2024年に発生した中国へのAPT攻撃 ― 2025年02月11日 18:17
【概要】
2024年、中国の14の主要分野に対して、海外から1,300件以上の高度な持続的脅威(APT)攻撃が行われた。特に政府機関、教育、科学研究、国防・軍事産業、交通の5分野が最も深刻な影響を受けた。これらの攻撃は、主に南アジア、東南アジア、東アジア、北米に拠点を置く13のAPT組織によって実行された。攻撃者は、敏感なデータの窃取や戦略的な妨害を行い、支援者の政治的、軍事的、経済的目的を達成しようとしている。
2024年、外国のAPT組織は中国の政府機関を主な標的とし、外交、海事、交通管理などの関連部門に対して攻撃を仕掛けた。これらの組織は、中国の最新の外交戦略や国際問題に関する立場の情報を収集し、支援者が競争上の優位性を得ることを目的としている。
教育分野では、国防・軍事産業、国際関係研究、技術系大学が主な標的となった。これらのサイバー攻撃は、軍事情報の収集や通信の妨害だけでなく、軍事施設への侵入、指揮・統制ネットワークの麻痺、偽の指令の発信・拡散などのリスクも伴う。このような能力により、サイバー戦は現代の軍事紛争において不可欠な要素となっている。
近年、中国の新エネルギー車産業が急速に発展しており、APT組織はこの分野にも注目し始めている。また、中国のイノベーションと国産化の進展に伴い、APT組織は国内のソフトウェアシステムを攻撃の突破口として利用し、サプライチェーン攻撃を仕掛けている。具体的には、ベンダーのソフトウェアシステムの権限を悪用し、ターゲットのネットワーク防御を回避して攻撃目標を達成している。
特に活発なAPT組織として、東アジアに拠点を置き、中国の政府、教育、交通分野を標的とするAPT-C-01(Poison Ivy)や、東南アジアからのAPT-C-00(Ocean Lotus)が挙げられる。2024年には、南アジアのAPT-C-70(Rhino Unicornis)や東アジアのAPT-C-65(Golden Pothos)など、新たなAPT組織も確認された。
また、APT-C-39(CIA)とされるハッカー組織は、0day脆弱性を悪用し、中国の航空、宇宙、材料科学分野の先端技術関連の重要機関を標的に、敏感な技術情報や研究データを窃取した。2024年には、国内のセキュリティベンダーのオフィスアプリケーションのサーバーを介してトロイの木馬を配布し、クライアントデバイスからデータを抽出する攻撃も行われた。
2024年、APT組織による0day脆弱性を利用した攻撃は引き続き高水準であり、1-dayやn-day脆弱性も多く悪用された。特に、モバイルプラットフォームを標的とした0day脆弱性の利用は増加傾向にある。
大規模な生成AI技術の急速な進展に伴い、APT組織はAI技術を活用して、より高度で隠密な攻撃手法を開発している。これにより、サイバー攻撃の検知と防御が一層困難になっている。
このような状況を踏まえ、サイバーセキュリティの専門家は、AI技術の進展に伴うリスクとガバナンスの問題に対処するため、国際的な協力と効果的な対策の必要性を強調している。
【詳細】
2024年に発生した中国へのAPT攻撃の詳細
1. APT攻撃の概要
2024年、中国の14の主要分野に対して、海外から1,300件以上の高度な持続的脅威(APT)攻撃が行われた。APT攻撃とは、長期間にわたって特定の標的を執拗に攻撃し、機密情報の窃取やネットワークの支配を試みるサイバー攻撃の一種である。特に政府機関、教育、科学研究、国防・軍事産業、交通の5分野が最も深刻な影響を受けた。
攻撃を実行したのは、主に南アジア、東南アジア、東アジア、北米に拠点を置く13のAPT組織である。彼らの目的は、敏感なデータの窃取、戦略的な妨害、国家機密の収集であり、支援者の政治的、軍事的、経済的目的を達成するために活動している。
2. 攻撃対象分野とその影響
(1) 政府機関
APT攻撃の最大の標的は、中国政府の各機関である。特に外交、海事、交通管理などの部門が攻撃対象となった。攻撃者は、中国の最新の外交戦略や国際問題に関する立場の情報を収集し、支援国の外交交渉や政策立案に有利となるデータを取得しようとした。
(2) 教育・研究機関
国防・軍事産業関連の大学や国際関係研究機関が標的となった。攻撃の目的は、軍事技術に関する研究情報の窃取や、戦略的意思決定に影響を与える知識の獲得である。
また、APT組織は中国の先端技術の研究を阻害するため、
・研究データの改ざん
・通信ネットワークの妨害
・軍事施設への侵入
・指揮・統制ネットワークの麻痺
・偽の指令の発信・拡散
といった手段を用いた。このような攻撃は、戦時においても極めて有効であり、サイバー戦の重要性を改めて浮き彫りにしている。
(3) 国防・軍事産業
APT攻撃は、中国の軍事技術や防衛産業における知的財産の窃取にも焦点を当てた。特に、兵器開発、指揮・統制システム、人工知能(AI)を活用した戦略的シミュレーションなどの分野が狙われた。攻撃手法としては、
・ゼロデイ(0day)脆弱性の悪用(まだ修正されていない未知の脆弱性を狙う攻撃)
・サプライチェーン攻撃(防衛関連企業や大学のソフトウェアを介した侵入)
・クラウドインフラのハッキング
などが確認された。
(4) 新エネルギー車(EV)産業
中国の新エネルギー車(EV)産業の急速な成長に伴い、APT組織の標的となっている。この分野の攻撃では、
・バッテリー技術や製造プロセスのデータ窃取
・自動運転技術のアルゴリズム解析
・サプライチェーンの脆弱性を利用した侵入
が行われた。特に、自動運転技術のAIモデルや、エネルギー効率を高めるための半導体技術に関する情報が狙われている。
(5) 交通インフラ
APT組織は、中国の交通システムに対する攻撃を強化した。特に、鉄道、航空、港湾管理などの分野が標的となった。目的は、
・交通管制ネットワークの混乱
・物流の妨害
・軍事輸送の情報収集
であり、これらの攻撃が国家安全保障に及ぼす影響は甚大である。
3. 主要なAPT組織と攻撃手法
2024年に中国を標的としたAPT組織の中で、特に活発だったものには以下がある。
(1) APT-C-01(Poison Ivy)
・東アジアを拠点とするAPTグループ
・政府、教育、交通分野を標的
・主にリモートアクセス型マルウェアを使用
(2) APT-C-00(Ocean Lotus)
・東南アジアを拠点
・政府機関や軍事関連の研究機関を攻撃
・フィッシングメールとマルウェアの組み合わせを使用
(3) APT-C-70(Rhino Unicornis)
・南アジアを拠点とする新たなAPTグループ
・中国のエネルギー・インフラを攻撃
(4) APT-C-65(Golden Pothos)
・東アジアを拠点
・AIを活用した攻撃技術を開発
(5) APT-C-39(CIA)
・米国のCIAが関与するとされるハッカー組織
・航空、宇宙、材料科学分野の機密情報を窃取
・ゼロデイ攻撃を多用
4. AI技術とAPT攻撃の進化
2024年、APT組織は生成AI技術を積極的に活用し、高度で隠密な攻撃手法を開発している。AIを用いることで、
・攻撃パターンを迅速に最適化
・フィッシング攻撃の精度向上
・セキュリティシステムの回避能力向上
といった効果が確認されている。特に、AIを活用した攻撃手法の発展により、既存のサイバーセキュリティ対策では検知が困難になる傾向が強まっている。
5. 中国の対応と今後の課題
中国政府およびセキュリティ専門家は、APT攻撃の増加に対処するため、以下のような対策を進めている。
・国家レベルでのサイバーセキュリティ強化(ゼロトラストアーキテクチャの導入、脆弱性管理の強化)
・産業界との連携によるサプライチェーンの防御
・AIを活用したサイバー攻撃への対策(AIによる異常検知、サイバー脅威インテリジェンスの活用)
・国際的なサイバー犯罪対策の強化(サイバー犯罪者の特定と制裁措置)
APT攻撃は今後も高度化し、国家安全保障や経済安全保障への影響が増大すると予測されるため、迅速かつ効果的な対応が求められている。
【要点】
2024年に発生した中国へのAPT攻撃の詳細
1. APT攻撃の概要
・2024年、中国の14の主要分野に対し1,300件以上のAPT(高度な持続的脅威)攻撃が発生
・攻撃者は主に南アジア、東南アジア、東アジア、北米の13のAPT組織
・目的は機密情報の窃取、戦略的妨害、国家機密の収集
2. 攻撃対象分野と影響
(1) 政府機関
・外交、海事、交通管理などが標的
・中国の外交戦略や国際問題に関する情報を窃取
(2) 教育・研究機関
・国防・軍事関連の大学・研究機関を攻撃
・軍事技術情報の窃取、研究データの改ざん、通信ネットワークの妨害
(3) 国防・軍事産業
・兵器開発、指揮・統制システム、AIを活用した戦略シミュレーションが標的
・ゼロデイ脆弱性の悪用、サプライチェーン攻撃、クラウドインフラのハッキング
(4) 新エネルギー車(EV)産業
・バッテリー技術、自動運転技術、半導体技術を狙った攻撃
・サプライチェーンの脆弱性を利用した侵入
(5) 交通インフラ
・鉄道、航空、港湾管理への攻撃
・交通管制ネットワークの混乱、物流の妨害、軍事輸送情報の収集
3. 主要なAPT組織と攻撃手法
(1) APT-C-01(Poison Ivy)
・東アジア拠点、政府・教育・交通分野を標的
(2) APT-C-00(Ocean Lotus)
・東南アジア拠点、政府機関・軍事関連の研究機関を攻撃
(3) APT-C-70(Rhino Unicornis)
・南アジア拠点、中国のエネルギー・インフラを攻撃
(4) APT-C-65(Golden Pothos)
・東アジア拠点、AIを活用した攻撃技術を開発
(5) APT-C-39(CIA)
・米国のCIAが関与とされる組織、航空・宇宙・材料科学分野の機密情報を窃取
4. AI技術とAPT攻撃の進化
・AIを活用し、攻撃の最適化、フィッシング精度向上、セキュリティ回避能力向上
・AIによるゼロデイ攻撃の自動化、マルウェアの適応能力向上
5. 中国の対応と今後の課題
・国家レベルのサイバーセキュリティ強化(ゼロトラストアーキテクチャ導入、脆弱性管理強化)
・産業界との連携(サプライチェーンの防御)
・AIを活用した防御対策(異常検知、サイバー脅威インテリジェンス活用)
・国際的なサイバー犯罪対策強化(攻撃者の特定、制裁措置)
今後もAPT攻撃は高度化し、国家安全保障・経済安全保障への影響が拡大すると予測される。
【参考】
☞ APT(高度な持続的脅威:Advanced Persistent Threat)とは
APT(Advanced Persistent Threat)は、国家や高度な技術を持つ攻撃者が特定の組織や国を標的にして行う長期間のサイバー攻撃である。主に機密情報の窃取、システムの破壊、戦略的妨害を目的とする。
APT攻撃の特徴
1.高度な技術
・ゼロデイ脆弱性の悪用
・AIを活用したマルウェアの進化
・カスタムマルウェアの使用
2.持続的な攻撃
・数か月から数年にわたる潜伏
・段階的な侵入と拡張
・バックドアの設置による長期的なアクセス維持
3.標的型攻撃
・特定の政府機関、企業、軍事施設を狙う
・フィッシングメール、サプライチェーン攻撃、ゼロデイ攻撃を組み合わせる
4.難検知性
・セキュリティソフトの回避
・正規のシステムを利用した内部拡散
・AIを利用した異常検知回避
APT攻撃の一般的な流れ
1.情報収集(Reconnaissance)
・標的のネットワークや従業員の調査
・ソーシャルエンジニアリングによる内部情報収集
2.初期侵入(Initial Compromise)
・フィッシングメールや悪意のあるリンクの送信
・マルウェアを仕込んだドキュメントやUSBの利用
3.内部拡散(Lateral Movement)
・権限昇格(Privilege Escalation)を行い、管理者権限を獲得
・バックドアを設置し、長期間の潜伏
4.データ窃取・破壊(Data Exfiltration)
・重要な機密情報の送信
・システムの破壊やサービスの停止
5.隠蔽・持続性確保(Persistence & Evasion)
・セキュリティ対策の回避
・攻撃の痕跡を隠しながら長期間アクセスを維持
主なAPTグループと関与が疑われる国家
APTグループ 推定関与国 主な標的
APT29(Cozy Bear) ロシア 政府機関、外交、エネルギー
APT28(Fancy Bear) ロシア NATO、欧米政府機関
APT41(Double Dragon) 中国 ゲーム業界、医療、金融
APT-C-39(CIA関与) 米国 航空宇宙、ハイテク産業
Ocean Lotus(APT-C-00) ベトナム 中国企業、政府機関
APT攻撃への対策
1.ゼロトラストセキュリティの導入
・最小権限の適用(Least Privilege)
・多要素認証(MFA)
2.AIを活用した異常検知
・挙動ベースの検知(Behavior-based Detection)
・リアルタイム監視とログ解析
3.サプライチェーンの強化
・取引先やベンダーのセキュリティ基準の見直し
・セキュリティ教育の強化
APT攻撃は国家レベルの脅威となっており、サイバーセキュリティ対策の強化が急務である。
☞ AIによるゼロデイ攻撃とは
ゼロデイ攻撃(Zero-Day Attack)とは、ソフトウェアやシステムに存在する未発見の脆弱性を悪用した攻撃である。これらの脆弱性は開発者が認識していない、もしくは修正パッチがリリースされていないため、攻撃者にとっては非常に強力な攻撃手段となる。
AIによるゼロデイ攻撃は、人工知能(AI)を利用して従来の攻撃方法よりも効果的で高度な手法でゼロデイ脆弱性を発見し、利用する攻撃のことを指す。このような攻撃は、ゼロデイ攻撃の難易度とリスクを一段と増加させる。
AIを活用したゼロデイ攻撃の特徴
1.脆弱性の自動発見
・AIを使った攻撃者は、ソフトウェアのコードやシステムに存在するセキュリティホールを人間よりも迅速に発見できる。
・機械学習や自然言語処理技術を用いてコード解析やパターン認識を行い、新たな脆弱性を発見することができる。
2.攻撃手法の進化
・AIは攻撃対象システムの挙動を学習し、最適な攻撃経路を選択してゼロデイ脆弱性を悪用する。
・例えば、AIによって自動化された攻撃者は、特定のシステムやアプリケーションに適した脆弱性を瞬時に分析し、従来の手法では発見できなかったゼロデイ脆弱性を活用することが可能となる。
3.高速で効果的な攻撃の実行
・AIはゼロデイ脆弱性を発見した後、それを使用するマルウェアや攻撃ツールの開発を迅速に行い、ほぼリアルタイムで攻撃を仕掛けることができる。
・この高速な攻撃は、従来のゼロデイ攻撃よりもより広範囲で効果的となり、攻撃者にとって有利に働く。
4.多様化された攻撃の最適化
AIは過去の攻撃データを学習し、攻撃方法を最適化する。これにより、従来の手法では回避されていたセキュリティ防御を突破することができる。
・例えば、AIは過去のフィッシング攻撃やサプライチェーン攻撃のパターンを学習し、より巧妙で多様な攻撃手法を開発する。
AIによるゼロデイ攻撃の実例とリスク
1.ゼロデイマルウェアの自動生成
・AIを活用することで、ゼロデイ攻撃者は新しいマルウェアを自動的に生成できるようになる。従来は手動でマルウェアを作成していたが、AIを用いることで攻撃者は短期間で複雑なマルウェアを作成し、広範囲に攻撃を仕掛けることが可能となる。
2.脆弱性スキャニングの効率化
・AIは攻撃対象システムに潜む脆弱性を自動でスキャンし、既存のセキュリティ対策を回避しやすいものを特定する。
・攻撃者がゼロデイ脆弱性を利用して、大規模なサイバー攻撃を仕掛けるリスクが高まる。
3.AIによる自律的な攻撃行動
・AIは攻撃の状況に応じて、攻撃方法を自律的に変更し、セキュリティ対策を突破するために新たな手法を選択する。
・AIが予測可能な攻撃パターンを避けて新たな攻撃手法を学習するため、セキュリティ防御側が対応するのが難しくなる。
対策と防御方法
1.AIベースの防御システム
・AIを利用して異常な挙動を早期に検出し、攻撃を未然に防ぐシステムの導入。
・AIを用いた行動分析技術により、異常なネットワーク活動や不正アクセスをリアルタイムで検出できる。
2.ゼロデイ脆弱性の迅速な修正
・ソフトウェア開発者はゼロデイ脆弱性を速やかに発見し、修正パッチを適用する体制を強化する必要がある。
・定期的なセキュリティ監査、コードレビュー、ペネトレーションテスト(侵入テスト)の実施が重要である。
3.脆弱性の多層的防御
・サイバー防御システムを多層的に設計し、AIによる攻撃が一つの防御層で突破されても、他の層で阻止できるようにする。
・これにより、ゼロデイ攻撃の影響を最小限に抑えることができる。
AIによるゼロデイ攻撃は、従来の攻撃手法よりもさらに高度化し、脅威となっている。したがって、AIを利用した防御手段やセキュリティ対策の強化が今後ますます重要になる。
【参考はブログ作成者が付記】
【引用・参照・底本】
Over 1,300 overseas APT attacks target China's 14 key sectors in 2024: cybersecurity report GT 2025.02.11
https://www.globaltimes.cn/page/202502/1328225.shtml
【参考】
急成長する中国の生成AI、グローバルでの競争力は?
https://www.nri.com/jp/media/journal/20231006.html
中国外交部・「グローバル人工知能(AI)ガバナンスイニシアチブ」に関する回答
https://crds.jst.go.jp/dw/20231031/2023103136901/
中国 APT によるテレコム・スパイ活動:はるかに広範な目的を持っている
https://iototsecnews.jp/2024/12/03/chinese-telecom-espionage-began-with-much-broader-aims-officials-say/
中国のAI規制と国際協力:ガバナンスの現状と将来展望
https://www.toolify.ai/ja/ai-news-jp/%E4%B8%AD%E5%9B%BDai%E8%A6%8F%E5%88%B6%E5%9B%BD%E9%9A%9B%E5%8D%94%E5%8A%9B%E7%8F%BE%E7%8A%B6%E5%B0%86%E6%9D%A5%E5%B1%95%E6%9C%9B-1425643
中国のサイバーセキュリティガバナンス: 国家主導のデジタル戦略とそのグローバル影響
https://websecurity.news/2024/01/08/%E4%B8%AD%E5%9B%BD%E3%81%AE%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%AC%E3%83%90%E3%83%8A%E3%83%B3%E3%82%B9-%E5%9B%BD%E5%AE%B6%E4%B8%BB%E5%B0%8E/
日中間のサイバー兵力比は300倍以上──台湾有事リスクで顕在化する、中国APTグループの脅威とは
https://enterprisezine.jp/article/detail/18235
[No.157]中国は生成AIを使ったサイバー攻撃を開始、Microsoftは東アジアのセキュリティリスクを分析、日本や米国に対する情報操作の脅威が増すと警告
https://gdep-sol.co.jp/newtech-report/no157/
中国、2030年までに世界一のAI大国目指すと発表
https://www.technologyreview.jp/s/49201/china-plans-to-use-artificial-intelligence-to-gain-global-economic-dominance-by-2030/
台頭する中国企業とAI+が変えるビジネス
変化する中国市場(後編)
https://www.jetro.go.jp/biz/areareports/special/2024/1101/1220c59089337c32.html
【参考はブログ作成者が付記】
2024年、中国の14の主要分野に対して、海外から1,300件以上の高度な持続的脅威(APT)攻撃が行われた。特に政府機関、教育、科学研究、国防・軍事産業、交通の5分野が最も深刻な影響を受けた。これらの攻撃は、主に南アジア、東南アジア、東アジア、北米に拠点を置く13のAPT組織によって実行された。攻撃者は、敏感なデータの窃取や戦略的な妨害を行い、支援者の政治的、軍事的、経済的目的を達成しようとしている。
2024年、外国のAPT組織は中国の政府機関を主な標的とし、外交、海事、交通管理などの関連部門に対して攻撃を仕掛けた。これらの組織は、中国の最新の外交戦略や国際問題に関する立場の情報を収集し、支援者が競争上の優位性を得ることを目的としている。
教育分野では、国防・軍事産業、国際関係研究、技術系大学が主な標的となった。これらのサイバー攻撃は、軍事情報の収集や通信の妨害だけでなく、軍事施設への侵入、指揮・統制ネットワークの麻痺、偽の指令の発信・拡散などのリスクも伴う。このような能力により、サイバー戦は現代の軍事紛争において不可欠な要素となっている。
近年、中国の新エネルギー車産業が急速に発展しており、APT組織はこの分野にも注目し始めている。また、中国のイノベーションと国産化の進展に伴い、APT組織は国内のソフトウェアシステムを攻撃の突破口として利用し、サプライチェーン攻撃を仕掛けている。具体的には、ベンダーのソフトウェアシステムの権限を悪用し、ターゲットのネットワーク防御を回避して攻撃目標を達成している。
特に活発なAPT組織として、東アジアに拠点を置き、中国の政府、教育、交通分野を標的とするAPT-C-01(Poison Ivy)や、東南アジアからのAPT-C-00(Ocean Lotus)が挙げられる。2024年には、南アジアのAPT-C-70(Rhino Unicornis)や東アジアのAPT-C-65(Golden Pothos)など、新たなAPT組織も確認された。
また、APT-C-39(CIA)とされるハッカー組織は、0day脆弱性を悪用し、中国の航空、宇宙、材料科学分野の先端技術関連の重要機関を標的に、敏感な技術情報や研究データを窃取した。2024年には、国内のセキュリティベンダーのオフィスアプリケーションのサーバーを介してトロイの木馬を配布し、クライアントデバイスからデータを抽出する攻撃も行われた。
2024年、APT組織による0day脆弱性を利用した攻撃は引き続き高水準であり、1-dayやn-day脆弱性も多く悪用された。特に、モバイルプラットフォームを標的とした0day脆弱性の利用は増加傾向にある。
大規模な生成AI技術の急速な進展に伴い、APT組織はAI技術を活用して、より高度で隠密な攻撃手法を開発している。これにより、サイバー攻撃の検知と防御が一層困難になっている。
このような状況を踏まえ、サイバーセキュリティの専門家は、AI技術の進展に伴うリスクとガバナンスの問題に対処するため、国際的な協力と効果的な対策の必要性を強調している。
【詳細】
2024年に発生した中国へのAPT攻撃の詳細
1. APT攻撃の概要
2024年、中国の14の主要分野に対して、海外から1,300件以上の高度な持続的脅威(APT)攻撃が行われた。APT攻撃とは、長期間にわたって特定の標的を執拗に攻撃し、機密情報の窃取やネットワークの支配を試みるサイバー攻撃の一種である。特に政府機関、教育、科学研究、国防・軍事産業、交通の5分野が最も深刻な影響を受けた。
攻撃を実行したのは、主に南アジア、東南アジア、東アジア、北米に拠点を置く13のAPT組織である。彼らの目的は、敏感なデータの窃取、戦略的な妨害、国家機密の収集であり、支援者の政治的、軍事的、経済的目的を達成するために活動している。
2. 攻撃対象分野とその影響
(1) 政府機関
APT攻撃の最大の標的は、中国政府の各機関である。特に外交、海事、交通管理などの部門が攻撃対象となった。攻撃者は、中国の最新の外交戦略や国際問題に関する立場の情報を収集し、支援国の外交交渉や政策立案に有利となるデータを取得しようとした。
(2) 教育・研究機関
国防・軍事産業関連の大学や国際関係研究機関が標的となった。攻撃の目的は、軍事技術に関する研究情報の窃取や、戦略的意思決定に影響を与える知識の獲得である。
また、APT組織は中国の先端技術の研究を阻害するため、
・研究データの改ざん
・通信ネットワークの妨害
・軍事施設への侵入
・指揮・統制ネットワークの麻痺
・偽の指令の発信・拡散
といった手段を用いた。このような攻撃は、戦時においても極めて有効であり、サイバー戦の重要性を改めて浮き彫りにしている。
(3) 国防・軍事産業
APT攻撃は、中国の軍事技術や防衛産業における知的財産の窃取にも焦点を当てた。特に、兵器開発、指揮・統制システム、人工知能(AI)を活用した戦略的シミュレーションなどの分野が狙われた。攻撃手法としては、
・ゼロデイ(0day)脆弱性の悪用(まだ修正されていない未知の脆弱性を狙う攻撃)
・サプライチェーン攻撃(防衛関連企業や大学のソフトウェアを介した侵入)
・クラウドインフラのハッキング
などが確認された。
(4) 新エネルギー車(EV)産業
中国の新エネルギー車(EV)産業の急速な成長に伴い、APT組織の標的となっている。この分野の攻撃では、
・バッテリー技術や製造プロセスのデータ窃取
・自動運転技術のアルゴリズム解析
・サプライチェーンの脆弱性を利用した侵入
が行われた。特に、自動運転技術のAIモデルや、エネルギー効率を高めるための半導体技術に関する情報が狙われている。
(5) 交通インフラ
APT組織は、中国の交通システムに対する攻撃を強化した。特に、鉄道、航空、港湾管理などの分野が標的となった。目的は、
・交通管制ネットワークの混乱
・物流の妨害
・軍事輸送の情報収集
であり、これらの攻撃が国家安全保障に及ぼす影響は甚大である。
3. 主要なAPT組織と攻撃手法
2024年に中国を標的としたAPT組織の中で、特に活発だったものには以下がある。
(1) APT-C-01(Poison Ivy)
・東アジアを拠点とするAPTグループ
・政府、教育、交通分野を標的
・主にリモートアクセス型マルウェアを使用
(2) APT-C-00(Ocean Lotus)
・東南アジアを拠点
・政府機関や軍事関連の研究機関を攻撃
・フィッシングメールとマルウェアの組み合わせを使用
(3) APT-C-70(Rhino Unicornis)
・南アジアを拠点とする新たなAPTグループ
・中国のエネルギー・インフラを攻撃
(4) APT-C-65(Golden Pothos)
・東アジアを拠点
・AIを活用した攻撃技術を開発
(5) APT-C-39(CIA)
・米国のCIAが関与するとされるハッカー組織
・航空、宇宙、材料科学分野の機密情報を窃取
・ゼロデイ攻撃を多用
4. AI技術とAPT攻撃の進化
2024年、APT組織は生成AI技術を積極的に活用し、高度で隠密な攻撃手法を開発している。AIを用いることで、
・攻撃パターンを迅速に最適化
・フィッシング攻撃の精度向上
・セキュリティシステムの回避能力向上
といった効果が確認されている。特に、AIを活用した攻撃手法の発展により、既存のサイバーセキュリティ対策では検知が困難になる傾向が強まっている。
5. 中国の対応と今後の課題
中国政府およびセキュリティ専門家は、APT攻撃の増加に対処するため、以下のような対策を進めている。
・国家レベルでのサイバーセキュリティ強化(ゼロトラストアーキテクチャの導入、脆弱性管理の強化)
・産業界との連携によるサプライチェーンの防御
・AIを活用したサイバー攻撃への対策(AIによる異常検知、サイバー脅威インテリジェンスの活用)
・国際的なサイバー犯罪対策の強化(サイバー犯罪者の特定と制裁措置)
APT攻撃は今後も高度化し、国家安全保障や経済安全保障への影響が増大すると予測されるため、迅速かつ効果的な対応が求められている。
【要点】
2024年に発生した中国へのAPT攻撃の詳細
1. APT攻撃の概要
・2024年、中国の14の主要分野に対し1,300件以上のAPT(高度な持続的脅威)攻撃が発生
・攻撃者は主に南アジア、東南アジア、東アジア、北米の13のAPT組織
・目的は機密情報の窃取、戦略的妨害、国家機密の収集
2. 攻撃対象分野と影響
(1) 政府機関
・外交、海事、交通管理などが標的
・中国の外交戦略や国際問題に関する情報を窃取
(2) 教育・研究機関
・国防・軍事関連の大学・研究機関を攻撃
・軍事技術情報の窃取、研究データの改ざん、通信ネットワークの妨害
(3) 国防・軍事産業
・兵器開発、指揮・統制システム、AIを活用した戦略シミュレーションが標的
・ゼロデイ脆弱性の悪用、サプライチェーン攻撃、クラウドインフラのハッキング
(4) 新エネルギー車(EV)産業
・バッテリー技術、自動運転技術、半導体技術を狙った攻撃
・サプライチェーンの脆弱性を利用した侵入
(5) 交通インフラ
・鉄道、航空、港湾管理への攻撃
・交通管制ネットワークの混乱、物流の妨害、軍事輸送情報の収集
3. 主要なAPT組織と攻撃手法
(1) APT-C-01(Poison Ivy)
・東アジア拠点、政府・教育・交通分野を標的
(2) APT-C-00(Ocean Lotus)
・東南アジア拠点、政府機関・軍事関連の研究機関を攻撃
(3) APT-C-70(Rhino Unicornis)
・南アジア拠点、中国のエネルギー・インフラを攻撃
(4) APT-C-65(Golden Pothos)
・東アジア拠点、AIを活用した攻撃技術を開発
(5) APT-C-39(CIA)
・米国のCIAが関与とされる組織、航空・宇宙・材料科学分野の機密情報を窃取
4. AI技術とAPT攻撃の進化
・AIを活用し、攻撃の最適化、フィッシング精度向上、セキュリティ回避能力向上
・AIによるゼロデイ攻撃の自動化、マルウェアの適応能力向上
5. 中国の対応と今後の課題
・国家レベルのサイバーセキュリティ強化(ゼロトラストアーキテクチャ導入、脆弱性管理強化)
・産業界との連携(サプライチェーンの防御)
・AIを活用した防御対策(異常検知、サイバー脅威インテリジェンス活用)
・国際的なサイバー犯罪対策強化(攻撃者の特定、制裁措置)
今後もAPT攻撃は高度化し、国家安全保障・経済安全保障への影響が拡大すると予測される。
【参考】
☞ APT(高度な持続的脅威:Advanced Persistent Threat)とは
APT(Advanced Persistent Threat)は、国家や高度な技術を持つ攻撃者が特定の組織や国を標的にして行う長期間のサイバー攻撃である。主に機密情報の窃取、システムの破壊、戦略的妨害を目的とする。
APT攻撃の特徴
1.高度な技術
・ゼロデイ脆弱性の悪用
・AIを活用したマルウェアの進化
・カスタムマルウェアの使用
2.持続的な攻撃
・数か月から数年にわたる潜伏
・段階的な侵入と拡張
・バックドアの設置による長期的なアクセス維持
3.標的型攻撃
・特定の政府機関、企業、軍事施設を狙う
・フィッシングメール、サプライチェーン攻撃、ゼロデイ攻撃を組み合わせる
4.難検知性
・セキュリティソフトの回避
・正規のシステムを利用した内部拡散
・AIを利用した異常検知回避
APT攻撃の一般的な流れ
1.情報収集(Reconnaissance)
・標的のネットワークや従業員の調査
・ソーシャルエンジニアリングによる内部情報収集
2.初期侵入(Initial Compromise)
・フィッシングメールや悪意のあるリンクの送信
・マルウェアを仕込んだドキュメントやUSBの利用
3.内部拡散(Lateral Movement)
・権限昇格(Privilege Escalation)を行い、管理者権限を獲得
・バックドアを設置し、長期間の潜伏
4.データ窃取・破壊(Data Exfiltration)
・重要な機密情報の送信
・システムの破壊やサービスの停止
5.隠蔽・持続性確保(Persistence & Evasion)
・セキュリティ対策の回避
・攻撃の痕跡を隠しながら長期間アクセスを維持
主なAPTグループと関与が疑われる国家
APTグループ 推定関与国 主な標的
APT29(Cozy Bear) ロシア 政府機関、外交、エネルギー
APT28(Fancy Bear) ロシア NATO、欧米政府機関
APT41(Double Dragon) 中国 ゲーム業界、医療、金融
APT-C-39(CIA関与) 米国 航空宇宙、ハイテク産業
Ocean Lotus(APT-C-00) ベトナム 中国企業、政府機関
APT攻撃への対策
1.ゼロトラストセキュリティの導入
・最小権限の適用(Least Privilege)
・多要素認証(MFA)
2.AIを活用した異常検知
・挙動ベースの検知(Behavior-based Detection)
・リアルタイム監視とログ解析
3.サプライチェーンの強化
・取引先やベンダーのセキュリティ基準の見直し
・セキュリティ教育の強化
APT攻撃は国家レベルの脅威となっており、サイバーセキュリティ対策の強化が急務である。
☞ AIによるゼロデイ攻撃とは
ゼロデイ攻撃(Zero-Day Attack)とは、ソフトウェアやシステムに存在する未発見の脆弱性を悪用した攻撃である。これらの脆弱性は開発者が認識していない、もしくは修正パッチがリリースされていないため、攻撃者にとっては非常に強力な攻撃手段となる。
AIによるゼロデイ攻撃は、人工知能(AI)を利用して従来の攻撃方法よりも効果的で高度な手法でゼロデイ脆弱性を発見し、利用する攻撃のことを指す。このような攻撃は、ゼロデイ攻撃の難易度とリスクを一段と増加させる。
AIを活用したゼロデイ攻撃の特徴
1.脆弱性の自動発見
・AIを使った攻撃者は、ソフトウェアのコードやシステムに存在するセキュリティホールを人間よりも迅速に発見できる。
・機械学習や自然言語処理技術を用いてコード解析やパターン認識を行い、新たな脆弱性を発見することができる。
2.攻撃手法の進化
・AIは攻撃対象システムの挙動を学習し、最適な攻撃経路を選択してゼロデイ脆弱性を悪用する。
・例えば、AIによって自動化された攻撃者は、特定のシステムやアプリケーションに適した脆弱性を瞬時に分析し、従来の手法では発見できなかったゼロデイ脆弱性を活用することが可能となる。
3.高速で効果的な攻撃の実行
・AIはゼロデイ脆弱性を発見した後、それを使用するマルウェアや攻撃ツールの開発を迅速に行い、ほぼリアルタイムで攻撃を仕掛けることができる。
・この高速な攻撃は、従来のゼロデイ攻撃よりもより広範囲で効果的となり、攻撃者にとって有利に働く。
4.多様化された攻撃の最適化
AIは過去の攻撃データを学習し、攻撃方法を最適化する。これにより、従来の手法では回避されていたセキュリティ防御を突破することができる。
・例えば、AIは過去のフィッシング攻撃やサプライチェーン攻撃のパターンを学習し、より巧妙で多様な攻撃手法を開発する。
AIによるゼロデイ攻撃の実例とリスク
1.ゼロデイマルウェアの自動生成
・AIを活用することで、ゼロデイ攻撃者は新しいマルウェアを自動的に生成できるようになる。従来は手動でマルウェアを作成していたが、AIを用いることで攻撃者は短期間で複雑なマルウェアを作成し、広範囲に攻撃を仕掛けることが可能となる。
2.脆弱性スキャニングの効率化
・AIは攻撃対象システムに潜む脆弱性を自動でスキャンし、既存のセキュリティ対策を回避しやすいものを特定する。
・攻撃者がゼロデイ脆弱性を利用して、大規模なサイバー攻撃を仕掛けるリスクが高まる。
3.AIによる自律的な攻撃行動
・AIは攻撃の状況に応じて、攻撃方法を自律的に変更し、セキュリティ対策を突破するために新たな手法を選択する。
・AIが予測可能な攻撃パターンを避けて新たな攻撃手法を学習するため、セキュリティ防御側が対応するのが難しくなる。
対策と防御方法
1.AIベースの防御システム
・AIを利用して異常な挙動を早期に検出し、攻撃を未然に防ぐシステムの導入。
・AIを用いた行動分析技術により、異常なネットワーク活動や不正アクセスをリアルタイムで検出できる。
2.ゼロデイ脆弱性の迅速な修正
・ソフトウェア開発者はゼロデイ脆弱性を速やかに発見し、修正パッチを適用する体制を強化する必要がある。
・定期的なセキュリティ監査、コードレビュー、ペネトレーションテスト(侵入テスト)の実施が重要である。
3.脆弱性の多層的防御
・サイバー防御システムを多層的に設計し、AIによる攻撃が一つの防御層で突破されても、他の層で阻止できるようにする。
・これにより、ゼロデイ攻撃の影響を最小限に抑えることができる。
AIによるゼロデイ攻撃は、従来の攻撃手法よりもさらに高度化し、脅威となっている。したがって、AIを利用した防御手段やセキュリティ対策の強化が今後ますます重要になる。
【参考はブログ作成者が付記】
【引用・参照・底本】
Over 1,300 overseas APT attacks target China's 14 key sectors in 2024: cybersecurity report GT 2025.02.11
https://www.globaltimes.cn/page/202502/1328225.shtml
【参考】
急成長する中国の生成AI、グローバルでの競争力は?
https://www.nri.com/jp/media/journal/20231006.html
中国外交部・「グローバル人工知能(AI)ガバナンスイニシアチブ」に関する回答
https://crds.jst.go.jp/dw/20231031/2023103136901/
中国 APT によるテレコム・スパイ活動:はるかに広範な目的を持っている
https://iototsecnews.jp/2024/12/03/chinese-telecom-espionage-began-with-much-broader-aims-officials-say/
中国のAI規制と国際協力:ガバナンスの現状と将来展望
https://www.toolify.ai/ja/ai-news-jp/%E4%B8%AD%E5%9B%BDai%E8%A6%8F%E5%88%B6%E5%9B%BD%E9%9A%9B%E5%8D%94%E5%8A%9B%E7%8F%BE%E7%8A%B6%E5%B0%86%E6%9D%A5%E5%B1%95%E6%9C%9B-1425643
中国のサイバーセキュリティガバナンス: 国家主導のデジタル戦略とそのグローバル影響
https://websecurity.news/2024/01/08/%E4%B8%AD%E5%9B%BD%E3%81%AE%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%AC%E3%83%90%E3%83%8A%E3%83%B3%E3%82%B9-%E5%9B%BD%E5%AE%B6%E4%B8%BB%E5%B0%8E/
日中間のサイバー兵力比は300倍以上──台湾有事リスクで顕在化する、中国APTグループの脅威とは
https://enterprisezine.jp/article/detail/18235
[No.157]中国は生成AIを使ったサイバー攻撃を開始、Microsoftは東アジアのセキュリティリスクを分析、日本や米国に対する情報操作の脅威が増すと警告
https://gdep-sol.co.jp/newtech-report/no157/
中国、2030年までに世界一のAI大国目指すと発表
https://www.technologyreview.jp/s/49201/china-plans-to-use-artificial-intelligence-to-gain-global-economic-dominance-by-2030/
台頭する中国企業とAI+が変えるビジネス
変化する中国市場(後編)
https://www.jetro.go.jp/biz/areareports/special/2024/1101/1220c59089337c32.html
【参考はブログ作成者が付記】
