ゴーストネット
GhostNet(ゴーストネット、簡体字中国語: 幽灵网、繁体字中国語: 幽靈網、拼音: )は、2009年3月に発見された大規模なサイバースパイ活動に対して Information Warfare Monitor (IWM) の調査員が付けた名前[1][2]。この活動はAPT攻撃と関係があるとされる[3]。攻撃の指令および攻撃インフラは主に中華人民共和国を拠点としており、103か国の政治・経済・メディアに関わる重要な場所に潜入した[4]。この活動により、大使館や外務省およびその他の官公庁、そしてインド、ロンドン、ニューヨークにあるダライ・ラマのチベット亡命センターのコンピュータシステムが侵害された。
発見
[編集]ゴーストネットは、IWMによる10か月の調査の末に発見され、このように名付けられた。この調査は、自分のコンピュータが潜入を受けているのではないかと疑ったジュネーヴにいるダライ・ラマの代理人にIWMの調査員らが接触したのちに行われた[5][6]。IWMはThe SecDev Groupの調査員、カナダのコンサルタント、Citizen Lab、トロント大学のMunk Centre for International Studiesで構成され、調査結果は提携出版元のInfowar Monitorから公開された[7]。Institute for Information Infrastructure Protectionからの支援を受けたケンブリッジ大学コンピュータ学部[8]は、チベット亡命政府の位置するダラムシャーラーの3か所のうち1か所を調査し貢献した。ゴーストネットの発見と活動の詳細は、2009年3月29日のThe New York Timesで報じられた[7][9]。調査員らはまず、電子メールの通信内容などのデータが抽出されたことなどから、チベット亡命コミュニティに対して中国がサイバースパイ活動を行っているとの疑惑に焦点を当てた[10]。
侵入を受けた可能性のあるシステムは、インド、韓国、インドネシア、ルーマニア、キプロス、マルタ、タイ、台湾、ポルトガル、ドイツ、パキスタンの大使館およびラオス首相官邸で発見された。イラン、バングラデシュ、ラトビア、インドネシア、フィリピン、ブルネイ、バルバドス、ブータンの外務省も標的となっていた[1][11]。また、NATOのコンピュータが半日監視され、またインドのワシントンD.C.の在米インド大使館のコンピュータが潜入を受けていたが、米国や英国の官公庁が潜入を受けた形跡はなかった[4][11][12]。
ゴーストネットが発見されると、他政府のネットワークへの攻撃が始まった。例えば、2011年初めにカナダ政府の財務省が攻撃を受け、オフラインの状態に陥った[13]。
技術的機能性
[編集]標的とする組織に対して、これまでのやり取りに関連した内容を含む電子メールを送信する。電子メールには悪意のあるファイルが添付されており、開くとトロイの木箱がシステム内に侵入する。このトロイの木箱は、通常は中国の制御サーバーに接続。感染したコンピュータは制御サーバーからのコマンドを受信し、指定されたコマンドを実行する。場合によっては、制御サーバーがGh0st RATと呼ばれるトロイの木箱をダウンロード・インストールするコマンドを指定する。これにより攻撃者は、Microsoft Windowsを実行するコンピュータを完全にリアルタイムで制御することができるようになる[4]。このようなコンピュータは攻撃者による制御・検疫が可能となり、トロイの木箱から感染したコンピュータのカメラ機能や音声録音機能を起動したり、モニターを監視したりすることができるようになる[7]。
発端
[編集]IWMの調査員らは、中国政府がこのスパイネットワークの要因であると結論付けることはできないと述べた。しかしながら、ケンブリッジ大学の調査員のある報告では、彼らのダライ・ラマの事務所での分析から、侵入の背後には中国政府が背後にいると信じていると述べられている[14]。
調査員らはまた、ゴーストネットは、中国市民が利益または愛国心のために私的に行った活動である可能性や、ロシアやアメリカ合衆国などの他国の諜報機関によるものである可能性を述べた[7]。中国政府は、中国は「いかなるサイバー犯罪も堅く禁じている」とする声明を発表した[1][10]。
出典
[編集]- ^ a b c “Major cyber spy network uncovered”. BBC News. (March 29, 2009) March 29, 2009閲覧。
- ^ Glaister, Dan (March 30, 2009). “China Accused of Global Cyberspying”. The Guardian Weekly (London) 180 (16): p. 5 April 7, 2009閲覧。
- ^ Sean Bodmer; Dr. Max Kilger; Gregory Carpenter; Jade Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. McGraw-Hill Osborne Media. ISBN 978-0071772495
- ^ a b c Harvey, Mike (March 29, 2009). “Chinese hackers ‘using ghost network to control embassy computers’”. The Times (London) March 29, 2009閲覧。
- ^ “Tracking GhostNet: Investigating a Cyber Espionage Network”
- ^ “China denies spying allegations”. BBC News. (March 30, 2009) March 31, 2009閲覧。
- ^ a b c d Markoff, John (March 28, 2009). “Vast Spy System Loots Computers in 103 Countries”. New York Times March 29, 2009閲覧。
- ^ Shishir Nagaraja, Ross Anderson (March 2009). “The snooping dragon: social-malware surveillance of the Tibetan movement” (PDF). University of Cambridge. p. 2. March 31, 2009閲覧。
- ^ “Researchers: Cyber spies break into govt computers”. Associated Press. (March 29, 2009) March 29, 2009閲覧。
- ^ a b China-based spies target Thailand. Bangkok Post, March 30, 2009. Retrieved on March 30, 2009.
- ^ a b “Canadians find vast computer spy network: report”. Reuters. (March 28, 2009) March 29, 2009閲覧。
- ^ “Spying operation by China infiltrated computers: Report”. The Hindu. (March 29, 2009). オリジナルのApril 1, 2009時点におけるアーカイブ。 March 29, 2009閲覧。
- ^ “Foreign hackers attack Canadian government”. CBC News. (February 17, 2011) February 17, 2011閲覧。
- ^ Nagaraja, Shishir (March 2009). “The snooping dragon: social-malware surveillance of the Tibetan movement” (PDF). Computer Laboratory, University of Cambridge. 2018年11月16日閲覧。