岐阜県庁や大阪のテレビ局も標的,毎日新聞,2021年5月18日

*12:JAXAサイバー攻撃に関与 中国共産党員、不正契約容疑で書類送検,朝日新聞,2021年4月21日

*13:【独自】JAXA・三菱・日立…一斉にサイバー攻撃…中国軍が防衛・航空情報狙う?,読売新聞,2021年4月21日

*14:別のサイバー攻撃画策か,共同通信,2021年4月21日