世界で暗躍する中国政府系ハッカー集団「APT31」の実態とは
2024年3月25日、アメリカ政府は、中国の政府系サイバー攻撃グループ「APT31」によるサイバー工作に関与したとして、中国人7人を起訴したと発表した。このニュースは最近、世界的に注目されている中国のハッキング攻撃の実態を明らかにしていることから、セキュリティ関係者の間で注目されている。
起訴状によれば、起訴された被告は、倪高彬(Ni Gaobin、38歳)、翁明(Weng Ming、37歳)、程锋(Cheng Feng、34歳)、彭耀文(Peng Yaowen、38歳)、孙小辉(Sun Xiaohui、38歳)、熊旺(Xiong Wang、35歳)、赵光宗(Zhao Guangzong、38歳)だ。全員が中国に居住しているとみられている。
7人は、サイバーセキュリティ関係者の間ではよく知られているAPT31のメンバーだ。APTとは、APT攻撃(高度標的型攻撃)を行うグループのことを指す。通常、そういうレベルの攻撃を行えるのは国家支援型のグループのため、APTグループと呼ばれる組織は政府系サイバー攻撃グループ(国家型攻撃グループ)と分類される。ちなみに最初にAPTグループと名付けられた「APT1」は、中国人民解放軍でアメリカなどを標的にするサイバー攻撃部隊「61398部隊」のことを指す。
アメリカ政府は、2014年にAPT1を、メンバーの実名と顔を公開して起訴処分にしてから、中国や北朝鮮、ロシアなど政府が背後にいるとみられる各地のサイバー攻撃グループを起訴してきた。もちろん、アメリカ政府は、犯人は外国にいるために簡単に捕まえることはできないとわかっているが、攻撃者のアトリビューション(攻撃元の特定)をすることで抑止力になるし、情報公開して現状を広く知らせるのに効果的であると考えている。
日本も「パブリック・アトリビューション」(情報源を特定して情報公開して非難すること)を行なうようになっているが、これからもどんどん実施していくべきだろう。さもないと、犯人が捕まることがないまま、やられっぱなしで終わってしまう。
APT31グループは、中国の武漢市にあるMSSの湖北州安全部によって運営されている。わかっているところでは、少なくとも2010年から2024年1月まで、武漢小瑞智科学技術有限公司(武漢XRZ)というフロント企業を通じて活動していたとみられている。APT31グループとして、今回の7人は世界規模のハッキングのキャンペーンを展開していた。これまで標的になった組織や企業などは数千を超える。標的のネットワークや電子メールのアカウント、クラウドストレージのアカウントを長年監視していたことも確認されている。
アメリカのメリック・B・ガーランド司法長官はこの起訴について、「司法省は、公務に奉仕するアメリカ人を脅迫したり、アメリカの法律によって保護されている異論者を沈黙させたり、アメリカの企業から盗みを働く中国政府による動きを許すことはしない」と述べている。「この事件は、中国政府が中国を批判する人たちを標的にして脅すためなら、どこまでもやってくることを示している」
APT31をはじめとする中国のサイバー攻撃グループは、アメリカに対する経済スパイ活動を目的とし、数千人のアメリカや外国の政治家、外交政策の専門家なども標的にしてきた。ホワイトハウスや国務省、政府高官や官僚の家族も標的となっている。
それ以外でハッキングの対象となっている情報は、中国に影響を与える地政学的なイベントや米中の経済的緊張に絡んだ情報だけでなく、南シナ海における海洋権利主張に関連する情報などで、2019年の香港の民主化抗議活動とその後の弾圧などに関連する欧米の動きに対するサイバー攻撃も行われている。
今回、イギリス政府も、武漢XRZと、倪高彬(Ni Gaobin)と赵光宗(Zhao Guangzong)の2人に対して制裁措置を決定している。イギリス当局は、彼らが2021年に、国境をまたぐ政治家のネットワークになっている中国に批判的なイギリスのグループ「対中政策に関する列国議会連盟(IPAC)」に対して電子メールによるサイバー攻撃を実施したとし、さらに2021年から2022年にかけて発生したイギリスの選挙委員会に対するサイバー攻撃にも関与していると指摘している。
APT31のターゲットはアメリカやイギリスだけでなく、日本も含むアジア諸国だけでなく、ドイツやノルウェー、フィンランドなど世界各地に広がっている。
訴状には、彼らの手口の例が記載されている。例えば、倪高彬と赵光宗は、2020年7月に、エストニアが拠点になっている無料電子メールのアカウントを使って、アメリカとアジア諸国に、マルウェア(不正なプログラム)に感染させるためのリンクを含んだ電子メールを送りつけている。
またアジアでは、香港などで新型コロナに関連していると装う添付書類(PDFファイル)をダウンロードさせる電子メールを送り、遠隔操作でパソコンを乗っ取れるようにしていた。
中国系のサイバー攻撃集団は数多く存在し、それぞれが特定のターゲットごとに分かれて、組織的に攻撃を行なっている。当然、日本など東アジアを狙う担当のグループもいる。世界中で共通の脅威または敵となりつつある中国のハッキング集団については今後も注視しておく必要がある。