三菱電機は1月20日、サイバー攻撃を受けて、個人情報や機密情報が流出したおそれがあると発表した。不審な挙動を認識したのは2019年6月とのことで、攻撃者の侵入を受けてから、半年以上が過ぎている。なお、現在は、外部からのアクセスを制限するなどの対策が講じられているようだ。

同社から正式な発表はないが、一部では、今回の情報流出について、中国系のサイバー攻撃集団「Tick」の仕業と報じている。「Tick」とは、一体、何者なのだろうか。トレンドマイクロ、パロアルトネットワークス、SecureWorks、JPCERT/CCが、「Tick」に関する資料を公開しているので、これらを基に「Tick」について整理してみたい。

2016年に存在を確認

「Tick」については、2016年にシマンテックが初めて、続いてラックがレポートを公開したという。両社のレポートでは、「Tick」がDaserfというマルウェアを用いていると紹介していた。ちなみに、Daserfを用いる攻撃グループを「Tick」と名付けたのはシマンテックだ(セキュアワークスは、「Tick」をBRONZE BUTLERと呼んでいる)。

2016年に存在が確認されて以来、「Tick」は、日本と韓国の組織に対して数年間にわたりパイ攻撃を行ってきた。攻撃対象は、防衛産業やハイテク産業のような知的財産や機密情報を持つ企業だ。

「Tick」は複数のツールを駆使して脆弱性をつくエクスプロイト攻撃を仕掛けるだけではなく、日本企業の慣習に従って、礼儀正しい文章で拡張子の変更をお願いするという、ソーシャルエンジニアリング的な手法も用いているという。

SecureWorksは2017年、「日本企業を狙う高度なサイバー攻撃の全貌」というレポートで、「Tick」の攻撃の流れを以下のようにまとめている。

  1. 標的の組織の端末をマルウェアに感染させる
  2. ダウンローダがRATをダウンロード・実行して、継続的なアクセスを手に入れる
  3. RATを介して標的の組織の中で情報収集を行い、権限昇格や横断的侵害を行う
  4. 侵害したサーバや端末に保存されている情報を持ち出す
  5. 潜伏して、一定期間後に活動を再開する
  • 「Tick」による攻撃の流れ 資料:SecureWorks

「Tick」の攻撃の特徴として以下を挙げている。

  • 通信経路の暗号化
  • 標的組織に合わせて攻撃インフラを変更
  • 変化する攻撃手法
  • 被害規模の大きさ
  • 長期にわたる攻撃活動
  • 日本を執拗に狙う

SecureWorksは、「Tick」がSKYSEA Client View 11.300.08hより前のバージョンが抱えている脆弱性を悪用して侵入していることを確認している。JPCERT/CCは2019年2月に、同ソフトの脆弱性を突いた攻撃を確認していることを明らかにしている。

2019年にも日本での攻撃を検知

そして、トレンドマイクロは2019年12月、公式ブログで「サイバー攻撃集団「TICK」による「Operation ENDTRADE」という記事を公開した。

同社は2008年以来、「Tick」を追跡調査しているが、2018年11月に入り、彼らのマルウェアが開発する頻度とその配備が異常に増えていることを検知したという。

トレンドマイクロは、Tickが、正規のメールアカウントと認証情報を用いてマルウェアを配信し、日本に本社を置いて中国に子会社を持つ、防衛、航空宇宙、化学、衛星などの高度な機密情報を有する複数の組織に焦点を絞っていると指摘している。

トレンドマイクロによると、Tickは2019年1月、攻撃の第一歩として日本のある経済調査会社とPR会社に侵入、メール認証情報とおとり文書となるファイルを窃取するなどして、調査を行ったことがわかったという。

盗まれたメールアドレスは、標的組織の従業員にマルウェアの埋め込まれた添付ファイルを開封させるよう誘導する標的型メール(スピアフィッシングメール)の送信元として用いられていた。また、マルウェアが埋め込まれた添付文書は、日本語または中国語に精通し、中国経済に関心を持つ個人や企業を対象として作成されていた。

トレンドマイクロは標的型メールの例として、以下を紹介しているが、利用されたメールには、昇給や求人」関連した件名、または米中貿易協議など中国の経済情勢に関連する件名が用いられているなどの特徴が見られたとしている。

  • 巧みな日本語で書かれた標的型メールの例 資料:トレンドマイクロ

確認されたマルウェアにハードコードされていた言語などからは、Tickが中国に子会社を持つ日本の組織を侵入の足がかりとして狙う様子がうかがえたという。

さらに、中国の子会社で感染したデスクトップPCの共有フォルダから悪意ある実行ファイルの転送が成功し、そのファイルを日本の従業員が実行したことも確認されている。

トレンドマイクロは、「Tick」による攻撃から、重要インフラを提供する企業や多国籍企業では、強力な監視システム、より確実な組織内の指揮命令系統、冗長性を持たせたセキュリティポリシーの確立が重要であることが明らかになったと指摘している。加えて、従業員のセキュリティ意識の強化も、適切なセキュリティ対策が定期的に運用されるために重要だとしている。