継続的に行われてきた国際サイバースパイ活動の最新動向を明らかに

Operation Cloud Hopper(クラウドホッパー作戦)

PwCサイバーセキュリティタスクフォースは、英国立サイバーセキュリティセンター(NCSC)および英国BAE Systemsなどと連携して、かつてない規模で長期間にわたり展開された国際サイバースパイ活動「Operation Cloud Hopper(クラウドホッパー作戦)」を発見し、目的遂行を阻止するべく緊密に行動してきました。

2016年秋以降、PwCとBAE Systemsはこの脅威を調査し、世界のセキュリティコミュニティへ情報を発信し、そして被害にあった組織をともに支援してきました。今回のキャンペーンの背後にいるのは、セキュリティコミュニティでは「APT10」、PwC UKでは「Red Apollo」と呼ばれている、広く知られた攻撃者グループです。

今回確認されたスパイキャンペーンは、マネージドITサービスプロバイダ(MSP)を標的としたものです。APT10は、この攻撃によって世界中のMSPに加え、その顧客の知的財産や機微性のある情報に対して、空前規模のアクセスを手中にしたと考えられます。彼らは、ほんの2~3件のMSPを標的とした間接的アプローチで、そのMSPが抱える多くの顧客に到達しようとしました。このことは、サイバースパイ活動が1つ上の水準へと成熟したことを示しています。組織への脅威は、直接的にあるいはサプライチェーンを介して出現します。組織が直面しうる脅威の全体像を把握することが今まで以上に求められているのです。こうした脅威にふれる機会は、直接的にだけでなくサプライチェーンを介してということもあるでしょう。

官民の連携により、常軌を逸した規模のスパイ活動が明らかになりましたが、これはAPT10による国際オペレーションのほんの一端にすぎないと考えられます。また、同時期に観測された攻撃では、実在する日本の政府機関に成りすまして、日本国内組織のユーザ誘導する一斉キャンペーンを行っていました。

詳細は、BAE SystemsとPwCがまとめた下記の報告書をご覧ください。また、詳細を確認するための資料として、APT10に関する主なindicator-of-compromise(痕跡)と技術的詳細をまとめた報告書もダウンロードしていただけます。

※本文は、PwC英国法人が公開した下記ウェブページの抄訳です。英語の原文と翻訳内容に相違がある場合には原文が優先します。

MD5 Hashes
報告書本体: 20f0dde824193a7367b9fd36ff998908
Annex A: Indicators of Compromise: 3c995e5387c95bcebcf48ec3a852beef
Annex B: 36cb01a7c598ed2048a0eed95c14d5da