Tick (ハッカー集団)とは？ わかりやすく解説

ウィキペディア

Tick (ハッカー集団)

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/03/12 14:02 UTC 版)

Tick（ティック^[1]）は、中国を拠点にしているハッカー集団^[2][3][4]。Tickは英語で「ダニ」を意味し^[4]、最初に発見した米セキュリティ企業シマンテックが名付けたものである^[5]。 トレンドマイクロは「REDBALDKNIGHT」^[6]、ロシアのカスペルスキーは「The Bald Knight Rises」（使用するマルウェアのアイコンに映画『ダークナイト ライジング』を使用していたため）^[7]、Dell傘下のセキュアワークスは「BRONZE BUTLER」とそれぞれ命名している^[8]。 松本光弘警察庁長官は2021年4月に行われた定例記者会見で、「中国人民解放軍戦略支援部隊ネットワークシステム部、第61419部隊が関与している可能性が高い」と発言している^[9]。

概要

Tickの中核組織のメンバーは5～6人で、その配下に15～16人が属する小規模な集団^[4]。 初めて報告されたのは2016年だが、発見したシマンテックによると2006年頃には活動を開始していたとしている^[10]。

トレンドマイクロは、セキュリティソフトや機器の検査をすり抜けるマルウェアを開発するなど、高度なスキルをもつ攻撃集団だとしている。また2018年11月頃から活動が活発になっているとしている^[11]。

背後にいる組織

目的が金銭ではなく、機密情報やインフラ情報を目的としていることや、高い技術力、長期に渡って活動していることから^[10]、国家を後ろ盾にしているハッカー集団とみられている^[12]。

同グループの背後には、中国山東省青島市を拠点とし、中国人民解放軍の日本および韓国へのサイバー攻撃を担当している61419部隊がいると目されているが^[13]、正規部隊ではないとの報道もある^[4]。

アメリカによると、中国人民解放軍にはネットワークシステム部という部局があり、サイバースパイ活動、サイバー攻撃、敵国の情報システムの妨害・かく乱などが任務だという^[14]。中国政府系のハッカー集団の特徴として、犯行が発覚しやすいサイバー攻撃や破壊工作はせず、長期に渡って潜入し続け防衛機密などを奪っていく^[15]。

標的

ターゲットにしているのは日本の防衛や重要インフラを担う企業や官公庁^[16]、航空や宇宙に関する研究組織など^[17]。

感染経路は主に3つで、スピアフィッシング（標的型メール）、水飲み場型攻撃、未解決の脆弱性悪用といった手口でシステムに侵入する^[7]。同集団は日本語を使いこなし、メール本文や添付されている不審なファイルの名前にも日本語が使用されていることが多い^[5]。 デロイト トーマツ サイバーは「最近は攻撃メールの文面の日本語が自然になっていて偽物と気付きにくい。企業は警察や公的機関が実施するサイバー演習に積極的に参加し、何かあったとき、すぐに対処できる体制をつくるべきだ」と警告した^[18]。

日本と韓国以外にもロシア、シンガポール、中国の法人に対する諜報活動も確認されている^[6]。

開発したマルウェア

• XXMM：ドロッパー、ローダー、バックドアなどの複数モジュールで構成されるコンテナ。
• Wali：XXMMの亜種の一つ。
• Datper：XXMMとは別種のマルウェア。
• VBEマルウェア：Encoded VBScriptで作成されたトロイの木馬。

発覚を遅らせる技術

マルウェアによる通信を実行毎に作成するランダムなRC4キーを使って暗号化し^[19]、リクエストのデータ部分に命令やその実行結果を含ませることでログを秘匿、サイズ制限のあるウィルススキャンを回避するための大量のゴミデータの生成^[7]、不自然では無いように会社の業務時間内のみの通信制限^[7]、画像に情報を埋め込むステガノグラフィー^[7]、感染企業ごとにC&Cサーバを変更するなどの隠蔽工作を行う^[20]。そして対象のシステムから情報を盗んだ後は、侵入の痕跡を消す。このためTickの犯行は発見しにくい^[21]。

関与が疑われる攻撃

Flashの脆弱性

2015年7月、Adobe Flashの脆弱性を突く水飲み場型攻撃が日本の3つのウェブサイトに仕掛けられていたのが発見された^[10]。

トロイの木馬「Daserf」

2016年5月、日本の企業約20社が「Daserf」と呼ばれるトロイの木馬に感染している事が分かった。これは意図せず広まったもので、Tickが狙っていたのは、テクノロジー、エンジニアリング、報道など大手7社だったことが判明した。侵入後、最長で18カ月ほどスパイ活動を行っていた^[10]。

約200の企業や研究機関への攻撃

2016年9月から2017年4月にかけて、日本の宇宙航空研究開発機構(JAXA)、国内防衛、航空関連企業を含む約200の企業や研究機関へのサイバー攻撃に関与したとされる^[2]。攻撃は日本製のクライアント運用管理ソフトウェア「SKYSEA Client View」のゼロデイ脆弱性を利用し行われた^[4]。

2016年12月21日、同ソフトを販売するSky株式会社が脆弱性（CVE-2016-7836）を公表。同時に対策パッチおよびセキュリティ強化を施した新バージョンをリリースした^[22]。

2019年2月、JPCERT/CCがSKYSEAの脆弱性を突いた攻撃があったことを確認した^[5]。

2021年4月20日、警視庁公安部は中国共産党員で中国国営の通信会社のシステムエンジニアの30代の男Aを書類送検した。容疑はこの攻撃で使用された日本国内のレンタルサーバーを5回に渡り偽名で契約するなどした私電磁的記録不正作出・同供用の疑い^[13]。男は当時日本に滞在していた61419部隊の別の中国人男性Bの指示を受けてレンタルサーバーを契約し、IDやパスワードなどをTickに転売^[2]。Tickがサイバー攻撃を実行したとみられる^[23]。

中国は2017年に国家情報法を施行した。これは中国企業や中国人に、国内外で情報活動への協力を義務付けた法律で^[24]、この事件が起こる前に、軍関係者の女が中国人留学生に「国家への貢献」だと言い契約を指示していたこともメールなどのやり取りから判明している^[24]。

今回の捜査は、警視庁公安部に2017年に設置された「サイバー攻撃対策センター」が中心になって行われた^[17]。警視庁がサイバー犯罪において犯人を名指するのは異例だが、2人は既に日本を出国していた^[17]。 この発表を受け中国外務省は「根拠なく推測してはならない」と反発した^[14]。

10月、東京地検は不起訴（起訴猶予）とした^[25]。

12月28日、警視庁公安部は、前述の中国籍の元留学生が61419部隊に所属する軍人の妻からの指示で^[26]、日本製のセキュリティソフトを虚偽の情報で購入しようとした購入詐欺未遂の疑いで逮捕状を取った。容疑者は既に出国しているため、国際刑事警察機構(ICPO)を通じて国際手配した^[25]。

三菱電機への攻撃

2020年1月20日、朝日新聞は日本で長年にわたり防衛省契約実績第1位を維持している三菱電機が、大規模なサイバー攻撃を受け、主要取引先である、防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁など10を超える政府機関と、大手の電力会社、電気通信事業者、JR、私鉄、自動車産業など少なくとも数十社の民間企業が不正アクセスを受け情報が外部に流出した可能性があると報じた^[12]。三菱電機は当初沈黙を貫いていたが^[27]、報道を受け8122人分の個人情報と、官民の取引先の機密情報が流出した可能性があると認めた^[28]。

しかし「社会インフラに関する機微な情報や取引先に関わる重要な情報は流出していないことを確認した」とし^[11]、河野太郎防衛大臣（当時）も記者団に対し「防衛省の機微情報の流出はなかったと確認されている」と述べた。関係者によるとこの攻撃にはTickが関与した可能性があるという^[11]。この事件は、中国の関連会社がスタート地点になっていたサプライチェーン攻撃だったとされている^[12]。

1月22日、朝日新聞はTick以外にも、台湾や日本を標的にしている「BlackTech」（ブラックテック）と呼ばれる中国系ハッカー集団も攻撃に関与していたと報じた^[28]。

2月10日、防衛省が「自衛隊の装備品の試作に関する入札の情報が流出した可能性がある」、また朝日新聞も「防衛装備品に関する『機微な情報』が含まれていた」と報じた^[29]。

脚注

[脚注の使い方]

1. ^ “中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について（外務報道官談話）”. 外務省 (令和3年7月19日). 2022年2月24日閲覧。
2. ^ ^{a b c} “JAXAなどにサイバー攻撃か　中国共産党員を書類送検”. 日本経済新聞 (2021年4月20日). 2022年2月24日閲覧。
3. ^ “ロシアに匹敵か？ 「恐れられる」中国の影響力工作”. Wedge (2022年2月24日). 2022年2月24日閲覧。
4. ^ ^{a b c d e} “中国共産党の軍隊が、スパイを操り日本にサイバー攻撃した疑惑＝山崎文明”. エコノミスト (2021年5月24日). 2022年2月24日閲覧。
5. ^ ^{a b c} “日本企業を狙うサイバー攻撃集団「Tick」とは何者か？”. マイナビニュース (2020年1月21日). 2022年2月24日閲覧。
6. ^ ^{a b} “標的型サイバー攻撃集団「BRONZE BUTLER」によるバックドア型マルウェア「DASERF」、ステガノグラフィを利用”. トレンドマイクロ (2017年11月14日). 2022年2月24日閲覧。
7. ^ ^{a b c d e} “日本と韓国を狙う標的型攻撃：The Bald Knight Rises”. カスペルスキー (2018年2月2日). 2022年2月24日閲覧。
8. ^ “日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER”. セキュアワークス. 2022年2月24日閲覧。
9. ^ “巧妙化するサイバー攻撃 警察庁が新組織設立へ 背景に国家レベルの関与か”. 日テレNEWS (2021年6月24日). 2022年2月24日閲覧。
10. ^ ^{a b c d} “10年前から密かに活動していたサイバースパイ集団「Tick」、日本のテクノロジー系／水産工学系／報道系の特定企業に集中攻撃”. INTERNET Watch (2016年5月6日). 2022年2月24日閲覧。
11. ^ ^{a b c} “標的は日韓企業、暗躍する中国ハッカー集団Tick”. 日本経済新聞 (2020年1月20日). 2022年2月24日閲覧。
12. ^ ^{a b c} “三菱電機にサイバー攻撃「中国系ハッカー集団Tick」の恐るべき正体”. エコノミスト (2020年1月21日). 2022年2月24日閲覧。
13. ^ ^{a b} “大規模サイバー攻撃　中国人民解放軍指示か”. 日テレNEWS (2021年4月20日). 2022年2月24日閲覧。
14. ^ ^{a b} “【解説】中国軍が日本にサイバー攻撃…ナゼ”. 日テレNEWS (2021年4月21日). 2022年2月24日閲覧。
15. ^ “三菱電機に中国系？サイバー攻撃、人材情報奪取の裏に「恐るべき意図」”. ダイヤモンド オンライン (2020年1月23日). 2022年2月24日閲覧。
16. ^ “国慶節に止まった攻撃の謎　日本狙った中国ハッカー集団”. 朝日新聞 (2021年4月20日). 2022年2月24日閲覧。
17. ^ ^{a b c} “JAXAなどに大規模なサイバー攻撃 中国人民解放軍の指示か”. NHK (2021年4月20日). 2022年2月24日閲覧。
18. ^ “中国ハッカー集団暗躍　手口巧妙化、対策急務”. 東京新聞 (2020年1月21日). 2022年2月24日閲覧。
19. ^ “攻撃グループTickによる日本の組織をターゲットにした攻撃活動”. JPCERT/CC (2019年2月19日). 2022年2月24日閲覧。
20. ^ “日本に精通した標的型攻撃「BRONZE BUTLER」の詳細レポートを公開（SecureWorks）”. Scan Net Security (2017年6月26日). 2022年2月24日閲覧。
21. ^ “日本の製造業や重工業を狙うサイバーグループ「BRONZE BUTLER」に注意”. マイナビニュース (2017年10月17日). 2022年2月24日閲覧。
22. ^ “【SKYSEA Client View情報】サイバー攻撃に関する一部報道について”. Sky株式会社 (2021年4月21日). 2022年2月24日閲覧。
23. ^ “中国共産党員を書類送検　サイバー攻撃に関与か―ＪＡＸＡなど標的・警視庁”. 時事通信 (2021年4月20日). 2022年2月24日閲覧。
24. ^ ^{a b} “サイバー攻撃　官民連携し被害を防げ”. 中国新聞 (2021年5月13日). 2022年2月24日閲覧。
25. ^ ^{a b} “中国軍が指示？日本製セキュリティーソフトを不正購入しようとした疑い　中国籍の元留学生に逮捕状”. 東京新聞 (2021年12月28日). 2022年2月24日閲覧。
26. ^ “中国軍「６１４１９部隊」軍人の妻、元留学生に指示か　サイバー攻撃部隊”. 産経新聞 (2021年12月28日). 2022年2月24日閲覧。
27. ^ “三菱電機、サイバー被害だんまり　取引先に半年説明せず”. 朝日新聞 (2020年1月21日). 2022年2月24日閲覧。
28. ^ ^{a b} “【独自】三菱電機、複数の中国系ハッカー集団から攻撃か”. 朝日新聞 (2020年1月22日). 2022年2月24日閲覧。
29. ^ “スパイは社員に紛れている！　三菱電機、ソフトバンクの情報漏洩が人ごとではない理由”. ITmedia (2020年2月13日). 2022年2月24日閲覧。

外部リンク

• 警察庁「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」 (PDF)
• ラック サイバーグリッド研究所「日本の重要インフラ事業者を狙った攻撃者」 (PDF)
• セキュアワークス「日本企業を狙う高度なサイバー攻撃の全貌 – BRONZE BUTLER」