台湾のサイバーセキュリティ企業、TeamT5によると2023年にアジア太平洋地域で確認されたAPT(Advanced Persistent Threats)攻撃は39カ国、411件にのぼり、使用されたマルウェアやハッキングツールは210あったということです。
Plug XやGodzilla、Shadow padなど使用
持続的標的型攻撃などと訳されるAPTは、特定の組織のシステムに狙いを定めて長期間にわたり侵入する攻撃です。その目的は主に情報収集活動にあり、標的に知られることなくシステムに滞在し続ける高度なテクニックが必要なことから多くは国家を背景としたアクターによる攻撃と考えられています。TeamT5はアジア太平洋地域のインテリジェンスに特化したサービスを提供していて、台湾を拠点にしている企業だということです。
同社が最近まとめた2023年におけるアジア太平洋地域のAPT脅威状況によると、この地域で昨年確認されたAPT攻撃は39カ国411件、使用されたマルウェアやハッキングツールは210だったということです。使用されたマルウェアのトップはCobalt Strikeで、次いでPlug X、その他、GodzillaやShadow padなどが使われていたようです。Plug X、Godzilla、Shadow padは主に中国系アクターが使っているツールになるようです。TeamT5によるとアジア太平洋地域でAPT攻撃をもっとも受けたのは台湾、次いで韓国、そして日本だったということです。
2023年の台湾に対するAPT攻撃は2021年や2022年と比較して大きな変化はみられなかったもののヘルスケア業界に対する攻撃が急増したということです。この背景には台湾政府が世界保健機関(WHO)の最高意思決定機関である世界保健総会(WHA)へのオブザーバー参加を目指していることがあるとTeamT5は分析しています。2023年に台湾を攻撃したAPTグループは少なくとも21にのぼり、中でもSLME13(別名FlaxTyphoon)の被害組織は100以上にのぼったということです。このグループは香港や日本、韓国の組織に対しても攻撃を行っているようです。
ステルス化している中国のAPT攻撃
日本と韓国については、2023年に国家間の関係改善がみられ日米韓の結束がより強固になったことがAPT攻撃に反映され、政府やシンクタンク、教育機関がターゲットになっているということです。TeamT5によると北東アジアのAPT攻撃のほとんどは中国と北朝鮮によるもので、中国のAPT攻撃はよりステルス化していて検出が困難になっているということです。TeamT5では北東アジア地域で現在進行しているFortigateやCitrixもしくはArrayVPNの脆弱性を狙った大規模な攻撃を確認しているようですが、現状は調査中で公表できる段階ではないようです。
中国のAPT攻撃について、よりステルス化して強力になっていることに加え、情報操作(InfoOP)と混在した、あるいは連携した攻撃が増えるとの見方をしています。また、中国系のAPTグループがランサムウェア攻撃を行っている実態があるようで、金銭を目的とした攻撃が増える可能性について指摘しています。そのうえで2024年はサプライチェーン攻撃とエッジデバイス攻撃が主流になると予測しています。エッジデバイス攻撃とはIoT機器などネットワークの末端にあるデバイスを狙った攻撃です。
日本では昨年、宇宙航空研究開発機構(JAXA)に対するサイバー攻撃が大きくメディアで報じられました。メディア報道は一過性の上、情報が限定的なので実態がどうなっているのかよくわからないのですが、TeamT5のレポートを読む限り、日本は台湾や韓国に次いでAPT攻撃を受けており、北東アジアのAPT攻撃は中国と北朝鮮のアクターが支配的に行っているということですから、日本の主要機関の情報が継続的に中国や北朝鮮に流出している恐れがあるようです。
■出典
https://teamt5.org/en/posts/apt-threat-landscape-in-apac-2023/