国内約200組織へ行われたサイバー攻撃と関係者の書類送検についてまとめてみた

2021年4月20日、国内約200の組織をターゲットにしたサイバー攻撃が2016年に行われていたとして、攻撃に関連するサーバーの契約に係った男を警視庁公安部が書類送検したと報じられました。捜査は現在も行われており他関係者の情報も報じられています。ここでは関連する情報をまとめます。

攻撃発信元サーバーに係った男を書類送検

書類送検されたのは中国共産党員中国籍の男で、既に中国へ帰国。中国の大手情報通信企業勤務で日本滞在中もシステムエンジニアの職に就いていた。*1
容疑は私電磁記録不正作出・同供用。2016年9月から17年4月、5回にわたり虚偽の氏名、住所を使い国内レンタルサーバー業者と契約。サーバー利用に必要なアカウント情報を取得した疑い。
男は中国国内から契約を行い、転売サイトでアカウントを販売。Tickと呼称されるグループがそのアカウントを入手し一連の攻撃に悪用されたとされる。
捜査にあたったのは警視庁公安部に設置されたサイバー攻撃対策センター。一連の攻撃に中国人民解放軍の関与があったとみている。この類の不正アクセス事案において関係者の特定まで至るのは異例と報じられた。*2
JAXA事案の捜査過程で男の関与が浮上し、来日時に任意聴取している。その際に不正な契約事実を認め、小遣い稼ぎを動機とする供述をしていた。提供したアカウントがサイバー攻撃に悪用されることは把握していなかった可能性がある。*3 当時はすぐに立件することが難しく、その後に中国へ帰国してしまった。
警視庁は不正アクセスの発信元の解析を行い、サーバーを特定。男が契約者でアカウント販売を行っていたことも判明。

f:id:piyokango:20210422003520p:plain — 書類送検された男や捜査対象に上がっている人物らの関係図

サーバー契約者で別人物も浮上

送検された男とは別の人物（元留学生）で虚偽情報を使い契約を行ったサーバーが不正アクセスに用いられた疑いがある。元留学生も既に中国へ帰国している。
元留学生に対して指示を行った別の中国籍の二人（夫婦と報道あり）の関与も把握されており、引き続き捜査が進められている。「国への貢献」を求める指示だったとも報じられている。元留学生は知人を介して知り合ったとみられる。*4 男は中国人民解放軍隊員で、妻である女が元留学生に指示を出していた。
女は偽名を使ったサーバー契約の他、日本製のUSBメモリを購入するよう指示していた。*5

警視庁が中国人民解放軍関与の判断

報道では不正アクセスを行ったグループとしてTickの名前が報じられており、中国人民解放軍の61419部隊 *6 との関連が挙げられている。
公安部が同グループの特定に至ったのは確認されたマルウエアの特徴、通信先などから。
Trend Microへの取材によれば、Tickは2008年頃に存在が認知され、2011年頃から日本企業で被害が確認され始めた。
日本政府は官房長官がこの件について「攻撃主体の意図、手法、背景など政府内関係機関へ共有し今後の対策に活かす」とコメントをしている。(会見動画10:38頃から)
中国外務省汪文斌副報道局長は4月20日の定例会見にて、「サイバー攻撃はどの国も直面する共通の課題である。十分な証拠に基づくべきであり、根拠なく推測をしてはならない。この問題を口実として中国を批判すること、問題の卑劣な政治目的利用に反対する。」と今回の日本の捜査を受けたコメントをしている。*7 *8

被害を受けた約200組織

一連の攻撃は2016年6月から12月にかけて確認されており、防衛・航空関連、研究機関の約200組織を対象に攻撃が行われた。
不正アクセスを受けた組織に対しては警察より個別に注意喚起等が行われている。*9
JAXAをはじめ一部組織は今回報じられた不正アクセスを事実と認めつつ、情報流出についてはなかったとコメントをしており、官房長官も流出被害は確認されていないと報告を受けたと述べている。

今回の事案で不正アクセスを受けたとして具体名が挙げられた組織名は以下の通り。*10 *11

宇宙航空研究開発機構
三菱電機
IHI
日立製作所
慶応義塾大学
一橋大学
岐阜県庁
大阪府内テレビ局

資産管理ソフトの脆弱性悪用

2016年に確認された事例では資産管理ソフト「SKYSEA Client View」の脆弱性（CVE-2016-7836）を用いてマルウエア感染を狙う手口（外部持ち出しなどでインターネットに接続するソフトウェア導入済みのPCに対し、偽の管理サーバーから通信を試みる方法）が確認されていた。目的は組織内の端末を遠隔操作し情報を窃取するもの。*12
不正アクセスを受けたと約200組織はいずれもこのソフトウェアを導入していた。*13
SKYSEAの脆弱性は悪用が最初に確認された当時は未修正。修正版公開後も脆弱性を悪用する攻撃が確認されていた。
SKYは今回の事案報道を受け、2016年12月21日に修正版を公開済であり、その後も複数回メジャーバージョンアップが行われていることから、ほとんどのユーザーが対策済みバージョンを利用していると見解を公表。第三者によるペネトレーションや脆弱性情報の収集、利用者への情報提供等の対策も行っているとした。

開発元（Sky社）からの公開情報

注意喚起や攻撃観測情報

日本製セキュリティソフト購入を画策

事案で捜査対象となっている元留学生が日本製セキュリティ関連ソフトを購入しようとして販売元から断られていたことが報じられている。*14
ソフト開発元は日本企業に販売先を限定しており、購入時法人登記の提出が条件となっていた。
日本製セキュリティ関連ソフトの具体名は報じられていない。公安部はソフトウェアの脆弱性を探し出す目的で行われたとみている。
警視庁公安部は元留学生に対して詐欺未遂容疑で逮捕状が取られていることが報じられた。警視庁はICPOを通じて国際手配をする方針。*15

日時	出来事
2016年9月～17年4月	共産党員の男が5回にわたり虚偽情報を使ってレンタルサーバーを契約しアカウント転売。
2016年6月～12月	国内約200組織がTickとみられるグループによる不正アクセスの被害に遭う。
2016年12月21日	SKYがSKYSEAの脆弱性を修正するパッチ、修正版をリリース。注意喚起を公開。
2016年12月22日	警察庁やJPCERT/CCがSKYSEAの脆弱性の注意喚起を公開。
2017年4月12日	SKYがSKYSEAの脆弱性報道が前日行われたことを受け、対策済などの見解を公表。
2017年4月27日	LACが2016年中にSKYSEAの脆弱性を悪用したサイバー攻撃が発生していたと報告。
：	男が来日し、警視庁公安部が任意聴取。
：	男が中国へ帰国。
：	元留学生に対して警視庁公安部が任意聴取。
：	元留学生が中国へ帰国。
2021年4月20日	警視庁公安部が虚偽情報で契約を行っていた男を私電磁記録不正作出・同供用で東京地検へ書類送検。
2021年12月28日	警視庁公安部が元留学生に対して逮捕状を取ったことが報じられる。