この記事の影響は日本企業にも大きいかも知れません。日本を代表するハイテク企業、富士通やNTTデータがAPT10によるハッキング被害を受けていたとロイターが報じていました。
jp.reuters.com
中国政府とつながりのあるハッカー集団「APT10」が「クラウドホッパー作戦」と銘打ち、情報窃取目的で政府機関や企業に大規模なサイバー攻撃を仕掛けた問題で、これまでに日本企業を含む大手ハイテク企業8社がハッキング被害を受けていたことが、複数の関係筋の話で明らかになった。
ロイターは昨年12月時点で米ヒューレット・パッカード・エンタープライズ(HPE)(HPE.N)とIBM(IBM.N)のネットワークが不正に侵入されたと報じたが、今回、富士通(6702.T)やNTTデータ(9613.T)、印タタ・コンサルタンシー・サービシズ(TCS.NS)、南アのディメンションデータ、米コンピュータ・サイエンス・コーポレーション(CSC)、DXCテクノロジー(DXC.N)にも不正侵入があったほか、当該企業の顧客のうち十数社が被害に遭ったことなどが判明した。
富士通とNTTデータはコメントを控えた。
(ロイター記事より引用)
◆キタきつねの所感
「富士通とNTTデータはコメントを控えた」事から、この報道は正しいと推測されます。
また、報道が正しいのであれば、富士通やNTTデータの顧客企業が「被害に遭った十数社」に含まれている可能性があるという事も示唆しています。
という事で、12月のロイター記事を改めて見てみると、、結構恐ろしい事が書いてあります。そして12月時点でも顧客企業は既に侵害を受けていた事がわかります。
jp.reuters.com
中国国家安全省と関係があるハッカーが米ヒューレット・パッカード・エンタープライズ(HPE)(HPE.N)とIBM(IBM.N)のネットワークに不正アクセスし、顧客企業のコンピューターにも侵入した。事情に詳しい5人の関係者が匿名で明らかにした。今回のハッキングは「クラウドホッパー」として知られる中国のサイバー攻撃の一環という。
IBMは企業の極秘情報に不正アクセスされた形跡はないと発表。HPEは、クラウドホッパーに関してコメントしなかった。
関係者によると、クラウドホッパーによって不正アクセスされたのはHPEとIBMだけではないという。
(中略)
もう1人の関係者は、サイバー攻撃は持続的に行われており、ネットワークの安全性を確保するのは困難との見方を示した。
IBMは不正アクセスされたコンピューターに新しいハードドライブや基本ソフト(OS)をインストールすることによって対応しているという。
(ロイター12月記事より引用)
そして、この記事の中でもIBMとHPEだけでない事は明記されています。
APT10(クラウドホッパー)については、2017年に書かれたPWCのレポートに詳しく書かれており、こちらを見てみたのですが、
www.pwc.com
APT10が、多くの顧客企業と繋がっているマネージドITサービスプロバイダー(※富士通やNTTデータ等の大手ハイテク企業)を重点攻撃対象としている事が分かります。
また、レポートの後半(P8)には、APT10がマネージドITサービスプロバイダーを攻撃対象とする理由について、「マネージドITサービスプロバイダーは顧客のITとエンドユーザーのシステムをリモート管理する責任がある。そのため、顧客のネットワークに制約なく直接アクセスできる場合が多い。また大量の顧客データを社内インフラに保有している可能性もある。」と分析されています。
更に、このレポートの中では、(P9-10)日本も攻撃対象国である事が明記されています。
このレポートを読んで、何か既視感がありましたが、似た様な事件をつい先日取り上げてました。(※下記の記事では、運用・保守を行う、マネージドサービスプロバイダ(MSP)が攻撃対象)
foxsecurity.hatenablog.com
もしかすると、SecureAnywhereを使った顧客企業への攻撃も、APT10あるいは同様の組織の標的型攻撃なのかも知れません。
IBMの12月記事での対応を読んでいると、感染も防ぎずらい様ですし、感染PCへの対策が新規インストール・・・という事なので、富士通やNTTデータもかなり被害を受けた(受けている)のではないでしょうか。
因みに、ロイターは6/28に追加記事を出しており、「敗北」とまで書かれています。下手なコメントよりも、記事全文を読んでいただいた方がよいのですが、気になったところだけを引用します。
(※富士通やNTTデータへの侵害が気になった方は、下記ロイター記事の全文に目を通すことを強くお勧めします)
jp.reuters.com
サービス事業者が法的責任や不利な報道を懸念し、ハッキング被害を受けた顧客に情報を提供しなかったため、企業や政府による攻撃への対応が後手に回ったことが記録やインタビューからうかがわれる。情報当局者は、こうした失敗を見ると、西側の諸機関が高度なサイバー侵略を防ぐために必要な情報共有ができるのかが疑わしくなる、と話している。現時点でさえ、多くの被害者は攻撃を受けたことに気づいていない可能性がある。
また、企業が遠隔コンピューターサービスやデータ保存のために外部サービス事業者と契約してクラウド・コンピューティングを利用することがますます一般的な手法になるなかで、今回の作戦は、そうしたクラウド・コンピューティングに本質的に付きまとうセキュリティ上の脆弱性を浮き彫りにした。
マイク・ロジャース元国家安全保障局(NSA)長官は、「クラウドが万能だと考える人は、ぼんやりしているだけだ」と話している。
(中略)
HPEの前身であるテクノロジー大手企業ヒューレット・パッカードは、何年にもわたってハッキングを受けていることに気づいていなかった。同社が自社のサーバに有害なコードが仕込まれていることを初めて発見したのは2012年であり、外部の専門家に調査を依頼したところ、感染は少なくとも2010年1月までさかのぼることが分った。
ヒューレット・パッカードのセキュリティ担当者たちは反撃に出た。侵入者を追跡し、防御措置を強化し、ハッカーによる既知の拠点をすべて同時に潰すよう、慎重に計画された駆除措置を実施した。だが攻撃は再び仕掛けられ、少なくとも5年は攻防が繰り返された。
一歩リードしていたのは侵入者の側だった。彼らはHPのエンジニアが計画した駆除措置が実施される前に大量のデータを盗み出していた。彼らは認証情報が納められたディレクトリを丸ごと窃取した。これは、何百人もの従業員になりすますことを可能にする大胆な行為である。
(中略)
最初はヒューレット・パッカード、後にヒューレット・パッカード・エンタープライズの1部門としてスタートし、現在はDXCと名乗るサービス事業者を経由して侵入を受けた企業が何社にのぼるのかを知ることは不可能だ。
HPEの事業は何百社もの顧客を抱えていた。企業の認証情報を手に入れた攻撃者は、サービス事業者ができることであればほぼ何でもできる。資料によれば、侵入されたサーバーの多くは、複数のHPE顧客用に利用されていたという。
(ロイター6/28記事より引用)
サイバー世界での攻撃と防御では、攻撃側の方が圧倒的に優位、その事を改めて感じさせました。
更新履歴
