中国西北工業大学へのサイバー攻撃事件 重要な詳細が公開

　中国西北工業大学が米国家安全保障局（NSA）の仕掛けたサイバー攻撃に見舞われた事件に関して、新たに重要な詳細情報が公表されました。

　同事件の分析と検証に当たっている中国国家コンピュータウイルス応急処置センターと北京奇安盤古実験室（PanguLab/パングー・ラボ）は最新の調査報告書で、米国がサイバー攻撃を行った際の技術的な詳細を公開しました。NSAが保有する41種類のハッキングツールの内、今回は「飲茶（suctionchar）」という名の通信データを盗み見るスニッフィングツールが、大量の機密データ漏えいをもたらした最も直接的な「実行犯」の一つだったことが判明しました。

　サイバーセキュリティの専門家の話では、NSAの攻撃型セキュリティ部隊として創設されたハッキンググループTAOは「飲茶（suctionchar）」をスニッフィングツールとして西北工業大学の内部ネットワークのサーバーに植えこみました。SSHなどの遠隔操作やリモートファイル転送サービスのログインパスワードを盗み出し、イントラネット上の他のサーバーへのアクセス権限を獲得してイントラネット上を縦横に動けるようにした上で、他の情報価値の高いサーバーに別のスニッフィングツールや、長時間にわたって操作が可能なツール、痕跡を一掃するハッキングツールなどを送ることで、大規模かつ継続的な機密データの流出につながりました。

スニッフィングツールの「suctionchar」を使ったサイバー攻撃の流れ

　分析と検証の結果、「飲茶（suctionchar）」はサーバー上のさまざまな遠隔操作とリモートファイル転送サービスのアカウントのパスワードを盗み取るだけでなく、非常に強い隠蔽性と環境適応性を備えています。それに加え、Bvp47トロイの木馬プログラムなどの、NSAの他のハッキングツールと連動した共同攻撃も可能だということです。（Yan、坂下）