三菱電機を狙う中国ハッカー集団Tick、日本に特化した組織 10年前から活動か

2020/01/21
更新: 2020/01/21

三菱電機は1月20日、大規模なサイバー攻撃による不正アクセスで、8000人規模に及ぶ個人情報および企業機密が外部に流出した可能性があると発表した。朝日新聞は、その手法から中国系ハッカー集団Tick(ティック、別名Bronze Butler、ブロンズバトラー)による行動と報じている。同集団は、かねてから日本語や日本社会の特性を捉えた攻撃を行っていることから、日本企業をターゲットにしてスパイ活動を行うと指摘されている。

三菱電機の発表によると、2019年6月28日、社内端末に異変があったことでサイバー攻撃が判明した。サーバーの侵入により、外部接続をコントロールしたという。朝日新聞1月20日付は、不正アクセスの形跡が、防衛省や環境省など10を超える官公庁・政府機関、電力や通信、JR、自動車など、少なくとも数十社の民間企業の情報に及んだと報じている。

サイバーセキュリティ企業の複数の報告によると、ハッカー集団ティックは数年前から、日本の知的財産と機密情報をターゲットとする組織であり、中国との潜在的な繋がりを持つという。日本の衛星通信やEV(電気自動車)などハイテクのほか、主要インフラ、重工業、日本企業の国際取引の情報を狙っている。

セキュリティ大手シマンテックは2016年、日本を狙うサイバー集団ティックについて報告している。それによると、ティックは自身が2012年に開発した悪意あるトロイの木馬 「Daserf」を、重要技術を持つ日本企業のコンピューターに感染させ、サイトへ侵入する。バックドアを作り、侵害されたシステムを完全に制御できる。こうした攻撃は、目立たずに隠れており、少なくとも2006年から情報盗用の活動が続いていたとも指摘している。また、ティックは Daserfのほか2016年にxxmmやDatperなどのマルウェアも開発した。

さらに、別のセキュリティ大手LACも2016年、このDaserfを用いた攻撃者が、日本の重要インフラ事業社を狙っていると報告。DaserfのC2サーバーのIPアドレスは、韓国のインターネットサービスプロバイダを利用するケースが多いという。経路を複雑化させ、出所が判明しないように工作されている。

米デル・テクノロジーズのサイバーセキュリティ子会社セキュアワークスは2017年6月の報告で、ティックの主な活動目的は、「企業の知的財産情報の窃取」であると指摘している。

「その目的を達成するための手段としてサイバー攻撃を行い、組織のネットワークシステムの奥深くまで侵入し、気づかれないよう巧妙な細工を施す」「日本の言語などに完全に対応しており、日本固有の資産管理製品の脆弱性を悪用して侵入を行い、日本のビジネス環境に完全に適応した攻撃から、主に日本の企業を対象としたスパイ活動が目的であることは明らか」と分析している。

セキュアワークスは、ティックが対象組織に対して高度で隠密的な攻撃を仕掛けており、侵入を未然に防ぐことが限りなく困難であることから、企業に対して、攻撃の影響範囲を軽減・抑止し、可能な限り早く侵入を発見する対策を取るよう助言している。

セキュアワークスはまた、ティックの初期のバックドアツールに中国語の文字が使用されていること、中国の開発者向けサイトに公開されたツールを使用していたこと、中国の旧正月などの休日に活動が減少するなどの特徴から、ティックは中国にあるハッカー組織と推定した。

サイバーセキュリティ企業のサイント社代表・岩井博樹氏は、2019年7月に東京で開かれた情報サミットに登壇し、ティックについて語っている。岩井氏によると、ティックの攻撃手法は広範に及び、中国軍の戦略支援部隊や北朝鮮軍偵察総局と連携している可能性があることから、ティックのサイバー攻撃の指図は「国家規模の組織から」との推測を示している。

(編集・佐渡道世)