オンラインゲームや仮想通貨交換所などから数十億円以上を盗み出すサイバー犯罪。かたやハイテクや製薬、通信といった国の基幹産業を担う企業から機密情報を盗み出す、国家の関与が疑われるサイバー攻撃キャンペーン(持続的な攻撃活動)――。
これまで無関係とされてきたサイバー空間上での2つの事件が、同一グループの犯行によるものとの見方が浮上している。いわば、国家の指揮下で暗躍するスパイが、自己の利益のために金品の窃盗にも手を染めるという、新手のサイバー攻撃集団が姿を現した格好だ。
「複数の日本企業への攻撃を確認」
グループの存在を指摘したのは米セキュリティー企業のファイア・アイ(FireEye)だ。同社は2019年8月、「スパイ」と「窃盗犯」の2つの顔を持つサイバー攻撃集団を特定し、「APT41」と命名したと発表した。
その2面性から「双頭竜」という別称も与えている。同社によれば、スパイ活動と窃盗行為の両方に手を染めると確認できたサイバー攻撃集団は初めてという。同社の見解によれば、APT41は中国政府の支援を受けたり指揮命令に従っていたりするなど、中国政府と何らかの関わりを持っている。
日本企業はAPT41の攻撃対象になっているという。ファイア・アイ日本法人の千田展也シニアインテリジェンスオプティマイゼーションアナリストは「企業名や業種、被害状況は明かせないが、2019年だけでもAPT41による複数の日本企業への攻撃を確認した」と明かす。中国政府が関与するサイバー攻撃集団の中で、APT41は現時点で日本への攻撃回数が最も多いと同社は分析している。
政府が関与するサイバー攻撃集団がなぜ金品窃取にも乗り出したのか。実像に迫ると、特異な経緯が見えてきた。
2つのグループに接点
実はAPT41の活動開始は古く、遅くとも2014年に遡るという。最新の調査研究により、これまで別グループと思われていた2つのサイバー攻撃集団が同一あるいは強い関連性を持つと特定できたことから、新たにAPT41と命名したという。
2つのグループとはファイア・アイが2010年代前半から追跡していた「APT17」と、金銭目的の犯行が多いサイバー犯罪グループとしてマークしていた「GREF」である。
APT17は2015年に米マイクロソフト(Microsoft)の技術ブログを悪用してマルウエアを遠隔操作するなど、標的型攻撃を得意とするグループとして知られる。一方、GREFは主にオンラインゲームサービスを標的にしてきた犯罪グループだ。不正に取得・生成したゲーム内の仮想通貨やアイテムを、現実世界で転売して利益を得る「リアルマネートレーディング(RMT)」を繰り返していた。
APT17とGREFが明確に接点を持ったのが2014年ごろだ。「もともとAPT17とGREF は別々に活動していたが、GREFのメンバーが何らかの理由で中国政府の支援を受けたAPT17の活動に参加したと考えられる」。ファイア・アイの千田アナリストは推測も交えてこう解説する。
