Recorded FutureのInsikt Groupは、中国人民解放軍(PLA)の公式軍事ウェブサイトやその他の情報源から、中国人民解放軍の戦略支援部隊(SSF)支部、特にUnit 61419が、アメリカ、ヨーロッパ、ロシアの大手セキュリティ企業数社からウイルス対策ソフトウェアを購入しようとしていたことを示す6つの調達文書を発見した。 中国人民解放軍の61419部隊は、以下のセキュリティソフトウェアの英語版の購入を求めた(表1)。 これらの製品の英語版に焦点を当てているのは、ソフトウェアが合法的な使用を目的としている場合、または中国の個人および商用のエンドユーザーが外国のウイルス対策ソフトウェアの脆弱性にさらされる可能性をテストする場合、中国語版がより論理的な選択であるため、注目に値します。

Insikt Groupは、中国人民解放軍による外国製ウイルス対策ソフトウェアの購入は、世界のウイルス対策ソフトウェア供給チェーンに高いリスクをもたらすと評価しています。 過去のキャンペーンと戦術のパターンに基づくと、中国人民解放軍が外国のウイルス対策ソフトウェアを悪用する可能性が最も高いのは、次の2つのシナリオです。

シナリオ 1: 中国人民解放軍のサイバー部隊と関連ハッキンググループは、ネイティブに開発されたマルウェアのテスト環境として、外国のウイルス対策プログラムを使用します。 彼らは、マルウェアを外国のウイルス対策製品に通して、検出を回避する能力をテストし、それによって標的の被害者に感染する可能性を高めます。

シナリオ 2: 中国人民解放軍のサイバー部隊と関連ハッキンググループは、外国のウイルス対策ソフトウェアのコードをリバースエンジニアリングして、これまで公開されていなかった脆弱性を見つけます。 その後、ゼロデイ攻撃で新たに発見された脆弱性を最初の侵入に使用します。

表1： Insikt Groupが発見した調達文書に含まれていたウイルス対策セキュリティソフトウェア

Insikt Groupは、SSFが発表した、Ciscoルーターなどの通信技術の買収に関連する契約締結の発表も見つけました。 このドキュメントでは、Unit 61419に関連付けられている連絡先アドレスを、アンチウイルス調達ドキュメントの多くと同じものを使用しています。

以下の図1は、中国の軍事調達Webサイトから取得した製品リストのスクリーンショットのサンプルです。

図1: Unit 61419 調達ドキュメント製品一覧

過去のキャンペーンのパターン

いくつかの要因が、英語の外国のウイルス対策ソフトウェアの購入が、中国軍によるコンピュータネットワーク搾取におけるSSFの役割によって動機付けられているという私たちの評価を裏付けています。

中国では、2019年に購入した外国のウイルス対策ソフトウェアの一部に対するものを含め、複数のサイバー侵入キャンペーンでソフトウェアサプライチェーンの悪用のパターンが実証されています。

1. 2017年には、中国国家が支援する脅威アクターによって仕掛けられた悪意のあるアップデートによって 、227万人以上のユーザーがAvast CCleaner の侵害を受け、その結果、160万台以上のコンピューターが第1段階の Floxif トロイの木馬に感染しました。 これらの被害者のごく一部は、スパイ活動を目的としたと思われる第2段階のトロイの木馬に感染していました。
2. 2019年の夏、Tick Groupと呼ばれる中国の国家支援型APTが、 Trend MicroのApex OneおよびOfficeScan XG エンタープライズセキュリティ製品に影響を与える2つのゼロデイを 悪用しました 。
3. 2019年と2020年に、米国司法省は、APT41として知られる中国のAPTのメンバー5人を、世界中の100社以上の企業に影響を与えた侵入キャンペーンで 起訴しました 。 APT41は ソフトウェアプロバイダー を侵害し、プロバイダーのコードを変更して、ソフトウェアプロバイダーの顧客に対するさらなる侵入を促進しました。 キャンペーンの目的は、スパイ活動と暗号通貨のマイニングでした。
4. 2019年10月、 Avast はCCleanerソフトウェアの2回目の侵害を発表しました。 今回、ハッカーは、2017年の侵害後にCCleanerホスティングが移動されたインフラストラクチャに侵入することに成功しました。 チェコのセキュリティ情報サービス(BIS)は、この攻撃を中国の脅威アクター によるものとしました 。
5. 2020年10月、Googleの脅威分析グループは、中国の国家支援型ハッキンググループAPT31がウイルス対策会社のMcAfeeになりすまし、バイデン陣営の電子メールシステムに対する標的型攻撃を行った と報告 しました。 ターゲットは、GitHubから正規のMcAfee Total Protection ウイルス対策ソフトウェアをインストールするように求められましたが、マルウェアは同時にシステムにインストールされました。 McAfee Total Protectionは、Unit 61419が1年前に購入したアンチウイルスパッケージの1つです。
6. 2021年、Microsoftは、中国国家が支援するハッキンググループであるHAFNIUMが、4つのゼロデイエクスプロイトを使用して Microsoft Exchange サーバー上のWebシェルにアクセスしてインストールし、世界中の 60,000もの組織の Outlook Web Access(OWA)を侵害した と発表 しました。

さらに、 中国政府は、禁止された2014年以来、外国のウイルス対策ソフトウェアを正当な目的で使用していません。 2014年8月、国営通信社の人民日報は、中央政府調達部(中央政府采购部门)がKasperskyとSymantecを認定情報セキュリティソフトウェアプロバイダーのリストから除外したと 報じました 。 中国当局は、Qihoo 360 Technology、Venustech、CAJinchen、Beijing Jiangmin、Risingの5つの中国を拠点とする企業の使用を承認しました。 2014年6月、中国公安部は、シマンテックのソフトウェアには、外部からのアクセスを可能にするバックドアなどのセキュリティ脆弱性があるとする 通知 を出した。

人民解放軍ユニット61419とは?

61419部隊は、中国人民解放軍(PLA)戦略支援部隊(SSF)内の局の軍事部隊カバーデジグネーター(MUCD)です。 公開されている文書は少ないが、この部隊の責任範囲には、2011年に初めて特定されたとき、日本と韓国に焦点を当てた外国信号情報(SIGINT)やその他のサイバー作戦の解釈 が含まれ ていた。 プロジェクト2049研究所の研究者は、61419部隊を人民解放軍参謀部(GSD)第3部(3PLA)の第4作戦局と 評価 した。 3PLAは、中国の通信ネットワークの監視、中国国内のコンピュータネットワークのセキュリティの保護、サイバースパイ指向の コンピュータネットワークエクスプロイト (CNE) の実施 など、SIGINTの防御に幅広く責任を負っていた。2015年以降、GSDと3PLAは解散し、その能力と焦点は少なくとも部分的にSSFのネットワークシステム部門(NSD) に再編成された。

このユニットは青島(以下で詳細に説明)に本社を置き、それぞれが独自のMUCDを持つ複数の下位オフィスで構成されています。 これらのオフィスは、青島とその周辺地域、杭州、北京、上海にあります。 これらの各オフィスには、独自の MUCD がある可能性があります。¹ これらのうちの1つである ユニット61680は、即墨市の下の文泉郷(温泉镇)にあり、そこに トレーニングセンター があります。 61650号機は61419号機と同じ住所で機材調達を行っていることからも、その下部事業所であることがうかがえます。 ユニット61789も 従属 しており、おそらく上海にあります。 61419部隊のメンバーが行った研究には、米国の「核の傘」の韓国への拡大に関する 2008年の論文 や 、医療トピックが含まれ、後者はユニットが医療部門を持っていることに焦点を当てています。 兵站部門は61419部隊の資産 を管理し 、 政治部門 は他のほとんどの人民解放軍部隊と同様に規律と政治教育を担当している。 Unit 61419は、山西省新州に訓練基地を持っている可能性があります。²

図 2: 中国人民解放軍戦略支援部隊の紋章 日本からの最近の報告によると、61419部隊は、2016年と2017年に三菱電機、日立製作所、慶應義塾大学、一橋大学、宇宙航空研究開発機構(JAXA)などの企業に対する一連のサイバー攻撃に関与している。61619部隊のメンバーの妻は、日本に住む中国人学生に偽名を使ってサーバーを借りる よう指示した と伝えられています。 これらのサーバーは、その後、上記のサイバー攻撃の一部で使用されました。 日本のメディアはさらに、61419号機が2016年と2017年のサイバー攻撃の背後にいると特定されたTick Group APTと関連している と主張 する日本の警視庁公安局を引用しました。 現時点では、Tick GroupがUnit 61419に帰属する明確な帰属を確認することは困難ですが、APTは歴史的に日本の標的 に焦点を当て てきました。 これは、61419部隊の日本への焦点と一致しています。 さらに、Tick Groupによるゼロ デイ攻撃は、Trend MicroのApex OneおよびOfficeScan XGエンタープライズセキュリティ製品に影響を与える数か月前に発生し、2019年11月にTrend MicroのWorry-Free Services Advancedの調達発表が、Unit 61419の本社をアプリケーションの配信先住所とするSSFユニットによって発行されました。

日本とTick Groupのサイバー攻撃との暫定的な関連性や、本レポートで特定された調達活動を考慮すると、Unit 61419は、少なくとも部分的にはCNEの運用に焦点を当てたSSF NSD支局として引き続き活動している可能性が高いです。

位置決めユニット61419

Insikt Groupは、6つの調達文書からいくつかの重要なパターンを特定しました。 6つの文書すべてに、一貫した連絡先がリストされています。 Yu" (于先生) — 電話番号と一緒に。

6つの文書には、山東省青島市の同じ連絡先住所も記載されています:山東省青島市石北区扶順路5号、郵便番号266034(山东省青岛市市北区抚顺路5号、邮编266034)、下の図5に示すように。 Unit 61419のすべての調達ドキュメントは、このアドレスを使用しています。 このアドレスは、61650など、61419部隊の下位である可能性が高い他の部隊にも使用されます。

図 3: 調達書類の申請指示書の住所のスクリーンショット 調達書類に加えて、Insikt Groupは、2018年の停電 通知 に、ユニット61419の物流部門がFushun Roadの影響を受ける当事者として記載されているものを見つけました。 図4の通知には、「35kV撫順路変電所|計画停電...陸軍の61419物流部門は、2つのステーションと231の地区の顧客に影響を与えます。

図4: 2018年の停電通知では、撫順路変電所が人民解放軍の61419部隊物流部門が管理する施設の電源として特定されています

百度地図によると、5号撫順路は青島にある碧海園ホテル(碧海园宾馆)と呼ばれるホテルの場所です。 No. 5 Fushun Roadの調達書類の一部は、このホテルまたはそのフロントデスクに直接言及しています(図7)。

図 5: 碧海园宾馆(Bihaiyuan Hotel)のストリートビュー

図 6: 碧海园宾馆(Bihaiyuan Hotel)と隣接するセキュリティチェックポイントとゲートのストリートビュー

図 7: 調達脚注は、申請資料の送付をBihaiyuan Hotel(碧海园宾馆)の住所に指示します

Recorded Futureは、5号撫順路の住所が61419部隊の本部であり、Bihaiyuan Hotelがその公の顔であると評価しています。 ホテルの裏手には、他の人民解放軍部隊の本部と同様の壁に囲まれた複合施設がある(図8)。 私たちの評価は、2011年にこの住所が本部である可能性が高いというプロジェクト2049研究所の発見を裏付けています。

図 8: Insikt Groupの分析に基づくBureau 61419の化合物の地図。 主要な化合物(赤で表示)は、他の2つのゲート付き施設(濃い赤で表示)に隣接しているか、スペースを共有しています。 61419部隊の敷地がどの程度分離されているか、また内部ゲートのセキュリティレベルは、入手可能な衛星画像に基づいて不明である。

例えば、米陸軍アジア研究分遣隊がまとめた2016年1月の報告書では、ジンタン・ホテルとシーズンズ・ホテルは、ロシア人民解放軍に解散・ 再編 される前は、攻撃的なサイバー作戦を含む電子戦・情報戦を担当していた中国人民解放軍参謀本部第4部(4PLA)と 関連 していたとされている。

限られた証拠は、ホテルの使用が、中国人民解放軍の部隊がその場所を難読化するために使用したモデルであることを示唆している。 過去の報道では、PLAYのサイバーおよびエレクトロニクス部門が、その運営または本社の可能性がある部屋の部屋のフロアをリースしていると主張しています。

また、61419号機に関連するホテルは、Bihaiyuan Hotelだけではありません。2018年に人民解放 軍61789部隊が上海金色希望酒店管理有限公司に対して起こした訴訟は、2014年に61419部隊が上海延安中路の建物をホテル管理会社にリースしたことを示しています。訴訟によると、61789部隊は2017年に61419部隊に従属していた。元3PLA第 7作戦局だった61850部隊も紛争の当事者として特定されている。賃貸された建物の場所は、上海市静安区延安中路802号で、上海ゴールデンホープホテルが以前ホテル を運営 していた可能性があります。

推奨 事項

上記のようなグローバルなソフトウェアサプライチェーンに対する中国の国家支援による搾取のパターンや、中国が政府機関の選択肢として外国のウイルス対策ソフトウェアを排除していることを考慮すると、表1に示すブランドと製品は、将来の悪用を監視する必要があります。 敵対的シミュレーション、侵入テスト、既知の脆弱性へのパッチ適用、およびこれらのアンチウイルス製品に関連する異常なトラフィックの監視に重点を置く必要があります。

Recorded Futureは、私たちがレビューした調達文書から生じた可能性のある取引の正確な合法性を評価する立場にありませんが、情報セキュリティソフトウェアを対象とする米国商務省の 輸出管理規則(EAR) 規制を考慮すると、影響を受ける組織は、中国へのセキュリティソフトウェアの販売について弁護士に相談することをお勧めします。

¹ Mark Stokes, "The Chinese People's Liberation Army Computer Network Operations Infrastructure," in Jon R. Lindsay, Tai Ming Cheung, and Derek S. Reveron (eds.), マーク・ストークス, "The Chinese People's Liberation Army Computer Network Operations Infrastructure," in Jon R. Lindsay, Tai Ming Cheung, and Derek S. Reveron (eds.), China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain, オックスフォード大学出版局: ニューヨーク州ニューヨーク, 2015年, p. 171. ² 同上