オンラインゲームや仮想通貨交換所などから数十億円以上を盗み出すサイバー犯罪。かたやハイテクや製薬、通信といった国の基幹産業を担う企業から機密情報を盗み出す、国家の関与が疑われるサイバー攻撃キャンペーン(持続的な攻撃活動)――。

 これまで無関係とされてきたサイバー空間上での2つの事件が、同一グループの犯行によるものとの見方が浮上している。いわば、国家の指揮下で暗躍するスパイが、自己の利益のために金品の窃盗にも手を染めるという、新手のサイバー攻撃集団が姿を現した格好だ。

「複数の日本企業への攻撃を確認」

 グループの存在を指摘したのは米セキュリティー企業のファイア・アイ(FireEye)だ。同社は2019年8月、「スパイ」と「窃盗犯」の2つの顔を持つサイバー攻撃集団を特定し、「APT41」と命名したと発表した。

 その2面性から「双頭竜」という別称も与えている。同社によれば、スパイ活動と窃盗行為の両方に手を染めると確認できたサイバー攻撃集団は初めてという。同社の見解によれば、APT41は中国政府の支援を受けたり指揮命令に従っていたりするなど、中国政府と何らかの関わりを持っている。

(画像はイメージ、出所:123RF)
[画像のクリックで拡大表示]

 日本企業はAPT41の攻撃対象になっているという。ファイア・アイ日本法人の千田展也シニアインテリジェンスオプティマイゼーションアナリストは「企業名や業種、被害状況は明かせないが、2019年だけでもAPT41による複数の日本企業への攻撃を確認した」と明かす。中国政府が関与するサイバー攻撃集団の中で、APT41は現時点で日本への攻撃回数が最も多いと同社は分析している。

 政府が関与するサイバー攻撃集団がなぜ金品窃取にも乗り出したのか。実像に迫ると、特異な経緯が見えてきた。

2つのグループに接点

 実はAPT41の活動開始は古く、遅くとも2014年に遡るという。最新の調査研究により、これまで別グループと思われていた2つのサイバー攻撃集団が同一あるいは強い関連性を持つと特定できたことから、新たにAPT41と命名したという。

 2つのグループとはファイア・アイが2010年代前半から追跡していた「APT17」と、金銭目的の犯行が多いサイバー犯罪グループとしてマークしていた「GREF」である。

 APT17は2015年に米マイクロソフト(Microsoft)の技術ブログを悪用してマルウエアを遠隔操作するなど、標的型攻撃を得意とするグループとして知られる。一方、GREFは主にオンラインゲームサービスを標的にしてきた犯罪グループだ。不正に取得・生成したゲーム内の仮想通貨やアイテムを、現実世界で転売して利益を得る「リアルマネートレーディング(RMT)」を繰り返していた。

 APT17とGREFが明確に接点を持ったのが2014年ごろだ。「もともとAPT17とGREF は別々に活動していたが、GREFのメンバーが何らかの理由で中国政府の支援を受けたAPT17の活動に参加したと考えられる」。ファイア・アイの千田アナリストは推測も交えてこう解説する。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら