中国当局、米国運営の極秘「全世界偵察システム」について情報開示すると約束 | Codebook|Security News

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

Codebook|Security News > Articles > Threat Report > 中国当局、米国運営の極秘「全世界偵察システム」について情報開示すると約束

中国当局、米国運営の極秘「全世界偵察システム」について情報開示すると約束

中国当局、米国運営の極秘「全世界偵察システム」について情報開示すると約束

中国当局が、米国政府によって運営される「高度に隠し立てされている全世界偵察システムについて公表する」と約束したことが、中国紙「環球時報(Global Times)」の報道により明らかになった。この情報開示は、米国政府によるものとされる武漢の地震監視機器へのハッキングについて調査した結果を踏まえて行われる予定なのだという。

「米政府は震度データを狙ったスパイ活動を実施」と中国

環球時報の報道によれば、「全世界偵察システム」に関する情報開示は、震度データを狙った米政府によるものとされるハッキングについて、中国の国家コンピューターウイルス緊急対応センター(CVERC)とインターネットセキュリティ企業Qihoo 360が共同調査を行った結果を踏まえて行われるとされる。また報道記事には、震度データが「地形の判別や兵器システムの試験の分析、核実験の分析に関して多大な諜報的価値を持つ」とする中国人専門家の意見も記載されている。

「全世界偵察システム」の詳細は不明

中国共産党の重要な諮問機関のメンバーであるXiao Xinguang氏は環球時報に対し、米国が全世界を包括的に偵察する能力をデータ窃取能力などその他の能力と併せて利用してあらゆる種類のテレメトリデータを入手し、それらを他の補足的データと組み合わせて中国の経済、社会活動、軍事行動の分析や判定などに役立てているのだと語ったという。しかし、米国の「偵察能力」がどんなものなのかは不明であり、また中国当局によってその詳細が開示されるのがいつになるのかも明かされていない。

中国は米国の諜報活動を「国際法違反」と批判

CVERCの上級エンジニアであるDu Zhenhua氏は、「米国の軍事諜報機関が情報テクノロジー上の優位性を利用して民間インフラにサイバー攻撃を仕掛けることは明確に国際法へ違反する犯罪的行為であり、中国の国家安全保障と公共の利益を著しく侵害する」と主張している。同氏はまた、今回ハッキングの対象となったとされる地震監視システムにもし損害が加えられていたとしたら、そしてその間に地震が発生していたとしたら、早期警告発出や災害評価などに支障が生じて人命や不動産に深刻な被害が出ていたかもしれない、とも語っている。

とはいえ、国際憲章の解釈をめぐっては多少の曖昧さが存在するものの、一般的にスパイ行為は国際法に違反する行為とみなされていない。米国に関しても、スパイ活動は国家運営のための正当な活動の1つであるとの見解を明確に示しており、国内外でのスパイ活動について規定する法律も制定している。また米国は、中国関連のアクターStorm-0558がEメール関連のクラウドサービスの脆弱性を悪用して自国の政府機関に対するスパイ活動を行ったことに関しても「国際法違反だ」と中国を責めることはしていない。

米国は台湾有事の重要インフラへの攻撃を懸念

一方、米国には台湾有事の際に中国側から重要インフラへのサイバー攻撃を受けるのではないかという懸念があることも、CISA長官イースタリー氏の発言によって最近はっきりと示された。イースタリー氏は週末に開催されたセキュリティカンファレンスDEF CONで、中国政府は、米国が台湾に侵攻する可能性があるとの考えを抱いた場合、米国のパイプライン、鉄道、その他の重要インフラに対する破壊的な攻撃の実施を検討するだろうと語った。なお先月には、複数の米政府機関が中国の不正行為の証拠を求めて世界的なシステム探索を開始し、ハッカーらが米国内外の軍事基地の送電網、通信システム、水道にまでアクセスしているのを発見したことが、ニューヨーク・タイムズ紙によって報じられていた。

 

(情報源:The Record “China to disclose secret US ‘global reconnaissance system,’ claims official”、The Record “China would consider attacks on US railroads, pipelines if it invades Taiwan, Easterly says”)

8月15日:その他の注目ニュース

Discord.io、侵害の発生を確認 ハッカーがユーザー76万人のデータを窃取後

BleepingComputer – August 14, 2023

14日、「Akhirah」として知られる人物が、新生Breached(データ侵害で盗まれたデータの販売やリークで知られる人気のサイバー犯罪フォーラムが新たに生まれ変わったバージョン)でカスタム招待サービスであるDiscord.ioのデータベースを売りに出し始め、窃盗の証拠としてデータベースの4件のユーザーレコードを共有した。これを受けてDiscord.ioは侵害の発生を認め、データが本物であることも確認したという。これにより同サービスのメンバー76万人分の情報が流出し、対応のためにサービスの一時的な停止や、すべての有料メンバーシップの解約が行われることとなった。今回侵害されたデータの中で最も機密性の高い情報は、メンバーのユーザー名、メールアドレス、請求先住所(少人数)、ソルト・ハッシュ化されたパスワード(少人数)、およびDiscord IDだという。これらは、当該ユーザーとサーバーを共有している人なら誰でも入手できるものではあるが、一方でユーザーのDiscordアカウントに、本人以外の人物が任意のメールアドレスを紐付けることが可能になる恐れもあるとされる。

Discord.ioは公式のDiscordサイトではなく、サーバーオーナーがチャンネルへのカスタム招待を作成できるサードパーティサービス。コミュニティのほとんどは同サービスのDiscordサーバーを中心に構築されており、同サーバーには14,000人以上のメンバーがいた。

流出したメールアドレスはフィッシングの試みに使用される恐れがあるため、Discord.ioのメンバーは、パスワードやその他の情報の入力を求めるページへのリンクが貼られた、通常とは異なるメールに注意する必要がある。

Montiランサムウェアが、新たなLinux向けロッカーを用いてVMware ESXiサーバーを標的に

BleepingComputer – August 14, 2023

Montiランサムウェアグループが、自身のデータリークサイト上で最後に被害者を公開してから2か月ぶりに復活し、新しいLinux向けのロッカーを使用してVMware ESXiサーバー、法的機関、政府機関を標的にしている。

Montiランサムウェアは、2022年6月にMalwareHunterTeamによって最初に発見され、その1か月後にBlackBerryによって公に文書化された。同ランサムウェアは、ウクライナの研究者によるリーク以来世に出回ったContiのコードのほとんどを使用していたため、Contiのクローンだと思われていた。また2022年9月、Intel471の報告書で、初期のネットワークアクセス方法が同じであることから、MontiがContiのリブランドである可能性は高いと強調されていた。しかし攻撃量が比較的少なかったため、この脅威アクターは研究者からあまり注目されず、2023年1月に同アクターのLinux向けロッカーについて大まかに検証したレポートが、Fortinetから1件発表されたのみだった。

今回、Trend Microの研究者がMontiの新しい暗号化ツールを分析したところ、「前にあった他のLinuxベースのものから大きく逸脱している」ことが判明した。Montiロッカーの以前のバージョンは、Contiランサムウェアから流出したコードとの類似性が99%だったが、新しいロッカーではわずか29%であるという。Trend Microの研究者によると、このコードの注目すべき点の1つは検出を回避する能力が向上していることであり、巧妙な方法でESXi仮想マシンを終了させるなどして、Montiランサムウェアの攻撃を特定し対処することをより困難にしているとのこと。他にも、暗号化されたファイルにバイト署名「MONTI」と暗号化キーに関連する256バイトを追加して暗号化するかどうかのチェックを行ったり、Salsa20を使用していた以前の亜種とは異なって、OpenSSLライブラリのAES-256-CTR暗号化方式を使用してファイルを暗号化したりすることなどが分かっている。