【TeamT5 x CODE BLUE 2022】セキュリティは常に重要です

日本最大級のセキュリティ国際会議「CODE BLUE 2022」が10月27日、28日の２日間に開催されます。 台湾を拠点とするTeamT5株式会社は、アジア圏域で最大級のサイバーセキュリティ国際会議に参加できる事は大変光栄です

当社のサイバーセキュウリティアナリストとサイバーセキュリティ分析者は、今年中国を主導のInfoOps と北朝鮮主導のAPT「CloudDragon」について最新の調査結果を発表します。

CODE BLUE 2022における当社イベントについて手短に紹介します。

特別ゲスト：Silvia Yeh - シルビア・イェ (Cyber Security Analyst), Che Chang - チェ・チャン (Cyber Security Analyst)

ソーシャルメディア (SNS）は、特に戦時中や選挙シーズンなどの重大な局面で、脅威者が情報操作を展開するための重要な戦場であることに疑いの余地はない。ボット駆動型情報操作（InfoOps、別名インフルエンス・キャンペーン）が、偽情報の拡散、物理的な世界での抗議活動の扇動、ジャーナリストのDoxing（晒す）などを試みているのを誰もが目にしてきた。

中国のボット駆動型情報操作は、大規模に活動しているにもかかわらず、インパクトが弱く、有機的な関与が非常に少ないと見られている。本講演では、こうした根強いボット駆動型情報操作に関するわれわれの見解を紹介し、サイバー空間で流通する有害な偽情報キャンペーンについて解剖する。 過去には、ほとんどのボット駆動型オペレーションは、中国のプロパガンダマシンの物語を単にオウム返しし、中国の国営メディアが作ったのと同じプロパガンダや偽情報の人工投稿を機械的に広めていた。しかし、最近、新しく作られたボットは、より自然な投稿をするようになっている。彼らは、フォーラムの投稿のスクリーンショットを再投稿したり、「ミルクティー同盟」のメンバーになりすましたりするなど、さまざまな手口を用いて、そのようなコンテンツがサイバー空間で反響しているかのように見せかけている。

私たちは特に、「ChinaRoot作戦」と名付けた、台湾を標的とした中国のボット駆動型情報操作に注目している。2021年半ばから、ボットは台湾の地方政治とCOVID–19対策について操作された情報を発信している。さらに調査を進めると、「ChinaRoot作戦」と、「DRAGONBRIDGE」や「Spamouflage」といった中国国家と連携した他のネットワークとの関連も確認された。

特別ゲスト：Zih-Cing Liao - ズーチン・リャオo(Cyber Security Researcher) , Yu-Tung Chang - ユーツン・チャン(Cyber Security Researcher)

Kimsukyは、北朝鮮系APTで北朝鮮の偵察総局が支配していると思われる。KISA（Korea Internet & Security Agency）や他のベンダーからの報告に基づき、TeamT5はKimsukyの最も活発なグループであるCloudDragonが「Credential Factory（認証情報工場）」として機能するワークフローを構築して大量のクレデンシャルを収集・悪用していることを確認した。

この「Credential Factory」は、CloudDragonがスパイ活動を開始するための動力源となっている。CloudDragonのキャンペーンはDPRKの利益に沿うもので、DPRKとの関係で役割を果たす組織や重要人物をターゲットにしている。私たちのデータベースは、CloudDragonが韓国、日本、米国のターゲットに潜入した可能性があることを示唆した。被害者は、シンクタンク、NGO、メディア機関、教育機関、そして多くの個人である。

CloudDragonの 「Credential Factory」は、「Daily Cycle」、「Campaign Cycle」、「Post-exploit Cycle」の3つの小さなサイクルに分けられる。「Daily Cycle」では、大量のクレデンシャルを収集し、盗んだクレデンシャルを使用してAPTのライフサイクルを加速させることができる。

「Campaign Cycle」では、CloudDragonは多くの新しいマルウェアを開発する。われわれはCloudDragonのインシデントに対応したが、このアクターは依然としてBabySharkマルウェアを利用していることが明らかになった。CloudDragonは、BabySharkを利用して、被害者のブラウザーを標的としたマルウェアを含んだ新しいブラウザー拡張機能を展開していたことがある。さらに、CloudDragonは、「Dust」というシェルコードベースのマルウェアも開発している。 Post-exploit Cycle」では、悪意のあるバックドアではなく、ハッキングツールに依存している。また、検知されないようにするために、リモートデスクトップソフトウェアを使用していることも確認している。

本発表では、CloudDragonが行った最も重要な作戦のいくつかを紹介し、さらに重要なこととして、防御と検知のために、今後の侵入の可能なシナリオを提示する。

CODE BLUE is Japan's largest international information security CODE BLUEは日本最大の国際情報セキュリティ会議です。CODE（技術）を使用し、BLUE（大洋）を超えて人々をつなげることで、インターネット世界をよりよくすることを目指します。毎年、世界最高レベルの専門家や研究者が一堂に会し、最新の調査結果を発表して最先端のトピックについて話し合います。情報セキュリティの課題を解決するために、すべての参加者が情報を交換して協力し合う場です。 詳細情報は CODE BLUE 2022の公式ウェブサイトをご覧ください。

*画像のソース: CODE BLUE