一年前にリリースされたGhostnetホワイト・ペーパーについてご記憶だろうか? 我々は、同ペーパーに関して詳細に記事を掲載した。
同じ研究者たちが、Shadowserver Foundationの協力を得て、新たなホワイト・ペーパ−「Shadows In The Cloud: Investigating Cyber Espionage 2.0」(PDF)を発表した。
(「Operation Aurora」流の)標的型攻撃に関するこの調査は非常に詳細なもので、読む価値がある。同調査には、攻撃者の活動方法の概要のほか、スパイ行為の技術的分析が含まれている。
同レポートは可能性のある標的にさえ触れている。
同ペーパーの冒頭を引用すれば:
主な調査結果
複雑なサイバー・スパイ行為ネットワーク
インド、ダライ・ラマのオフィスおよび国連と、政府やビジネス、そしてアカデミックなコンピュータ・システムを危険にさらした、サイバー・スパイ行為のネットワークに関する証拠を文書化。アメリカ合衆国のパキスタン大使館など、他の多くの機関にも障害が起きた。特定できないものも存在するが、こうした機関の一部は、確実に特定することが可能だ。
機密文書の窃盗
暗号化された外交文書と思われる1つの文書、「機密」という印のある2文書、「部外秘」とされた6文書、および「親展」扱いの5文書などを含む漏洩データの回収と分析。これらの文書はインド政府に属するものであることが確認されている。しかし、我々はそれらがインド政府のコンピュータから盗まれたものであるという直接的な証拠を持っているわけではない。パーソナル・コンピュータにコピーされた結果、漏洩したという可能性もある。回収された文書には、ダライ・ラマのオフィスから2009年1月から11月の間に送られた1500通の手紙も含まれている。これらの文書から、攻撃者が特定のシステムとユーザを標的としたことがうかがえる。
付随的なセキュリティ侵害の証拠
一部の回収データには、アフガニスタンでインドの外交使節団に提出されたビザの申請が含まれていた。同データは通常のビザ申請プロセスの一部として、13カ国の人々によりインド使節団に自発的に提供されたものだ。アフガニスタンのような状況では、個人(あるいはオペレーショナルなセキュリティ)に対するリスクは、信任されたパートナーにより管理されている、安全なシステム上でのデータのセキュリティ侵害の結果として起きる可能性があるという、情報セキュリティの複雑な性質を示している。
クラウド・ベースのソーシャル・メディア・サービスに影響を及ぼす指揮管理基盤
持続性を維持することを目的とした、複雑で段階的なコマンドおよびコントロール基盤のドキュメンテーション。同基盤はTwitter、Google Groups、Blogspot、Baiduブログ、blog.com、Yahoo Mailなどの無料ソーシャル・メデイア・システムを利用している。このトップ・レイヤは障害が起きたコンピュータを、無料のWebホスティング・サービス上のアカウントに向かわせ、そしてその無料ホスティング・サービスは機能しないため、中華人民共和国にある指令管制サーバの安定したコアに向かわせた。
中国のハッキング・コミュニティとのつながり
Shadowネットワークと成都に住む2人の人物が、中華人民共和国の地下ハッキング・コミュニティとつながりがあることの証拠。
同じ研究者たちが、Shadowserver Foundationの協力を得て、新たなホワイト・ペーパ−「Shadows In The Cloud: Investigating Cyber Espionage 2.0」(PDF)を発表した。
(「Operation Aurora」流の)標的型攻撃に関するこの調査は非常に詳細なもので、読む価値がある。同調査には、攻撃者の活動方法の概要のほか、スパイ行為の技術的分析が含まれている。
同レポートは可能性のある標的にさえ触れている。
同ペーパーの冒頭を引用すれば:
主な調査結果
複雑なサイバー・スパイ行為ネットワーク
インド、ダライ・ラマのオフィスおよび国連と、政府やビジネス、そしてアカデミックなコンピュータ・システムを危険にさらした、サイバー・スパイ行為のネットワークに関する証拠を文書化。アメリカ合衆国のパキスタン大使館など、他の多くの機関にも障害が起きた。特定できないものも存在するが、こうした機関の一部は、確実に特定することが可能だ。
機密文書の窃盗
暗号化された外交文書と思われる1つの文書、「機密」という印のある2文書、「部外秘」とされた6文書、および「親展」扱いの5文書などを含む漏洩データの回収と分析。これらの文書はインド政府に属するものであることが確認されている。しかし、我々はそれらがインド政府のコンピュータから盗まれたものであるという直接的な証拠を持っているわけではない。パーソナル・コンピュータにコピーされた結果、漏洩したという可能性もある。回収された文書には、ダライ・ラマのオフィスから2009年1月から11月の間に送られた1500通の手紙も含まれている。これらの文書から、攻撃者が特定のシステムとユーザを標的としたことがうかがえる。
付随的なセキュリティ侵害の証拠
一部の回収データには、アフガニスタンでインドの外交使節団に提出されたビザの申請が含まれていた。同データは通常のビザ申請プロセスの一部として、13カ国の人々によりインド使節団に自発的に提供されたものだ。アフガニスタンのような状況では、個人(あるいはオペレーショナルなセキュリティ)に対するリスクは、信任されたパートナーにより管理されている、安全なシステム上でのデータのセキュリティ侵害の結果として起きる可能性があるという、情報セキュリティの複雑な性質を示している。
クラウド・ベースのソーシャル・メディア・サービスに影響を及ぼす指揮管理基盤
持続性を維持することを目的とした、複雑で段階的なコマンドおよびコントロール基盤のドキュメンテーション。同基盤はTwitter、Google Groups、Blogspot、Baiduブログ、blog.com、Yahoo Mailなどの無料ソーシャル・メデイア・システムを利用している。このトップ・レイヤは障害が起きたコンピュータを、無料のWebホスティング・サービス上のアカウントに向かわせ、そしてその無料ホスティング・サービスは機能しないため、中華人民共和国にある指令管制サーバの安定したコアに向かわせた。
中国のハッキング・コミュニティとのつながり
Shadowネットワークと成都に住む2人の人物が、中華人民共和国の地下ハッキング・コミュニティとつながりがあることの証拠。
